DDoS-Ransom-Angriffe – ein Prolog in drei Akten

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

DDoS-Angriffe stehen immer häufiger mit Geldforderungen in Verbindung. Anstatt dass Angreifer versuchen, geschützte Unternehmensressourcen in Beschlag zu nehmen, starten sie verheerende DDoS-Angriffe, um ihre Fähigkeiten zu demonstrieren und Lösegeld zu fordern. Nur wer diese Ransom-DDoS-Bedrohung ausreichend versteht, kann effektive Abwehrmaßnahmen ergreifen.

Unsere Geschichte beginnt im August 2020 und erstreckt sich in drei Akten über rund ein Jahr. Die Ereignisse im Einzelnen:

1. Akt

Im August 2020 verzeichneten wir die erste Welle von erpresserischen Cyberangriffen. Dabei hatte es die „Lazarus-Gruppe“ auf Finanz-, Reise- und E-Commerce-Unternehmen abgesehen, denen sie per E-Mail eine Lösegeldforderung über 10 Bitcoins (rund 100.000 USD) schickte. Wenige Stunden nach Erhalt dieser Nachricht wurden die Unternehmen von DDoS-Angriffen mit mehr als 200 Gbit/s getroffen, die neun Stunden andauerten und die Services schwer beeinträchtigten.

In ihren Schreiben (siehe unten) gaben die Erpresser ihren Opfern sieben Tage Zeit, um die Bitcoins zu kaufen und das Lösegeld zu bezahlen, falls sie weiteren DDoS-Angriffen entgehen wollten. Mit jedem Tag Verspätung erhöhte sich das Lösegeld um 1 Bitcoin.

Beispiel für ein Schreiben, das Fancy Lazarus seinen Opfern sendete.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

2. Akt

Im Januar 2021 rollte die zweite Erpressungswelle heran. In ihren neuen E-Mails schrieben die Cyberkriminellen: „Sie haben uns vielleicht vergessen – aber wir Sie nicht. Wir waren mit profitableren Projekten beschäftigt, aber jetzt sind wir zurück.“ Diesmal forderten sie 5 Bitcoins (ein Bitcoin war über 30.000 USD wert).

Damit stand fest: Auf keinen Fall das Lösegeld zahlen! Denn wer zahlt, wird immer und immer wieder ins Visier genommen … und findet nie seine Ruhe.

3. Akt

Ab Juni 2021 wurden mit einer neuen Welle erpresserischer Cyberkampagnen sämtliche Branchen angegriffen. Zunächst waren dänische und irische ISPs und CSPs betroffen. Die Gruppe änderte ihren Namen in „Fancy Lazarus“. Das Lösegeld war deutlich niedriger und lag je nach Opfer bei 0,5 ₿ (18.500 USD), 2 ₿ (75.000 USD) oder 5 ₿ (185.000 USD). Der Betrag wurde der Unternehmensgröße angepasst, und die anschließenden Angriffe erreichten bis zu 200 Gbit/s.

DDoS-Angriffe haben sich weiterentwickelt und umfassen nun auch Strategien, mit denen Hacker nach ungeschützten Ressourcen suchen (einschließlich Public-Cloud-Ressourcen), DNS-Services angreifen und Links überlasten. Dies zeigt, dass sich die Angreifer gut vorbereiten, indem sie die Schwachstellen der Opfer auskundschaften.

Viele Opfer von Folgeangriffen dieser Erpressungskampagne berichteten, dass sie sich für den Schutz vor DDoS-Bedrohungen auf ihren ISP oder CSP verlassen hatten. Sie waren jedoch nicht auf groß angelegte DDoS-Angriffe mit wechselnden Angriffsvektoren vorbereitet, darunter DDoS-Angriffe auf Anwendungsebene.

Lesen Sie den Hacker-Almanach, einen Praxisleitfaden über die Taktiken, Techniken und Angriffsvektoren von Cyberkriminellen.