Anzeige

Fancy Bear: Russische Hacker

Seit Mitte Oktober 2019 erhalten Unternehmen aus dem Bereich Payment, Entertainment und Retail DDoS-Erpresser-Mails im Namen von Fancy Bear. Aus aktuellem Anlass warnt das Link11 Security Operation Center vor den DDoS-Attacken der Täter, die vor allem auf die Original-Infrastruktur der Unternehmen zielen.

“We are the Fancy Bear and we have chosen XXX as target for our next DDoS attack”, mit diesen Worten werden Unternehmen seit Mitte Oktober mit DDoS-Attacken erpresst. Der oder die Täter geben sich als Fancy Bear aus. Mit der eigentlichen russischen Hackergruppe, die 2014/2015 das interne Netzwerk des Bundestages angegriffen haben sollen, haben sie aber wenig gemein.

Die Erpresser richten ihre Schutzgeldforderungen von 2 Bitcoin (umgerechnet ca. 14.200 Euro, Stand: 23.10.2019) gegen Anbieter aus den Bereichen Payment, Entertainment und Retail. Die E-Mail-Forderungen enthalten opferspezifische Bitcoin-Adressen. Nach einer ersten Warn-Attacke bleiben den Opfern zwischen 2 und 4 Tage, um das Schutzgeld zu zahlen. Erfolgt kein Zahlungseingang auf die angegebene Bitcoin-Adresse zielt eine weitere Attacke auf das Opfer.

Hier eines der Erpresserschreiben, dessen Wortlaut stark an die Schutzgeldforderungen von DDoS-Erpressern aus dem Frühjahr 2016 angelehnt ist. Diese hatten unter dem Namen Kadyrovtsy vor allem Banken und Online-Marketing-Unternehmen angegriffen.

Großvolumige Attacken nutzen neue DDoS-Vektoren

Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern, die bluffen, belässt es Fancy Bear nicht nur bei Erpresser-Mails. Der oder die Täter unterstreichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken bis zu 60 Gbps. Bei den langanhaltenden Demoattacken nutzen die Angreifer neben schon bekannten Reflection-Amplification-Vektoren DNS, NTP und CLDAP auch die neuen Angriffstechniken WS Discovery und Apple Remote Control.

Origin-Infrastruktur unter Beschuss

Das Besondere an den Attacken ist, dass sie nicht auf die Homepage zielen, sondern auf oft unzureichend geschützte Stellen in der Unternehmens-IT. Dazu zählen z.B. originale IP-Adressen und Ursprungsserver. Auch wenn Unternehmen einen DDoS-Schutz implementiert haben, können sie den Angriffen wehrlos gegenüberstehen. Nur ein Site Shield verhindert den direkten Zugriff auf die Origin-Infrastruktur des Unternehmens und schützt den Ursprung von Webseiten und Anwendungen vor Überlastung durch DDoS-Attacken.

Handlungsempfehlung: Ursprungsserver sichern

Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch Subdomains und die Origin-Infrastruktur abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren. Damit die IT-Infrastruktur ganzheitlich geschützt werden kann, ist es wichtig, den gesamten Traffic auf DDoS-Angriffe zu prüfen und gegebenenfalls zu filtern. Angreifer können trotz Site Shield und guter Firewall Lösungen diese direkt attackieren und die Bandbreite ausreizen.

Die attackierten Unternehmen sollten auf keinen Fall auf die Erpressungen eingehen und stattdessen Anzeige bei den Strafverfolgungsbehörden erstatten. In Deutschland bietet die Allianz für Cybersicherheit eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.

www.link11.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker

Cyberkriminelle leiten immer mehr Gehaltszahlungen um

Proofpoint sieht einen dramatischen Anstieg im Bereich des genannten Payroll-Diversion-Betrugs. Allein die bei der US-Bundespolizei gemeldeten Fälle stiegen zwischen Januar 2018 und Juni 2019 um 815 Prozent. Bei dieser Betrugsform handelt es sich um eine Form…
Schlüsselloch

Windows XP Quellcode wurde angeblich geleaked

Einigen Medienberichten zufolge zirkuliert derzeit der Quellcode von Microsofts Windows XP frei zugänglich im Internet. Den Quellen zufolge erschien das knapp 43 Gigabyte große Datenpaket zunächst auf 4chan und wird derzeit über Torrents im Internet…
Ransomware

Maze-Ransomware jetzt noch gefährlicher

Seit fast eineinhalb Jahren treibt die Ransomware Maze ihr Unwesen. Bereits im Mai warnte das Sicherheitsunternehmens Sophos in einem Bericht vor den Machenschaften der Cyberkriminellen. Diese begnügen sich nicht damit, die Daten ihrer Opfer zu verschlüsseln,…
RDP

Hacker: Täglich millionenfache RDP-Angriffe auf Home-Offices

Die Sicherheitsexperten von ESET schlagen Alarm: Seit dem Corona-bedingten Umzug in das Home-Office hat sich die Anzahl der täglichen Hacker-Angriffe auf Remote-Desktop-Verbindungen (RDP) im DACH-Raum mehr als verzehnfacht. Allein im Juni 2020 verzeichnete…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!