Anzeige

Anzeige

VERANSTALTUNGEN

Bitkom | Digital Health Conference
26.11.19 - 26.11.19
In dbb Forum Berlin

IT & Information Security
26.11.19 - 27.11.19
In Titanic Chaussee Hotel, Berlin

Integriertes IT Demand und Portfolio Management
02.12.19 - 04.12.19
In Sofitel Berlin Kurfürstendamm, Germany

IT-Tage 2019
09.12.19 - 12.12.19
In Frankfurt

eoSearchSummit
06.02.20 - 06.02.20
In Würzburg, Congress Centrum

Anzeige

Anzeige

Fancy Bear: Russische Hacker

Seit Mitte Oktober 2019 erhalten Unternehmen aus dem Bereich Payment, Entertainment und Retail DDoS-Erpresser-Mails im Namen von Fancy Bear. Aus aktuellem Anlass warnt das Link11 Security Operation Center vor den DDoS-Attacken der Täter, die vor allem auf die Original-Infrastruktur der Unternehmen zielen.

“We are the Fancy Bear and we have chosen XXX as target for our next DDoS attack”, mit diesen Worten werden Unternehmen seit Mitte Oktober mit DDoS-Attacken erpresst. Der oder die Täter geben sich als Fancy Bear aus. Mit der eigentlichen russischen Hackergruppe, die 2014/2015 das interne Netzwerk des Bundestages angegriffen haben sollen, haben sie aber wenig gemein.

Die Erpresser richten ihre Schutzgeldforderungen von 2 Bitcoin (umgerechnet ca. 14.200 Euro, Stand: 23.10.2019) gegen Anbieter aus den Bereichen Payment, Entertainment und Retail. Die E-Mail-Forderungen enthalten opferspezifische Bitcoin-Adressen. Nach einer ersten Warn-Attacke bleiben den Opfern zwischen 2 und 4 Tage, um das Schutzgeld zu zahlen. Erfolgt kein Zahlungseingang auf die angegebene Bitcoin-Adresse zielt eine weitere Attacke auf das Opfer.

Hier eines der Erpresserschreiben, dessen Wortlaut stark an die Schutzgeldforderungen von DDoS-Erpressern aus dem Frühjahr 2016 angelehnt ist. Diese hatten unter dem Namen Kadyrovtsy vor allem Banken und Online-Marketing-Unternehmen angegriffen.

Großvolumige Attacken nutzen neue DDoS-Vektoren

Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern, die bluffen, belässt es Fancy Bear nicht nur bei Erpresser-Mails. Der oder die Täter unterstreichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken bis zu 60 Gbps. Bei den langanhaltenden Demoattacken nutzen die Angreifer neben schon bekannten Reflection-Amplification-Vektoren DNS, NTP und CLDAP auch die neuen Angriffstechniken WS Discovery und Apple Remote Control.

Origin-Infrastruktur unter Beschuss

Das Besondere an den Attacken ist, dass sie nicht auf die Homepage zielen, sondern auf oft unzureichend geschützte Stellen in der Unternehmens-IT. Dazu zählen z.B. originale IP-Adressen und Ursprungsserver. Auch wenn Unternehmen einen DDoS-Schutz implementiert haben, können sie den Angriffen wehrlos gegenüberstehen. Nur ein Site Shield verhindert den direkten Zugriff auf die Origin-Infrastruktur des Unternehmens und schützt den Ursprung von Webseiten und Anwendungen vor Überlastung durch DDoS-Attacken.

Handlungsempfehlung: Ursprungsserver sichern

Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch Subdomains und die Origin-Infrastruktur abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren. Damit die IT-Infrastruktur ganzheitlich geschützt werden kann, ist es wichtig, den gesamten Traffic auf DDoS-Angriffe zu prüfen und gegebenenfalls zu filtern. Angreifer können trotz Site Shield und guter Firewall Lösungen diese direkt attackieren und die Bandbreite ausreizen.

Die attackierten Unternehmen sollten auf keinen Fall auf die Erpressungen eingehen und stattdessen Anzeige bei den Strafverfolgungsbehörden erstatten. In Deutschland bietet die Allianz für Cybersicherheit eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.

www.link11.com/de
 

GRID LIST
Robert Hinzer

Wie Unternehmen gegen Ransomware vorgehen können

Auch wenn das Thema Ransomware in den vergangenen Wochen überwiegend aus den Schlagzeilen…
Malware

Emotet hält Deutschland in Atem

Check Point Research, die Threat Intelligence-Abteilung von Check Point Software…
Cybergefahren in Produktionsumgebungen

Cyber-Gefahren für Produktionsumgebungen

Ein kürzlicher Malware-Befall des Industrie-Giganten Rheinmetall rückt Cyberrisiken in…
Smart Office

Sind Smart Offices sicher?

Check Point Software Technologies Ltd. (NASDAQ: CHKP) hebt die Transformation und…
Tb W190 H80 Crop Int 5c4191ce91e5342d8e46ea25524df323

Streaming: Ein Cybersicherheitsrisiko

Es ist mittlerweile eine Tatsache: Die rasante Entwicklung der Streaming-Technologien…
Cyber Attack

Angreifer nutzen verstärkt TCP Reflection für Flooding-Attacken

Im Laufe des Jahres 2019 haben das Threat Research Center (TRC) und das Emergency…