Das Vorgehensmuster der Turkish Hackers ist immer das Gleiche: Es gibt „Warnattacken“, die die Systeme und IT-Infrastrukturen der attackierten Hosting-Provider in den meisten Fällen überlasten. Dabei verändern die technisch versierten Täter immer wieder ihre Angriffsstrategie und bringen je nach avisierter Schwachstelle unterschiedliche Angriffstechniken und -Vektoren zum Einsatz. Parallel dazu erhält das Opfer eine Erpresser-E-Mail. Die Turkish Hackers folgen damit Vorgehensmustern, die schon von früheren DDoS-Tätern wie DD4BC, Armada Collective oder der New World Hacking Group bekannt sind.
Die erpressten Unternehmen haben kaum Zeit, um sich auf die Attacken vorzubereiten. Daher werden sie durch die technisch fundierten und hartnäckigen Angriffe in der Regel schwer getroffen. Das Link11 Security Operation Center (LSOC) hat in den vergangenen Tagen sowohl mehrere der „Warnattacken“ als auch der darauffolgenden angekündigten DDoS-Attacken auf italienische Hosting-Provider erfolgreich abgewehrt.
Rechenzentren, die ungeschützt sind und sich nicht auf die Erpressung einlassen, müssen schnell handeln, um keine Zeit zu verlieren. Die Zahlungsfrist der Täter liegt gewöhnlich zwischen 24 und 48 Stunden. Außerdem erfordert es große Expertise, ein gesamtes Rechenzentrum hinter ein DDoS-Schutzschild zu bringen. Es reicht nicht, nur Hardware zu installieren, die durch die Flut der Anfragen selbst schnell wieder an ihre Kapazitätsgrenzen stoßen kann. Die Praxis zeigt, dass Rechenzentren nur dann gegen großvolumige DDoS-Attacken geschützt sind, wenn der gesamte Datenverkehr des Rechenzentrums umgeleitet und durch mehrstufige Filterprozesse eines Schutzanbieters wie Link11 bereinigt wird.
Für die nächsten Wochen drohen weitere Angriffe. Das LSOC empfiehlt in keinem Fall auf die Erpressungen einzugehen, sondern die eigenen Schutzmaßnahmen weiter zu schärfen und gegebenenfalls externe Spezialisten für die Abwehr von DDoS-Attacken hinzuzuziehen.
