IT-Sicherheit

Ransom DDoS: Was ist das?

  • Fabian Sinner
  • Juni 20, 2022
Ransom DDoS: Was ist das?

Wenn Cyberkriminelle eine DDoS-Attacke mit einer Lösegeldforderung verknüpfen, dann spricht man von einem Ransom-DDoS-Angriff (RDDoS). Die Schäden können in so einem Fall beträchtlich sein und sollten nicht auf die leichte Schulter genommen werden.

Typische Distributed-Denial-of-Service-Übergriffe gehören mittlerweile zum geschäftlichen Alltag. Die Zahlen sind erschreckend hoch – ganz besonders seit Beginn der Covid-19-Pandemie.

Ransom DDoS – Die Definition

Der Begriff setzt sich aus den englischen Worten Ransom (= Lösegeld) und DDoS (= Distributed-Denial-of-Service) zusammen. Ein anderer bekannter Terminus, der oft in diesem Zusammenhang genannt wird, ist Extortion – die Erpressung.

Für einen RDDoS-Übergriff gibt es üblicherweise zwei Methoden:

  1. Der Angreifer startet einen DDoS-Angriff, der das Ziel empfindlich trifft und verlangt darauffolgend ein Lösegeld, um die Bombardierung zu stoppen. Kommt das Opfer der Forderung nicht nach, werden die Attacken fortgeführt.
  2. Die Cyberkriminellen kontaktieren das Ziel vor einem Angriff und verlangen eine Lösegeldsumme. Reagiert der Angegriffene nicht, wird mit einer Attacke gedroht. Dieser Fall ist besonders hinterhältig, da das betroffene Unternehmen nicht weiß, ob der Täter überhaupt die Kapazitäten für den angekündigten Übergriff besitzt.

Bei einem typischen DDoS-Schlag führen die Angreifer möglichst viel Traffic von verschiedenen Quellen, wie Botnets oder gebuchten DDoS-Services, auf z.B. die Webseite des Opfers, um so die dort vorhandenen Traffic-Ressourcen zu binden und damit die Online-Dienste zu überfordern.

Der schädliche Traffic kann entweder auf die Netzwerk-Layer 3 & 4 abzielen oder die Applikations-Layer 7 des OSI-Modells treffen.

Das Fazit ist eine stark eingeschränkte Performance und im schlimmsten Fall eine komplette Überlastung der angebotenen Dienste. Ein Szenario, das es unbedingt zu verhindern gilt.

Distributed-Denial-of-Services sind äußerst komplex. Es gibt verschiedene Angriffsmethoden, gegen die es sich zu schützen lohnt.

Wie sieht eine RDDoS-Lösegeldforderung aus?

RDDoS-Erpresserschreiben werden weder aus Zeitungsschnipseln zusammengesetzt, noch kommen diese per Post. Sie werden üblicherweise auf digitalem Wege per E-Mail an die Opfer verschickt.

Diese Benachrichtigungen enthalten in manchen Fällen überraschend viele Informationen und sind daher oft informativer als der vermutlich erwartete Zweizeiler:

  • Drohgebärden

Um eine Bedrohungssituation für das Opfer zu schaffen, spielen solche Gebärden im Anschreiben eine tragende Rolle. An dieser Stelle kündigen die Täter einen Angriff an oder brüsten sich für eine bereits getätigte Attacke.

Hier werden auch nähere Details zur Angriffsart genannt, etwa wie groß diese sein soll und wie lange sie andauern wird. Aber Vorsicht: Nur weil die Täter mit einem großen Angriff drohen, heißt dies noch lange nicht, dass die Kapazitäten dafür überhaupt vorhanden sind.

An dieser Stelle könnte auch der potenzielle Zeitraum definiert werden, an dem die Erpresser ihre Aktion planen, um ein Gefühl des Zeitdrucks zu vermitteln.

Nicht jeder Hacker geht so vor, manche bevorzugen es, das Opfer bezüglich des Angriffszeitpunkts im Unklaren zu lassen. Je größer der vermeintliche Überraschungseffekt, umso stärker wächst die kalkulierte Unsicherheit der Betroffenen.

  • Zugehörigkeit

Gerne werden schillernde Namen der kriminellen Szene erwähnt, zu denen die Erpresser angeblich gehören. Die Nennung bekannter Hacker-Gruppen wie Fancy Lazarus, Armada Collective oder Fancy Bear sollen das Opfer einschüchtern.

Und in der Tat: Alle drei Gruppen haben in der Vergangenheit für ordentlich Erpresser-Furore gesorgt – allerdings nutzen viele Trittbrettfahrer diese Namen aus und erhoffen sich dadurch mehr Erfolg.

  • Zahlungsaufforderung

Natürlich darf in einer RDDoS-Lösegeldforderung der gewünschte Betrag nicht fehlen, den die Täter vom Opfer verlangen.

Zudem enthält die Erpresser-Mail weitere Informationen, wie der Betrag bezahlt werden soll. Mittlerweile ist Kryptowährung die bevorzugte Zahlungsart, weil die Transaktion nur schwer nachzuverfolgen ist.

Manche Täter verlangen aber nach wie vor übliche Zahlungsmittel, die in der entsprechenden Landeswährung übergeben werden müssen.

