Link11 warnt: DDoS-Erpresser von Stealth Ravens machen mit Mirai-Botnetz ernst

31.01.2017   
Link11 warnt: DDoS-Erpresser von Stealth Ravens machen mit Mirai-Botnetz ernst

Unter dem Namen Stealth Ravens sind seit Mitte der vergangenen Woche neue DDoS-Erpresser in Deutschland aktiv. Ihre Erpresser-E-Mails an E-Commerce-Anbieter werden von Warnattacken durch ein Mirai-Botnetz begleitet. Das Link11 Security Operation Center (LSOC) warnt daher alle Online-Shops vor DDoS- Angriffen, die mehr als 10 Gbps erreichen können.

Frankfurt/M., 31.01.2017 - Die neuen Täter mit dem Alias Stealth Raven orientieren sich in ihrem Vorgehen an bewährten DDoS-Erpressungsmethoden, zeigen sich aber aggressiver als viele ihrer Vorgänger. Auf das Erpresserschreiben, in dem sie 5 Bitcoins fordern, folgt nach wenigen Stunden eine Warnattacke auf einen Server des angeschriebenen Online-Shops.

Das Vorgehen von Stealth Ravens

LSOC hat mehrere Erpresserschreiben und das Vorgehen der Täter bei den Demo-Attacken analysiert und folgende Informationen über Stealth Ravens zusammengetragen:

Herkunft: DDoS-Erpressungen durch Stealth Ravens sind erst seit Mitte Januar 2017 bekannt. Wie viele Täter es sind und aus welchen Ländern sie stammen, ist aktuell noch unklar.

Absender-Adressen: Diese unterscheiden sich, sie sind aber alle bei anonymen E-Mail-Diensten registriert.

Empfänger-Adressen: Die Täter schreiben die Unternehmen über allgemeine E-Mail-Adressen an, die sich leicht im Impressum der Opfer-Webseiten recherchieren lassen.

Erpresserschreiben: Sie sind in Englisch verfasst, kurzgehalten und kommen direkt auf den Punkt. Identische Passagen wechseln sich mit individuellen Informationen und Formulierungen je Erpressungsopfer ab. Die Texte sind aber nicht von DD4BC, Armada Collective oder anderen bekannten DDoS-Erpressern kopiert. Statt pauschaler Drohungen kündigen Stealth Ravens eine Demo-Attacke auf einen konkreten Unternehmensserver an.

Demo-Attacke: Ihre angekündigten Warnattacken setzen die Täter nach Kenntnisstand des LSOC konsequent um. Zwischen der Ankündigung und dem Beginn der Attacke vergeht nur kurze Zeit. Die Angriffsbandbreiten erreichen bis zu 15 Gbps. Die Täter nutzen angeblich ein Mirai-Botnetz zur Ausführung der Attacken.

Bitcoin-Adresse: Die DDoS-Erpresser weisen jedem Unternehmen eine spezifische Bitcoin-Adresse zu.

Zahlungsfrist: Die erpressten Unternehmen haben bis zum 1. bzw. 2. Februar Zeit sich mit Bitcoins von weiteren DDoS-Attacken freizukaufen. Für den Fall, dass sich ein Unternehmer der Zahlung verweigert, drohen ein neuer Angriff sowie eine doppelt so hohe Lösegeldsumme.

Warnung vor aggressiven Tätern

Nach Einschätzung des LSOC sind die Erpressungsversuche von Stealth Ravens unbedingt ernst zu nehmen. Die DDoS-Schutzexperten empfehlen jedem Online-Shop, vorhandene Schutzsysteme zu aktivieren und den Hosting-Anbieter über die Erpressung zu informieren.

Aktuell konzentrieren sich Stealth Ravens auf die E-Commerce-Branche in Deutschland. Eine Ausweitung auf andere Wirtschaftsbereiche oder die Nachbarländer Österreich und Schweiz sind nicht auszuschließen.

Wenn die DDoS-Erpresser ihre angekündigten Folgeattacken gegen einen DDoS-Schutzkunden von Link11 starten, wird das LSOC diese umgehend abwehren und das attackierte Unternehmen schützen. Anschließend werden sich die Security-Experten auf die die Auswertung der Angriffsdaten konzentrieren.

Zurück zur Übersicht

Anstehende Events

Link11 auf den WHDusa 2017
11.09.2017    Las Vegas, Tropicana Hotel
Mehr lesen
Link11 Vortrag auf den Internet Security Days 2017
28.09.2017    Phantasialand Brühl
Mehr lesen
Link11 auf der Infosecurity 2018
05.06.2018    London, Olympia
Mehr lesen