Radware warnt vor netzbasierten Ransom-Angriffen

Erpresser drohen mit DDoS

08. September 2020, 08:30 Uhr   |  Wilhelm Greiner

Erpresser drohen mit DDoS
© Wolfgang Traub

Seit Mitte August hat Radware mehrere Erpressungskampagnen von Akteuren beobachtet, die sich als Fancy Bear, Armada Collective und Lazarus Group ausgeben und mit massiven DDoS-Angriffen (Distributed Denial of Service) drohen. Die Geldforderungen werden per E-Mail zugestellt und enthalten laut Radware in der Regel opferspezifische Daten ASNs (Autonomous System Number) oder IP-Adressen von Servern oder Diensten, auf die der Angriff abzielen werden, wenn man die Forderungen nicht erfüllt. Laut dem israelischen Performance- und Security-Spezialisten handelt es sich dabei um eine globale Kampagne, die vor allem auf Finanzdienstleister, den Online-Handel und die Reisebranche zielt.

Die Kriminellen setzen laut Radware-Angaben die Lösegeldgebühr zunächst auf zehn Bitcoin (BTC) fest (knapp 100.000 Euro), in einigen Fällen auch auf 20 BTC. Dies sei deutlich mehr als bei vergleichbaren Kampagnen 2019, bei denen die Kriminellen in der Regel zwischen einem und zwei BTC verlangten. Die Erpresser drohen mit DDoS-Angriffen von über 2 TBit/s, sollte die Zahlung nicht erfolgen. Um zu beweisen, dass die Drohung kein Schwindel ist, geben sie an, wann sie einen Demonstrationsangriff starten werden.

Aus dem Schreiben geht hervor, dass der Angriff andauern werde, wenn die Zahlung nicht vor Ablauf der Frist erfolgt, und dass das Lösegeld für jede versäumte Frist um zehn BTC steigen werde. Jeder Brief enthält die Angabe einer Bitcoin-Wallet für die Zahlung. Die Adresse der Wallets ist für jedes Ziel eindeutig und ermöglicht es den Erpressern damit, Zahlungen zu verfolgen. Unabhängig vom jeweiligen Absender ähneln sich laut den Israelis die Lösegeldschreiben in ihren Bedingungen und Forderungen, zugleich erinnerten sie an die Forderungen früherer Kampagnen.

Oft folgen auf die Drohung DDoS-Angriffe mit einer Bandbreite von 50 bis 200 GBit/s. Zu den Angriffsvektoren zählen laut Radware UDP- und Fragmented-UDP-Floods, einige mit Web-Services-Discovery-Verstärkung, kombiniert mit TCP-SYN-, TCP-Out-of-State und ICMP-Floods.

Laut Radware sollten Unternehmen derlei Lösegeldforderungen ernst nehmen. Die nachfolgenden DDoS-Angriffe könne man jedoch durch Schutzmaßnahmen abmildern. Der Anbieter rät davon ab, das geforderte Lösegeld zu zahlen. Denn es gebe keine Garantie, dass die Angreifer die Bedingungen einhalten. Zudem gebe sich ein Unternehmen dadurch als Opfer zu erkennen, das bereit ist, Bedrohungen nachzugeben. Vielmehr empfehlen Radwares Security-Spezialisten folgende Schutzmaßnahmen:

  • einen hybriden DDoS-Schutz vor Ort und in der Cloud für die Echtzeit-Bekämpfung von DDoS, der auch Angriffe mit hohem Datenaufkommen abwehrt und vor Leitungssättigung schützt,
  • eine verhaltensbasierte Erkennung und Blockierung von Anomalien,
  • eine Echtzeit-Signaturerstellung für den Schutz vor unbekannten Bedrohungen und Zero-Day-Angriffen,
  • einen Notfallplan mit dediziertem Expertenteam, das Erfahrung mit solchen Angriffen hat, sowie
  • die Nutzung von Erkenntnissen über Bedrohungsakteure für den Schutz vor bekannten aktiven Angreifern.

Weitere Informationen finden sich unter www.radware.de.

Auf Facebook teilenAuf Twitter teilenAuf Linkedin teilenVia Mail teilen

Verwandte Artikel

Radware GmbH