Radware warnt vor gezielten DDoS-Attacken
Fancy Bear und Lazarus sind zurück
Radware warnt davor, dass Fancy Lazarus, ein bekannter Distributed-Denial-of-Service-Erpresser (DDoS), mit einer neuen Kampagne wieder aufgetaucht ist. Die Gruppe konzentriere sich derzeit auf Organisationen mit ungeschützten Assets - unabhängig von Unternehmensgröße und Branche.
Vor weniger als einem Jahr hatte ein Angreifer, der sich als „Fancy Bear" und „Lazarus Group" ausgab, bestimmte Branchen wie Finanzdienstleister, Touristik und E-Commerce ins Visier genommen, ohne zu wissen, ob das jeweilige Ziel der Attacke über DDoS-Schutz verfügte oder nicht.
In letzter Zeit hat Radware laut eigenem Bekunden eine Zunahme von Notfalleinsätzen bei neuen Kunden durchgeführt, die von DDoS-Ransomware betroffen waren. Dabei habe der Sicherheitsspezialist eine Zunahme der Aktivitäten einer Gruppe beobachtet, die sich selbst als Fancy Lazarus bezeichnet und ihre Opfer auffordert, ein Lösegeld zu zahlen, um verheerende DDoS-Angriffe auf ihre angeblich ungeschützte Infrastruktur zu vermeiden.
In ihren Briefen geben die Erpresser ihren Opfern sieben Tage Zeit, um Bitcoins zu kaufen und das Lösegeld zu bezahlen, bevor sie ihre DDoS-Attacken starten. Die Lösegeldforderung variiert von Ziel zu Ziel und scheint an öffentliches Ansehen und die Größe des Ziels angepasst zu sein, so die weitere Beobachtung. Die Lösegeldforderung ist weniger exzessiv als die vergleichsweise gewaltigen Forderungen von zehn und 20 Bitcoins, die man bei den Kampagnen im letzten Sommer beobachtet hat. Die Forderungen schwanken laut Radware nun im Allgemeinen zwischen 0,5 Bitcoins und fünf Bitcoins und erhöhen sich mit jedem Tag, um den Unternehmen die Frist überziehen.
Pascal Geenens, Director of Threat Intelligence bei Radware kommentierte: „Hier sehen wir zum ersten Mal, dass böswillige Akteure gezielt Organisationen mit ungeschützten Assets ins Visier nehmen." Er führte fort: „Das bedeutet, dass sie die Routing-Informationen des Border Gateway Protocol nutzen, um zu erkennen, ob die Ziele durch Always-on-Cloud-Dienste geschützt sind. Darüber hinaus sehen wir, dass Ransomware-DDoS Attacken, welche traditionell zeitlich begrenzte Ereignisse mit jährlichen Spitzen waren, nun zu einer anhaltenden Bedrohung werden und als integraler Bestandteil der DDoS-Bedrohungslandschaft betrachtet werden müssen."
"Der jüngste Anstieg krimineller Aktivitäten sollte Unternehmen, ISPs und CSPs jeder Größe und Branche eine deutliche Mahnung sein, den Schutz ihrer essentiellen Dienste und Internetverbindungen zu überprüfen und gegen global verteilte DDoS-Angriffe zu planen, die darauf abzielen, die Verbindungen zu saturieren" so Geenens weiter. "Dies gilt insbesondere für Service Provider und ihre DNS-Dienste. Wir sind der Meinung, dass hybride DDoS-Lösungen das Beste aus beiden Welten bieten, mit On-Premise-Schutz gegen alle Arten von DDoS-Attacken und gleichzeitiger automatischer Umleitung zu einem leistungsfähigen Cloud-DDoS-Service mit professioneller Unterstützung, wenn der Angriff die Internetverbindung zu sättigen droht."
Berichte von Opfern, die von dieser Erpressungskampagne betroffen waren, sollen diese Beobachtung bestätigen: Die meisten angegriffenen Internet-Service-Provider und Cloud-Service-Provider waren mit DDoS-Mitigation-Services ausgestattet, um ihre Anwendenden zu schützen. Es scheint jedoch, dass nicht alle von ihnen auf große, global verteilte Angriffe vorbereitet waren, die auf ihre DNS-Server abzielten oder ihre Internetverbindungen überlasteten, so die Vermutung. Sehr große und global verteilte DDoS-Angriffe lassen sich laut Radware nur dann wirksam abwehren, wenn man den bösartigen Datenverkehr möglichst nahe an der Quelle stoppt bevor sich geografisch verteilte Datenströme und Attacken auf ein Angriffsziel konzentrieren. Nur global verteilte und Anycast-basierte Services seien gegen diese Art von DDoS-Angriffen wirksam.
Lesen Sie mehr zum Thema
