Frankfurt/M., 31.01.2017 – Die neuen Täter mit dem Alias Stealth Raven orientieren sich in ihrem Vorgehen an bewährten DDoS-Erpressungsmethoden, zeigen sich aber aggressiver als viele ihrer Vorgänger. Auf das Erpresserschreiben, in dem sie 5 Bitcoins fordern, folgt nach wenigen Stunden eine Warnattacke auf einen Server des angeschriebenen Online-Shops.
LSOC hat mehrere Erpresserschreiben und das Vorgehen der Täter bei den Demo-Attacken analysiert und folgende Informationen über Stealth Ravens zusammengetragen:
Herkunft: DDoS-Erpressungen durch Stealth Ravens sind erst seit Mitte Januar 2017 bekannt. Wie viele Täter es sind und aus welchen Ländern sie stammen, ist aktuell noch unklar.
Absender-Adressen: Diese unterscheiden sich, sie sind aber alle bei anonymen E-Mail-Diensten registriert.
Empfänger-Adressen: Die Täter schreiben die Unternehmen über allgemeine E-Mail-Adressen an, die sich leicht im Impressum der Opfer-Webseiten recherchieren lassen.
Erpresserschreiben: Sie sind in Englisch verfasst, kurzgehalten und kommen direkt auf den Punkt. Identische Passagen wechseln sich mit individuellen Informationen und Formulierungen je Erpressungsopfer ab. Die Texte sind aber nicht von DD4BC, Armada Collective oder anderen bekannten DDoS-Erpressern kopiert. Statt pauschaler Drohungen kündigen Stealth Ravens eine Demo-Attacke auf einen konkreten Unternehmensserver an.
Demo-Attacke: Ihre angekündigten Warnattacken setzen die Täter nach Kenntnisstand des LSOC konsequent um. Zwischen der Ankündigung und dem Beginn der Attacke vergeht nur kurze Zeit. Die Angriffsbandbreiten erreichen bis zu 15 Gbps. Die Täter nutzen angeblich ein Mirai-Botnetz zur Ausführung der Attacken.
Bitcoin-Adresse: Die DDoS-Erpresser weisen jedem Unternehmen eine spezifische Bitcoin-Adresse zu.
Zahlungsfrist: Die erpressten Unternehmen haben bis zum 1. bzw. 2. Februar Zeit sich mit Bitcoins von weiteren DDoS-Attacken freizukaufen. Für den Fall, dass sich ein Unternehmer der Zahlung verweigert, drohen ein neuer Angriff sowie eine doppelt so hohe Lösegeldsumme.
Nach Einschätzung des LSOC sind die Erpressungsversuche von Stealth Ravens unbedingt ernst zu nehmen. Die DDoS-Schutzexperten empfehlen jedem Online-Shop, vorhandene Schutzsysteme zu aktivieren und den Hosting-Anbieter über die Erpressung zu informieren.
Aktuell konzentrieren sich Stealth Ravens auf die E-Commerce-Branche in Deutschland. Eine Ausweitung auf andere Wirtschaftsbereiche oder die Nachbarländer Österreich und Schweiz sind nicht auszuschließen.
Wenn die DDoS-Erpresser ihre angekündigten Folgeattacken gegen einen DDoS-Schutzkunden von Link11 starten, wird das LSOC diese umgehend abwehren und das attackierte Unternehmen schützen. Anschließend werden sich die Security-Experten auf die die Auswertung der Angriffsdaten konzentrieren.