  • Zahlungsfrist

Cyberkriminelle setzen ebenfalls gern Zahlungsfristen, um weiteren Druck auf das Opfer auszuüben. Wird die Frist nicht eingehalten, muss mit einem Angriff gerechnet werden.

Um die Zwangslage zu intensivieren, wird oft damit gedroht, dass der zu zahlende Betrag stetig steigt, je länger (Stunden, Tage) sich das betroffene Unternehmen gegen eine Lösegeldzahlung wehrt oder diese sogar verweigert.

Müssen Erpresserschreiben ernstgenommen werden?

Ja, grundsätzlich sollten Sie eine angedrohte RDDoS-Attacke ernst nehmen.

Aber: Ein Erpresserschreiben ist schnell geschrieben. Nicht jede Drohung, die Sie erhalten, muss auch tatsächlich zu einem Angriff führen. Merken Täter, dass das Ziel einen effektiven DDoS-Schutz implementiert hat, geben sie schnell auf – bevor überhaupt ein Angriffsversuch gestartet wird.

Vor allem groß angelegte RDDoS-Attacken müssen gut vorbereitet sein. Solch schwerwiegenden Angriffe benötigen viele Ressourcen und ein noch größeres Know-how. Nicht jedem Angreifer steht ein Botnetz zur Verfügung, um mit starken und andauernden Angriffswellen massive Schäden anzurichten.

Kleinere Angriffe sind in Zeiten von Cybercrime-as-a-Service allerdings durchaus realistisch. Erst recht, da sich nahezu jeder eine DDoS-Attacke für wenig Geld kaufen kann, und dass längst nicht mehr nur im Darknet.

Sollte das Lösegeld bezahlt werden?

Ein klares nein. Unter keinen Umständen sollten betroffene Firmen auf die Lösegelderpressungen von Cyberkriminellen eingehen.

Und das aus mehreren Gründen:

  • Das bezahlte Lösegeld wird mit großer Wahrscheinlichkeit für weitere kriminelle Machenschaften genutzt. Sie unterstützen damit indirekt zukünftige Straftaten.
  • Sie machen sich zu einem lukrativeren Ziel: Mit der Zahlung wurde bewiesen, dass Sie zahlungswillig sind. Warum sollten die Erpresser nicht einfach wiederkommen?
  • Es besteht eine hohe Chance, dass Sie auf einen Bluff hineinfallen. Eine Drohung muss nicht gleich in die Tat umgesetzt werden. RDDoS-Täter machen ihr Geld aus der Masse der Drohungen. Nur in seltenen Fällen kommt es tatsächlich zu einem Übergriff.

Sollten Sie Opfer einer Erpressung werden, empfehlen wir, direkt die Behörden einzuschalten und ihnen den Fall schildern.

Zudem sollten Sie die IT-Schutzmaßnahmen bis ins kleinste Detail prüfen. Sind Sie sich nicht sicher, ob der implementierte DDoS-Schutz ausreicht, kontaktieren Sie Spezialisten.

Jetzt kontaktieren

Was ist der Unterschied zwischen Ransomware und Ransom DDoS?

Viele Menschen glauben, dass Ransomware und Ransom DDoS ein und dieselbe Sache sind. Doch weit gefehlt, beide Angriffsarten agieren komplett unterschiedlich. Die einzige Gemeinsamkeit ist, dass man am Ende von Hackern erpresst werden soll.

Während bei Ransom DDoS damit gedroht wird, durch Traffic-Beschuss den Zugang zu Services zu erschweren oder ganz unmöglich zu machen, handelt es sich bei Ransomware stattdessen um Schadsoftware.

Täter versuchen diese Schadsoftware beim Ziel zum Beispiel über verseuchte E-Mail-Links einzuschleusen, damit die Malware dort die Systeme befällt, die Datenbanken verschlüsselt und den Besitzer aussperrt.

Die Hacker verlangen dann vom betroffenen Unternehmen eine Lösegeldsumme, um die infizierten Systeme wieder freizugeben. Hier gilt das gleiche Problem wie bei Ransom DDoS: Bezahlen Sie keine Beträge an Erpresser. Niemand kann Ihnen garantieren, dass Sie danach die Gefahr überstanden haben.

Die Lösung gegen Ransom DDoS: Ein bewährter Schutz

Wenn RDDoS-Bedrohungen erfolgreich bekämpft werden sollen, dann hilft eine professionelle und bewährte Sicherheitstechnologie.

Mit der Sicherheitslösung von Link11 erhalten Sie einen DDoS-Schutz in Echtzeit. Das bedeutet: Ein KI-System schützt Sie rund um die Uhr automatisch und entwickelt sich stetig weiter. Damit sind Sie den Angreifern stets einen Schritt voraus.

Link11 DDoS-Schutz

Sollten Sie bereits Opfer eines RDDoS-Angriffs gewesen sein und von Cyber-Kriminellen erpresst werden, können Sie uns ebenfalls gerne kontaktieren. Wir stehen Ihnen auch in Notfällen jederzeit zur Seite.

Notfallanfrage

Link11 übernimmt DDoS-Schutzanbieter DOSarrest Internet Security LTD
Link11 expandiert in die Benelux-Länder
X