Frankfurt, 24.3.2016 – Online-Händlern aus Deutschland droht eine weitere Welle von DDoS-Erpressungen. Diesmal fordern Cyberkriminelle unter dem Namen „RedDoor“ 3 Bitcoins Schutzgeld von den angeschriebenen Shops. Link11 schützt zahlreiche Unternehmen und Projekte, die vom Erpresserschreiben betroffen sind. Seit dem 23. März 2016 arbeitet das Link11 Security Operation Center (LSOC) in Kooperation mit den betroffenen E-Commerce-Anbietern und den Behörden an den Ermittlungen.
RedDoor geht nach bekannten und bewährten Mustern von DDoS-Erpressungen vor: Die Kriminellen versenden von einem anonymen Mail-Dienst eine E-Mail, in der sie 3 Bitcoins fordern. Die angeschriebenen Unternehmen haben 24 Stunden Zeit, um das Geld auf ein individuelles Bitcoin-Konto zu transferieren.
Für den Fall, dass keine Zahlung erfolgt, kündigt RedDoor großvolumige DDoS-Attacken an. Die Erpresser drohen mit UDP Floods von bis zu 400 bis 500 Gbps. Außerdem erhöht sich die Forderung auf 10 Bitcoins und wird stündlich weiter steigen.
Hier das Erpresserschreiben von RedDoor im Original.
Die Erpresser-E-Mails von RedDoor ähneln den schon bekannten Schutzgeldforderungen von DD4BC. Beim Vorgehen hingegen orientiert sich RedDoor stärker an Armada Collective. Es könnte sich bei RedDoor daher um Nachahmer und Trittbrettfahrer der beiden international aktiven DDoS-Erpresserbanden handeln.
Die Cyberkriminellen von Armada Collective sind seit dem 9. März erneut in der Schweiz aktiv. Im Fokus stehen hier Finanzunternehmen und Online-Shops. Erste Informationen, die dem LSOC vorliegen, deuten darauf hin, dass Armada Collective seit dem 24. März auch in Deutschland wieder Unternehmen unter Druck setzte. Erst im Dezember 2015 setzte die Tätergruppe die Betreiber von deutschen Rechenzentren in Aufruhr.
RedDoor konzentriert sich aktuell vor allem auf die E-Commerce-Branche. Das Link11 Security Operation Center (LSOC) vermutet jedoch, dass sich die Erpressungsversuche auch auf weitere Branchen in Deutschland, Österreich und Schweiz ausweiten werden.
„Wenn die Angreifer ihre Volumen-Attacken gegen einen unserer Kunden starten, wird Link11 diese umgehend abwehren und das attackierte Unternehmen schützen. Anschließend werden wir uns auf die Auswertung der Angriffsdaten konzentrieren“
so Onur Cengiz, Leiter LSOC
Immer häufiger schlagen DDoS-Erpresser zu. Unternehmen sollten sich daher permanent über die DDoS-Gefahrenlage für ihre Branche informieren. www.ddos-info.de liefert Informationen zu aktuellen Attacken und Erpressungsaktivitäten in Deutschland, Österreich und der Schweiz. Die Webseite biete außerdem kostenfreie Warnmeldungen zu Erpressungswellen und drohenden Angriffen.
