Link11 warnt vor gefährlichen DDoS-Angriffen durch ZZb00t

Unter dem Pseudonym ZZb00t attackiert ein Hacker seit Wochen Webserver in Deutschland. Die Liste seiner Opfer reicht von internationalen Logistikdienstleistern bis zu den großen Online-Shops Rakuten.de, billiger.de und RedCoon.de sowie weiteren E-Commerce-Dienstleister, deren Ausfällen auf dem E-Commerce-Blog Wortfilter.de dokumentiert sind. Der Angreifer attackiert gezielt Server, deren originalen IP-Adressen nicht vom Internet abgeschirmt sind. Außerdem greift er die internen Netze an.

Der auf Twitter sehr aktive DDoS-Angreifer ZZb00t hat es sich scheinbar zur Aufgabe gemacht, unzureichend gesicherte Server aufzuspüren und Unternehmen mit angekündigten Attacken auf die Schwachstellen hinzuweisen. In seinen Tweets findet sich neben den Hashtags #badservers und #sadsecurity wiederholt der Hinweis auf die schlechte Schutzqualität: „just bad servers for a provider..“(Quelle Twitter Kommunikation, 15.05.2017) und „That’s just shit.“ (Quelle Twitter Kommunikation, 15.05.2017)

Der Ablauf gleicht sich bei allen Opfern zu denen zahlreiche große Unternehmen wie Rakuten.de, billiger.de und Redcoon.de gehören. ZZb00t kündigt die Attacken erst mit einem oder mehreren Tweets an, dann folgt pünktlich der DDoS-Angriff, der sich wie Fall von Hood.de über 5 Stunden hinziehen kann. Dessen Folgen dokumentiert ZZb00t wiederum mit Screenshots und Kommentaren auf Twitter.

Das Link11 Security Operation Center (LSOC) hat neben der Kommunikation auf Twitter auch Informationen aus der eigenen Netzwerküberwachung sowie aus Gesprächen mit Opfern ausgewertet und wichtige Informationen über ZZb00t und seinem Vorgehen zusammengestellt. Eine Übersicht über die bisher attackierten Unternehmen sowie detaillierte Informationen zu den Angriffsvektoren und der ausgenutzten Schwachstelle liefert der aktuelle Eintrag auf dem von Link11 eingerichteten DDoS-Blog.

Die Webseite bietet frei zugängliche Informationen zur DDoS-Bedrohungslage sowie aktuelle Statistiken und Analysen für Deutschland, Österreich und die Schweiz. Hier können sich Unternehmen im Vorfeld für Warnhinweise auf drohende Attacken registrieren. Die Warnmeldungen können ihnen helfen, rechtzeitig Schutzmaßnahmen zu ergreifen, um die Verfügbarkeit ihrer mit dem Internet verbundenen Services abzusichern.