Aktuelles, Branche, Produkte, Studien - geschrieben von dp am Dienstag, August 30, 2016 23:11 - noch keine Kommentare
Finanzinstitute mit 90-Gbps-Attacken und Verschlüsselung bedroht
Link11 warnt vor kombinierter DdoS-Erpresser-Welle
[datensicherheit.de, 30.08.2016] Laut einer aktuellen Warnung von Link11 haben im Namen von „Armada Collective“ mehrere Finanzinstitute in der Woche vom 22. bis 28. August 2016 Erpresser-E-Mails erhalten. Die Bedrohung durch die Nachahmungstäter sei im Unterschied zu vielen anderen „Copycats“ real, denn die Täter hätten eine Warnattacke von 90 Gbps gelauncht.
DDoS-Attacken im dreistelligen Gbps-Bereich angekündigt
Finanzunternehmen und Banken in Deutschland drohen demnach erneute DDoS-Erpressungen. Wie schon im März 2016 und im Dezember 2015 forderten die Täter unter dem Pseudonym „Armada Collective“ Schutzgeld und kündigten DDoS-Attacken im dreistelligen Gbps-Bereich an: „We will produce a powerful DDoS attack – up to 300 Gbps.”
Link11 schützt nach eigenen Angaben zahlreiche Unternehmen, die von den aktuellen Erpresserschreiben betroffen sind. Seit dem 26. August 2016 arbeite das „Link11 Security Operation Center“ (LSOC) in Kooperation mit den betroffenen Finanzunternehmen und den Behörden an den Ermittlungen.
Täter drohen zudem mit Festplattenverschlüsselung
Zusätzlich zu DDoS-Attacken drohten die Erpresser auch mit der Verschlüsselung der Festplatten: „All data will be encrypted on computers Cerber – Crypto-Ransomware.“
Nach dem Kenntnisstand des LSOC soll es das erste Mal in der „DACH“-Region sein, dass Täter DDoS-Erpressung und Festplattenverschlüsselung kombinieren.
Auffälligkeiten der Erpresserwelle
Weitere Auffälligkeiten dieser Erpresserwelle nach den Analysen des LSOC:
- Das geforderte Lösegeld falle mit 1 Bitcoin relativ niedrig aus: „You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS…” Das Schutzgeld erhöhe sich auf 20 Bitcoin, wenn das Opfer nicht zahlt. Aus abgewehrten DDoS-Erpressungen durch Gruppen wie „Kadyrovtsy“, „DD4BC“ und das ursprüngliche „Armada Collective“ kenne das LSOC jedoch deutlich höhere Schutzgeldforderungen zwischen 15 und 50 Bitcoins.
- Die Erpresser verwendeten eine einzige Bitcoin-Adresse für alle angeschriebenen Unternehmen. Das LSOC habe unter der angegebenen Adresse für den 26. August 2016 schon einen Zahlungseingang über 1 Bitcoin registriert.
- Der Text sei in holprigem und fehlerhaftem Englisch verfasst. Die Erpresserschreiben, die dem LSOC von verschiedenen Banken vorlägen, seien identisch.
- Beim Versand betrieben die Täter mehr Aufwand als andere DDoS-Erpresser: Sie nutzten verschiedene E-Mail-Gateways.
Angekündigte Warn-Attacken in die Tat umgesetzt
Anders als frühere Nachahmer von „Armada Collective“ oder Erpresser wie „Caremini“ und „RedDoor“ setzten die Erpresser die angekündigten Warn-Attacken in die Tat um.
Das LSOC habe für ein Finanzunternehmen am 27. August 2016 einen DDoS-Angriff mit 90 Gbps abgewehrt. Dabei habe es sich eindeutig um eine Botnetz-Attacke gehandelt. Ohne die erfolgreiche Filterung der Attacke durch das LSOC hätte die Server-Infrastruktur des attackierten Unternehmens am vergangenen Samstag schweren Schaden nehmen können. Der Einsatz solcher großvolumiger Warnattacken sei bislang nur vom „Original Armada Collective“ sowie den international agierenden Erpresserbanden „DD4BC“ und „Kadyrovtsy“ bekannt.
Wiederholt DDoS-Erpressungen im Namen des „Armada Collective“
Schon im März 2016 hätten DDoS-Erpresser, die sich als das „Armada Collective“ ausgegeben hätten, Finanzunternehmen und Online-Shops in der Schweiz und in Deutschland mit großvolumigen Warnattacken unter Druck gesetzt. Davor seien im Dezember 2015 Betreiber von Rechenzentren in Deutschland in Aufruhr versetzt worden.
Weitere Informationen zum Thema:
LINK11, 01.11.2015
Armada Collective: Neue DDoS-Erpresser aktiv
Aktuelles, Experten, Veranstaltungen - Jul 27, 2024 0:58 - noch keine Kommentare
ULD-Sommerakademie 2024 in Kiel: Digitale Datenräume und Archive im Fokus
weitere Beiträge in Experten
- NIS-2-Umsetzungsfrist bis 18. Oktober 2024: eco warnt vor unzureichender Vorbereitung deutscher Unternehmen
- KI-Verordnung tritt am 1. August 2024 in Kraft
- Cyber-Resilienz – potenzielle Bedrohungen proaktiv erkennen und IT-Notfallplan vorbereiten
- CrowdStrike: Ein IT-Update und es wackelt die ganze Welt
- IT-Sicherheitsupdate sorgt für Chaos: eco kommentiert weltweite technische Probleme vom 19. Juli 2024
Aktuelles, Branche, Veranstaltungen - Jul 27, 2024 0:46 - noch keine Kommentare
Schutz persönlicher Daten: SOPHOS lädt zu Web-Seminar mit der Ethischen Hackerin Rachel Tobac ein
weitere Beiträge in Branche
- Job-Betrug in Sozialen Medien: Tipps zum Erkennen auf den ersten Blick
- Robuste Sicherheitspraktiken notwendig: CrowdStrike-Vorfall hat IT-Schwachstellen enthüllt
- Warnung von Kaspersky: Botnets bereits ab 99 US-Dollar im Darknet erhältlich
- Melissa Bischoping benennt Lehren aus dem CrowdStrike-Ausfall
- Crowdstrike-Vorfall als Weckruf für ganzheitliche digitale Sicherheit
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren