Finanzinstitute mit 90-Gbps-Attacken und Verschlüsselung bedroht

Link11 warnt vor kombinierter DdoS-Erpresser-Welle

[datensicherheit.de, 30.08.2016] Laut einer aktuellen Warnung von Link11 haben im Namen von „Armada Collective“ mehrere Finanzinstitute in der Woche vom 22. bis 28. August 2016 Erpresser-E-Mails erhalten. Die Bedrohung durch die Nachahmungstäter sei im Unterschied zu vielen anderen „Copycats“ real, denn die Täter hätten eine Warnattacke von 90 Gbps gelauncht.

DDoS-Attacken im dreistelligen Gbps-Bereich angekündigt

Finanzunternehmen und Banken in Deutschland drohen demnach erneute DDoS-Erpressungen. Wie schon im März 2016 und im Dezember 2015 forderten die Täter unter dem Pseudonym „Armada Collective“ Schutzgeld und kündigten DDoS-Attacken im dreistelligen Gbps-Bereich an: „We will produce a powerful DDoS attack – up to 300 Gbps.”
Link11 schützt nach eigenen Angaben zahlreiche Unternehmen, die von den aktuellen Erpresserschreiben betroffen sind. Seit dem 26. August 2016 arbeite das „Link11 Security Operation Center“ (LSOC) in Kooperation mit den betroffenen Finanzunternehmen und den Behörden an den Ermittlungen.

Täter drohen zudem mit Festplattenverschlüsselung

Zusätzlich zu DDoS-Attacken drohten die Erpresser auch mit der Verschlüsselung der Festplatten: „All data will be encrypted on computers Cerber – Crypto-Ransomware.“
Nach dem Kenntnisstand des LSOC soll es das erste Mal in der „DACH“-Region sein, dass Täter DDoS-Erpressung und Festplattenverschlüsselung kombinieren.

Auffälligkeiten der Erpresserwelle

Weitere Auffälligkeiten dieser Erpresserwelle nach den Analysen des LSOC:

• Das geforderte Lösegeld falle mit 1 Bitcoin relativ niedrig aus: „You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS…” Das Schutzgeld erhöhe sich auf 20 Bitcoin, wenn das Opfer nicht zahlt. Aus abgewehrten DDoS-Erpressungen durch Gruppen wie „Kadyrovtsy“, „DD4BC“ und das ursprüngliche „Armada Collective“ kenne das LSOC jedoch deutlich höhere Schutzgeldforderungen zwischen 15 und 50 Bitcoins.
• Die Erpresser verwendeten eine einzige Bitcoin-Adresse für alle angeschriebenen Unternehmen. Das LSOC habe unter der angegebenen Adresse für den 26. August 2016 schon einen Zahlungseingang über 1 Bitcoin registriert.
• Der Text sei in holprigem und fehlerhaftem Englisch verfasst. Die Erpresserschreiben, die dem LSOC von verschiedenen Banken vorlägen, seien identisch.
• Beim Versand betrieben die Täter mehr Aufwand als andere DDoS-Erpresser: Sie nutzten verschiedene E-Mail-Gateways.

Angekündigte Warn-Attacken in die Tat umgesetzt

Anders als frühere Nachahmer von „Armada Collective“ oder Erpresser wie „Caremini“ und „RedDoor“ setzten die Erpresser die angekündigten Warn-Attacken in die Tat um.
Das LSOC habe für ein Finanzunternehmen am 27. August 2016 einen DDoS-Angriff mit 90 Gbps abgewehrt. Dabei habe es sich eindeutig um eine Botnetz-Attacke gehandelt. Ohne die erfolgreiche Filterung der Attacke durch das LSOC hätte die Server-Infrastruktur des attackierten Unternehmens am vergangenen Samstag schweren Schaden nehmen können. Der Einsatz solcher großvolumiger Warnattacken sei bislang nur vom „Original Armada Collective“ sowie den international agierenden Erpresserbanden „DD4BC“ und „Kadyrovtsy“ bekannt.

Wiederholt DDoS-Erpressungen im Namen des „Armada Collective“

Schon im März 2016 hätten DDoS-Erpresser, die sich als das „Armada Collective“ ausgegeben hätten, Finanzunternehmen und Online-Shops in der Schweiz und in Deutschland mit großvolumigen Warnattacken unter Druck gesetzt. Davor seien im Dezember 2015 Betreiber von Rechenzentren in Deutschland in Aufruhr versetzt worden.

Weitere Informationen zum Thema:

LINK11, 01.11.2015
Armada Collective: Neue DDoS-Erpresser aktiv