Frankfurt, 29. April 2016 – Am 25.4.2016 veröffentlichte Matthew Prince, der CEO des amerikanischen DDoS-Schutzanbieters Cloudflare, einen Blog-Post, in dem er die vermeintliche DDoS-Erpresserbande Armada Collective diskreditierte: Ohne Angriffe hätten die Erpresser schon mehr als 100.000 USD einkassiert.
Link11 liegen nun Informationen vor, dass sich erste Trittbrettfahrer haben beeinflussen lassen, nachdem die News der „leeren Drohung“ sich durch das Netz wie ein Lauffeuer verbreitet hatte. Ende dieser Wochen erhielten die ersten großen E-Commerce-Unternehmen in Deutschland mit einem Umsatzvolumen von mehreren Hundert Millionen Euro DDoS-Erpresser-E-Mails. Absender sind die bekannten DDoS-Angreifer Lizard Squad. Auch in Großbritannien sind die Täter aktiv und setzen mit ihren E-Mails Unternehmen unter Druck. Hier ein Auszug aus einem Erpresserschreiben, das dem LSOC vorliegt:
„We are the Lizard Squad and we have chosen your website/network as target for our next DDoS attack. Please perform a google search for „Lizard Squad DDoS“ to have a look at some of our previous „work“. All of your servers will be subject to a DDoS attack starting at Tuesday the 3rd of May.
…
We are willing to refrain from attacking your servers for a small fee. The current fee is 5 Bitcoins (BTC). The fee will increase by 5 Bitcoins for each day that has passed without payment.“
Onur Cengiz, Leiter des Link11 Security Operation Centers (LSOC):
„Für Lizard Squad ist es sehr untypisch, solche Erpresser-Mails zu versenden. Daher hat unser Team recherchiert und ist zu einem erstaunlichen Ergebnis gekommen: Die Erpresserschreiben wurden nicht wie üblich von anonymen Mailingdiensten verschickt, sondern von einer Domain, die erst in dieser Woche, 2 Tage nach Veröffentlichung des Cloudflare-Blog-Posts, auf eine Person aus Deutschland registriert wurde. Dies widerspricht dem Vorgehen der professionelle Hackergruppe Lizard Squad und deutet eindeutig auf Trittbrettfahrer hin. Nachdem die Armada Collective in dem Blog-Posting von Matthew Prince als ’nur heiße Luft‘ tituliert wurden, haben sich diese neuen Erpresser scheinbar eines Namens bedient, der für eine der bekanntesten und stärksten DDoS-Angreifer auf dem Sektor steht.“
Trittbrettfahrer haben sich somit von der Cloudflare-News dazu verleiten lassen, ebenfalls Kasse zu machen. Sie spekulieren, auf einfachem Wege – nämlich durch reinen E-Mail-Versand – ein paar schnelle Bitcoins zu erpressen. Allen Nachrichten über leere Drohungen zum Trotz sollten Unternehmen dennoch solche Erpresserschreiben ernst nehmen und die Erpressungsversuche für das Ergreifen der Täter den Behörden melden.
