Der Oktober bringt bunte Blätter, alles mit Kürbis und die Angebote für den Black Friday. Der Black Friday ist für viele Unternehmen einer der wichtigsten Tage des Jahres. Im Oktober bereiten sich Verbraucher, Einzelhändler, Hersteller und Hacker gleichermaßen auf ihre profitabelste Woche vor. Der Cyber Monday – das Online-Alter-Ego des Black Friday – wird die Pandemie-Umsätze des letzten Jahres voraussichtlich um bis zu 15 % übertreffen, da die Menschen sich immer häufiger dafür entscheiden, online statt vor Ort einzukaufen.
Da die Pandemie uns dazu gezwungen hat, unser Leben immer mehr ins Internet zu verlagern, machen sich Angreifer unsere Abhängigkeit vom Internet zunutze. In den vergangenen 18 Monaten haben wir in allen Branchen eine Zunahme von Lösegeldangriffen erlebt. Es wäre leichtsinnig zu hoffen, dass der Black Friday, das umsatzstärkste Ereignis des Jahres, von diesen cyberkriminellen Aktivitäten verschont bliebe.
Es wäre auch naiv anzunehmen, dass nur der Online-Handel betroffen sein wird. Auch Zulieferer oder Partnerunternehmen sind gefährdet – wenn nicht durch direkte Angriffe, so doch durch Kollateralschäden. Wenn Sie das Pech haben, sich mit einem von DDoS-Angriffen (Distributed Denial of Service) attackierten Unternehmen denselben Hosting-Anbieter zu teilen, könnten auch Sie betroffen sein, wenn die gemeinsam genutzte Hosting-Infrastruktur dem Angriff nicht gewachsen ist. Und wir alle haben schon erlebt, wie groß angelegte Angriffe das Internet in erheblichem Maße beeinträchtigen, wenn z. B. ein DNS-Anbieter unter Beschuss gerät.
Kurz gesagt: Der Black Friday verspricht ein großes Geschäft, und die Angreifer wollen ihr Stück vom Kuchen abhaben. Um das zu erreichen, werden sie DDoS-Angriffe einsetzen.
Die Motive für DDoS-Angriffe sind so vielfältig wie die Methoden, mit denen sie durchgeführt werden. Von schlechten Scherzen über bewusstes Zufügen von Schaden bis hin zu finanziellen Zwecken – diese Angriffe haben alle das Potenzial, digitale Geschäftsprozesse schwer zu stören. Wenn Sie das Opfer eines solchen Angriffs sind, mag die Motivation im ersten Moment nicht wichtig erscheinen. Aber in den Tagen und Wochen nach einem scheinbar simplen Angriff können die Folgen sehr gravierend sein.
Wie in jedem unternehmerischen Bereich versuchen auch finanziell motivierte Angreifer, den größtmöglichen Nutzen aus ihren Bemühungen zu ziehen, was bedeutet, dass sie zusätzliche Einnahmequellen finden müssen. Dies erreichen sie, indem sie DDoS-Angriffe starten, um Ihre Black-Friday-Verkäufe zu stören und Lösegeld zu erpressen. Außerdem können sie durch die Angriffe versuchen, von weiteren Attacken wie Malware und Datendiebstahl abzulenken oder diese zu verschleiern. Später lässt sich damit ebenfalls Geld verdienen.
Die folgenden Angriffsarten treten häufig in Kombination mit DDoS-Angriffen auf:
Ransom DDoS beinhaltet immer eine Zahlungsaufforderung. Oft wird diese Forderung direkt nach einem kurzen DDoS-Angriff, der Fähigkeiten des Angreifers demonstrieren soll, gesendet. Diese Warn-Angriffe erfolgen in der Regel mit ein paar Tagen Vorlauf – das lässt genug Zeit, um die Zahlung zu veranlassen, lässt aber wenig Spielraum, um Ihre IT-Systeme zu sichern.
Malware ist ein Sammelbegriff für bösartige Software, die Hacker auf Ihren IT-Systemen zu installieren versuchen, z. B. Ransomware, die Ihre Daten verschlüsseln, Trojaner, die Angreifern Zugang zu Ihrem System verschaffen, und Botnet-Clients, die Ihre Server für künftige DDoS-Angriffe kapern. Unabhängig vom endgültigen Verwendungszweck kann jede Malware den DDoS-Angriff zu mehr als nur zur Tarnung nutzen. Ein wichtiger Schritt bei der Verbreitung vieler Arten von Malware besteht darin, einen Systemneustart zu erzwingen, der die Installation des Schadcodes abschließt. Dieser Neustart kann durch automatisierte Prozesse erfolgen, die starten, wenn ein System etwas nach einem DDoS-Angriff nicht mehr reagiert. Oder ein Systemadministrator, der nach (oder sogar während) eines Angriffs manuell versucht, Zugriff auf einen nicht reagierenden Server zu erhalten, kann ein System booten.
Abbildung 1: Versuch, Malware zu installieren
Die Angreifer wollen ihre Malware vor dem Black Friday platzieren, aber nicht zu früh, sodass sie entdeckt und entfernt werden könnte. Ransomware wird kurz vor dem Black Friday zum Einsatz kommen, Botnet-Clients könnten für Angriffe zu jedem beliebigen Zeitpunkt vor, während oder nach dem Black Friday genutzt werden.
Datendiebstähle sind erst nach dem Black Friday für Angreifer lukrativ, aber der eigentliche Datenklau ist der letzte Schritt bei dem Angriff. Zunächst erfolgt das Ausspähen. Sie können davon ausgehen, dass die Angreifer Ihr System mit Schwachstellenscans untersuchen und z. B. Ihre Datenbank Schwachstellen-Scans und blinden SQL-Injektionen durchsuchen werden. Dies kann unter der Tarnung eines kleinen DDoS-Angriffs kurz vor dem Black Friday oder versteckt im erhöhten Datenverkehr während des Cyber-Wochenendes geschehen.
