Fancy Bear: Russische Hacker

Seit Mitte Oktober 2019 erhalten Unternehmen aus dem Bereich Payment, Entertainment und Retail DDoS-Erpresser-Mails im Namen von Fancy Bear. Aus aktuellem Anlass warnt das Link11 Security Operation Center vor den DDoS-Attacken der Täter, die vor allem auf die Original-Infrastruktur der Unternehmen zielen.

“We are the Fancy Bear and we have chosen XXX as target for our next DDoS attack”, mit diesen Worten werden Unternehmen seit Mitte Oktober mit DDoS-Attacken erpresst. Der oder die Täter geben sich als Fancy Bear aus. Mit der eigentlichen russischen Hackergruppe, die 2014/2015 das interne Netzwerk des Bundestages angegriffen haben sollen, haben sie aber wenig gemein.

Die Erpresser richten ihre Schutzgeldforderungen von 2 Bitcoin (umgerechnet ca. 14.200 Euro, Stand: 23.10.2019) gegen Anbieter aus den Bereichen Payment, Entertainment und Retail. Die E-Mail-Forderungen enthalten opferspezifische Bitcoin-Adressen. Nach einer ersten Warn-Attacke bleiben den Opfern zwischen 2 und 4 Tage, um das Schutzgeld zu zahlen. Erfolgt kein Zahlungseingang auf die angegebene Bitcoin-Adresse zielt eine weitere Attacke auf das Opfer.

Hier eines der Erpresserschreiben, dessen Wortlaut stark an die Schutzgeldforderungen von DDoS-Erpressern aus dem Frühjahr 2016 angelehnt ist. Diese hatten unter dem Namen Kadyrovtsy vor allem Banken und Online-Marketing-Unternehmen angegriffen.

Großvolumige Attacken nutzen neue DDoS-Vektoren

Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern, die bluffen, belässt es Fancy Bear nicht nur bei Erpresser-Mails. Der oder die Täter unterstreichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken bis zu 60 Gbps. Bei den langanhaltenden Demoattacken nutzen die Angreifer neben schon bekannten Reflection-Amplification-Vektoren DNS, NTP und CLDAP auch die neuen Angriffstechniken WS Discovery und Apple Remote Control.

Origin-Infrastruktur unter Beschuss

Das Besondere an den Attacken ist, dass sie nicht auf die Homepage zielen, sondern auf oft unzureichend geschützte Stellen in der Unternehmens-IT. Dazu zählen z.B. originale IP-Adressen und Ursprungsserver. Auch wenn Unternehmen einen DDoS-Schutz implementiert haben, können sie den Angriffen wehrlos gegenüberstehen. Nur ein Site Shield verhindert den direkten Zugriff auf die Origin-Infrastruktur des Unternehmens und schützt den Ursprung von Webseiten und Anwendungen vor Überlastung durch DDoS-Attacken.

Handlungsempfehlung: Ursprungsserver sichern

Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch Subdomains und die Origin-Infrastruktur abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren. Damit die IT-Infrastruktur ganzheitlich geschützt werden kann, ist es wichtig, den gesamten Traffic auf DDoS-Angriffe zu prüfen und gegebenenfalls zu filtern. Angreifer können trotz Site Shield und guter Firewall Lösungen diese direkt attackieren und die Bandbreite ausreizen.

Die attackierten Unternehmen sollten auf keinen Fall auf die Erpressungen eingehen und stattdessen Anzeige bei den Strafverfolgungsbehörden erstatten. In Deutschland bietet die Allianz für Cybersicherheit eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.

www.link11.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Linux Logo

Linux Malware: Ein verkanntes und hochlukratives Business

Die Zeiten sind vorbei, in denen Linux als unangreifbar und uninteressant für Cyberkriminelle angesehen wurde. Ganz im Gegenteil: Linux-basierte Betriebssysteme sind ein überaus wertvolles Ziel.
Hacker

Phishing-Angriffe nehmen Spender ins Visier

Phishing bleibt die häufigste Methode für Cyberangriffe. Und gerade in Zeiten von grassierenden Epidemien oder Naturkatastrophen, in denen viele User über Spenden die Betroffenen unterstützen möchten, werden die Helfer nicht selten selbst zu Opfern. Ein…
Hacker Bluetooth

Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen.
Insider Threat

Insider-Bedrohungen sind meist das Ergebnis fahrlässigen Verhaltens

Proofpoint veröffentlichte seine weltweite Studie zum Thema Insider-Bedrohungen 2020. So zeigt der Bericht, dass Unternehmen im Durchschnitt jährlich 11,45 Millionen Dollar für die Beseitigung von Insider-Bedrohungen ausgaben und mehr als zwei Monate (77…
Bank

Hacking und Malware als Hauptursachen der Datenschutzverletzungen im Finanzwesen

Cloud-Security-Anbieter Bitglass hat seinen aktuellen Bericht zu Datenschutzverletzungen im Finanzwesen 2019 veröffentlicht. Jedes Jahr analysiert Bitglass die neuesten Trends, größten Verstöße und gravierendsten Bedrohungen bei…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!