Anzeige

Hacker

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken.

Mit dem Absender Fancy Lazarus erhalten Unternehmen aus den verschiedensten Wirtschaftsbereichen Erpresser-Mails, in denen 2 Bitcoins (Stand aktuell ca. 66.000 Euro) gefordert werden: „It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!“, argumentieren die Erpresser in ihrer E-Mail. Meldungen über RDoS-Angriffe hat das LSOC bislang aus mehreren europäischen Ländern wie Deutschland und Österreich sowie aus den USA und Kanada erhalten.

Vorgehen der DDoS-Erpresser

Die Täter informieren sich im Vorfeld über die IT-Infrastruktur des Unternehmens und machen in der Erpresser-Mail eindeutige Angaben dazu, welche Server und IT-Elemente sie für die Warn-Attacken angreifen werden. Als Druckmittel starten die Angreifer teils mehrstündige Demo-Attacken, die sich durch hohe Volumen von bis zu 200 Gbps auszeichnen. Um diese Angriffsbandbreiten zu erreichen, setzen die Täter Reflection-Amplification-Vektoren wie DNS ein. Sollten die Forderungen nicht erfüllt werden, drohen massive Hochvolumen-Attacken von bis zu 2 Tbps. Für den Transfer der Bitcoins an eine spezifische Bitcoin Wallet bleiben dem Unternehmen 7 Tage. In der E-Mail heißt es außerdem, dass sich das Lösegeld mit Verstreichen der Zahlungsfrist auf 4 Bitcoin erhöhen und mit jedem weiteren Tag um einen weiteren Bitcoin steigen würde. Teilweise bleiben nach Ablauf des Ultimatums die angekündigten Angriffe aus. In anderen Fällen kommt es zu beträchtlichen Störungen bei den erpressten Unternehmen.

Mutmaßliche Täter sorgten weltweit schon für Schlagzeilen

Die Täter sind keine Unbekannten. Mit einem identischen Erpresserscheiben wurden im Herbst 2020 schon Payment-Anbieter, Finanzdienstleister und Banken auf der ganzen Welt erpresst und mit RDoS-Angriffen überzogen. Hosting-Provider, E-Commerce-Anbieter sowie Logistik-Unternehmen standen auch im Fokus der Erpresser. Damals agierten sie unter dem Namen Lazarus Group und Fancy Bear oder gaben sich als Armada Collective aus. Auch die mehrtägigen Ausfälle an der Börse von Neuseeland werden den Tätern zugerechnet.

Die erneute Erpresser-Welle trifft viele Unternehmen zu einem Zeitpunkt, in dem sich ein Großteil der Belegschaft noch über Remote-Working organisiert und auf uneingeschränkten Zugang zum Unternehmensnetzwerk angewiesen ist. Marc Wilczek, Geschäftsführer von Link11: „Die Express-Digitalisierung, die viele Firmen in den vergangenen Pandemie-Monaten durchlaufen haben, ist häufig noch nicht zu 100 % gegen Angriffe abgesichert. Die Angriffsflächen sind stark gestiegen, die IT nicht ausreichend gehärtet. Diese noch offenen Flanken wissen die Täter zielgenau auszunutzen.“

Was bei DDoS-Erpressungen zu tun ist

Sobald sie eine Erpresser-Mail erhalten, sollten die Unternehmen proaktiv ihre DDoS-Schutzsysteme aktivieren und in keinem Fall auf die Erpressung eingehen. Wenn die Schutzlösung nicht auf Volumen-Attacken von mehreren hundert Gbps und darüber hinaus skalierbar ausgelegt ist, gilt es sich zu informieren, wie die unternehmensspezifische Schutzbandbreite kurzfristig erhöht und mittels SLA garantiert werden kann. Wenn erforderlich, ist dies auch per Notfallintegration als Sofortmaßnahme umzusetzen.

Die mehrmonatige Beobachtung der Täter durch das LSOC hat gezeigt: Firmen, die einen professionellen und umfangreichen DDoS-Schutz nutzen, können ihre Ausfallrisiken deutlich reduzieren. Sobald die Angreifer merken, dass ihre Attacken ins Leere laufen, stoppen sie diese und ziehen sich zurück.

In jedem Fall rät das LSOC den attackierten Unternehmen, Anzeige bei den Strafverfolgungsbehörden zu erstatten. Dafür sind speziell eingerichtete Zentrale Ansprechstellen für Cybercrime der Polizeien (ZAC), die bei den Landeskriminalämtern angesiedelt sind, der beste Anlaufpunkt.

www.link11.com
 

Artikel zu diesem Thema

Hacker
Jun 11, 2021

Angriffe auf KRITIS - Ändern Hacker ihre Strategie?

Cyberkriminelle nehmen immer häufiger kritische Infrastrukturen ins Visier und richten…
DDoS
Apr 29, 2021

DDoS-Erpressungsangriffe richtig abwehren

Laut NETSCOUTs Threat Intelligence Report befindet sich die heutige…
Backdoor
Apr 08, 2021

Lazarus-Gruppe greift Logistikunternehmen über unbekannte Backdoor an

Ob digital oder analog: Ausfälle sind für die globale Frachtlogistik besonders heikel.…

Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.