Ransom DDoS-Kampagnen
Radware vermeldet Zunahme an Ransom DDoS-Kampagnen
Zuerst wird gedroht
Das Radware ERT Research Team hat in den letzten Wochen vermehrt RDoS-Kampagnen, beginnend im asiatischen Raum und jetzt auch in den USA, entdeckt. Seit dem ProtonMail-Angriff im Mai 2015, verfolgt das Research Team sogenannte RDoS-Kampagnen. Eine RDoS-Kampagne ist ein verteilter Denial-of-Service-Angriff (DDoS), der durch den monetären Gewinn motiviert wird und zunächst mit einer Angriffsdrohung beginnt.
Die Angreifer beginnen in der Regel ihren Angriff mit einer E-Mail an das potentielle Opfer-Unternehmen, in dem gedroht wird, dass an einem bestimmten Tag und Uhrzeit ein Angriff auf das Unternehmen erfolgen wird, außer man bezahle im Vorfeld ein entsprechendes „Lösegeld“, meist in Bitcoin Währung. Bei Nichtbeachtung der E-Mail starten die Angreifer in der Regel einen “Mini-Angriff“ auf die Organisation, um zu beweisen, dass die Bedrohung real ist.
Mit RDoS-Kampagnen haben Cyberkriminelle eine Angriffsform entwickelt, die ein sehr gutes Kosten-Nutzungsverhältnis aufweist. Mit geringen Investitionen lassen sich so durchaus lukrative Einnahmen erzielen. Das Erfolgsrezept zieht natürlich viele Nachahmer an, die sich ein lukratives Lösegeld erhoffen, ohne dabei einen Angriff starten zu müssen. Letztes Jahr tauchten viele Opportunisten mit Namen wie Armada Collective, Anonymous oder Lizard Squad auf, um Angst zu verbreiten und eine Glaubwürdigkeit für ihre Bedrohungen zu gewinnen. In diesem Jahr erschienen sogar Gruppen, die vorgeben, Fancy Bear / APT28 zu sein.
Zwei Gruppen entstanden Mitte Juni mit den Namen Anonymous und Armada Collective, die versuchten, Dutzende von Finanzinstituten in China und Südkorea zu erpressen. Die Gruppe, die behauptete, das Armada Collective zu sein, forderte $315.000 USD unter Androhung eines DDoS-Angriffs. In Südkorea wurden zu diesem Zweck eine Reihe von Organisationen mit SYN- und NTP-Floods in der Größenordnung von 5-20GBps angegriffen.
In den USA hat das Research Team von Radware kürzlich ähnliche Kampagnen verfolgt, in denen mehrere große Finanzinstitute per E-Mail, von einer anonymen Gruppe bedroht wurden. Die Opfer sollten innerhalb 7 Tagen, 100 Bitcoins zahlen, um zu verhindern, dass sie von einem IoT-Botnet angegriffen werden. Radware vermutet, dass dahinter die gleiche Gruppe, wie bei den Angriffen im asiatischen Raum steht. Radware empfiehlt den Unternehmen kein Lösegeld zu zahlen, sondern professionelle Unterstützung in der Abschwächung solcher RDoS-Angriffe in Anspruch zu nehmen.
Radware hat dazu einen Leitfaden: „Cyber Ransom Survival Guide: The Growing Threat of Ransomware and RDoS – and What to Do About It" herausgegeben. Zum Download