Der Jahreszeit entsprechend beobachtet das BSI auch dieses Jahr einen Anstieg der Aktivitäten im DDoS-Bereich vor den anstehenden umsatzstarken Onlineaktivitäten im E-Commerce-Bereich (Black Friday, Cyber Monday, Vorweihnachtsgeschäft, Weihnachtsgeschäft).
Hierbei wurden in zwei Bereichen herausragende Entwicklungen beobachtet:
1. Entwicklung von DDoS-Angriffsinfrastrukturen
Bereits Ende August / Anfang September 2021 kamen DDoS-Angriffsinfrastrukturen zum Einsatz, mit denen seit mehreren Monaten bestehende Rekordwerte von DDoS-Parametern übertroffen wurden. Beim Angriff auf die Microsoft Azure-Cloud wurde ein neuer Rekordwert bei der Spitzenangriffsbandbreite (Einheit: bits per second, bps) von 2,4 Tbps erreicht. Der Angriffsvektor war ein UDP-Reflection-Angriff, die Angriffsdauer erstreckte sich über mehr als zehn Minuten, mit sehr kurzlebigen Bursts, die jeweils innerhalb von Sekunden auf Terabit-Volumen anstiegen. Insgesamt wurden drei Spitzenwerte beobachtet, den ersten mit 2,4 Tbps, den zweiten mit 0,55 Tbps und den dritten mit 1,7 Tbps.
Beim Angriff gegen Yandex kam das Meris-Botnetz zum Einsatz, mit welchem ein neuer Anfrageratenrekordwert (Einheit: requests per second, rps) mit nahezu 22 Mrps erreicht wurde. Das Meris-Botnetz besteht zum großen Teil aus zahlreichen Home-Routern des lettischen Herstellers MikroTik.
Auch in anderen DDoS-Angriffsinfrastrukturen konnten ungewöhnliche Entwicklungen beobachtet werden: Im Oktober 2021 wurden mit durchschnittlich 9307 neuen Varianten pro Tag rund 286 Prozent mehr neue Varianten der XorDDoS-Malware bekannt, als noch im Vormonat. Als Malware-Variante zählt hierbei jede im Hinblick auf ihren Hashwert einzigartige Variante einer Malware. XorDDoS ist ein Linux-Trojaner, der auf Docker Server zielt. Das XorDDoS-Botnetz wurde bereits vor Jahren für großvolumige DDoS-Angriffe genutzt.
2. Entwicklung von DDoS-Schutzgelderpressungen
Die Anzahl der Vorfälle im Zusammenhang mit DDoS-Schutzgelderpressung erfahren weiterhin einen stetigen Zuwachs. Seit Oktober 2019 stehen sie verstärkt in der öffentlichen Wahrnehmung, als Erpressergruppen begannen, im Namen von bekannten APT-Gruppierungen DDoS-Angriffe mit Lösegeldforderungen auszuführen. Im Laufe der Zeit verlagerten sich die Aktivitäten der Angreifer auf unterschiedliche Branchen. Aktuelle Kampagnen richten sich vornehmlich gegen Telekommunikationsanbieter / VoIP-Provider und E-Mail-Provider im nationalen und internationalen Raum.
Beispiele für bekannt gewordene Schutzgelderpressungen gegen Telekommunikationsanbieter / VoIP-Provider:
1. August 2021 britische VoIP-Anbieter Voip Unlimited & Voipfone
2. September 2021 bis 16. September 2021 Belgisches Telekommunikationsunternehmen Edpnet
3. September 2021 Kanadischer Voice-over-IP Provider VoIP.ms
4. September bis 29. September 2021 U.S. Unternehmen Bandwith
5. Oktober bis 08. Oktober 2021 britische VoIP-Anbieter VoIP Unlimited
6. Oktober 2021 britische VoIP-Anbieter Voipfone
7. November 2021 U.S. Unternehmen Telnyx
Beispielhafte bekannt gewordene Schutzgelderpressungskampagne gegen E-Mail-Provider:
Zwischen Donnerstag, dem 21.10.2021 und Montag, dem 25.10.2021 fand eine DDoS-Schutzgelderpressungskampagne gegen mindestens sieben E-Mail-Serviceprovider statt, welche E-Mail-Dienste mit Sicherheitsfunktionen anbieten. Neben dem deutschen Provider Posteo waren im internationalen Umfeld die Unternehmen Runbox, Fastmail, TheXYZ, Guerilla Mail, Kolab Now, und RiseUp betroffen. Die Unternehmen erhielten nach den DDoS-Angriffen (Spitzen bis zu 256 Gbps) eine Schutzgeldforderung in Höhe von 0,06 BTC (ca. $4.000).
Bewertung
Besonders die rekordbrechenden DDoS-Angriffsinfrastrukturen verfügen über ein hohes Angriffspotenzial, mit welchem sich im Falle eines Angriffs auch bei bisher ausreichenden Schutzmaßnahmen entsprechende Auswirkungen erzielen lassen könnten.
Es kann davon ausgegangen werden, dass die aktuell entwickelten DDoS-Angriffsinfrastrukturen sowohl im nationalen als auch im internationalen Umfeld bei den genannten umsatzstarken Onlineaktivitäten im E-Commerce-Bereich so oder in ähnlicher Form zum Einsatz kommen werden. Im Vorfeld von Black Friday und Cyber Monday sowie des Vorweihnachtsgeschäfts könnten die neuen Varianten des XorDDoS-Botnetz den Angreifern insbesondere dazu dienen, das Botnetz weiter zu vergrößern, d.h. mehr Systeme zu infizieren und damit mehr Ressourcen für DDoS-Angriffe verfügbar zu machen. In diesem Jahr wird besonders bei den DDoS-Schutzgelderpressungen ein signifikanter Zuwachs erwartet.
Maßnahmen
Organisationen wird empfohlen, ihre DDoS-Schutzmaßnahmen gegen aktuelle DDoS-Angriffstechniken zu evaluieren, um der aktuellen Bedrohungslage begegnen zu können. Hierbei sollte besonderes Augenmerk auf UDP- Reflection-Angriffe und Angriffe mit hohen Anfrageraten gelegt werden. Prüfen Sie zudem, welche Folgen der Ausfall verschiedener angreifbarer Komponenten sowie Nebenwirkungen “benachbarter” Systeme auf ihre Institution haben kann. Weiterhin wird empfohlen, zeitnah Handlungspläne im Falle von DDoS-Erpressungsversuchen zu erstellen. Das BSI empfiehlt, nicht auf Schutzgeldforderungen einzugehen. Als Präventivmaßnahme gegen XorDDoS empfiehlt es sich, Telnet zu deaktivieren und SSH mindestens mit einem starken Passwort oder asymmetrischem Key abzusichern. Gegen SSHBruteforcing kann fail2ban eingesetzt werden; ein Python-Programm, das Serverdienste absichern kann.
www.bsi.bund.de