DDoS Angriffe
Ransom DDoS Attacken (RDoS) genauer betrachtet
Mit FancyBear und XMR Squad sind jüngst zwei neue Gruppierungen in Erscheinung getreten, die unter Androhung von DDoS-Attacken, Lösegeld von Unternehmen erpressen wollten. Zu den Zielen gehörten etwa DHL, Hermes, Aldi Talk und Freenet.
Radware hat sich die Vorgehensweise der beiden Gruppen genauer angesehen und eine Untersuchung dazu veröffentlicht.
Seit 2016 sind Lösegeld-Erpressungen (Ransomware) die größte Motivation bei Cyber-Attacken. Der Radware 2016 – 2017 Global Application & Network Security Report zeigt die Ausbreitung und die Bedrohungsszenarien für viele betroffene Organisationen auf. Mit Hilfe der Anfang 2017 entdeckten IoT-Botnetze , wird die Verbreitung und Zunahme der RDoS Angriffe zusätzlich beflügelt. In diesem Zuge fallen besonders zwei neue Hackergruppen auf, die Mitte April einige deutsche Webseiten in Visier genommen haben – XMR Squad und FancyBear.
FancyBear
Ende April fing FancyBear an, Erpressungsversuche auszusenden. Die Erpresser hinter dieser Kampagne versuchten, ihre Opfer mit APT28, einer Cyber-Spionage-Gruppe, einzuschüchtern. APT28 ist eine staatlich unterstützte Hackergruppe, die Zero-Day-Exploits und Speer Phishing-Angriffe verwendet, um ihre Malware zu verbreiten. RDoS-Kampagnen sind daher nicht unbedingt der „modus operandi“ von FancyBear.
Ransom note from FancyBear
Der Wortlaut des Erpressungsversuchs war dem gefälschten Armada-Sammelbrief vom letzten Jahr sehr ähnlich. FancyBear forderte 10 Bitcoins mit einer täglichen Erhöhung um 10 Bitcoins, solange bis das Opfer bezahlt. Im Gegensatz zu echten RDoS-Angreifern hat FancyBear keinen Demonstrationsangriff gestartet, der eigentliche Beweis für eine echte Bedrohung. Letztlich hat FancyBear nie einen solchen Angriff gestartet. Ihr Hauptziel war es, mit Hilfe von bekannten Hackergruppen die Opfer einzuschüchtern und eine Lösegeldzahlung zu erzwingen.
XMR Squad
Anders sieht es bei XMR Squad aus, die bereits reale RDoS Angriffe auf Unternehmen in Deutschland und USA, Mitte April gestartet haben. Unter den betroffenen Unternehmen waren DHL, Hermes, Aldi Talk, Freenet und Snipes. Der Demonstrationsangriff, der gegen DHL von XMR Squad gestartet wurde, schaltete das gesamte DHL-Kundenportal inklusive der API-Dienste ab. Nach dem Angriff wurden E-Mails an das Unternehmen versendet, in denen die Bezahlung von Schutzgeld innerhalb der nächsten 24 Std. gefordert wurde.
@XMR_Squad Twitter
XMR Squad verschwand dann für kurze Zeit und ist nun wieder aufgetaucht. Ungewöhnlich ist die Eigenvermarktung, die XMR-Squad sowohl mit einer eigenen Website als auch mit einemTwitter Account betreibt. Berüchtigte RDoS Gruppen wie DD4BC und Armada Collective hatten nie eigene Webseiten oder Social Media Konten. Mittlerweile hat die Gruppe auch von Euro auf Bitcoins als Schutzgeldwährung umgestellt.
Die meisten dieser Ransom DDoS-Gruppen betreiben ihre eigenen Netzwerkpenetrations-Tools, aber einige nutzen auch öffentlich angebotene DDoS-as-a-Service Tools um ihre Kampagnen durchzuführen. Für einen Ransom Denial-of-Service Angriff benötigt man 100+ Gbps Datenströme, die meist simultan mit anderen Multi-Vektor-Angriffen verwendet werden, um die Server und Services in die Knie zu zwingen. Der Angriff ist meist hartnäckig und kann mehrere Tage andauern. Meist werden folgende Protokolle verwendet:
SSDP, NTP, DNS, UDP, TCP RST, TCP SYN, SYN Flood, SYN ACK, SSYN, ICMP
Bisher bekannte RDoS Gruppen
DD4BC, Armada Collective, RedDoor, exBTC, Kadyrovtsy, Borya Collective, Lizard Squad (fake), Stealth Ravens, XMR Squad, FancyBear
Ist die Erpressung echt oder gefälscht?
Obwohl es fast unmöglich ist zu bestimmen, ob eine Lösegeldforderung aus einer kompetenten, erfahrenen Hackergruppe oder einer Amateur-Einheit stammt, gibt es einige Indikatoren, um zwischen den Beiden zu unterscheiden:
- Fake Gruppen verlangen oft eine andere Geldmenge und Währung.
- Echte Gruppen beweisen ihre Kompetenz durch einen massiven Demonstrationsangriff; gefälschte Gruppen schließen den "Demo" -Angriff aus.
- Echte Gruppen haben keine offiziellen Konten, Websites oder Ziellisten.
- Wenn Hacker einen echten Lösegeldangriff starten, zielen sie in der Regel auf viele Unternehmen in derselben Branche.
- Suchen Sie nach verdächtigen Indikatoren: „Ist diese Gruppe für DDoS-Angriffe bekannt?“
DDoS Angriffe bleiben brandgefährlich, unabhängig von deren Qualität. Mehr Informationen rund um das Thema DDoS finden Sie auch hier .
written by Herbert Wieler