4. November 2015, Frankfurt – Aus aktuellem Anlass warnt Link11, einer der führenden DDoS-Schutzanbieter in Europa, vor neuen DDoS-Erpressern unter dem Pseudonym Armada Collective. In einem aktuellen Report veröffentlichen die DDoS-Schutzexperten wichtige Details zum Vorgehen der Täter, ihren Angriffsmethoden und der Bedrohungslage. Die Analysen beruhen auf Untersuchungen zu Vorfällen bei Kunden von Link11 sowie auf Beobachtungen des Netzwerkverkehrs durch das Link11 Security Operation Center (LSOC) seit Anfang Oktober.
Im Visier von Armada Collective stehen vorrangig Hosting-Anbieter, Online-Shops und Finanzdienstleister in der Schweiz, in Russland und in Thailand. Die Täter agieren bei den DDoS-Erpressungen in weiten Teil professionell. Sie senden ein Erpresser-Schreiben, in dem zwischen 20 bis 30 Bitcoins (ca. 5.600 bis 8.400 Euro laut Wechselkurs vom 29. Oktober 2015) gefordert werden, an mehrere E-Mail-Empfänger eines Unternehmens. Die Adressen haben die Erpresser vorher nicht nur auf der Firmenwebseite, sondern auch in Datenbanken der RIPE NCC recherchiert. Dieses Vorgehen bestätigt die Beobachtungen des LSOC, dass sich DDoS-Erpresser zunehmend professionalisieren und ihre Arbeitsschritte sorgfältig planen. Die Erpresser mahnen mit mehreren E-Mails offene Bitcoin-Zahlung an.
Der Einsatz von Warnattacken – vorrangig NTP und RIP Amplification Attacken – folgt bekannten Mustern und hat großes Droh-Potenzial für die attackierten Unternehmen. Die bisher dokumentierten DDoS-Angriffe durch Armada Collective verfügen nach Messungen von Link11 sowie basierend auf Informationen des Swiss Governmental CERT und einer Open Source Intelligent Analyse (OSINT) über eine Kapazität von bis zu 20 Gbps.
Um die Arbeit effizient zu halten, vollstreckt Armada Collective die angekündigten Attacken nur gegen unzureichend oder ganz ungeschützte Firmen. Unternehmen, die durch einen leistungsstarken DDoS-Schutz abgesichert sind, wurden offensichtlich bisher nicht angegriffen. Dieses Vorgehen der Erpresser zeigt, wie wirksam die Installation einer geeigneten DDoS-Schutzlösung für die Absicherung des Geschäftsbetriebs ist.
Die Arbeitsweise von Armada Collective ähnelt stark dem Vorgehen der international agierenden DDoS-Erpresserbande DD4BC, das Link11 im August 2015 in einem Report detailliert beschrieben und analysiert hat. Bei Armada Collective könnte es sich daher um Trittbrettfahrer handeln, welche den Stil von DD4BC kopieren. Ebenso ist denkbar, dass Armada Collective eine Nachfolgeorganisation von DD4BC ist oder dass sich Gruppenmitglieder von DD4BC abgespalten und mit Fokus auf den europäischen und russischen Markt neu organisiert haben.
„DDoS-Erpressungen haben sich hat sich in den vergangenen Jahren zu einer ernst zu nehmenden Bedrohung für die Wirtschaft entwickelt“,
fasst Jens-Philipp Jung, Geschäftsführer von Link11, die aktuelle Entwicklung zusammen.
„Immer öfter, immer aggressiver und immer organisierter wollen Täter mit DDoS-Attacken Bitcoins erpressen. Mit der zunehmenden Professionalität der Angreifer steigt auch das Gefahrenpotenzial. Jedes Unternehmen, das eine Erpresser-E-Mail erhält, sollte diese unbedingt ernst nehmen.“
Der Report zu den DDoS-Erpressungen durch Armada Collective steht zum Download bereit.
Die Webseite bietet aktuelle Informationen zur DDoS-Bedrohungslage. Hier können sich Unternehmen im Vorfeld für Warnhinweise auf drohende Attacken registrieren. Das hilft ihnen, die unternehmensspezifische Gefahrenlage richtig einzuschätzen und rechtzeitig Schutzmaßnahmen zu treffen.
