Was ist ein Ransom-DDoS-Angriff?

Bei einem Ransom-DDoS-Angriff (Distributed-Denial-of-Service) versuchen böswillige Parteien, Lösegeld zu erpressen. Dazu drohen sie damit, Websites oder Netzwerke zum Absturz zu bringen.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Ransom-DDoS-Angriffe (RDDoS-Angriffe) definieren
  • Verstehen, warum Sie bei einem DDoS-Angriff lieber kein Lösegeld zahlen sollten
  • Die Bestandteile einer typischen DDoS-Lösegeldforderung erläutern

Link zum Artikel kopieren

Was ist ein Ransom-DDoS-Angriff?

Ein Ransom-DDoS-Angriff (RDDoS-Angriff) liegt vor, wenn böswillige Parteien versuchen, eine Person oder Organisation zu erpressen, und dazu mit einem DDoS-Angriff (Distributed-Denial-of-Service) drohen und Lösegeld verlangen. Manche Angreifer führen zuerst den DDoS-Angriff durch und verlangen dann ein Lösegeld, um den Angriff zu stoppen. Andere schicken zuerst eine Lösegeldforderung und drohen ihren Opfern darin mit einem DDoS-Angriff. Im zweiten Fall kann der Angreifer den Angriff möglicherweise gar nicht durchführen – doch es ist riskant, von einer leeren Drohung auszugehen.

Der beste Schutz gegen DDoS-Ransom-Angriffe ist ein starker DDoS-Abwehrdienst. Sie sollten nie ein Lösegeld an Erpresser zahlen.

Was ist ein DDoS-Angriff?

A DDoS attack is an attempt to exhaust the resources of an application, website, or network so legitimate users cannot receive service. DDoS attacks send a flood of junk network traffic to their targets, much like a traffic jam clogging up a freeway. DDoS attacks are "distributed," meaning they send traffic from a variety of sources (often spoofed sources), making them more difficult to block than a denial-of-service (DoS) attack from a single source.

DDoS-Angreifer verwenden mehrere verschiedene Netzwerkprotokolle. Lesen Sie hier mehr über verschiedene Arten von DDoS-Angriffen.

DDoS-Angriffe können den Betrieb eines Unternehmens erheblich beeinträchtigen. Für viele Unternehmen ist jegliche Ausfallzeit gleichbedeutend mit Umsatzverlusten. Außerdem können sie an Glaubwürdigkeit verlieren, wenn sie über einen längeren Zeitraum offline sind.

Wie funktioniert ein Ransom-DDoS-Angriff?

Most DDoS ransom attacks start with a ransom note sent to the target in which the attacker threatens the business or organization. In some cases, an attacker may carry out a small demonstration attack to illustrate their seriousness before sending a ransom note. If the threat is genuine and the attacker decides to follow through with it, the attack is carried out as follows:

1. Der Angreifer beginnt, Angriffs-Traffic an das Ziel zu senden. Dafür verwendet er entweder ein eigenes Botnetz oder einen für den Angriff angeheuerten DDoS-Dienst. Mithilfe von DDoS-Tools können auch mehrere Personen gemeinsam Angriffs-Traffic generieren. Der Angriffs-Traffic kann sich gegen die Layer 3, 4 oder 7 des OSI-Modells richten.

2. Die Anwendung oder der Dienst, gegen die sich der Angriff richtet, wird durch den Traffic überlastet und reagiert nur noch extrem langsam oder stürzt ganz ab.

3. Der Angriff wird so lange fortgesetzt, bis die Ressourcen des Angreifers erschöpft sind, er den Angriff aus einem anderen Grund beendet oder bis es dem Ziel gelingt, den Angriff abzuwehren. Mögliche Abwehrmethoden sind unter anderem Rate Limiting, IP-Blockierung, Blackhole-Routing oder ein DDoS-Schutzdienst; die ersten drei Methoden sind gegen stark verteilte Angriffe allerdings schwierig umzusetzen.

