Was ist ein Ransom-DDoS-Angriff?

Bei einem Ransom-DDoS-Angriff (Distributed-Denial-of-Service) versuchen böswillige Parteien, Lösegeld zu erpressen. Dazu drohen sie damit, Websites oder Netzwerke zum Absturz zu bringen.

Share facebook icon linkedin icon twitter icon email icon

Ransom-DDoS-Angriff

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Ransom-DDoS-Angriffe (RDDoS-Angriffe) definieren
  • Verstehen, warum Sie bei einem DDoS-Angriff lieber kein Lösegeld zahlen sollten
  • Die Bestandteile einer typischen DDoS-Lösegeldforderung erläutern

Was ist ein Ransom-DDoS-Angriff?

Ein Ransom-DDoS-Angriff (RDDoS-Angriff) liegt vor, wenn böswillige Parteien versuchen, eine Person oder Organisation zu erpressen, und dazu mit einem DDoS-Angriff (Distributed-Denial-of-Service) drohen und Lösegeld verlangen. Manche Angreifer führen zuerst den DDoS-Angriff durch und verlangen dann ein Lösegeld, um den Angriff zu stoppen. Andere schicken zuerst eine Lösegeldforderung und drohen ihren Opfern darin mit einem DDoS-Angriff. Im zweiten Fall kann der Angreifer den Angriff möglicherweise gar nicht durchführen – doch es ist riskant, von einer leeren Drohung auszugehen.

Der beste Schutz gegen DDoS-Ransom-Angriffe ist ein starker DDoS-Abwehrdienst. Sie sollten nie ein Lösegeld an Erpresser zahlen.

Was ist ein DDoS-Angriff?

Ein DDoS-Angriff ist ein Versuch, die Ressourcen einer Anwendung, einer Website oder eines Netzwerks völlig aufzubrauchen, sodass legitime Nutzer keine Dienste mehr in Anspruch nehmen können. Dabei wird eine Flut von Junk-Netzwerktraffic an das Angriffsziel gesendet. Die Wirkung ist ähnlich wie bei einem Stau auf einer Autobahn. Der Begriff „distributed“ („verteilt“), der in „DDoS“ steckt, bedeutet, dass der Traffic bei diesen Angriffen von vielen Quellen ausgeht. Daher lässt sich ein DDoS-Angriff schwieriger blockieren als ein einfacher DoS-Angriff (Denial-of-Service), der nur aus einer einzigen Quelle stammt.

DDoS-Angreifer verwenden mehrere verschiedene Netzwerkprotokolle. Lesen Sie hier mehr über verschiedene Arten von DDoS-Angriffen.

DDoS-Angriffe können den Betrieb eines Unternehmens erheblich beeinträchtigen. Für viele Unternehmen ist jegliche Ausfallzeit gleichbedeutend mit Umsatzverlusten. Außerdem können sie an Glaubwürdigkeit verlieren, wenn sie über einen längeren Zeitraum offline sind.

Wie funktioniert ein Ransom-DDoS-Angriff?

Die meisten Ransom-DDoS-Angriffe beginnen mit einer Lösegeldforderung. Der Angreifer sendet die Lösegeldforderung an sein Ziel und bedroht das Unternehmen oder die Organisation. Wenn die Drohung ernst gemeint ist und der Angreifer den Angriff tatsächlich ausführt, läuft dieser so ab:

1. Der Angreifer beginnt, Angriffs-Traffic an das Ziel zu senden. Dafür verwendet er entweder ein eigenes Botnetz oder einen für den Angriff angeheuerten DDoS-Dienst. Mithilfe von DDoS-Tools können auch mehrere Personen gemeinsam Angriffs-Traffic generieren. Der Angriffs-Traffic kann sich gegen die Layer 3, 4 oder 7 des OSI-Modells richten.

2. Die Anwendung oder der Dienst, gegen die sich der Angriff richtet, wird durch den Traffic überlastet und reagiert nur noch extrem langsam oder stürzt ganz ab.

