In den vergangenen 12 Monaten haben DDoS-Erpressungen gegen Unternehmen in Deutschland stark zugenommen. Zahlreiche Gruppen mit Namen wie Kadyrovtsy, Stealth Ravens oder aktuell XMR-Squad schockten und schocken Betreiber von Online-Services, Webseiten oder Internet-Shops, bilanziert das Link11 Security Operation Centers (LSOC) besorgniserregende Entwicklung. Bei DDoS (Distributed Denial of Service)-Attacken werden Webseiten und Online-Services mit manipulierten Anfragen überflutet. Die Folge: Die Leitung ist verstopft, der Datenverkehr in beide Richtungen blockiert. Hinter den Angriffen stehen statt legitimer User-Anfragen gekaperte Rechner, die in sogenannten Botnetzen zu mehreren Tausenden zusammengeschaltet werden.

DDoS-Erpresser machen sich gezielt die Risiken von Downtimes und den damit verbundenen Kosten für die attackierten Unternehmen zunutze. Mit E-Mails wie „If you dont pay 5 bitcoin … you will be hardly ddosed!“ fordern sie von den Unternehmen ein Schutzgeldes: Wie der aktuelle Fall von XMR-Squad zeigt, stehen längst nicht mehr nur Online-Händler oder die Finanzbranche im Visier der Kriminellen. Nach Beobachtungen der DDoS-Schutzexperten des LSOC ist die mehrstündige Abtrennung vom Netz als Folge eines Angriffs zunehmend auch für andere Wirtschaftsbereiche wie Logistik und Telekommunikation ein Horror-Szenario.

Erpresserbanden in Deutschland machen Ernst

Die Täter, die hinter den Schutzgelderpressungen stehen, weiten ihre DDoS-Angriffe kontinuierlich auf immer mehr Branchen aus. Das zeigt eine Auflistung der Aktivitäten verschiedener Gruppen in Deutschland für die vergangenen Monate:

April – Juni 2016: DDoS-Erpressungen durch „Kadyrovtsy“ ziehen sich durch ganz Europa und zielen neben Banken und Finanzunternehmen auf Payment-Dienstleister sowie Online-Marketing-Agenturen. Statt pauschaler Drohungen zeigten Kadyrovtsy mit Warnattacke auf Unternehmensserver, wie ernst es ihnen mit ihren Schutzgeldforderungen ist.

August 2016: Im Namen von „Armada Collective“, die seit Oktober 2015 bekannt sind, erhielten mehrere Finanzinstitute Erpresser-E-Mails. Die Erpresser kündigen DDoS-Attacken im dreistelligen Gbps-Bereich: „We will produce a powerful DDoS attack – up to 300 Gbps.” Die Bedrohung durch die Nachahmungstäter ist im Unterschied zu vielen Trittbrettfahrern real, denn die Kriminellen starten eine bandbreitenstarke Warnattacke.

Januar 2017: Die Erpresser-E-Mails der Gruppe „Stealth Ravens“ sind an deutsche E-Commerce-Anbieter adressiert und werden von Warnattacken durch ein Botnetz durch IoT-Geräte begleitet, die Spitzenbandbreiten von bis zu 15 Gbps erreichten.

April 2017: Die Attacken von XMR-Squad richten sich gegen die großen Player in der Logistikbranche und im Bereich Telekommunikation. Deren Kunden erwarten, dass die Online-Services wie Paket-Tracking immer verfügbar sind. Die Ausfälle bei DHL und Hermes machen schnell über die gängigen Social-Media-Kanäle die Runde und finden großes Echo in den Medien.

XMR-Squad: Mehr als nur Trittbrettfahrer

Die DDoS-Erpresser von XMR-Squad meinen es ernst und sind sehr hartnäckig mit ihren Forderungen – im Unterschied zu vielen Copycats und Trittbrettfahrern, deren Drohungen oft nur heiße Luft sind. XMR-Squad greifen die Unternehmen erst an und kommunizieren danach ihre Schutzgeldforderungen. Bislang hat das LSOC noch keine Erpresser beobachtet, die ihre Attacken als „Prüfung der DDoS Protection“ verkaufen (Quelle: Twitter Kommunikation). Hingegen ist das geforderte Schutzgeld von 250 Euro sehr niedrig. Die meisten Täter fordern Beträge zwischen 1 und 5 Bitcoin. Das entspricht etwa 1.1000 bis 5.700 Euro. Die Attacken von XMR-Squad sind kurz aber wirkungsvoll. Laut Eigenaussage auf Twitter nutzen die Täter eigene Angriffstools: „Wir tun keinen DDoS-Service beanspruchen“ (Quelle: Twitter-Kommunikation).

