Anzeige

Fancy Bear: Russische Hacker

Seit Mitte Oktober 2019 erhalten Unternehmen aus dem Bereich Payment, Entertainment und Retail DDoS-Erpresser-Mails im Namen von Fancy Bear. Aus aktuellem Anlass warnt das Link11 Security Operation Center vor den DDoS-Attacken der Täter, die vor allem auf die Original-Infrastruktur der Unternehmen zielen.

“We are the Fancy Bear and we have chosen XXX as target for our next DDoS attack”, mit diesen Worten werden Unternehmen seit Mitte Oktober mit DDoS-Attacken erpresst. Der oder die Täter geben sich als Fancy Bear aus. Mit der eigentlichen russischen Hackergruppe, die 2014/2015 das interne Netzwerk des Bundestages angegriffen haben sollen, haben sie aber wenig gemein.

Die Erpresser richten ihre Schutzgeldforderungen von 2 Bitcoin (umgerechnet ca. 14.200 Euro, Stand: 23.10.2019) gegen Anbieter aus den Bereichen Payment, Entertainment und Retail. Die E-Mail-Forderungen enthalten opferspezifische Bitcoin-Adressen. Nach einer ersten Warn-Attacke bleiben den Opfern zwischen 2 und 4 Tage, um das Schutzgeld zu zahlen. Erfolgt kein Zahlungseingang auf die angegebene Bitcoin-Adresse zielt eine weitere Attacke auf das Opfer.

Hier eines der Erpresserschreiben, dessen Wortlaut stark an die Schutzgeldforderungen von DDoS-Erpressern aus dem Frühjahr 2016 angelehnt ist. Diese hatten unter dem Namen Kadyrovtsy vor allem Banken und Online-Marketing-Unternehmen angegriffen.

Großvolumige Attacken nutzen neue DDoS-Vektoren

Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern, die bluffen, belässt es Fancy Bear nicht nur bei Erpresser-Mails. Der oder die Täter unterstreichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken bis zu 60 Gbps. Bei den langanhaltenden Demoattacken nutzen die Angreifer neben schon bekannten Reflection-Amplification-Vektoren DNS, NTP und CLDAP auch die neuen Angriffstechniken WS Discovery und Apple Remote Control.

Origin-Infrastruktur unter Beschuss

Das Besondere an den Attacken ist, dass sie nicht auf die Homepage zielen, sondern auf oft unzureichend geschützte Stellen in der Unternehmens-IT. Dazu zählen z.B. originale IP-Adressen und Ursprungsserver. Auch wenn Unternehmen einen DDoS-Schutz implementiert haben, können sie den Angriffen wehrlos gegenüberstehen. Nur ein Site Shield verhindert den direkten Zugriff auf die Origin-Infrastruktur des Unternehmens und schützt den Ursprung von Webseiten und Anwendungen vor Überlastung durch DDoS-Attacken.

Handlungsempfehlung: Ursprungsserver sichern

Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch Subdomains und die Origin-Infrastruktur abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren. Damit die IT-Infrastruktur ganzheitlich geschützt werden kann, ist es wichtig, den gesamten Traffic auf DDoS-Angriffe zu prüfen und gegebenenfalls zu filtern. Angreifer können trotz Site Shield und guter Firewall Lösungen diese direkt attackieren und die Bandbreite ausreizen.

Die attackierten Unternehmen sollten auf keinen Fall auf die Erpressungen eingehen und stattdessen Anzeige bei den Strafverfolgungsbehörden erstatten. In Deutschland bietet die Allianz für Cybersicherheit eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.

www.link11.com/de
 


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hackerangriff

73% der weltweiten Passwörter können sofort geknackt werden

Laut der vom Passwortmanager NordPass zur Verfügung gestellten Daten können 73% der beliebtesten verwendeten Passwörter in weniger als einer Sekunde geknackt werden.
Windows 7

5,2 Mio. Computer in Deutschland nutzen alte Windows-Versionen

Windows-Betriebssysteme haben in Deutschland bei Desktop-PCs und Notebooks einen Marktanteil von rund 80 Prozent. Die gute Nachricht: Ein Großteil der eingesetzten Geräte nutzt das aktuelle Windows 10. Doch ein genauer Blick auf die Zahlen zeigt eine sehr…
Ransomware

Der Aufstieg der Ryuk Ransomware

Die Ryuk Ransomware hat unter Cyberkriminellen massiv an Popularität gewonnen. Die Zahl der entdeckten Angriffe stieg von nur 5.123 im 3. Quartal 2019 auf über 67 Millionen im 3. Quartal 2020, so das Ergebnis einer Sicherheitsstudie von SonicWall.
Hackerangriff

Vorsorgepläne als Ziel von Hackern

Da Vorsorgepläne sensible persönliche und finanzielle Daten enthalten, werden Cyberangriffe auf Altersvorsorge-, Renten- und Langzeitvorsorgepläne immer häufiger. Diese Daten zu schützen bedeutet, die Bedrohung zu verstehen und Richtlinien zum Schutz von…
Hacker Corona

Covid-19 Impfstoff als Thema unterschiedlicher Cyberattacken

Proofpoint, Inc., ein Next-Generation Cybersecurity- und Compliance-Unternehmen, warnt aktuell vor einer Vielzahl verschiedener Cyberattacken, die sich die Unsicherheit vieler Menschen rund um das Thema Covid-19-Impfstoff zunutze machen.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!