VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

Mann mit LupeDie Link11 Sicherheitsanalyse „DDoS-Erpressung durch DD4BC“ gibt detaillierte Einsichten in die Arbeit der momentan aktivsten DDoS-Erpresserbande DD4BC. Die international tätige Gruppierung DD4BC attackiert aktuell Unternehmen in Deutschland und Österreich und schädigt deren IT-Infrastruktur.

Die Ziele sind wie schon in anderen Ländern Großunternehmen im Finanzsektor sowie SaaS- und Hosting-Unternehmen. Der Link11-Report fasst unter https://www.ddos-info.de/2015/link11-warnt-vor-dd4bc-ddos-erpressung-in-deutschland.html die umfangreichen Erkenntnisse zum Vorgehen, zu den Angriffsmustern und zur Bedrohungslage in beiden Ländern zusammen.

Aktuell erpresst die cyberkriminellen Gruppierung DD4BC (DDoS for Bitcoins) Unternehmen in Deutschland und Österreich und greift diese auch an. Großunternehmen im Finanzsektor sowie SaaS- und Hosting-Unternehmenerhalten Erpresser-Mails von anonymen Mail-Diensten wie openmailbox.org und tutanota.com, in denen branchenabhängig bis zu 50 Bitcoins (ca. 11.500 Euro) innerhalb von 24 Stunden gefordert werden. Sollte die Zahlung ausbleiben, droht DD4BC mit anhaltenden DDoS-Attacken mit einem Volumen von 400 bis 500 Gbps. Außerdem erhöht sich die Schutzgeldforderung auf 100 Bitcoins und steigt weiter im Stunden-Takt.

Entwicklung der Schutzgeld-Forderungen von DD4BC

Bild 1: Entwicklung der Schutzgeld-Forderungen von DD4BC.

Ernste DDoS-Bedrohungslage

DD4BC untermauert die Ernsthaftigkeit ihrer Forderungen in der Erpresser-Mail direkt mit einer ersten DDoS-Attacke und demonstriert so die eigenen Cybercrime-Fähigkeiten. Die Attacke überlastet die Systeme der Unternehmen ohne DDoS-Schutz in den meisten Fällen und bringt die Web-basierten Services und Prozesse sowie Unternehmensnetzwerke meist vollständig zum Erliegen. Bleibt die geforderte Bitcoin-Zahlung aus, starten die Erpresser die angekündigte Attacke mit Peaks bis zu 50 Gbps.

Jens-Philipp Jung, Geschäftsführer der Link11 GmbH: "Die Zahl der Unternehmen, die von DD4BC unter Druck gesetzt werden, ist alarmierend. Durch die unangekündigte erste DDoS-Attacke und die vermehrten Vorfälle in der DACH-Region ist die Gefahr für ungeschützte Unternehmen in Deutschland momentan sehr hoch. Erst Anfang Mai mussten wir deutsche E-Commerce-Shops vor der bisher größten Erpresserwelle warnen. Bei den aktuellen Vorfällen richten sich die Geldforderungen gegen den Finanzsektor und Anbieter von Online-Dienstleistungen. Jedes Unternehmen, das eine Erpresser-E-Mail von DD4BC erhält, sollte diese unbedingt ernst nehmen. Schon die Warn-Attacke kann ein Unternehmensnetzwerk empfindlich treffen.“

Technische Details zu den DDoS-Attacken von DD4BC

Das Link11 Security Operation Center (kurz LSOC) hat seit Beginn der Erpresserwelle Ende Juni 215 zahlreiche Attacken von DD4BC abgewehrt, das Vorgehen sowie die Gefährdung analysiert und wiederkehrende Angriffsmuster festgestellt: Zu Beginn erfolgt eine UDP-Flood auf die Webserver, worauf in den meisten Fällen eine TCP-SYN-Flood folgt. Insgesamt dauert der Angriff in der Regel zirka eine Stunde und erreicht Peak-Bandbreiten nahe 100 Gbps.

Verlauf einer von DD4BC durchgeführten DDoS-Amplification-Attacke

Bild 2: Verlauf einer von DD4BC durchgeführten DDoS-Amplification-Attacke, die vom LSOC abgewehrt wurde.

Die „Link11 Sicherheitsanalyse DDoS-Erpressung durch DD4BC“ fasst unter https://www.ddos-info.de/2015/link11-warnt-vor-dd4bc-ddos-erpressung-in-deutschland.html die detaillierten Erkenntnisse zusammen.

DD4BC sind Wiederholungstäter

Unter DDoS-Schutzexperten ist DD4BC schon länger bekannt. Die Cybercrime-Gruppe setzt seit Ende 2014 immer wieder DDoS-Attacken gegen Unternehmen ein, um an Bitcoins zu gelangen. Dabei gehen sie länderweise vor: USA, Neuseeland, Australien, Großbritannien. Noch im Mai war DD4BC in der Schweiz und Großbritannien sehr aktiv, attackierte wenige Woche danach aber schon Unternehmen in Skandinavien. Weder die anonymisierten E-Mail-Adressen noch die Bitcoin-Konten lassen sich zurückverfolgen.

Verteilung der DDoS-Quellen von DD4BC

Bild 3: Verteilung der DDoS-Quellen von DD4BC.

DDoS-Schutz in erhöhter Alarmbereitschaft

Die DDoS-Schutzsysteme und das Sensoren-Netzwerk von Link11 sowie das LSOC Team befinden sich seit Eingang des ersten Erpresserschreibens bei einem DDoS-Schutzkunden von Link11 in Alarmbereitschaft. Neue Informationen zur Bedrohungslage gibt Link11 umgehend an seine Kunden und Partner weiter. Das LSOC betreut zahlreiche deutsche Unternehmen beim Schutz gegen DDoS-Attacken. Zu den Kunden zählen unter anderem Banken, Versicherungen und Medienunternehmen.

Frei zugängliche Informationen zur DDoS-Bedrohungslage biete die Webseite https://www.ddos-info.de/meldung.html. Hier können sich die Unternehmen im Vorfeld für Warnhinweise auf drohende Attackenregistrieren. Diese können dann rechtzeitig Schutzmaßnahmen ergreifen, um die Verfügbarkeit ihrer mit dem Internet verbundenen Services abzusichern.

www.link11.de

GRID LIST
Druckerknopf

Neue Drucktechnologien sind der Schlüssel für Innovation

Führungskräfte in Europa haben neue Drucktechnologien als wichtigen Enabler für Agilität…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Insider- und Drittanbieterzugriffe zählen zu den größten Sorgen

Bomgar hat den Privileged Access Threat Report 2018 veröffentlicht. Bei jedem zweiten…
Kommunikation via Social Media

Eingestaubte Kommunikation vergrault Millennials

Digital, vernetzt und kommunikativ - gestatten, Millennial! Die Generation der zwischen…
Exploit

Exploit-Angriffe via Microsoft Office haben sich Anfang 2018 vervierfacht

Die Anzahl der Internetnutzer, die bei Exploit-basierten Attacken im ersten Quartal 2018…
Tb W190 H80 Crop Int 6ee29c9b1f9ec8ed328ffa97b2fd514e

Mitarbeitererfahrung – ein neuer Weg, Talente zu gewinnen

Die digitale Erfahrung außerhalb der Arbeit macht das alltägliche Leben einfacher und…
Tb W190 H80 Crop Int 894ea583ecf1fd4297909fc76073430c

Viele Startups finden keine Mitarbeiter

Der einsame Gründer vor dem Computerbildschirm, der eine weltverändernde Web-Plattform…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security