4. Der Angreifer kann seine Lösegeldforderung erneuern, weitere Angriffe durchführen oder beides.

Informieren Sie sich genauer über die Funktionsweise von DDoS-Angriffen.

Was steht in einer typischen DDoS-Lösegeldforderung?

Eine DDoS-Lösegeldforderung ist eine Nachricht, in der eine böswillige Partei von einem Unternehmen oder einer Organisation Geld verlangt. Sollte die betroffene Partei nicht zahlen, droht der Angreifer mit einem DDoS-Angriff. Diese Nachrichten werden häufig als E-Mails versendet. Manchmal sendet der Angreifer mehrere Nachrichten mit weiteren Details zu seinen Drohungen oder Forderungen.

Die Drohung

Die in einer DDoS-Lösegeldforderung enthaltene Drohung kann verschiedene Formen annehmen:

  • Die böswillige Partei könnte behaupten, für einen früheren DDoS-Angriff verantwortlich zu sein, und einen weiteren androhen.
  • Sie könnte behaupten, für einen DDoS-Angriff verantwortlich zu sein, von dem das Angriffsziel gerade betroffen ist.
  • Sie könnte einen zukünftigen DDoS-Angriff androhen – entweder zu einem bestimmten oder zu einem unbestimmten Zeitpunkt.

Einzelheiten zum angedrohten Angriff

Damit die Drohung noch gefährlicher wirkt, behauptet der Angreifer vielleicht, er könne einen DDoS-Angriff einer bestimmten Größe und Dauer durchführen. Diese Behauptungen sind nicht unbedingt wahr: Nur weil jemand behauptet, einen 24-stündigen Angriff mit 3 Tbit/s durchführen zu können, heißt es nicht, dass die Mittel dafür tatsächlich vorhanden sind.

Gruppenzugehörigkeit

To add credibility to their threats, the attacker may claim affiliation with well-known "hacker" groups such as Fancy Bear, Cozy Bear, the Lazarus Group, the Armada Collective, or others. These claims might be true but are difficult to verify. It may be a bluff or a copy-cat attempt on the part of the attacker.

Zahlungsaufforderung und Anweisungen für die Geldübergabe

Bei Lösegeldforderung wird in irgendeiner Form eine Zahlung verlangt werden. Oft verlangen Angreifer nach Bitcoin, aber auch nach anderen Kryptowährungen und sogar gesetzlichen Währungen wie Dollar und Euro. An einem bestimmten Punkt fordert der Angreifer in der Regel einen bestimmten Geldbetrag und gibt Anweisungen für die Geldübergabe.

Zeitlimit oder Frist

Finally, to give their demand urgency and increase the likelihood that the targeted party will comply, the ransom note may include a hard deadline for delivering the ransom before the threatened attack will commence, or in order for the current attack to end. Some attackers will add that the required payment amount increases every hour or day past the given deadline.

Sollte man das Lösegeld zahlen?

Nein. Abgesehen davon, dass Sie mit einem Lösegeld Kriminelle finanzieren, garantiert eine Lösegeldzahlung nicht, dass die Angreifer ihre Aktivitäten einstellen. Im Gegenteil, eine Organisation, die ein Lösegeld zahlt, ist ein noch attraktiveres Ziel: Schließlich hat sie gezeigt, dass sie bereit ist, auf die Forderungen der Angreifer einzugehen, also wird sie auch künftigen Forderungen eher nachkommen.

Und je mehr Geld ein Angreifer erhält, desto besser kann er seine Erpressungsoperation finanzieren und desto mehr Ressourcen kann er bei zukünftigen Angriffen nutzen.

Außerdem kann man nie wissen, ob die Drohung ein Bluff war und das Unternehmen völlig unnötig Lösegeld gezahlt hat.

