DDoS-Erpresserbande Kadyrovtsy hat nun deutsche Ziele im Visier

Demo-Attacken haben bei ungeschützten Zielen fast immer Downtime zur Folge

[datensicherheit.de, 02.06.2016] Laut einer aktuellen Warnung der Link11 GmbH mit Sitz in Frankfurt am Main erhalten seit Kurzem Banken und Web-Marketing-Unternehmen DDoS-Erpresser-Mails mit dem Absender „Kadyrovtsy“. Aus aktuellem Anlass warnt daher das „Link11 Security Operation Center“ (LSOC) vor den Demo-Attacken dieser Täter, die Bandbreiten von über 50 Gbps erreichen – der Einsatz solcher großvolumiger Warnattacken sei bislang nur von den ebenfalls international agierenden Erpresserbanden „DD4BC“ und „Armada Collective“ bekannt.

Schutzgeldforderungen in Bitcoin

Mit der Selbstbezichtigung „We are the Kadyrovtsy and we have chosen your company as target for our next DDoS attack“ ist demnach am 26. Mai 2016 eine neue DDoS-Erpresserwelle in Deutschland gestartet worden.
Unter dem Namen „Kadyrovtsy“ richteten die im europäischen Ausland bereits bekannten Täter Schutzgeldforderungen von 15 Bitcoin (umgerechnet ca. 7.100 EUR per Stand vom 2. Juni 2016) gegen Banken und Web-Marketing-Agenturen. Die E-Mail-Forderungen enthielten opferspezifische Bitcoin-Adressen. Den betroffenen Unternehmen blieben zwischen vier bis fünf Tagen, um den Forderungen nachzukommen.

Ernsthaftigkeit der Erpressung mit Demo-Attacken unterstrichen

Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern und -Trittbrettfahrern der vergangenen Wochen und Monate belasse es „Kadyrovtsy“ nicht nur bei Erpresser-Mails – diese Täter unterstrichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken zwischen 50 und 90 Gbps. Die Demo-Attacken dauern nach Angaben des LSOC bis zu einer Stunde und haben bei ungeschützten Zielen fast immer eine Downtime zur Folge. „Kadyrovtsy“ arbeite mit „ICMP Floods“ und „DNS-Reflection“-Techniken. Nach Einschätzung des LSOC haben die Täter Zugriff auf ausreichend Ressourcen, um mehrere Opfer gleichzeitig anzugreifen.

Seit April 2016 europaweit aktiv

Diese DDoS-Erpresser seien seit Ende April 2016 europaweit aktiv. Ihr Name soll sich von der Bezeichnung für Mitglieder paramilitärischer Einheiten ableiten, die unter dem tschetschenischen Präsidenten Akhmad Kadyrow gekämpft haben. Wie in einem Krieg weiteten die Cyber-Täter ihren Aktionsradius seit Ende April 2016 auf immer mehr Länder in Europa aus; laut BSI erpresse die Gruppe ebenfalls US-amerikanische Unternehmen. Seit dem 26. Mai 2016 nehme „Kadyrovtsy“ jetzt auch Unternehmen in Deutschland ins Visier und unterstreiche die Forderungen mit großvolumigen DDoS-Attacken.

Professionalisierung des Vorgehens

Das Handeln und die Kommunikation dieser DDoS-Erpresser hätten sich seit dem ersten Auftauchen Ende April 2016 verändert – aus Sicht des LSOC sind die wichtigsten Unterschiede:

• Die Erpresser wechseln die E-Mail-Adresse, die sie aber alle beim E-Mail-Provider Sigaint.org eingetragen haben.
• „Kadyrovtsy“ variiert die Höhe des Schutzgeldes von Land zu Land – es liegt zwischen 15 und 20 Bitcoin.
• Die attackierten Unternehmen haben inzwischen mehrere Tage Zeit, um das Schutzgeld an die angegebene Bitcoin-Adresse zu überweisen (Ende April betrug die Zahlungsfrist noch 24 Stunden).
• Die Erpresserschreiben sind unterschiedlich formuliert. In der aus Großbritannien bekannten E-Mail sind die Forderungen plump und in einem relativ schlechten Englisch geschrieben: „we dos attack your all total network of not payed 20 bitcoins“ (25.04.2016). In den aktuellen Schutzgeldforderungen sind Wortwahl, Grammatik und Rechtschreibung deutlich verbessert: „All of your servers will be subject to a DDoS attack starting at“ (01.06.2016).

Erpressungsversuche unbedingt ernstnehmen!

Nach Einschätzung von Onur Cengiz, dem Leiter des LSOC, sollten die Erpressungsversuche von „Kadyrovtsy“ unbedingt ernstgenommen werden. Seit März 2016 gebe es vermehrt Erpresserwellen. Im Unterschied zu Gruppen wie „RedDoor“ und „caremini“ verschaffe sich „Kadyrovtsy“ mit den großvolumigen Warnattacken, „die aus dem Nichts kommen“, eindeutig Gehör.
Nur die wenigsten Unternehmen seien in der Lage, solche Angriffe mit 50 Gbps oder mehr alleine abzuwehren, so Cengiz. Er empfiehlt daher, proaktiv die eigenen DdoS-Schutzsysteme zu aktivieren. Sollten diese nicht auf Volumenattacken ausgelegt sein, sollte man sich informieren, wie auch kurzfristig die Schutzbandbreite erhöht werden kann. „Reagieren Sie umgehend auf ungewöhnliche Vorkommnisse und Netzwerkanomalien!“, rät Cengiz
Das LSOC empfiehlt den attackierten Unternehmen nach eigenen Angaben, nicht auf die Erpressungen einzugehen und stattdessen Anzeige bei den Strafverfolgungsbehörden zu erstatten. Die Allianz für Cyber-Sicherheit biete eine Übersicht über die jeweiligen Ansprechpartner in den einzelnen Bundesländern.

Weitere Informationen zum Thema:

LINK11
Hier eines der Original-Erpresserschreiben

Allianz für Cyber-Sicherheit
Meldestelle

datensicherheit.de, 24.07.2015
Link11 Sicherheitsanalyse: DDoS-Erpressung durch DD4BC

datensicherheit.de, 14.05.2015
E-Commerce-Shops: Link11 warnt vor DDoS-Erpresserwelle