Anzeige

DDoS

Der Jahreszeit entsprechend beobachtet das BSI auch dieses Jahr einen Anstieg der Aktivitäten im DDoS-Bereich vor den anstehenden umsatzstarken Onlineaktivitäten im E-Commerce-Bereich (Black Friday, Cyber Monday, Vorweihnachtsgeschäft, Weihnachtsgeschäft).

Hierbei wurden in zwei Bereichen herausragende Entwicklungen beobachtet:

1. Entwicklung von DDoS-Angriffsinfrastrukturen

Bereits Ende August / Anfang September 2021 kamen DDoS-Angriffsinfrastrukturen zum Einsatz, mit denen seit mehreren Monaten bestehende Rekordwerte von DDoS-Parametern übertroffen wurden. Beim Angriff auf die Microsoft Azure-Cloud wurde ein neuer Rekordwert bei der Spitzenangriffsbandbreite (Einheit: bits per second, bps) von 2,4 Tbps erreicht. Der Angriffsvektor war ein UDP-Reflection-Angriff, die Angriffsdauer erstreckte sich über mehr als zehn Minuten, mit sehr kurzlebigen Bursts, die jeweils innerhalb von Sekunden auf Terabit-Volumen anstiegen. Insgesamt wurden drei Spitzenwerte beobachtet, den ersten mit 2,4 Tbps, den zweiten mit 0,55 Tbps und den dritten mit 1,7 Tbps.

Beim Angriff gegen Yandex kam das Meris-Botnetz zum Einsatz, mit welchem ein neuer Anfrageratenrekordwert (Einheit: requests per second, rps) mit nahezu 22 Mrps erreicht wurde. Das Meris-Botnetz besteht zum großen Teil aus zahlreichen Home-Routern des lettischen Herstellers MikroTik.

Auch in anderen DDoS-Angriffsinfrastrukturen konnten ungewöhnliche Entwicklungen beobachtet werden: Im Oktober 2021 wurden mit durchschnittlich 9307 neuen Varianten pro Tag rund 286 Prozent mehr neue Varianten der XorDDoS-Malware bekannt, als noch im Vormonat. Als Malware-Variante zählt hierbei jede im Hinblick auf ihren Hashwert einzigartige Variante einer Malware. XorDDoS ist ein Linux-Trojaner, der auf Docker Server zielt. Das XorDDoS-Botnetz wurde bereits vor Jahren für großvolumige DDoS-Angriffe genutzt.
 

2. Entwicklung von DDoS-Schutzgelderpressungen

Die Anzahl der Vorfälle im Zusammenhang mit DDoS-Schutzgelderpressung erfahren weiterhin einen stetigen  Zuwachs. Seit Oktober 2019 stehen sie verstärkt in der öffentlichen Wahrnehmung, als Erpressergruppen begannen, im Namen von bekannten APT-Gruppierungen DDoS-Angriffe mit Lösegeldforderungen auszuführen. Im Laufe der Zeit verlagerten sich die Aktivitäten der Angreifer auf unterschiedliche Branchen. Aktuelle Kampagnen richten sich vornehmlich gegen Telekommunikationsanbieter / VoIP-Provider und E-Mail-Provider im nationalen und internationalen Raum.

Beispiele für bekannt gewordene Schutzgelderpressungen gegen Telekommunikationsanbieter / VoIP-Provider:

1. August 2021 britische VoIP-Anbieter Voip Unlimited & Voipfone

2. September 2021 bis 16. September 2021 Belgisches Telekommunikationsunternehmen Edpnet

3. September 2021 Kanadischer Voice-over-IP Provider VoIP.ms

4. September bis 29. September 2021 U.S. Unternehmen Bandwith

5. Oktober bis 08. Oktober 2021 britische VoIP-Anbieter VoIP Unlimited 

6. Oktober 2021 britische VoIP-Anbieter Voipfone

7. November 2021 U.S. Unternehmen Telnyx

Beispielhafte bekannt gewordene Schutzgelderpressungskampagne gegen E-Mail-Provider:

Zwischen Donnerstag, dem 21.10.2021 und Montag, dem 25.10.2021 fand eine DDoS-Schutzgelderpressungskampagne gegen mindestens sieben E-Mail-Serviceprovider statt, welche E-Mail-Dienste mit Sicherheitsfunktionen anbieten. Neben dem deutschen Provider Posteo waren im internationalen Umfeld die Unternehmen Runbox, Fastmail, TheXYZ,  Guerilla Mail, Kolab Now, und RiseUp betroffen. Die Unternehmen erhielten nach den DDoS-Angriffen (Spitzen bis zu 256 Gbps) eine Schutzgeldforderung in Höhe von  0,06 BTC (ca. $4.000).