Unternehmen, die solche Lösegeldforderungen mit DDoS-Drohungen erhalten, sollten dies den zuständigen Strafverfolgungsbehörden melden und Sicherheitsvorkehrungen treffen, um sich gegen Angriffe zu verteidigen, falls die Angreifer ihre Drohungen wahr machen. Der DDoS-Schutz von Cloudflare zum Beispiel ist ein Dienst, der vor DDoS-Angriffen jeder Größe schützen kann.

Wie wahrscheinlich ist es, dass eine DDoS-Lösegeldforderung ernst genommen werden muss?

All security threats should be taken seriously. However, not all DDoS ransom threats are genuine. It is fairly easy to type and send a short email. It requires far more resources to maintain, manage, and activate a large network of compromised devices (known as a botnet) in order to carry out large DDoS attacks.

Nichtsdestotrotz sind im Dark Web viele DDoS-for-Hire-Dienste verfügbar und Angreifer können einen dieser Dienste in Anspruch nehmen. Dafür braucht der Angreifer natürlich Geld – und das bekommt er durch DDoS-Lösegeldforderungen.

Ransom-DDoS-Angriffe sind in der Regel ein Zahlenspiel. Ob die Erpresser, die das Lösegeld fordern, nun in der Lage sind, ihre Drohungen wahr zu machen oder nicht: Sie kalkulieren damit, dass ein kleiner Prozentsatz ihrer Opfer das Lösegeld zahlen wird.

Statt zu versuchen, die Glaubwürdigkeit der Drohung einzuschätzen, sollten Sie mit einem DDoS-Schutzdienst auf Nummer Sicher gehen. Nur so bleibt Ihre Website oder Ihr Netzwerk auf jeden Fall online.

Wie schützt Cloudflare vor RDDoS-Angriffen?

Alle Cloudflare-Kunden, auch Kunden mit dem kostenlosen Tarif, profitieren von einem DDoS-Schutz, der selbst sehr große DDoS-Angriffe abwehrt. Darüber hinaus schützt Cloudflare Magic Transit die Netzwerkinfrastruktur von Enterprise-Kunden vor Layer-3-DDoS-Angriffen. Das Cloudflare-Netzwerk hat eine Kapazität von 100 Tbps und ist somit um ein Vielfaches größer als die größten DDoS-Angriffe, die jemals verzeichnet wurden. Sie sollten zwar alle Sicherheitsbedrohungen aufzeichnen und überwachen, aber mit diesem Schutzniveau müssen sich Cloudflare-Kunden keine Sorgen über DDoS-Lösegeldforderungen und andere DDoS-bezogene Bedrohungen machen.

Wenn Ihre Organisation eine Lösegeldforderung erhalten hat, können Sie sich hier mit Cloudflare in Verbindung setzen.

Was ist der Unterschied zwischen einem Ransom-DDoS-Angriff und einer Ransomware?

Ransomware-Angriffe sind eine weitere häufige Form der Online-Erpressung. Ransomware ist Schadsoftware, die die Systeme und Datenbanken einer Organisation verschlüsselt und damit unbrauchbar macht. Nach erfolgter Verschlüsselung verlangt der Angreifer Geld dafür, die Systeme wieder zu entschlüsseln. Dafür muss Ransomware irgendwie in die internen Systeme oder das Netzwerk eines Unternehmens eingeschleust werden; beispielsweise durch böswillige E-Mail-Anhänge in Kombination mit Phishing-Angriffen.

Im Gegensatz zu einem Ransomware-Angriff werden bei einem Ransom-DDoS-Angriff die Systeme eines Unternehmens nicht verschlüsselt; die Angreifer versuchen lediglich, die Systeme auszuschalten. Bei einem RDDoS-Angriff muss sich der Angreifer nicht vorher Zugang zu den internen Systemen eines Unternehmens verschaffen. Bei ausreichendem DDoS-Schutz jedoch hat ein Ransom-DDoS-Angriff wenig bis gar keine Auswirkungen auf den Betrieb.