DDoS-Angriffe für jedermann

Der Aufbau von DDoS-Angriffsnetzen und die eigentliche Umsetzung der DDoS-Attacke erfordern viel technisches Know-how. Um Unternehmen damit zu erpressen, muss man hingegen kein Programmierer sein. Mit wenigen Klicks ist es möglich, solche Angriffe zu buchen. Denn DDoS-Mietlösungen sind für jedermann im Internet verfügbar. Das Geschäftsmodell „DDoS as a Service“ gewinnt daher immer mehr an Bedeutung. Inzwischen steht eine Vielzahl von DDoS-Dienstleistungen bereit, die wiederum die Durchführung von DDoS-Erpressungen ermöglichen und erleichtern. Die Preisskala für angemietete Attacken beginnt laut Untersuchengen des LSOC bei ca. 3 Dollar und ist nach oben hin offen. Sie richtet sich z. B. danach, wie lange der Angriff dauern und wie leistungsfähig das Botnetz sein soll.

Wer sich für DDoS-Angriffe als Dienstleistung interessiert, findet entsprechende Angebote durch Booter-Services und IP-Stresser wie http://networkstresser.com/login.php oder https://www.ipstresser.com/index.php?page=login. DDoS-Stresstest auf eigene Infrastrukturen sind legal. Dafür beauftragen Unternehmen oft einen externen Dienstleister, der die IT durch gezielte Lastensimulation auf Schwachstellen prüft. Wird ein Stresstest aber gezielt gegen fremde Ziele gefahren, die dem nicht zugestimmt haben, so verstößt dies gegen die Gesetzgebung der meisten Länder. In Deutschland ist damit der Straftatbestand der Computersabotage erfüllt.

DDoS-Gefahr zuverlässig ausschalten

Viele Unternehmen treffen ein Erpresserschreiben und die folgende Warnattacke unvorbereitet. In so einer stressgeladenen Situation ist die Versuchung für IT-Entscheider und Geschäftsführer groß durch die Überweisung des Schutzgeldes weiteren DDoS-Attacken zu entkommen. Ökonomisch sinnvoller ist es aber, sich grundlegend mit der DDoS-Gefahr auseinanderzusetzen und durch eine vorausschauende IT-Sicherheitsstrategie DDoS-Erpressungen und DDoS-Attacken die Gefahr zu nehmen.

Daher gilt es eine genaue Risiko-Nutzen-Analyse zu erstellen, Mitarbeiter für das Thema zu sensibilisieren, Erfahrungen über Branchenverbände oder lokale Netzwerke auszutauschen. Finden Sie qualifizierte Partner und treffen Sie vorbeugend Schutzmaßnahmen. Natürlich gibt es Notfallpläne. Diese können den Schaden aber nur begrenzen. Und es gibt professionelle DDoS-Schutzlösungen, die das DDoS-Risiko proaktiv eliminieren. Eine Firewall alleine reicht längst nicht aus. Firewalls sind in der Regel wie ein Flaschenhals schnell dicht und schützen daher nur unzureichend.

Professionelle DDoS-Schutzlösungen halten hingegen genügend Ressourcen vor, um auch großvolumige und lang anhaltende DDoS-Attacken abzuwehren. Sie allein sichern Performance und Verfügbarkeit von Webseiten und Server ab. Erkennen die Systeme einen Angriff, setzen sofort die entsprechenden Filtermechanismen ein. Sie blockieren die manipulierten Anfragen und lassen nur den legitimen Datenverkehr in Richtung Webseite und Online-Shop passieren. Professionelle Schutzlösungen sind außerdem so flexibel, dass sie auch neue Angriffsszenarien zuverlässig erkennen und erfolgreich abwehren.

Informationen zu akuten DDoS-Bedrohungen

Die Sicherheitsspezialisten des LSOC haben 24/7 viele Anzeichen im Blick, mit denen sich neue Erpresser und DDoS-Angreifer sowie veränderte Attackentechniken ankündigen. Sobald sie sich die Hinweise auf eine akute Gefahrenlage verdichten, verschickt das LSOC Warnmeldungen. Auf der Webseite www.ddos-info.de kann sich jeder für den kostenfreien E-Mail-Service zu DDoS-Attacken und DDoS-Erpressungen registrieren. Daneben bietet die Seite weitere Informationen und Reports zum Thema DDoS.

Der jeweils aktuelle Link11 DDoS-Report für Deutschland, Österreich und die Schweiz steht auf der Webseite von Link11 zum kostenlosen Download bereit.

Jens-Philipp Jung ist Mitgründer und Geschäftsführer der auf DDoS-Schutz spezialisierten Link11 GmbH aus Frankfurt/M. und hat als Miterfinder für die zum Patent angemeldete Link11 DDoS-Schutzlösung bereits zahlreiche Auszeichnungen entgegengenommen. Jung ist ein ausgewiesener IT-Experte und arbeitet an der IKT-Strategie des Bundesministeriums für Bildung und Forschung mit.

Kommentar:

Die Hacker-Gruppe xmr-squad waren Kids. Spannt sich diese jemand vor seinen Karren, wäre er in der Lage mit sehr geringem Aufwand viel Schaden anzurichten. Mit wenig finanziellem Einsatz ließen sich Wettbewerber stören. Oder er legt ganze Abwicklungssystem lahm. Stellt euch einmal dieses Szenario vor: Repricer + kleiner Marktplatz und 2 Transaktionsabwickler. Das ganze wäre für wenige hundert Euro zu haben. Fazit: Die Gefahr die von diesen Kids ausgeht kann nicht hoch genug eingeschätzt werden. (Mark Steier)