Bewertung

Besonders die rekordbrechenden DDoS-Angriffsinfrastrukturen verfügen über ein hohes Angriffspotenzial, mit welchem sich im Falle eines Angriffs auch bei bisher ausreichenden Schutzmaßnahmen entsprechende Auswirkungen erzielen lassen könnten.

Es kann davon ausgegangen werden, dass die aktuell entwickelten DDoS-Angriffsinfrastrukturen sowohl im nationalen als auch im internationalen Umfeld bei den genannten umsatzstarken Onlineaktivitäten im E-Commerce-Bereich so oder in ähnlicher Form zum Einsatz kommen werden. Im Vorfeld von Black Friday und Cyber Monday sowie des Vorweihnachtsgeschäfts könnten die neuen Varianten des  XorDDoS-Botnetz den Angreifern insbesondere dazu dienen, das Botnetz weiter zu vergrößern, d.h. mehr Systeme zu infizieren und damit mehr Ressourcen für DDoS-Angriffe verfügbar zu machen. In diesem Jahr wird besonders bei den DDoS-Schutzgelderpressungen ein signifikanter Zuwachs erwartet.

Maßnahmen

Organisationen wird empfohlen, ihre DDoS-Schutzmaßnahmen gegen aktuelle DDoS-Angriffstechniken zu evaluieren, um der aktuellen Bedrohungslage begegnen zu können. Hierbei sollte besonderes Augenmerk auf UDP- Reflection-Angriffe und Angriffe mit hohen Anfrageraten gelegt werden. Prüfen Sie zudem, welche Folgen der Ausfall verschiedener angreifbarer Komponenten sowie Nebenwirkungen "benachbarter" Systeme auf ihre Institution haben kann. Weiterhin wird empfohlen, zeitnah Handlungspläne im Falle von DDoS-Erpressungsversuchen zu erstellen. Das BSI empfiehlt, nicht auf Schutzgeldforderungen einzugehen. Als Präventivmaßnahme gegen XorDDoS empfiehlt es sich, Telnet zu deaktivieren und SSH mindestens mit einem starken Passwort oder asymmetrischem Key abzusichern. Gegen SSHBruteforcing kann fail2ban eingesetzt werden; ein  Python-Programm, das Serverdienste absichern kann.

www.bsi.bund.de


Weitere Artikel

Russland Hacker

Angriff auf IT-Lieferketten durch SolarWinds-Hacker mit Passwort-Spraying & Phishing

Microsoft-Sicherheitsforscher haben im Oktober eine Phishing-Kampagne des russischen SVR (Russischer Auslands-Nachrichtendienst) beobachtet, die auf Reseller und Managed Service Provider abzielt.
Black Friday Stop

Vorsicht bei der Schnäppchenjagd - Fake-Shops über Social Media

"Black Friday", "Cyber Week" oder "Black Week": Gerade der Online-Handel buhlt in der Vorweihnachtszeit wieder um Kunden mit besonderen Rabatten.
Black Friday

Black Friday: Kaum Schutz vor E-Mail-Betrug durch Fälschung der Domain

Proofpoint hat im Rahmen einer aktuellen Untersuchung festgestellt, dass lediglich einer der 20 größten Online-Händler in Deutschland über einen vollständigen DMARC-Eintrag (Domain-based Message Authentication, Reporting & Conformance) verfügt.
Darknet

Darknet Kurse - Hacker zeigen, wie man ein Botnetz aufbaut

Die Gefahr durch Botnetze könnte in den kommenden Monaten deutlich steigen, denn mittlerweile werden im Darknet Kurse angeboten, wie man ein Botnetz aufbaut und betreibt.
YouTube Live

Fake Kryptowährungs-Werbegeschenke verbreiten sich auf YouTube Live

Tenable warnte vor vermeintlichen Werbeaktionen für Kryptowährungen in sozialen Medien, nachdem sich Fake-Giveaways für Bitcoin, Ethereum, Dogecoin, Cardano, Ripple und Shiba Inu auf YouTube Live häufen.
Sicherheitslücke

Öffentlich verfügbare Dienste: Angreifer nutzen Schwachstellen aus

Die Zahl der der abgewehrten Angriffsversuche ist im dritten Quartal 2021 weiter gesunken. Das zeigt der aktuelle Bedrohungsreport von G DATA CyberDefense.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.