Ransomware/DDoS-Kombiattacken

  • Fabian Sinner
  • Mai 11, 2023

Inhaltsverzeichnis

    Ransomware/DDoS-Kombiattacken

    DDoS-Angriffe als gefährliche Nebelkerzen 

    Distributed-Denial-of-Service-Angriffe stehen aktuell in ganz Europa auf der Tagesordnung. Aufgrund der aktuellen Lage werden solche Attacken nicht mehr nur von kriminellen Elementen genutzt, sondern immer häufiger auch für politisch motivierte Zwecke missbraucht.  

    Während DDoS-Übergriffe bereits allein eine hohe Herausforderung für Unternehmen darstellen und in der Vergangenheit für große Schäden gesorgt haben, birgt eine gewisse Kombination von Angriffsmustern ein ungleich höheres Schadenspotential: Eine Distributed-Denial-of-Service-Attacke, die die Einschleusung von Ransomware aufgrund der erzeugten Wucht geschickt verdeckt. 

    Überblick Ransomware

    Ransomware ist eine Schadsoftware (Malware), die von Cyber-Kriminellen gerne genutzt wird, um sich Zugang zu Daten oder Netzwerken von einzelnen Personen oder Unternehmen zu verschaffen. Ist dies erfolgt, sperren die Kriminellen den Zugang zu diesen und verlangen exorbitante Lösegelder, um die Blockierung wieder aufzuheben. 

    Ein großes Problem bei Ransomware: Selbst, wenn Sie das Lösegeld bezahlen sollten, besteht keine Garantie, dass die Übeltäter Ihnen tatsächlich wieder den Zugang zu Ihren Daten freigeben. Daher warnt beispielsweise das BKA auch ausdrücklich davor, auf Erpressungen einzugehen und den geforderten Betrag zu bezahlen. 

    Hinzu gesellt sich die durch Ransomware-as-a-Service (RaaS) explosionsartig angestiegene Bedrohung durch Schadsoftware. Bei RaaS bieten Entwickler die selbst programmierte Ransomware frei zum Verkauf an und eröffnen damit Akteuren die Tür, die Ransomware selbst nicht hätten entwickeln können. Behörden warnen, dass dieser gefährliche Trend sich in Zukunft weiter manifestieren wird. 

    Die Nutzung von Ransomware ist ein krimineller Akt und wird daher von den Behörden strafrechtlich verfolgt. 

    DDoS-Attacken als Ablenkung für Ransomware

    Das DDoS-Attacken als Ablenkungsmanöver für ein vielschichtiges Vorgehen ausgenutzt werden, ist nicht neu. In einer Phase, in der DDoS-Angriffe häufiger und intensiver als bislang üblich eingesetzt werden, steigt die Gefahr, dass im Eifer der Defensivbemühungen etwas übersehen wird.  

    Im Falle einer DDoS-Nebelkerze werden die Datenverkehrsprofile aufgrund der vielen Anfragen so überlastet, dass ein Rauschen entsteht. Die äußerst empfindlichen Systeme zur Erkennung und Verhinderung von Datendiebstahl werden aktiviert, da jedes ein- und ausgehende Paket rechenintensiv geprüft werden muss. Dies kann schnell dazu führen, dass die Systeme mit dem Datenaufkommen schnell überlastet sind. 

     Da bei einem DDoS-Angriff immer die Gefahr einer generellen Systemüberlastung und damit verbundene Reputations- und Finanzeinbußen herrscht, wird die IT im Normalfall alle verfügbaren Kapazitäten nutzen, um den Vorfall so effektiv wie nur möglich abzuwehren. Das kann allerdings dazu führen, dass die Aufmerksamkeit geteilt wird und man nicht mehr den Blick für das große Ganze hat.  

    In solchen Momenten der Unachtsamkeit herrscht absolute Gefahr, denn dann können Kriminelle ungehindert ihre Schadsoftware wie z.B. Ransomware in das System einspeisen. Dann ist es meist schon zu spät. 

    Triple Extortion immer beliebter

    Die Triple Exortion, also die sogenannte Dreifacherpressung, wird immer öfter statt der nur simplen Einschleusung von Ransomware eingesetzt. Bei einer solchen Attacke nutzen Kriminelle einen besonders gefährlichen Ansatz, der den Opfern auf drei Ebenen das Geld aus der Tasche ziehen soll: 

    • Die Androhung eines DDoS-Angriffs. Reagiert das Ziel nicht auf die Anforderungen werden die Attacken gestartet. Eröffnet sich eine Chance für die Angreifer, wird gleichzeitig noch Schadsoftware eingespeist. 
    • Die Schadsoftware infiltriert die Systeme und verschlüsselt wichtige Datensätze. 
    • Die Exfiltration sensibler Kundendaten auf externe Server. Danach wird das Unternehmen mit Drohung erpresst, die Daten im Internet frei zugänglich zu machen. 

