Seit Mitte Oktober 2019 erhalten Unternehmen aus dem Bereich Payment, Entertainment und Retail DDoS-Erpresser-Mails im Namen von Fancy Bear. Aus aktuellem Anlass warnt das Link11 Security Operation Center vor den DDoS-Attacken der Täter, die vor allem auf die Original-Infrastruktur der Unternehmen zielen.
“We are the Fancy Bear and we have chosen XXX as target for our next DDoS attack”, mit diesen Worten werden Unternehmen seit Mitte Oktober mit DDoS-Attacken erpresst. Der oder die Täter geben sich als Fancy Bear aus. Mit der eigentlichen russischen Hackergruppe, die 2014/2015 das interne Netzwerk des Bundestages angegriffen haben sollen, haben sie aber wenig gemein.
Die Erpresser richten ihre Schutzgeldforderungen von 2 Bitcoin (umgerechnet ca. 14.200 Euro, Stand: 23.10.2019) gegen Anbieter aus den Bereichen Payment, Entertainment und Retail. Die E-Mail-Forderungen enthalten opferspezifische Bitcoin-Adressen. Nach einer ersten Warn-Attacke bleiben den Opfern zwischen 2 und 4 Tage, um das Schutzgeld zu zahlen. Erfolgt kein Zahlungseingang auf die angegebene Bitcoin-Adresse zielt eine weitere Attacke auf das Opfer.
Hier eines der Erpresserschreiben, dessen Wortlaut stark an die Schutzgeldforderungen von DDoS-Erpressern aus dem Frühjahr 2016 angelehnt ist. Diese hatten unter dem Namen Kadyrovtsy vor allem Banken und Online-Marketing-Unternehmen angegriffen.
Großvolumige Attacken nutzen neue DDoS-Vektoren
Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern, die bluffen, belässt es Fancy Bear nicht nur bei Erpresser-Mails. Der oder die Täter unterstreichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken bis zu 60 Gbps. Bei den langanhaltenden Demoattacken nutzen die Angreifer neben schon bekannten Reflection-Amplification-Vektoren DNS, NTP und CLDAP auch die neuen Angriffstechniken WS Discovery und Apple Remote Control.
Origin-Infrastruktur unter Beschuss
Das Besondere an den Attacken ist, dass sie nicht auf die Homepage zielen, sondern auf oft unzureichend geschützte Stellen in der Unternehmens-IT. Dazu zählen z.B. originale IP-Adressen und Ursprungsserver. Auch wenn Unternehmen einen DDoS-Schutz implementiert haben, können sie den Angriffen wehrlos gegenüberstehen. Nur ein Site Shield verhindert den direkten Zugriff auf die Origin-Infrastruktur des Unternehmens und schützt den Ursprung von Webseiten und Anwendungen vor Überlastung durch DDoS-Attacken.
Handlungsempfehlung: Ursprungsserver sichern
Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch Subdomains und die Origin-Infrastruktur abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren. Damit die IT-Infrastruktur ganzheitlich geschützt werden kann, ist es wichtig, den gesamten Traffic auf DDoS-Angriffe zu prüfen und gegebenenfalls zu filtern. Angreifer können trotz Site Shield und guter Firewall Lösungen diese direkt attackieren und die Bandbreite ausreizen.
Die attackierten Unternehmen sollten auf keinen Fall auf die Erpressungen eingehen und stattdessen Anzeige bei den Strafverfolgungsbehörden erstatten. In Deutschland bietet die Allianz für Cybersicherheit eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.
www.link11.com/de