Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

HackerNachdem Ende Januar DDoS-Erpressungen im Namen Stealth Ravens auf Unternehmen in Deutschland zielten, fordern nun Täter unter dem Namen XMR-Squad 250 Euro für die Prüfung der (DDoS) Protection.

Seit Mittwoch, 19.04.2017, erpresst eine neue Gruppe mit Namen XMR-Squad deutsche Unternehmen mit DDoS-Attacken, warnt das Link11 Security Operation Center (LSOC). Zu den Opfern zählen laut Webseite der Täter bereits DHL, Hermes, AldiTalk, Freenet, Snipes.com aber auch das LKA Niedersachsen sowie das Land NRW. Die Täter gehen ähnlich wie die schon bekannten Erpresserbanden DD4BC, Kadyrovtsy und Stealth Ravens vor und erzeugen mit Demo-Attacken Druck bei ihren Opfern. Ihre Schutzgeldforderungen deklarieren sie als „Prüfung der DDoS Protection“.

Das Vorgehen von XMR-Squad

Die Täter suchen das Licht der Öffentlichkeit. Dem Journalisten Mark Steier lieferten sie in einem Telefonat sowie per E-Mail wichtige Informationen. Diese fasste Steier in seinem Blogbeitrag „Ursache der Störung nun bekannt: DHL hatte einen DDOS-Angriff“ zusammen. Das LSOC hat mit Steier weitere Informationen ausgetauscht und mit ihm gemeinsam ein Kurzprofil der Täter erstellt.

Herkunft: DDoS-Erpressungen durch die bis dato unbekannte Gruppe sind erst seit dem 19. April 2017 bekannt. Steier vermutet auf Basis des mit der Gruppe geführten Telefonats, dass sie russische Wurzeln hat.

Einzeltäter/Gruppe: Per E-Mail und auf Twitter reden die Hacker von sich immer in der Mehrzahl.

Name der Täter: XMR ist die Abkürzung für die dezentrale Kryptowährung Monero, die einen besonderen Fokus auf Privatsphäre legt.

Opfer: Die Erpresser zielen ohne erkennbare Logik auf Unternehmen aus verschiedenen Branchen und unterschiedlicher Größe in Deutschland. Bis jetzt sind dem LSOC DDoS-Attacken auf die Webseiten von Snipes, Freenet, Hermes, DHL, AldiTalk und 3DSupply bekannt. Neben den Unternehmen wurden laut der offiziellen Webseite der Täter auch das LKA Niedersachsen sowie das Land NRW angegriffen. Aktuell konzentrieren sich XMR-Squad noch auf Unternehmen und Behörden in Deutschland. Eine Ausweitung auf die Nachbarländer Österreich und Schweiz ist jedoch nicht auszuschließen.

Web-Präsenz: Die Täter posten Infos zu den (scheinbar) erfolgreichen DDoS-Attacken auf Twitter und auf der eigenen Hacker-Webseite (http://xmr-squad.biz/). Dabei lassen sie ihren Online-Auftritt von Cloudflare schützen. Der amerikanische Anbieter im Bereich DDoS-Schutz war in den vergangenen Monaten schon mehrfach dafür gerügt worden, dass er durch mangelnde Prüfung von Neukunden u. a.auch kriminellen Aktivitäten Schutz bietet.

Schutzgeld-Forderung: Die Besonderheit an XMR-Squad ist, dass sie die Angriffe als eine Art Penetrationstest kommunizieren und für den Test eine Gebühr von 250 Euro verlangen: „wir "prüfen" ihre Protection :=) & dafür verlangen wir eben 250€ Win-Win.“ (Quelle: Twitter-Kommunikation). Nach Erfahrungen des LSOC ist der Betrag relativ niedrig. DDoS-Erpresser fordern gewöhnlich einen Betrag von 1 bis 5 Bitcoin. Das entspricht nach heutigem Kurs einem Betrag von 1.100 bis 5.700 Euro.

DDoS-Tool: Unklar ist noch, ob XMR-Squad über ein eigenes DDoS-Tool verfügt oder ob die Täter die Attacken bei „DDoS-as-a-Service“-Anbietern in Auftrag geben. Sicher ist aber, dass die DDoS-Attacken XMR-Squad über eine große Schlagkraft verfügen müssen, wenn sie die IT-Infrastruktur von großen Logistikkonzernen überlasten können.

Warnung vor aggressiven Tätern

Nach Einschätzung des LSOC sind die Erpressungsversuche von XMR-Squad unbedingt ernst zu nehmen, auf sie eingehen sollte man aber nicht. Statt die Testgebühr zu zahlen empfehlen die DDoS-Schutzexperten von Link11 jedem Unternehmen, vorhandene Schutzsysteme zu aktivieren oder sich um geeignete Schutzmaßnahmen zu kümmern sowie den Hosting-Anbieter über die Erpressung zu informieren. Außerdem sollten attackierte Unternehmen Anzeige bei den Strafverfolgungsbehörden erstatten. Die Allianz für Cybersicherheit bietet eine Übersicht über die jeweiligen Meldestellen für Cybercrime in den einzelnen Bundesländern.

Weitere Informationen, Reports und Warnmeldungen zum Thema DDoS finden sich auf der von Link11 eingerichteten Webseite www.ddos-info.de.

www.link11.com

 

GRID LIST
Bill Evans

NATO-Vorstoß in Sachen offensiver Cyber-Kriegsführung

Die NATO soll gerade dabei sein, Leitlinien zur Cyber-Kriegsführung für die Militärs zu…
Tb W190 H80 Crop Int B5b0ff15e508b5ed0e077aec201a86db

Wie eine IT-Security-Architektur die Digitalisierung vereinfacht

Die aktuelle OWASP Top 10 Liste, die vor kurzem veröffentlicht wurde, klärt über…
WLAN Cyber Crime

Vorsichtsmaßnahmen nach WPA2-Sicherheitslücke

Avast warnt vor den Konsequenzen der WPA2-Sicherheitslücke KRACK. Unternehmen und…
Tb W190 H80 Crop Int Fdef4a5c2ffd2a8f9afde14b4aefbad1

Wer soll sich so viele Passwörter merken?

Kein Mbit fließt, ohne dass erneut eine Sicherheitslücke in den Schlagzeilen ist. Von…
Cloud Security

Learnings aus dem Cyberangriff bei Uber

Beim Fahrdienst-Vermittler Uber erlangten Cyberangreifer im Oktober 2016 Zugriff auf eine…
Tb W190 H80 Crop Int C2ba5ef936b84b748ce5064d774e909c

Die zentrale Rolle von Login-Daten im Uber-Hack

Der Vermittlungsdienst zur Personenbeförderung Uber erlitt 2016 einen Hack, in dem bis zu…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security