Thought Leadership
In den letzten Wochen konnte man deutlich mehr DDoS-Angriffe beobachten, die mit einer Lösegeldforderung verknüpft waren. Angreifer finden offensichtlich zunehmend Gefallen an der Methode mit DDoS-Angriffen kritische Onlinesysteme lahmzulegen oder mit derlei Attacken zu drohen. Verknüpft mit einer dementsprechenden Lösegeldforderung.
Dazu gehört beispielsweise eine Hacker-Gruppierung, die sich selbst ANX-Rans nennt und auf diesen Weg versucht hat eine französische Firma auszunehmen. In der Schweiz ging eine Gruppe namens CyberTeam ähnlich vor und forderte eine Lösegeldsumme von 5 Bitcoin (20.000 Dollar) von Abuse.ch, der Seite eines bekannten schweizerischen Sicherheitsforschers. Überraschend ist das nicht unbedingt, denn die Zahl der DDoS-Attacken, die mit einer Ransomware-Kampagne (kurz RDoS) verknüpft wurden, ist seit Juni dieses Jahres kontinuierlich angestiegen. Im Juni war bekannt geworden, dass ein Hosting Provider in Südkorea fast 1 Million Dollar zahlte als eine Web-basierte Ransomware seine Kundenserver verschlüsselt hatte.
Wenn bekannt wird, dass auch nur ein einziges bekanntes Opfer das Lösegeld gezahlt hat, steigt die Zahl dieser Art von Angriffen fast zeitgleich. Auch Volumenangriffe dieser Kategorie haben inzwischen stark zugenommen. Cyberkriminelle sind ständig auf der Suche nach effizienten Methoden um Profit zu machen, und offensichtlich hat RDoS seine Bewährungsprobe dahingehend bestanden. Verglichen mit den Verlusten, die es mit sich bringt, wenn ein Unternehmen komplett offline gehen muss, mag es wie das kleinere Übel erscheinen, das Lösegeld zu zahlen. Immer mehr Unternehmen sind dazu bereit und halten sogar Bitcoins für diesen Zweck bereit. Trotzdem ist und bleibt es ein Spiel mit dem Feuer, denn es gibt keinerlei Garantie dafür, dass die Attacke tatsächlich unterbleibt. RDoS ist nicht zu unterschätzen und eine reale Gefahr für Unternehmen.
Ransom-DDoS-Angriffe
Bei einer RDoS-Attacke senden die Angreifer zunächst eine Nachricht an das Opfer und drohen eine Denial-of-Service-Attacke oder eine Infektion der betrieblichen Systeme an – sollte die gestellte Lösegeldforderung nicht bis zu einem bestimmten Zeitpunkt erfüllt werden. Im Wesentlichen sind es zwei Gründe, die aus Sicht der Angreifer für diesen Angriffstyp sprechen. Sie stellen einen lukrativen Profit in Aussicht und sie lassen sich vergleichsweise einfach umsetzen. Um nicht zu sagen RDoS ist eine der einfachsten Methoden überhaupt, an schnelles Geld zu kommen.
Mittlerweile sind diese Attacken so üblich geworden, dass 80 % der im Rahmen einer Studie in 2016 befragten IT-Sicherheitsexperten davon ausgehen innerhalb der nächsten 12 Monate selbst mit einem RDoS-Angriff konfrontiert zu werden. Bei jeder Art von Service-Ausfällen ist das Opfer mit ebenso unangenehmen wie weitreichenden Folgen konfrontiert. Finanzielle Verluste einschließlich eines potenziellen Umsatzrückgangs stehen an erster Stelle, dicht gefolgt von einer nachhaltigen Schädigung des Rufs. Daher sind die Zahlen an dieser Stelle nicht sonderlich überraschend: Beinahe die Hälfte der befragten IT-Sicherheitsexperten (43 %), die an der Studie teilgenommen haben, schließt nicht aus, dass auch ihre Firma bereit wäre einer Lösegeldforderung nachzukommen. Ganz offensichtlich in der Annahme, die potenzielle Attacke so verhindern zu können.
Wie mit RDoS-Angriffen umgehen?
Die meisten Sicherheitslösungen konzentrieren sich noch immer darauf, wie man den Status Quo nach einer erfolgreichen Attacke am schnellsten wiederherstellt. Und nicht darauf, wie sich solche Angriffe und die potenziellen Folgen besser verhindern lassen. In der Zwischenzeit haben sich Lösungen zur Abwehr von DDoS-Angriffen aber deutlich weiter entwickelt und sie sind im Gegensatz zu den Lösungen früherer Generationen erschwinglicher geworden. Auch für Unternehmen mit weniger Budget. Firmen haben also die Wahl für welche Form der DDoS-Abwehr sie sich entscheiden und welche Variante für sie die kostengünstigste ist. So oder so sollten Unternehmen grundsätzlich vorausschauender agieren, wenn sie Ransomware-basierte DDoS-Attacken wirksam abwehren wollen. Bewährt haben sich etwa Hardware-basierte Inline-Lösungen, die selbst kurze DDoS-Angriffe mit sehr geringen Bandbreiten zuverlässig erkennen und blockieren. Ohne eine Lösung, die die nötige Transparenz liefert, tun IT-Abteilungen sich schwer damit RDoS-Angriffe rechtzeitig abzuwehren (ohne ein Lösegeld zu zahlen…).
Marcel Leitel, Security Sales Engineer, Corero Network Security
www.corero.com