    Der von Cyber-Kriminellen florierende Ransomware-as-a-Service fördert den Trend solcher Angriffe massiv.  

    Und die Auswirkungen für Unternehmen sind enorm: Gestohlene und im schlimmsten Fall veröffentlichte Kundendaten sind für die Außendarstellung eines jeden Unternehmens pures Gift.

    Wird der Zugang zur eigenen IT-Infrastruktur noch verschlüsselt und wird man aus dem eigenen System ausgesperrt, sprechen wir von Auswirkungen, die weit über horrende Kosten oder nachhaltige Reputationsschäden hinausgehen.  

    Beispiele von Triple Extortions 

    AvosLocker 

    Mitte 2022 warnte das FBI explizit mehrfach vor „AvosLocker“, einer kriminellen Vereinigung, die auf Basis von Ransomware-as-a-Service die US-amerikanische kritische Infrastruktur mit Angriffen überzog. Vor dem Einsatz der Schadsoftware wurden die Ziele mit intensiven DDoS-Attacken bedroht, sollte Sie nicht auf die Anforderungen der Gruppe eingehen. 

    Uawrongteam 

    Januar, 2022: Die kriminelle Cybergruppierung „Uawrongteam“ attackierte den beliebten US-amerikanischen Kalenderservice „Flexbooker“ mit einer massiven DDoS-Welle und entwendete während all dem Chaos personenbezogene Daten von über 3,7 Millionen Kunden.   

    BlackCat 

    BlackCat, auch bekannt als die ALPHV-Ransomware-Gang, ist dafür bekannt, die Informationen eines Unternehmens zu transferieren, bevor sie die Daten verschlüsseln. Wenn sich das Unternehmen weigert, das Lösegeld zu zahlen, umfasst der von der Ransomware-Gruppe angebotene Service auch DDoS-Angriffe als zusätzliche Erpressungstechnik, um das Opfer zur Zahlung zu zwingen. Ein Angriffsbeispiel war auf den Energiekonzern „Oiltanking“, als dort das gesamte IT-System lahmgelegt wurden. 

    Wie schützt man sich vor einer Kombination aus DDoS und Ransomware? 

    Unternehmen sollten sich effektiv auf solche Worst-Case-Szenarien vorbereiten. Nur eine optimal aufgestellte Verteidigungslinie kann solch gefährliche Übergriffe stoppen oder im besten Fall nicht zulassen. Während eines Angriffes ist es in erster Linie wichtig, einen Reaktionsplan und alle Schritte für die anschließende Systemwiederherstellung parat zu haben.   

    Mit diesen drei Schritten kann die Verteidigungslinie zusätzlich gestärkt werden: 

    (1) Bewährter und cloudbasierter DDoS-Schutz  

    Wenn man sich auf einen effizienten DDoS-Schutz verlassen kann, kann man von Drohungen nicht aus der Ruhe gebracht werden. DDoS-Angriffe werden effektiv bekämpft und die Infrastruktur geschont. Zudem agiert ein modernes Schutzsystem automatisiert und gibt so dem menschlichen Personal dahinter Zeit und Raum, auf andere Anomalien wie Schadsoftware zu achten. 

    (2) Zero-Trust-Politik  

    Bei einer eingesetzten Zero-Trust-Strategie gelten jede Transaktion und alle Identitäten als nicht vertrauenswürdig. Dieses Vorgehen hilft, ständig in Alarmbereitschaft zu sein und nicht davon auszugehen, dass das System ohnehin sicher wäre.

    So fallen Sicherheitsrisiken eher auf und Gefahrenquellen können beseitigt werden, bevor sie zum tatsächlichen Problem kommen. Als explizites Beispiel gilt hier die Kontrolle von potenziellen Phishing-E-Mails, die nach wie vor noch als großes Einfallstor für Ransomware gelten. 

    (3) Abgesicherte Web-Gateways 

    Unternehmen sollten eine cloudbasierte Lösung zum Schutz des Web-Gateways einsetzen, um mit Funktionen wie Secure DNS die ungewollte Extraktion von Daten so schwierig wie nur möglich zu machen. Allein durch dieses Vorgehen steigert sich die Resilienz um ein Vielfaches und die Gefahr gestohlener Daten wird ebenso deutlich verringert. 

    Sie haben noch Fragen bezüglich DDoS-Angriffe, Ransomware und Triple Extortions? Kontaktieren Sie uns gerne und unsere Kollegen stehen Ihnen jederzeit mit Rat und Tat zur Seite. 

    Jetzt kontaktieren >>

    Black Friday 2022: Ruhigeres Fahrwasser und trotzdem lauern Gefahren im Cyberraum
    Link11 DDoS-Report: Verdopplung der Angriffe im 1. Quartal 2021
    X