Bei einem Ransom-DDoS-Angriff (Distributed-Denial-of-Service) versuchen böswillige Parteien, Lösegeld zu erpressen. Dazu drohen sie damit, Websites oder Netzwerke zum Absturz zu bringen.
Nach Lektüre dieses Artikels können Sie Folgendes:
Ähnliche Inhalte
Was ist ein DDoS-Angriff?
DDoS-Abwehr
So funktioniert DDoS | DoS und DDoS-Angriffstools
Botnetz – was ist das?
Berüchtigte DDoS-Angriffe
Abonnieren Sie theNET, Cloudflares monatliche Zusammenfassung der beliebtesten Einblicke in das Internet!
Link zum Artikel kopieren
Ein Ransom-DDoS-Angriff (RDDoS-Angriff) liegt vor, wenn böswillige Parteien versuchen, eine Person oder Organisation zu erpressen, und dazu mit einem DDoS-Angriff (Distributed-Denial-of-Service) drohen und Lösegeld verlangen. Manche Angreifer führen zuerst den DDoS-Angriff durch und verlangen dann ein Lösegeld, um den Angriff zu stoppen. Andere schicken zuerst eine Lösegeldforderung und drohen ihren Opfern darin mit einem DDoS-Angriff. Im zweiten Fall kann der Angreifer den Angriff möglicherweise gar nicht durchführen – doch es ist riskant, von einer leeren Drohung auszugehen.
Der beste Schutz gegen DDoS-Ransom-Angriffe ist ein starker DDoS-Abwehrdienst. Sie sollten nie ein Lösegeld an Erpresser zahlen.
Ein DDoS-Angriff ist ein Versuch, die Ressourcen einer Anwendung, einer Website oder eines Netzwerks völlig aufzubrauchen, sodass legitime Nutzer keine Dienste mehr in Anspruch nehmen können. Dabei wird eine Flut von Junk-Netzwerktraffic an das Angriffsziel gesendet. Die Wirkung ist ähnlich wie bei einem Stau auf einer Autobahn. Der Begriff „distributed“ („verteilt“), der in „DDoS“ steckt, bedeutet, dass der Traffic bei diesen Angriffen von vielen Quellen ausgeht (diese werden oft gespooft) . Daher lässt sich ein DDoS-Angriff schwieriger blockieren als ein einfacher DoS-Angriff (Denial-of-Service), der nur aus einer einzigen Quelle stammt.
DDoS-Angreifer verwenden mehrere verschiedene Netzwerkprotokolle. Lesen Sie hier mehr über verschiedene Arten von DDoS-Angriffen.
DDoS-Angriffe können den Betrieb eines Unternehmens erheblich beeinträchtigen. Für viele Unternehmen ist jegliche Ausfallzeit gleichbedeutend mit Umsatzverlusten. Außerdem können sie an Glaubwürdigkeit verlieren, wenn sie über einen längeren Zeitraum offline sind.
Die meisten DDoS-Angriffe beginnen mit einer Lösegeldforderung an das betroffene Ziel, mit der ein Angreifer das Unternehmen oder die Organisation bedroht. In einigen Fällen führt ein Angreifer vor dem Abschicken der Lösegeldforderung einen kleinen Demonstrationsangriff durch, um zu zeigen, dass er es ernst meint. Wenn die Drohung ernst gemeint ist und der Angreifer beschließt, sie umzusetzen, wird der Angriff wie folgt durchgeführt:
1. Der Angreifer beginnt, Angriffs-Traffic an das Ziel zu senden. Dafür verwendet er entweder ein eigenes Botnetz oder einen für den Angriff angeheuerten DDoS-Dienst. Mithilfe von DDoS-Tools können auch mehrere Personen gemeinsam Angriffs-Traffic generieren. Der Angriffs-Traffic kann sich gegen die Layer 3, 4 oder 7 des OSI-Modells richten.
2. Die Anwendung oder der Dienst, gegen die sich der Angriff richtet, wird durch den Traffic überlastet und reagiert nur noch extrem langsam oder stürzt ganz ab.
