Gefahr durch DDoS-Erpressungen

Schutzgelderpresser drohen mit DDoS-Attacken

DDoS-Erpresser wie Armada Collective und DD4BC attackieren immer öfter Unternehmen. Mit der Professionalität der Angreifer steigt das Gefahrenpotenzial.

"You are going under DDoS attack unless you pay 30 Bitcoin". Immer häufiger erhalten Unternehmen E-Mails mit solchen Forderungen. Sollte das Geld bis zum angegebene Zeitpunkt nicht auf dem Bitcoin-Konto beim Erpresser eingehen, wird ein DDoS-Angriff gestartet, der Webseiten, Netzwerke und Infrastrukturen offline gehen lassen kann. Als weitere Konsequenz für den Fall, dass das Unternehmen nicht zahlen sollte, erhöhen die Erpresser die Schutzgeldforderung auf einen deutlich größeren Bitcoin-Betrag.

Die Häufung von DDoS-Erpressungen in den vergangenen Monaten zeigen das hohe Gefahrenpotenzial.
Die Häufung von DDoS-Erpressungen in den vergangenen Monaten zeigen das hohe Gefahrenpotenzial.
Foto: Tashatuvango - shutterstock.com

Alle Branchen von DDoS-Erpressungen betroffen

Sichtbar werden die DDoS-Erpressungen allerdings selten, denn kaum ein Unternehmen spricht darüber in der Öffentlichkeit. Aus der langjährigen Erfahrung in der Abwehr von DDoS-Attacken weiß ich, dass sich die Erpressungen durch alle Wirtschaftsbereiche ziehen: Infrastrukturbetreiber (Rechenzentren, Provider), Banken und Finanzdienstleister, Medien, Versicherungsunternehmen, E-Commerce-Shops, Online-Service-Anbieter. Oft gehen die Täter branchenweise vor, wie die folgende Chronologie zeigt:

Erpressungen mit DDoS-Attacken in Deutschland in den vergangenen Monaten:

  • 10/2014: Online-Banken und Anbieter von IP-Telefonie werden unter Druck gesetzt.

  • 11/2014: Cyberkriminelle erpressen Banken und Anbieter von Online-Bezahldiensten.

  • 05/2015: Über 1.000 Online-Shops sollen an einen Täter namens Raul Garcia Schutzgeld zahlen.

  • 06-07/2015: Finanzunternehmen, SaaS- und Hosting-Anbieter werden durch die international agierende Gruppe DD4BC (DDoS for Bitcoins) erpresst.

Neue Erpressergruppe Armada Collective aktiv

Bitcoin Münzen
Bitcoin Münzen
Foto: bitcointalk.org

Seit Anfang Oktober verschickt eine neue DDoS-Erpresserbande unter dem Namen "Armada Collective" Droh-Mails mit Schutzgeldforderungen von bis zu 30 Bitcoins und greift ihre Opfer auch an. Die Täter senden ihr Erpresser-Schreiben, in dem zwischen 20 bis 30 Bitcoins (ca. 5.600 bis 8.400 Euro laut Wechselkurs vom 29. Oktober 2015) gefordert werden, an mehrere E-Mail-Empfänger eines Unternehmens. Die Adressen haben die Erpresser vorher nicht nur auf der Firmenwebseite, sondern auch in Datenbanken der RIPE NCC recherchiert. Dieses Vorgehen bestätigt die Beobachtungen, dass sich DDoS-Erpresser zunehmend professionalisieren und ihre Arbeitsschritte sorgfältig planen.

Unmittelbar nach dem Versand der Erpresser-Mail startet die Gruppe einen DDoS-Angriff auf das Unternehmen. Diese Demonstrationsattacke dauert bis zu 30 Minuten und erreicht Bandbreiten von 300 Mbps bis zu 20 Gbps. Für den Fall, dass das erpresste Unternehmen die Zahlung verweigert, droht Armada Collective mit DDoS-Attacken bis zu einem 1 Tbps (1.000 Gbps).

Bei der Durchsetzung der Schutzgeldforderungen zeigt sich Armada Collective hartnäckig. Die Erpresser mahnen mit mehreren E-Mails offene Bitcoin-Zahlung an und gewähren den attackierten Unternehmen mehrfachen Zahlungsaufschub. Ähnlich wie die schon erwähnte Erpressergruppe DD4BC führt Armada Collective nicht jede angekündigte DDoS-Attacke aus. Erkennen die Erpresser, dass ein Unternehmen einen wirkungsvollen DDoS-Schutz installiert hat, lassen sie scheinbar von ihm ab. Das könnte bedeuten, dass die Gruppe die eigenen Ressourcen schonen oder Investitionen in bezahlte Angriffe über DDoS-Mietservices sparen will. Denn das selbsterklärte Ziel der DDoS-Erpresser ist es - wie bei kriminellen Organisationen in der Offline-Welt - Geld zu verdienen und nicht das Opfer zu zerstören.