Frankfurt 12. Mai 2016 – Eine DDoS-Erpresserwelle gegen tausende Unternehmen in Deutschland startete am 11. Mai 2016. Unter dem Absender „robin.hood@caremini.de“ fordern DDoS-Erpresser in gutem Deutsch einen ungewöhnlich niedrigen Betrag von 1 Bitcoin von ihren Opfern. Das DDoS-Schutzgeld soll dann auf diverse Organisationen wie Save the Children, WWF Deutschland und Ärzte ohne Grenzen aufgeteilt werden. Wer nicht zahlt, dem droht eine heftige DDoS-Attacke. Die Erpresser setzen derweil keinen gezielten Fokus auf Branchen. Die Opfer sind große Finanzunternehmen in Deutschland bis hin zu kleineren IT-Dienstleistern. Ein durchdachtes Muster lässt sich daher nicht erkennen. Die Zahlungsfrist beträgt 5 Werktage.
Hier das Original-Erpresserschreiben.
Ob das Geld am Ende wirklich gespendet werden soll, bleibt fragwürdig. Stattdessen geht das Link11 Security Operation Center (LSOC) wieder von Trittbrettfahrern aus, die durch die intensive Medienberichterstattung über die Erpresserbande Armada Collective das schnelle Geld gewittert haben. In einem Blogppost vom 25. April diesen Jahres hatte der Cloudflare-CEO darüber berichtet, dass Nachahmer im Namen der international tätigen Gruppe Armada Collective durch die reine Androhung von DDoS-Attacken eine stolze Summe von 100.000 Dollar erpresst hätte. Wie bereits in einer Pressemeldung vom 29. April beschrieben, geht das LSOC davon aus, dass dies leicht als Anleitung für Nachahmer und Trittbrettfahrer verstanden werden kann. Auffällig ist auch, dass die neuen Täter offensichtlich Fehler ihrer Vorgänger ausgemerzt haben, die in dem Blogpost detailliert beschrieben wurden.
Seit dem Auftreten der ersten Erpressermails von caremini hat das LSOC das Vorgehen der Täter analysiert. Es weicht in wichtigen Punkten vom Vorgehen anderer Trittbrettbrettfahrer der vergangenen Wochen ab:
Dass die Täter die IP-Adresse selbst registriert haben, liegt im Bereich des Möglichen. Nach Einschätzungen des LSOC ist es aber wahrscheinlicher, dass sie den Linux-Server von caremini erst vor kurzem gehackt haben. Eine Sicherheitslücke via ImageMagic könnte zum Beispiel das betroffene System verwundbar gemacht haben.
Das LSOC steht mit den Strafverfolgungsbehörden und dem German Competence Center against Cybercrime im engen Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.
DDoS-Schutzspezialisten wie die des LSOC raten die Erpressung unbedingt anzuzeigen. Die Allianz für Cybersicherheit bietet eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.