Erpressung von Organisationen mit DDoS-Drohungen

Der jüngste Anstieg von Ransomware-basierten DDoS-Angriffen

Ransomware-basierte DDoS- (RDDoS) und Erpressungsangriffe auf Unternehmen sind weltweit auf dem Vormarsch. RDDoS-Drohungen führen nicht immer zu einem Angriff. Die Fälle der letzten Monate zeigen jedoch, dass Angreifer willens sind, die Drohung wahr zu machen und groß angelegte DDoS-Angriffe zu starten, die Unternehmen ohne ausreichenden Schutz überwältigen.

Bei einem RDDoS-Angriff bedroht eine böswillige Partei eine Person oder Organisation mit einem Cyberangriff, der ihre Netzwerke, Websites oder Anwendungen für einen bestimmten Zeitraum zum Ausfall bringen könnte, es sei denn, die Person oder Organisation zahlt ein Lösegeld.

Laut einer Studie von Kaspersky Lab belaufen sich die durchschnittlichen Kosten eines DDoS-Angriffs für ein Unternehmen auf 2 Millionen US-Dollar. Darüber hinaus gaben 23 % der Unternehmen an, dass ihnen Umsatz oder potenzielle Kunden entgangen sind, und 22 % sahen ihren Ruf bei Kunden beschädigt. Angesichts dieser möglichen Konsequenzen mag es als eine praktikable Option erschienen, Lösegeld zu zahlen, um die Bedrohung durch einen DDoS-Angriff auszuräumen. Lösegeld zu zahlen ist jedoch nie eine gute Idee; der Angreifer erhält dadurch nur zusätzliche Ressourcen, um in Zukunft noch mehr Angriffe auszuführen.

Als führender Anbieter von Lösungen zur DDoS-Prävention ist Cloudflare in der Lage, Unternehmen vor RDDoS zu schützen. Wir empfehlen Unternehmen, Maßnahmen zu ergreifen, um sich vor einem solchen Angriff zu schützen.

Die aktuelle Bedrohung

DDoS-basierte Erpressungsversuche werden initiiert, indem betroffenen Organisationen Drohbriefe zugehen, in denen eine Zahlung bis zu einem bestimmten Datum und einer bestimmten Uhrzeit gefordert wird. Wenn sich die Organisation weigert, das Lösegeld zu zahlen oder die Zahlungsfrist einzuhalten, drohen die Angreifer damit, einen DDoS-Angriff gegen ihre Netzwerke und Websites durchzuführen. In vielen Fällen startet die böswillige Partei auch einen Demonstrationsangriff, um zu beweisen, dass sie die Fähigkeiten hat, einen Angriff auszuführen.

Cloudflare hat zuletzt einen Anstieg bei der Anzahl von Unternehmenskunden verzeichnet, die über RDDoS-Angriffe berichten. Zu den böswilligen Gruppen, die für die aktuelle Bedrohung durch RDDoS-Angriffe verantwortlich gemacht werden, gehören bekannte „Hacker“-Gruppen wie Cozy Bear, Fancy Bear und das Armada Collective.

In der Vergangenheit gab es immer wieder leere Drohungen von einigen dieser Gruppen — Angreifer, die auf schnelles Geld aus sind und davon ausgehen, dass ein bestimmter Prozentsatz der von ihnen bedrohten Organisationen das Lösegeld auf jeden Fall zahlen wird. Jüngste Angriffe haben jedoch gezeigt, dass diese Bedrohungen durchgeführt werden können und auch durchgeführt wurden — obwohl Unternehmen, die über eine DDoS-Abwehr verfügen, geschützt bleiben.

Wie diese Angriffe mit den DDoS-Trends für 2020 übereinstimmen

DDoS-Angriffe sind immer eine Bedrohung, aber 2020 hat die DDoS-Aktivität zugenommen. Im Cloudflare-Netzwerk hat sich die Anzahl der DDoS-Angriffe auf Layer 3 und Layer 4 im zweiten Quartal im Vergleich zum ersten Quartal 2020 verdoppelt. Darüber hinaus verzeichnete Cloudflare im zweiten Quartal 2020 einige der größten DDoS-Angriffe, die wir je abgewehrt haben. Darunter befand sich ein Angriff, während dessen Höhepunkt 754 Millionen Pakete pro Sekunde verschickt wurden.

Dieser Trend hat sich auch in der zweiten Jahreshälfte fortgesetzt. Da DDoS-Angriffe weiter zunehmen, überrascht es nicht, dass auch RDDoS-Erpressungsversuche immer beliebter werden.

Angesichts der Ausgangssperren und Anweisung zur Arbeit im Home-Office als Folge der COVID-19-Pandemie sind Organisationen mehr denn je darauf angewiesen, online zu bleiben. Diese Abhängigkeit vom Internet macht Organisationen anfällig gegenüber Angriffsdrohungen und Erpressung. Natürlich suchen diese Gruppen von Angreifern nach anfälligen Organisationen, unabhängig von Größe oder Branche. Wir konnten beobachten, dass sich das Profil der angegriffenen Organisationen sehr stark unterscheidet.

Wer steckt (angeblich) hinter diesen Ransom-DDoS-Drohungen?