Abbildung 2: Blinde SQL-Injektion, versteckt im organischen Datenverkehr
Ihr bester Schutz gegen diese Exploits ist eine Web Application Firewall (WAF) oder ein Intrusion Detection System (IDS). Sowohl WAF als auch IDS reagieren jedoch besonders anfällig auf DDoS-Angriffe und sind normalerweise die ersten Systeme, die unter der Last eines DDoS-Angriffs versagen. Ein Systemadministrator, der unter dem Druck steht, den Dienst JETZT wiederherzustellen, könnte versucht sein, diese Systeme zu deaktivieren und unwissentlich diesen bösartigen Datenverkehr in das Netzwerk zu lassen.
Womit Sie als Ziel eines Angriffs rechnen müssen
21. bis 23. November: Ein kurzer DDoS-Angriff zu Demonstrationszwecken, mit der Ankündigung einer noch viel größeren Attacke zum Black Cyber Weekend. Die Lösegeldforderung in Bitcoin oder anderen Kryptowährungen wird nicht lange auf sich warten lassen.
26. November, Black Friday: Die meisten Einzelhändler starten mit ihren Angeboten um Mitternacht. Die IT-Mitarbeiter arbeiten zu der Zeit i. d. R. nicht. Das schwächt die Erkennung und Abwehr eines möglichen Angriffs. Sollten Sie auf Lösegeldforderungen der vergangenen Tage eingegangen sein, schützt Sie das nicht vor neuen DDoS-Angriffen während der Spitzenzeiten. Sie könnten auch von einem Datendiebstahl betroffen sein.
Nach dem Black Friday: Wenn Sie das Lösegeld bezahlt haben, werden Sie wahrscheinlich eine weitere Forderung – entweder von derselben oder einer anderen Gruppe – erhalten, da Sie in Chatrooms im Dark Web als leichtes Ziel genannt werden. Nach dem Black Friday ist auch der Zeitpunkt, an dem es zum Abfluss der Daten kommt, denn bis dahin haben sie bereits viele Kreditkartendaten und wertvolle persönliche Informationen von den Käufern gesammelt.
Was ist mit Ihrem ISP oder Hosting-Anbieter? Wie können sie dazu beitragen, DDoS-Angriffe zu entschärfen? Wenn Sie sich an Ihren Provider wenden, können Sie mit seiner Hilfe den DDoS-Angriff ein Stück weit von Ihrem Netz abwehren. Er verfügt über zusätzliche Ressourcen wie Appliances.
In der Regel besteht die erste Option darin, den angegriffenen Dienst neu zu routen. In der Vergangenheit war dies sehr effektiv. Aufgrund der vielen eingesetzten PaaS- und IaaS-Lösungen haben die Angreifer jedoch gelernt, den DNS-Einträgen zu folgen, sodass das Re-Routing des Dienstes nur so lange funktioniert, wie es dauert, das DNS zu aktualisieren. Während dieser Zeit ist auch der legitime Datenverkehr gestört.
Die zweite Möglichkeit besteht darin, zusätzliche Dienste in Anspruch zu nehmen, z. B. in Form von On-Premise-Schutzlösungen. Während des Black Friday wird die Hosting-Infrastruktur ohnehin durch ein erhöhtes Verkehrsaufkommen belastet, sodass das System weniger Puffer für Angriffe bietet. Der Provider wird versuchen, die Schutzmaßnahmen bis zu einem gewissen Grad einzusetzen. Wenn aber klar wird, dass der Angriff die gemeinsam genutzte Infrastruktur beeinträchtigt und Kollateralschäden bei anderen Kunden verursacht, ist es mit dem Entgegenkommen meist vorbei.
Die letzte Option ist keine Lösung für Sie. Sobald der Anbieter das Vertrauen darin verliert, dass der Angriff ohne Auswirkungen auf seine anderen Kunden gestoppt werden kann, besteht der letzte Ausweg im Black Holing. Durch Black Holing werden eine oder mehrere IPs aus dem Internet entfernt, sodass jeglicher Datenverkehr, ob böswillig oder nicht, das Netz nicht mehr erreichen kann. Der Provider hat damit für sich das DDoS-Problem gelöst, aber Ihre Services werden so lange offline sein, bis das Black Hole entfernt ist.
Auch ohne die Gefahr eines Cyberangriffs können Black Friday / Cyber Monday ein unvorbereitetes System durch die Lastspitzen, die durch die Massen von Schnäppchenjägern verursacht werden, unter Stress setzen. Die Vorbereitung auf ein erfolgreiches Geschäft ist ebenso wichtig wie die Vorbereitung auf eine mögliche Katastrophe.
Wenn Sie zu den Führungskräften gehören, sollten Sie die folgenden Themen mit Ihrer IT-Abteilung besprechen. Informieren Sie sich über die Risiken und treffen Sie eine fundierte Entscheidung zu diesen wichtigen Punkten. Wenn Sie im IT-Team für eines dieser Themen zuständig sind, besprechen Sie es mit einem Verantwortlichen und halten Sie die endgültigen Entscheidungen für den Notfallplan fest. Jeder der folgenden Faktoren kann über den Erfolg oder Misserfolg Ihres Black Friday entscheiden:
Zögern Sie nicht! Kümmern Sie sich noch vor dem Black Friday um die Beseitigung von Problemen. Kontaktieren Sie Link11, um noch heute einen Beratungstermin zu vereinbaren!
Jetzt Kontakt zu Link11 aufnehmen >>>
Autor: Sean Power, Solutions Engineer @ Link11
