Link11 warnt: DDoS-Erpresser starten 90 Gbps-Attacken und drohen Verschlüsselung an

  • Fabian Sinner
  • August 30, 2016

Inhaltsverzeichnis

    Link11 warnt: DDoS-Erpresser starten 90 Gbps-Attacken und drohen Verschlüsselung an

    Im Namen von „Armada Collective“ haben mehrere Finanzinstitute in der vergangenen Woche (22.-28.08.2016) Erpresser-E-Mails erhalten. Die Bedrohung durch die Nachahmungstäter ist im Unterschied zu vielen anderen Copycats real, denn die Täter haben eine Warnattacke von 90 Gbps gelauncht.

    Frankfurt, 30.08.2016 – Finanzunternehmen und Banken in Deutschland drohen erneute DDoS-Erpressungen. Wie schon im März 2016 und im Dezember 2015 fordern die Täter unter dem Pseudonym „Armada Collective“ Schutzgeld und kündigen DDoS-Attacken im dreistelligen Gbps-Bereich an: „We will produce a powerful DDoS attack – up to 300 Gbps.” Link11 schützt zahlreiche Unternehmen, die von den aktuellen Erpresserschreiben betroffen sind. Seit dem 26. August 2016 arbeitet das Link11 Security Operation Center (LSOC) in Kooperation mit den betroffenen Finanzunternehmen und den Behörden an den Ermittlungen.

    Täter drohen mit DDoS-Attacken und Festplattenverschlüsselung

    Zusätzlich zu DDoS-Attacken drohen die Erpresser auch mit der Verschlüsselung der Festplatten: „All data will be encrypted on computers Cerber – Crypto-Ransomware.“ Nach dem Kenntnisstand des LSOC ist es das erste Mal in der DACH-Region, dass Täter DDoS-Erpressung und Festplattenverschlüsselung kombinieren.

    Weitere Auffälligkeiten dieser Erpresserwelle sind nach den Analysen des LSOC:

    Das geforderte Lösegeld fällt mit 1 Bitcoin relativ niedrig aus: „You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS…” Das Schutzgeld erhöht sich auf 20 Bitcoin, wenn das Opfer nicht zahlt. Aus abgewehrten DDoS-Erpressungen durch Gruppen wie Kadyrovtsy, DD4BC und das ursprüngliche Armada Collective kennt das LSOC jedoch deutlich höhere Schutzgeldforderungen, die zwischen 15 und 50 Bitcoins lagen.

    • Die Erpresser verwenden eine einzige Bitcoin-Adresse für alle angeschriebenen Unternehmen. Das LSOC hat unter der angegebenen Adresse für den 26.08.2016 schon einen Zahlungseingang über 1 Bitcoin registriert.
    • Der Text ist in holprigem und fehlerhaftem Englisch verfasst. Die Erpresserschreiben, die dem LSOC von verschiedenen Banken vorliegen, sind identisch.
    • Beim Versand betreiben die Täter mehr Aufwand als andere DDoS-Erpresser: Sie nutzen verschiedene E-Mail-Gateways.
    • Großvolumige Warnattacke

    Anders als frühere Nachahmer von Armada Collective oder Erpresser wie Caremini und RedDoor setzen die Erpresser die angekündigten Warn-Attacken in die Tat um. Das LSOC hat für ein Finanzunternehmen am 27.08.2016 einen DDoS-Angriff mit 90 Gbps abgewehrt. Dabei handelte es sich eindeutig um eine Botnetz-Attacke. Ohne die erfolgreiche Filterung der Attacke durch das LSOC hätte die Server-Infrastruktur des attackierten Unternehmens am vergangenen Samstag schweren Schaden nehmen können. Der Einsatz solcher großvolumiger Warnattacken ist bislang nur vom Original Armada Collective sowie den international agierenden Erpresserbanden DD4BC und Kadyrovtsy bekannt.

    Wiederholte DDoS-Erpressungen im Namen von Armada Collective

    Schon im März 2016 hatten DDoS-Erpresser, die sich als das „Armada Collective“ ausgaben, Finanzunternehmen und Online-Shops in der Schweiz und in Deutschland mit großvolumigen Warnattacken unter Druck gesetzt. Davor setzten sie im Dezember 2015 Betreiber von Rechenzentren in Deutschland in Aufruhr.

    Anfang November 2015 hatte das LSOC einen ausführlichen Report zum originalen Armada Collective veröffentlicht.

    Hier das Original-Erpresserschreiben:

    We, HACKER TEAM – Armada Collective
    1 – We checked your security system. The system works is very bad
    2 – On Friday 26_08_2016_8:00p.m. GMT !!! We begin to attack your network servers and computers
    3 – We will produce a powerful DDoS attack – up to 300 Gbps
    4 – Your servers will be hacking the database is damaged
    5 – All data will be encrypted on computers Cerber – Crypto-Ransomware
    4 – You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    5 – Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 20 bitcoins
    6 – After payment we will advice how to fix bugs in your system

    Transfer 1 bitcoin to bitcoin ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx and you’ll be out of danger.
    Bitcoins e-money https://en.wikipedia.org/wiki/Bitcoin
    Bitcoins are very easy to use.

    Instruction:
    1.You have to make personal bitcoin wallet. It is very easy. You can download and install bitcoin wallet to your PC.
    There are lots of reliable wallets, such as: https://multibit.org/ https://xapo.com/

    But there are much easier options as well. You can make bitcoin wallet online, for example blockchain.info or coinbase.com and many others.
    You may also transfer money directly from exchanger or bitcoin ATM to the decryption address provided to you.
    2. You can top up the credit on your bitcoin wallet in most convenient way:
    – To buy bitcoins in the nearest bitcoin ATM; refer to the address on a website: coinatmradar.com/countries/
    – by means of credit card or different payment systems such as PayPal, Skrill, Neteller and others or by cash, for example: https://localbitcoins.com/buy_bitcoins https://exchange.monetago.com https://hitbtc.com/exchange

    Please search how to buy bitcoins, how to make bitcoin wallet with Google for the additional information

    Link11 warnt: DDoS-Erpresser starten 90 Gbps-Attacken und drohen Verschlüsselung an
    it-sa Expo & Congress – 10. – 12.10.2023 Nürnberg
    X