3. Der Angriff wird so lange fortgesetzt, bis die Ressourcen des Angreifers erschöpft sind, er den Angriff aus einem anderen Grund beendet oder bis es dem Ziel gelingt, den Angriff abzuwehren. Mögliche Abwehrmethoden sind unter anderem Rate Limiting, IP-Blockierung, Blackhole-Routing oder ein DDoS-Schutzdienst; die ersten drei Methoden sind gegen stark verteilte Angriffe allerdings schwierig umzusetzen.

4. Der Angreifer kann seine Lösegeldforderung erneuern, weitere Angriffe durchführen oder beides.

Informieren Sie sich genauer über die Funktionsweise von DDoS-Angriffen.

Was steht in einer typischen DDoS-Lösegeldforderung?

Eine DDoS-Lösegeldforderung ist eine Nachricht, in der eine böswillige Partei von einem Unternehmen oder einer Organisation Geld verlangt. Sollte die betroffene Partei nicht zahlen, droht der Angreifer mit einem DDoS-Angriff. Diese Nachrichten werden häufig als E-Mails versendet. Manchmal sendet der Angreifer mehrere Nachrichten mit weiteren Details zu seinen Drohungen oder Forderungen.

Die Drohung

Die in einer DDoS-Lösegeldforderung enthaltene Drohung kann verschiedene Formen annehmen:

  • Die böswillige Partei könnte behaupten, für einen früheren DDoS-Angriff verantwortlich zu sein, und einen weiteren androhen.
  • Sie könnte behaupten, für einen DDoS-Angriff verantwortlich zu sein, von dem das Angriffsziel gerade betroffen ist.
  • Sie könnte einen zukünftigen DDoS-Angriff androhen – entweder zu einem bestimmten oder zu einem unbestimmten Zeitpunkt.

Einzelheiten zum angedrohten Angriff

Damit die Drohung noch gefährlicher wirkt, behauptet der Angreifer vielleicht, er könne einen DDoS-Angriff einer bestimmten Größe und Dauer durchführen. Diese Behauptungen sind nicht unbedingt wahr: Nur weil jemand behauptet, einen 24-stündigen Angriff mit 3 Tbit/s durchführen zu können, heißt es nicht, dass die Mittel dafür tatsächlich vorhanden sind.

Gruppenzugehörigkeit

Um seiner Drohung mehr Glaubwürdigkeit zu verleihen, kann der Angreifer behaupten, er gehöre zu einer bekannten „Hacker“-Gruppe wie Fancy Bear, Cozy Bear, der Lazarus Group, dem Armada Collective oder anderen. Diese Behauptungen mögen wahr sein, sind aber schwer zu überprüfen.

Zahlungsaufforderung und Anweisungen für die Geldübergabe

Bei Lösegeldforderung wird in irgendeiner Form eine Zahlung verlangt werden. Oft verlangen Angreifer nach Bitcoin, aber auch nach anderen Kryptowährungen und sogar gesetzlichen Währungen wie Dollar und Euro. An einem bestimmten Punkt fordert der Angreifer in der Regel einen bestimmten Geldbetrag und gibt Anweisungen für die Geldübergabe.

Zeitlimit oder Frist

Um ihrer Forderung Dringlichkeit zu verleihen und Druck auf das Opfer auszuüben, setzt der Angreifer möglicherweise eine klare Frist, bis zu der das Lösegeld gezahlt worden sein muss, bevor der angedrohte Angriff beginnt bzw. wonach ein laufender Angriff beendet würde.

Sollte man das Lösegeld zahlen?

Nein. Abgesehen davon, dass Sie mit einem Lösegeld Kriminelle finanzieren, garantiert eine Lösegeldzahlung nicht, dass die Angreifer ihre Aktivitäten einstellen. Im Gegenteil, eine Organisation, die ein Lösegeld zahlt, ist ein noch attraktiveres Ziel: Schließlich hat sie gezeigt, dass sie bereit ist, auf die Forderungen der Angreifer einzugehen, also wird sie auch künftigen Forderungen eher nachkommen.

Und je mehr Geld ein Angreifer erhält, desto besser kann er seine Erpressungsoperation finanzieren und desto mehr Ressourcen kann er bei zukünftigen Angriffen nutzen.

Außerdem kann man nie wissen, ob die Drohung ein Bluff war und das Unternehmen völlig unnötig Lösegeld gezahlt hat.

