DDoS-Erpressungen: Link11 veröffentlicht Report zu neuer Erpressergruppe Armada Collective
4. November 2015, Frankfurt - Aus aktuellem Anlass warnt Link11, einer der führenden DDoS-Schutzanbieter in Europa, vor neuen DDoS-Erpressern unter dem Pseudonym Armada Collective. In einem aktuellen Report veröffentlichen die DDoS-Schutzexperten wichtige Details zum Vorgehen der Täter, ihren Angriffsmethoden und der Bedrohungslage. Die Analysen beruhen auf Untersuchungen zu Vorfällen bei Kunden von Link11 sowie auf Beobachtungen des Netzwerkverkehrs durch das Link11 Security Operation Center (LSOC) seit Anfang Oktober.
Armada Collective: professionell und hartnäckig
Im Visier von Armada Collective stehen vorrangig Hosting-Anbieter, Online-Shops und Finanzdienstleister in der Schweiz, in Russland und in Thailand. Die Täter agieren bei den DDoS-Erpressungen in weiten Teil professionell. Sie senden ein Erpresser-Schreiben, in dem zwischen 20 bis 30 Bitcoins (ca. 5.600 bis 8.400 Euro laut Wechselkurs vom 29. Oktober 2015) gefordert werden, an mehrere E-Mail-Empfänger eines Unternehmens. Die Adressen haben die Erpresser vorher nicht nur auf der Firmenwebseite, sondern auch in Datenbanken der RIPE NCC recherchiert. Dieses Vorgehen bestätigt die Beobachtungen des LSOC, dass sich DDoS-Erpresser zunehmend professionalisieren und ihre Arbeitsschritte sorgfältig planen. Die Erpresser mahnen mit mehreren E-Mails offene Bitcoin-Zahlung an.
DDoS-Angriffe mit gefährlichen Amplification Attacken
Der Einsatz von Warnattacken - vorrangig NTP und RIP Amplification Attacken - folgt bekannten Mustern und hat großes Droh-Potenzial für die attackierten Unternehmen. Die bisher dokumentierten DDoS-Angriffe durch Armada Collective verfügen nach Messungen von Link11 sowie basierend auf Informationen des Swiss Governmental CERT und einer Open Source Intelligent Analyse (OSINT) über eine Kapazität von bis zu 20 Gbps.
Um die Arbeit effizient zu halten, vollstreckt Armada Collective die angekündigten Attacken nur gegen unzureichend oder ganz ungeschützte Firmen. Unternehmen, die durch einen leistungsstarken DDoS-Schutz abgesichert sind, wurden offensichtlich bisher nicht angegriffen. Dieses Vorgehen der Erpresser zeigt, wie wirksam die Installation einer geeigneten DDoS-Schutzlösung für die Absicherung des Geschäftsbetriebs ist.
Ähnliches Vorgehen wie bei DD4BC
Die Arbeitsweise von Armada Collective ähnelt stark dem Vorgehen der international agierenden DDoS-Erpresserbande DD4BC, das Link11 im August 2015 in einem Report detailliert beschrieben und analysiert hat. Bei Armada Collective könnte es sich daher um Trittbrettfahrer handeln, welche den Stil von DD4BC kopieren. Ebenso ist denkbar, dass Armada Collective eine Nachfolgeorganisation von DD4BC ist oder dass sich Gruppenmitglieder von DD4BC abgespalten und mit Fokus auf den europäischen und russischen Markt neu organisiert haben.
"DDoS-Erpressungen haben sich hat sich in den vergangenen Jahren zu einer ernst zu nehmenden Bedrohung für die Wirtschaft entwickelt",
fasst Jens-Philipp Jung, Geschäftsführer von Link11, die aktuelle Entwicklung zusammen.
"Immer öfter, immer aggressiver und immer organisierter wollen Täter mit DDoS-Attacken Bitcoins erpressen. Mit der zunehmenden Professionalität der Angreifer steigt auch das Gefahrenpotenzial. Jedes Unternehmen, das eine Erpresser-E-Mail erhält, sollte diese unbedingt ernst nehmen."
Der Report zu den DDoS-Erpressungen durch Armada Collective steht zum Download bereit.
Die Webseite bietet aktuelle Informationen zur DDoS-Bedrohungslage. Hier können sich Unternehmen im Vorfeld für Warnhinweise auf drohende Attacken registrieren. Das hilft ihnen, die unternehmensspezifische Gefahrenlage richtig einzuschätzen und rechtzeitig Schutzmaßnahmen zu treffen.
Neueste Blogbeiträge
Bleiben Sie informiert über aktuelle DDoS-Reports, Warnmeldungen und Neuigkeiten zu IT-Sicherheit, Cybercrime und DDoS-Schutz.
Folgen Sie Link11 auf Twitter
A simple visualization of how the Underground Cybercrime Economy cashes in on data and DDoS attacks. To learn more,…
9 Retweets 8
Mehr lesenHow to protect your business and website from DDoS attacks during the biggest sales period of the year:…
5 Retweets 6
Mehr lesenWhat are DDoS Attacks and how do cybercriminals use them as weapons to shut down IT infrastructures? And more impor…
7 Retweets 5
Mehr lesenThis is why (and how) you should block bots on your business website (includes a list of most common bot attacks):…
13 Retweets 9
Mehr lesenWhat is Web Application Firewall, why do you need it and how does it protect your company? Learn more by reading ou…
3 Retweets 5
Mehr lesen0 Retweets 0
@RandyLoss Hah, you weren't the only one saying that.
0 Retweets 0
@vxtrade Your company might ;)
0 Retweets 1
@deckhand25 He is not, but close enough! ;)
0 Retweets 1
What would you do if you received a 180 000€ DDoS extortion email warning to exceed your web infrastructure defense…
1 Retweets 4
Mehr lesenGet a detailed and up to date overview of the global DDoS threat landscape by taking a look at our DDoS Report from…
6 Retweets 5
Mehr lesenRT @cloudtweeters: #CyberResilience has been redefined! We've partnered with @Link11GmbH so our VARs can provide customers with intelligen…
3 Retweets 0