Neue Welle von DDoS-Erpressungen?

Laut Link11, einem DDoS-Schutzanbieter, sind seit etwa zwei Wochen bei diversen deutschen Onlineshops Erpressermails eingegangen, die mit DDoS-Angriffen drohen, wenn nicht binnen knapp sieben Tagen ein Betrag von „5 Bitcoins (ca. 1300 €)“ an eine in der Mail genannte Bitcoin-Adresse gesendet werde.  Das Original-Erpresserschreiben dokumentiert Link11 hier.

Solche Erpressungen mit DDoS-Angriffen sind nicht neu, bereits seit Jahren versuchen Kriminelle, mit dieser Masche an Geld zu kommen. Allerdings hat das Ausmaß von DDoS-Angriffen in letzter Zeit deutlich zugenommen, und zwar sowohl hinsichtlich der Häufigkeit, als auch der Stärke.

Angriffsstärke hat in den letzten Monaten massiv zugenommen

So nutzen die Angreifer seit diesem Jahr vermehrt Verstärkungstechniken (SSPD-Reflection-Angriffe) und können auf eine beachtliche Bandbreite zurückgreifen. So berichtet der Sicherheitsdienstleister Arbor Networks:

Doch auch Angriffe mit über 100 Gbps wurden in den ersten drei Monaten dieses Jahres bereits 25 mal detektiert. Und erst vor zwei Tagen wurde der Bundestag Ziel einer sehr starken DoS-Attacke.

Über 1.000 Shops in Deutschland Ziel der Erpresser?

Der aktuell in Deutschland aktive Erpresser ist fleißig: Seit dem Start der Erpressungswelle am 6. Mai sollen allein beim LKA Niedersachsen bereits über 200 der Erpressungsversuche dieser Machart gemeldet worden sein.  Da viele Shopbetreiber es (zunächst) versäumen, bei solchen Erpressungen umgehend Anzeige zu erstatten, dürfte die Dunkelziffer hoch sein. Das Link11 Security Operation Center (LSOC) vermutet nach ausgiebigen Analysen, dass über 1.000 Shops in Deutschland Ziel der aktuellen Erpressungswelle. Damit wäre eine neue Dimension in Deutschland erreicht.

Inwieweit zwischenzeitlich auch bereits Angriffe folgten, wurde leider nicht mitgeteilt. Nach Angaben von Heise Security geht es aktuell in Deutschland eher gemäßigt zu, während es in den letzten Tagen die Schweiz deutlicher getroffen hat.

Link11 rechnet damit, dass wegen der großen Zahl der erpressten Shops zunächst nur einzelne Shops angegriffen werden und hat seine Überwachung des Netzes verstärkt. Händlern wird angeboten, sich hier in eine Mailingliste einzutragen, um Alerts zu erhalten, sobald Link11 verdächtige Aktivitäten in den von ihm überwachten Netzwerken erkennt.

Die Link11 Cyber Security Experten arbeiten zudem in der Kooperation mit betroffenen Unternehmen und Behörden an der Ermittlung des Erpressers und vermeldet dabei zumindest erste Erkenntnisse:

Erpressung erhalten? Niemals zahlen, immer sofort aktiv werden!

Händler oder Websitebetreiber, die eine Erpressung erhalten haben, sollten NIEMALS bezahlen, die Drohung jedoch auch nicht einfach ignorieren. Vielmehr sollte sofort Anzeige erstattet werden. Auch ist es sinnvoll, den Provider vorzuwarnen, damit dieser sich auf mögliche Angriffe vorbereiten kann.

Im Shopanbieter-Know how-Bereich bieten wir gleich zwei Gratis-Ratgeber zum Umgang mit DDoS-Erpressungen bzw. -Angriffen an:

• „DDoS-Schutzgelderpressung – was tun?“
• DDoS-Attacken – keine Panik, schnell reagieren

Monitore zeigen weltweite Bedrohungslage

Neben dem speziellen Monitoring, für das Link11 aktuell den Alert-Service anbietet, gibt es generelle Angriffs-Monitorings, die jederzeit die aktuelle Bedrohunglage zeigen. So zeichnet die in Zusammenarbeit mit Google Ideas betriebene Digital Attack Map die laufenden DDoS-Attacken auf einer Weltkarte auf. Durch Anklicken lassen sich auch die Angriffslagen einzelner Länder darstellen. Allerdings zeigen die frei zugänglichen Visualisierungen leider nur die Situation einiger Tage zuvor.

Die Daten für die Digital Attack Map stammen vom Monitoring-Netz ATLAS der Arbor Networks. ATLAS selbst bietet ebenfalls eine Weltkarte, die je nach Auswahl die Haupt-Ziele, die Haupt-Angreifer, aber auch Phishing-Websites sowie IRC Botserver und Fast Flux Bots anzeigt. Darüber hinaus bietet ATLAS auch detaillertere Informationen auf Länderebene (Beispiel: Deutschland).

Herzlich aus Hürth
Nicola Straub