Unternehmen, die solche Lösegeldforderungen mit DDoS-Drohungen erhalten, sollten dies den zuständigen Strafverfolgungsbehörden melden und Sicherheitsvorkehrungen treffen, um sich gegen Angriffe zu verteidigen, falls die Angreifer ihre Drohungen wahr machen. Der DDoS-Schutz von Cloudflare zum Beispiel ist ein Dienst, der vor DDoS-Angriffen jeder Größe schützen kann.

Wie wahrscheinlich ist es, dass eine DDoS-Lösegeldforderung ernst genommen werden muss?

Alle Sicherheitsbedrohungen sollten ernst genommen werden, aber nicht hinter jeder Lösegeldforderung steht auch eine tatsächliche DDoS-Bedrohung. Eine kurze E-Mail schreiben kann jeder. Doch es erfordert weitaus mehr Ressourcen, ein großes Netzwerk aus kompromittierten Geräten (auch als Botnetz bezeichnet) zu betreiben, zu verwalten und zu aktivieren, um damit einen DDoS-Angriff auszuführen.

Nichtsdestotrotz sind im Dark Web viele DDoS-for-Hire-Dienste verfügbar und Angreifer können einen dieser Dienste in Anspruch nehmen. Dafür braucht der Angreifer natürlich Geld – und das bekommt er durch DDoS-Lösegeldforderungen.

Ransom-DDoS-Angriffe sind in der Regel ein Zahlenspiel. Ob die Erpresser, die das Lösegeld fordern, nun in der Lage sind, ihre Drohungen wahr zu machen oder nicht: Sie kalkulieren damit, dass ein kleiner Prozentsatz ihrer Opfer das Lösegeld zahlen wird.

Statt zu versuchen, die Glaubwürdigkeit der Drohung einzuschätzen, sollten Sie mit einem DDoS-Schutzdienst auf Nummer Sicher gehen. Nur so bleibt Ihre Website oder Ihr Netzwerk auf jeden Fall online.

Wie schützt Cloudflare vor RDDoS-Angriffen?

Alle Cloudflare-Kunden, auch Kunden mit dem kostenlosen Tarif, profitieren von einem DDoS-Schutz, der selbst sehr große DDoS-Angriffe abwehrt. Darüber hinaus schützt Cloudflare Magic Transit die Netzwerkinfrastruktur von Enterprise-Kunden vor Layer-3-DDoS-Angriffen. Das Cloudflare-Netzwerk hat eine Kapazität von 51 Tbps und ist somit um ein Vielfaches größer als die größten DDoS-Angriffe, die jemals verzeichnet wurden. Sie sollten zwar alle Sicherheitsbedrohungen aufzeichnen und überwachen, aber mit diesem Schutzniveau müssen sich Cloudflare-Kunden keine Sorgen über DDoS-Lösegeldforderungen und andere DDoS-bezogene Bedrohungen machen.

Wenn Ihre Organisation eine Lösegeldforderung erhalten hat, können Sie sich hier mit Cloudflare in Verbindung setzen.

Was ist der Unterschied zwischen einem Ransom-DDoS-Angriff und einer Ransomware?

Ransomware-Angriffe sind eine weitere häufige Form der Online-Erpressung. Ransomware ist Schadsoftware, die die Systeme und Datenbanken einer Organisation verschlüsselt und damit unbrauchbar macht. Nach erfolgter Verschlüsselung verlangt der Angreifer Geld dafür, die Systeme wieder zu entschlüsseln. Dafür muss Ransomware irgendwie in die internen Systeme oder das Netzwerk eines Unternehmens eingeschleust werden; beispielsweise durch böswillige E-Mail-Anhänge in Kombination mit Phishing-Angriffen.

Im Gegensatz zu einem Ransomware-Angriff werden bei einem Ransom-DDoS-Angriff die Systeme eines Unternehmens nicht verschlüsselt; die Angreifer versuchen lediglich, die Systeme auszuschalten. Bei einem RDDoS-Angriff muss sich der Angreifer nicht vorher Zugang zu den internen Systemen eines Unternehmens verschaffen. Bei ausreichendem DDoS-Schutz jedoch hat ein Ransom-DDoS-Angriff wenig bis gar keine Auswirkungen auf den Betrieb.