3. Der Angriff wird so lange fortgesetzt, bis die Ressourcen des Angreifers erschöpft sind, er den Angriff aus einem anderen Grund beendet oder bis es dem Ziel gelingt, den Angriff abzuwehren. Mögliche Abwehrmethoden sind unter anderem Rate Limiting, IP-Blockierung, Blackhole-Routing oder ein DDoS-Schutzdienst; die ersten drei Methoden sind gegen stark verteilte Angriffe allerdings schwierig umzusetzen.
4. Der Angreifer kann seine Lösegeldforderung erneuern, weitere Angriffe durchführen oder beides.
Informieren Sie sich genauer über die Funktionsweise von DDoS-Angriffen.
Eine DDoS-Lösegeldforderung ist eine Nachricht, in der eine böswillige Partei von einem Unternehmen oder einer Organisation Geld verlangt. Sollte die betroffene Partei nicht zahlen, droht der Angreifer mit einem DDoS-Angriff. Diese Nachrichten werden häufig als E-Mails versendet. Manchmal sendet der Angreifer mehrere Nachrichten mit weiteren Details zu seinen Drohungen oder Forderungen.
Die in einer DDoS-Lösegeldforderung enthaltene Drohung kann verschiedene Formen annehmen:
Damit die Drohung noch gefährlicher wirkt, behauptet der Angreifer vielleicht, er könne einen DDoS-Angriff einer bestimmten Größe und Dauer durchführen. Diese Behauptungen sind nicht unbedingt wahr: Nur weil jemand behauptet, einen 24-stündigen Angriff mit 3 Tbit/s durchführen zu können, heißt es nicht, dass die Mittel dafür tatsächlich vorhanden sind.
Um ihren Drohungen mehr Glaubwürdigkeit zu verleihen, behaupten die Angreifer möglicherweise, zu bekannten „Hacker“-Gruppen wie Fancy Bear, Cozy Bear, der Lazarus Group, dem Armada Collective oder anderen zu gehören. Diese Behauptungen könnten wahr sein, sind aber schwer zu verifizieren. Möglicherweise handelt es sich um einen Bluff oder einen Nachahmungsversuch seitens des Angreifers.
Bei Lösegeldforderung wird in irgendeiner Form eine Zahlung verlangt werden. Oft verlangen Angreifer nach Bitcoin, aber auch nach anderen Kryptowährungen und sogar gesetzlichen Währungen wie Dollar und Euro. An einem bestimmten Punkt fordert der Angreifer in der Regel einen bestimmten Geldbetrag und gibt Anweisungen für die Geldübergabe.
Um ihrer Forderung Dringlichkeit zu verleihen und Druck auf das Opfer auszuüben, setzt der Angreifer möglicherweise eine klare Frist, bis zu der das Lösegeld gezahlt worden sein muss, bevor der angedrohte Angriff beginnt bzw. wonach ein laufender Angriff beendet würde. Manche Angreifer fügen hinzu, dass sich der geforderte Zahlungsbetrag mit jeder Stunde oder jedem Tag nach Ablauf der angegebenen Frist erhöht.
Nein. Abgesehen davon, dass Sie mit einem Lösegeld Kriminelle finanzieren, garantiert eine Lösegeldzahlung nicht, dass die Angreifer ihre Aktivitäten einstellen. Im Gegenteil, eine Organisation, die ein Lösegeld zahlt, ist ein noch attraktiveres Ziel: Schließlich hat sie gezeigt, dass sie bereit ist, auf die Forderungen der Angreifer einzugehen, also wird sie auch künftigen Forderungen eher nachkommen.
Und je mehr Geld ein Angreifer erhält, desto besser kann er seine Erpressungsoperation finanzieren und desto mehr Ressourcen kann er bei zukünftigen Angriffen nutzen.
Außerdem kann man nie wissen, ob die Drohung ein Bluff war und das Unternehmen völlig unnötig Lösegeld gezahlt hat.