Die Kriminellen, die hinter der jüngsten Welle von Ransom-DDoS-Angriffen stecken, geben sich als verschiedene Gruppen aus, darunter Cozy Bear, Fancy Bear und das Armada Collective. Ihre Behauptungen mögen zwar wahr sein, sind aber schwer zu verifizieren. Zudem ist es eine gängige Praxis von DDoS-Erpressern, Verbindungen zu bekannten „Hacker“-Gruppen vorzutäuschen, um ihren Drohungen mehr Nachdruck zu verleihen.

Armada Collective

Kriminelle Gruppen sind schon seit vielen Jahren unter dem Namen „Armada Collective“ aktiv. Im Jahr 2015 hat eine Gruppe namens „Armada Collective“ mehrere DDoS-Angriffe durchgeführt. Im Jahr 2016 wurden sie erneut aktiv und erpressten Geld von mehreren Opfern, indem sie mit DDoS-Angriffen drohten und behaupteten, zu Angriffen mit „über 1 Tbps pro Sekunde [sic]“ fähig zu sein. Ob es sich dabei tatsächlich um dieselbe Person oder Gruppe handelt wie das Armada Collective, das für die Angriffe im Jahr 2015 verantwortlich war, ist nicht bekannt. Nach unseren Recherchen hat die Gruppe mehrere Lösegeldzahlungen erhalten, scheint aber 2016 keine DDoS-Angriffe durchgeführt zu haben.

Im Jahr 2020 ist das Armada Collective wieder aktiv — wobei immer noch schwer zu erkennen ist, ob es sich um dieselbe Gruppe oder eine andere Gruppe handelt, die unter demselben Namen auftritt. Im Gegensatz zu den „Angriffen“ des Armada Collective 2016 setzt dieser Angreifer bzw. diese Gruppe — wie schon 2015 — seine Drohungen tatsächlich um und überwältigt seine Ziele mit DDoS-Angriffen.

Fancy Bear

Fancy Bear ist eine in Russland ansässige Gruppe, die Cyberkriminalität und Spionage betreibt. In der Vergangenheit hat Fancy Bear Regierungen, politische Persönlichkeiten und Journalisten ins Visier genommen, meist mit Spear-Phishing-Angriffen und Malware-Exploits. Am bekanntesten ist die Gruppe wahrscheinlich für die Kompromittierung der Server und des Netzwerks des U.S. Democratic National Committee im Jahr 2016.

Es gibt keine glaubwürdigen Berichte darüber, dass Fancy Bear DDoS-Angriffe einsetzt, um seine Ziele zu erreichen. Es ist unwahrscheinlich, dass die Ransom-DDoS-Angreifer tatsächlich Mitglieder von Fancy Bear sind — wahrscheinlich geben sie sich lediglich als Fancy Bear aus.

Cozy Bear

Cozy Bear ist eine weitere von Russland aus agierende und auf Cyberspionage-spezialisierte Gruppe, die es vor allem auf politische Persönlichkeiten oder Gruppen abgesehen hat. Sie haben ihre eigenen Malware-Toolsets entwickelt, die sie in Kombination mit Spear-Phishing-Angriffen einsetzen, um Netzwerke und Server zu kompromittieren. Wie auch bei Fancy Bear gibt es keine glaubwürdigen Berichte, dass Cozy Bear DDoS als Angriffsmethode verwendet.

Was sollten Sie tun, wenn Ihr Unternehmen eine Lösegeldforderung erhalten hat, die mit einem DDoS-Angriff droht?

Schritt 1: Zahlen Sie kein Lösegeld

Die Forderungen der Angreifer zu erfüllen, trägt nicht dazu bei, einen möglichen Angriff zu verhindern, da es den kriminellen Gruppen keinen Anreiz gibt, ihr Wort zu halten. Eine Organisation, die das Lösegeld bezahlt, kann sich damit zu einem noch attraktiveren Angriffsziel machen, schließlich hat es seine Bereitschaft gezeigt, illegalen Forderungen nachzukommen.

Schritt 2: Alarmieren Sie die zuständigen Strafverfolgungsbehörden

Erpressung ist ein Verbrechen. Wenn jemand versucht hat, Geld von Ihrer Organisation zu erpressen, indem er mit einem DDoS-Angriff gedroht hat, müssen Sie dies unbedingt den Behörden melden.

Schritt 3: Setzen Sie DDoS-Schutz ein

DDoS-Ransom-Bedrohungen mögen einschüchternd wirken, aber die meisten Anbieter von DDoS-Schutz können mehr als ausreichend vor den angedrohten Angriffen schützen. Der größte öffentlich bekanntgegebene DDoS-Angriff der Geschichte fand am 1. September 2017 statt, erreichte 2,54 Terabit pro Sekunde (Tbps) und wurde abgewehrt.

Bleiben Sie online - Mit Unterstützung von Cloudflare

Während Ransom-DDoS-Angriffe auf dem Vormarsch sind, kann DDoS-Schutz dazu beitragen, dass Ihr Unternehmen sicher ist. Kontaktieren Sie Cloudflare, um sofort Schutz zu erhalten, wenn Ihr Unternehmen angegriffen wird — mit unserem vertragslosen Prozess können Unternehmen, die angegriffen werden, innerhalb von Stunden ongeboardet werden.

Tauchen Sie tiefer in dieses Thema ein: Holen Sie sich das E-Book Five Best Practices for Mitigating DDoS Attacks, um mehr darüber zu erfahren, wie Sie Ihr Unternehmen vor DDoS-Angriffen schützen können.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.