16.11.2015 11:53

DD4BC / Armada Collective: Erpressung mittels DDoS

Das ist mal wieder nichts wirklich Neues. Distributed Denial of Service Angriffe gibt es schon lange, das mag mit Turf-Fights in der Rotlicht-Szene angefangen haben, der Angriff auf Estland 2007 hat das Thema groß in die Presse gebracht, und spätestens seit den Angriffen der "Anonymous"-Bewegung sollte das Problem allgemein bekannt sein. Dazu gibt es auch einen Abschnitt in unserem letzten Jahresbericht.

 

Schaut man sich die Cybercrime-Szene an, dann sieht man oft, dass die Täter oft keinerlei Probleme haben, PCs zu infizieren oder in Webseiten einzubrechen. Der Flaschenhals für die Kriminellen ist üblicherweise das Cash-out: Wie machen sie aus den kompromittierten Systemen Geld, über das sie frei - und ohne Spuren zu hinterlassen - verfügen können.

 

Ransomware auf PCs ist so eine - leider viel zu gut funktionierende - Masche. Warum nicht also das gleiche Prinzip auch auf DDoS Angriffe umlegen? Das passiert seit einiger Zeit unter dem Namen "DD4BC" ("DDoS for BitCoins"), seit kurzer Zeit ist auch eine zweite Gruppe aktiv, die sich "Armada Collective" nennt.

 

Der Modus Operandi ist in beiden Fällen gleich: Es werden per Mail Erpresserbriefe verschickt, ein kurzer DDoS (2 - 25 Gbit/s) soll die Drohung untermauern. Bei Nichtzahlung und Fristablauf drohen sie mit ernsthaft bösen und anhaltenden Angriffen.

 

Empfehlungen:

 

    • Nicht zahlen. Das hat Protonmail nicht geholfen. Und wenn das Geschäftsmodell aufgeht, wird es Nachahmungs- und Wiederholungstäter geben.

 

    • Mit uns reden. Wir versuchen, einen Überblick zu erhalten, was passiert. Das gibt uns die Chance, Erfahrungswerte auszutauschen.

 

    • Melden. Ja, auch die Strafverfolgung kann - genau wie wir - akut wenig helfen, aber es ist für uns alle wichtig, dass diese Straftaten nicht unter den Teppich gekehrt werden, und dass an der Erforschung der Täter gearbeitet wird. Nur wenn sich mehrere Opfer auch melden, dann kann die Exekutive auch ernsthaft Ressourcen hineinstecken.

 

    • Mit dem Upstream-ISP reden. Viele der Angriffe können vom Opfer alleine nicht mehr abgewehrt werden; das braucht die Mithilfe des Upstreams.

 

    • Lesen: inzwischen gibt es einiges an Ressourcen im Netz bzgl. DDoS-Mitigation incl. Handlungsempfehlungen. Siehe etwa im GovCERT.ch Blog.

 

 

 

 

Autor: Otmar Lendl

Verfasst von: Otmar Lendl