Unternehmen, die solche Lösegeldforderungen mit DDoS-Drohungen erhalten, sollten dies den zuständigen Strafverfolgungsbehörden melden und Sicherheitsvorkehrungen treffen, um sich gegen Angriffe zu verteidigen, falls die Angreifer ihre Drohungen wahr machen. Der DDoS-Schutz von Cloudflare zum Beispiel ist ein Dienst, der vor DDoS-Angriffen jeder Größe schützen kann.
Alle Sicherheitsbedrohungen sollten ernst genommen werden, aber nicht hinter jeder Lösegeldforderung steht auch eine tatsächliche DDoS-Bedrohung. Eine kurze E-Mail schreiben kann jeder. Doch es erfordert weitaus mehr Ressourcen, ein großes Netzwerk aus kompromittierten Geräten (auch als Botnetz bezeichnet) zu betreiben, zu verwalten und zu aktivieren, um damit einen DDoS-Angriff auszuführen.
Nichtsdestotrotz sind im Dark Web viele DDoS-for-Hire-Dienste verfügbar und Angreifer können einen dieser Dienste in Anspruch nehmen. Dafür braucht der Angreifer natürlich Geld – und das bekommt er durch DDoS-Lösegeldforderungen.
Ransom-DDoS-Angriffe sind in der Regel ein Zahlenspiel. Ob die Erpresser, die das Lösegeld fordern, nun in der Lage sind, ihre Drohungen wahr zu machen oder nicht: Sie kalkulieren damit, dass ein kleiner Prozentsatz ihrer Opfer das Lösegeld zahlen wird.
Statt zu versuchen, die Glaubwürdigkeit der Drohung einzuschätzen, sollten Sie mit einem DDoS-Schutzdienst auf Nummer Sicher gehen. Nur so bleibt Ihre Website oder Ihr Netzwerk auf jeden Fall online.
Alle Cloudflare-Kunden, auch Kunden mit dem kostenlosen Tarif, profitieren von einem DDoS-Schutz, der selbst sehr große DDoS-Angriffe abwehrt. Darüber hinaus schützt Cloudflare Magic Transit die Netzwerkinfrastruktur von Enterprise-Kunden vor Layer-3-DDoS-Angriffen. Das Cloudflare-Netzwerk hat eine Kapazität von 348 Tbps und ist somit um ein Vielfaches größer als die größten DDoS-Angriffe, die jemals verzeichnet wurden. Sie sollten zwar alle Sicherheitsbedrohungen aufzeichnen und überwachen, aber mit diesem Schutzniveau müssen sich Cloudflare-Kunden keine Sorgen über DDoS-Lösegeldforderungen und andere DDoS-bezogene Bedrohungen machen.
Wenn Ihre Organisation eine Lösegeldforderung erhalten hat, können Sie sich hier mit Cloudflare in Verbindung setzen.
Ransomware-Angriffe sind eine weitere häufige Form der Online-Erpressung. Ransomware ist Schadsoftware, die die Systeme und Datenbanken einer Organisation verschlüsselt und damit unbrauchbar macht. Nach erfolgter Verschlüsselung verlangt der Angreifer Geld dafür, die Systeme wieder zu entschlüsseln. Dafür muss Ransomware irgendwie in die internen Systeme oder das Netzwerk eines Unternehmens eingeschleust werden; ein häufiger Bedrohungsvektor sind böswillige E-Mail-Anhänge in Kombination mit Phishing-Angriffen.
Im Gegensatz zu einem Ransomware-Angriff werden bei einem Ransom-DDoS-Angriff die Systeme eines Unternehmens nicht verschlüsselt; die Angreifer versuchen lediglich, die Systeme auszuschalten. Bei einem RDDoS-Angriff muss sich der Angreifer nicht vorher Zugang zu den internen Systemen eines Unternehmens verschaffen. Bei ausreichendem DDoS-Schutz jedoch hat ein Ransom-DDoS-Angriff wenig bis gar keine Auswirkungen auf den Betrieb.