Selbsternannte Robin Hoods setzen auf neue DDoS-Erpressermasche

12.05.2016   
Selbsternannte Robin Hoods setzen auf neue DDoS-Erpressermasche

Nachdem erst vorletzte Woche Trittbrettfahrer DDoS-Erpressungen im Namen von Lizard Squad durchgeführt haben, fordern nun DDoS-Erpresser unter dem Namen „caremini“ gerade einmal 1 Bitcoin als „Spende“ von deutschen Unternehmen, um es angeblich an Charity-Organisationen zu verteilen.

Frankfurt 12. Mai 2016 – Eine DDoS-Erpresserwelle gegen tausende Unternehmen in Deutschland startete am 11. Mai 2016. Unter dem Absender „robin.hood@caremini.de“ fordern DDoS-Erpresser in gutem Deutsch einen ungewöhnlich niedrigen Betrag von 1 Bitcoin von ihren Opfern. Das DDoS-Schutzgeld soll dann auf diverse Organisationen wie Save the Children, WWF Deutschland und Ärzte ohne Grenzen aufgeteilt werden. Wer nicht zahlt, dem droht eine heftige DDoS-Attacke. Die Erpresser setzen derweil keinen gezielten Fokus auf Branchen. Die Opfer sind große Finanzunternehmen in Deutschland bis hin zu kleineren IT-Dienstleistern. Ein durchdachtes Muster lässt sich daher nicht erkennen. Die Zahlungsfrist beträgt 5 Werktage.

Hier das Original-Erpresserschreiben.

Ob das Geld am Ende wirklich gespendet werden soll, bleibt fragwürdig. Stattdessen geht das Link11 Security Operation Center (LSOC) wieder von Trittbrettfahrern aus, die durch die intensive Medienberichterstattung über die Erpresserbande Armada Collective das schnelle Geld gewittert haben. In einem Blogppost vom 25. April diesen Jahres hatte der Cloudflare-CEO darüber berichtet, dass Nachahmer im Namen der international tätigen Gruppe Armada Collective durch die reine Androhung von DDoS-Attacken eine stolze Summe von 100.000 Dollar erpresst hätte. Wie bereits in einer Pressemeldung vom 29. April beschrieben, geht das LSOC davon aus, dass dies leicht als Anleitung für Nachahmer und Trittbrettfahrer verstanden werden kann. Auffällig ist auch, dass die neuen Täter offensichtlich Fehler ihrer Vorgänger ausgemerzt haben, die in dem Blogpost detailliert beschrieben wurden.

Seit dem Auftreten der ersten Erpressermails von caremini hat das LSOC das Vorgehen der Täter analysiert. Es weicht in wichtigen Punkten vom Vorgehen anderer Trittbrettbrettfahrer der vergangenen Wochen ab:

  • Während Erpresser wie die frühen Armada Collective und DD4BC die E-Mail-Adressen ihrer Opfer sorgfältig im Vorfeld recherchierten, nutzt caremini offensichtlich Crawler, um E-Mail-Kontakten von tausenden von Webseiten abzufragen. Die Erpresser-Mails richten sich daher an Adressen wie und , wie sie auf jeder Webseite eingesehen werden können.
  • Für jedes Unternehmen generiert caremini eine individuelle Bitcoin-Adresse. Der Zeitaufwand dafür beträgt ca. 200 Millisekunden. In einer Stunde kommen die Täter so auf 18.000 Bitcoin-Adressen.
  • Die DDoS-Erpresser nutzen ebenfalls ein Script, um die E-Mail-Kontaktdaten und Bitcoin-Adressen in einem Text-Template zusammenführen und automatisiert zu verschicken.
  • Die Täter versenden ihre Droh-Mails direkt an die Mail-Server der Opfer-Unternehmen. Sie nutzen weder Routing über TOR noch verschleiern sie die Absende-Adresse. Dafür setzen sie auf eine starke
  • Verschlüsselung. Der eingesetzte Linux-Distributor dürfte nicht älter als 2015 sein.
  • Beim verwendeten Mail-User-Agent handelt es sich um das Unix-basierte mailx, ein leicht skriptbares Linux-Programm.
  • Die Absender-IP ist auf den Hosting-Anbieter Voxility in Rumänien eingetragen, während die Domain angeblich von deutscher Seite registriert wurde.

Dass die Täter die IP-Adresse selbst registriert haben, liegt im Bereich des Möglichen. Nach Einschätzungen des LSOC ist es aber wahrscheinlicher, dass sie den Linux-Server von caremini erst vor kurzem gehackt haben. Eine Sicherheitslücke via ImageMagic könnte zum Beispiel das betroffene System verwundbar gemacht haben.

Das LSOC steht mit den Strafverfolgungsbehörden und dem German Competence Center against Cybercrime im engen Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.

DDoS-Schutzspezialisten wie die des LSOC raten die Erpressung unbedingt anzuzeigen. Die Allianz für Cybersicherheit bietet eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.

Zurück zur Übersicht

Anstehende Events

Link11 auf den WHDusa 2017
11.09.2017    Las Vegas, Tropicana Hotel
Mehr lesen
Link11 Vortrag auf den Internet Security Days 2017
28.09.2017    Phantasialand Brühl
Mehr lesen
Link11 auf der Infosecurity 2018
05.06.2018    London, Olympia
Mehr lesen