Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken. Mit dem Absender Fancy Lazarus erhalten Unternehmen aus den verschiedensten Wirtschaftsbereichen Erpresser-Mails, in denen zwei Bitcoins (Stand aktuell ca. 66.000€) gefordert werden: „It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!“, argumentieren die Erpresser in ihrer E-Mail. Meldungen über RDoS-Angriffe hat das LSOC bislang aus mehreren europäischen Ländern wie Deutschland und Österreich sowie aus den USA und Kanada erhalten.
Vorgehen der DDoS-Erpresser
Die Täter informieren sich im Vorfeld über die IT-Infrastruktur des Unternehmens und machen in der Erpresser-Mail eindeutige Angaben dazu, welche Server und IT-Elemente sie für die Warnattacken angreifen werden. Als Druckmittel starten die Angreifer teils mehrstündige Demo-Attacken, die sich durch hohe Volumen von bis zu 200Gbps auszeichnen. Um diese Angriffsbandbreiten zu erreichen, setzen die Täter Reflection-Amplification-Vektoren wie DNS ein. Sollten die Forderungen nicht erfüllt werden, drohen massive Hochvolumenattacken von bis zu 2Tbps. Für den Transfer der Bitcoins an eine spezifische Bitcoin Wallet bleiben dem Unternehmen sieben Tage. In der E-Mail heißt es außerdem, dass sich das Lösegeld mit Verstreichen der Zahlungsfrist auf vier Bitcoin erhöhen und mit jedem weiteren Tag um einen weiteren Bitcoin steigen würde. Teilweise bleiben nach Ablauf des Ultimatums die angekündigten Angriffe aus. In anderen Fällen kommt es zu beträchtlichen Störungen bei den erpressten Unternehmen.
Mutmaßliche Täter sorgten weltweit schon für Schlagzeilen
Die Täter sind keine Unbekannten. Mit einem identischen Erpresserscheiben wurden im Herbst 2020 schon Payment-Anbieter, Finanzdienstleister und Banken auf der ganzen Welt erpresst und mit RDoS-Angriffen überzogen. Hosting-Provider, E-Commerce-Anbieter sowie Logistikunternehmen standen auch im Fokus der Erpresser. Damals agierten sie unter dem Namen Lazarus Group und Fancy Bear oder gaben sich als Armada Collective aus. Auch die mehrtägigen Ausfälle an der Börse von Neuseeland werden den Tätern zugerechnet.
Was bei DDoS-Erpressungen zu tun ist
Sobald sie eine Erpresser-Mail erhalten, sollten die Unternehmen proaktiv ihre DDoS-Schutzsysteme aktivieren und in keinem Fall auf die Erpressung eingehen. Wenn die Schutzlösung nicht auf Volumenattacken von mehreren hundert Gbps und darüber hinaus skalierbar ausgelegt ist, gilt es sich zu informieren, wie die unternehmensspezifische Schutzbandbreite kurzfristig erhöht und mittels SLA garantiert werden kann. Wenn erforderlich, ist dies auch per Notfallintegration als Sofortmaßnahme umzusetzen. Die mehrmonatige Beobachtung der Täter durch das LSOC hat gezeigt: Firmen, die einen professionellen und umfangreichen DDoS-Schutz nutzen, können ihre Ausfallrisiken deutlich reduzieren. Sobald die Angreifer merken, dass ihre Attacken ins Leere laufen, stoppen sie diese und ziehen sich zurück. In jedem Fall rät das LSOC den attackierten Unternehmen, Anzeige bei den Strafverfolgungsbehörden zu erstatten. Dafür sind speziell eingerichtete Zentrale Ansprechstellen für Cybercrime der Polizeien (ZAC), die bei den Landeskriminalämtern angesiedelt sind, der beste Anlaufpunkt.