Seite wählen
Zurück zur Übersicht

Lesezeit: .

DDoS-Erpresser attackieren derzeit unter dem Namen „Cursed Patriarch“ Unternehmen im DACH-Raum. Aktuell lässt sich noch nicht abschließend festhalten, ob das der Anfang einer neuen RDoS-Angriffswelle ist. Erst im Sommer dieses Jahres hatten Cyberkriminelle unter dem Pseudonym „Fancy Lazarus“ eine globale Angriffskampagne gestartet und zahlreiche Unternehmen ins Visier genommen.

Im aktuellen Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) warnt die Behörde vor einer zunehmenden Spezialisierung der Angreifer. DDoS-Erpressung hat sich zu einer lukrativen Einnahmequelle für das Organisierte Verbrechen entwickelt. Firmen ohne dedizierten Schutz sind den Angreifern ausgeliefert. 

Erfahren Sie, wie Sie auf DDoS-Erpressung richtig reagieren und wie wir Sie präventiv oder im akuten Angriffsfall schützen. 

Notfall: Ich habe ein DDoS-Erpresserschreiben erhalten, was tun?

  • Zahlen Sie nicht und nehmen Sie keinen Kontakt zu den Erpressern auf – Wer sich auf den Deal mit den Kriminellen einlässt, macht sich verwundbar und zeigt sich als lukratives Ziel. Weitere Attacken mit komplexeren Angriffsmethoden und höheren Lösegeldforderungen können die Folge sein. Außerdem unterstützen die Zahlungen das Geschäftsmodell der Erpresser.
  • Prüfen Sie Ihre Infrastruktur auf mögliche Schwachstellen – Sind sensible Geschäftsprozesse auf allen dafür relevanten Netzwerkschichten dediziert gegen Überlastungsangriffe geschützt?
  • Implementieren Sie mit professioneller Hilfe geeignete Schutzmaßnahmen – Selbst in akuten Angriffsszenarien können DDoS-Attacken per Notfallaufschaltung in kürzester Zeit mitigiert werden.
  • Bringen Sie Angriffe und Erpressungsversuche bei der Polizei zur Anzeige – Für KRITIS-Betreiber besteht zudem eine Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

RDoS-Attacken: ein bewährtes Angriffsmuster

Das Angriffsmuster der DDoS-Erpresser ist keineswegs neu. In den vergangenen Jahren wurden bereits mehrfach großflächige RDoS-Kampagnen (Ransom Denial of Service) von Cyberkriminellen durchgeführt. Die Vorgehensweise blieb dieselbe: Unternehmen erhalten ein Erpresserschreiben, das zur Zahlung eines Lösegeldes in Bitcoin auffordert. Im selben Zeitraum erfolgt ein erster DDoS-Angriff, um den Forderungen mehr Nachdruck zu verleihen. Kommt das betroffene Unternehmen der Zahlung nicht fristgerecht nach, erfolgt eine weitere Attacke. Um ihren Lösegeldforderungen mehr Nachdruck zu verleihen, geben sich die Erpresserbanden häufig als bekannte Hackergruppen wie Fancy Bear APT28, Armada Collective oder Lazarus Group aus. Inwiefern wirklich Verbindungen zwischen den Angreifern und diesen international agierenden Gruppen bestehen, ist nicht bekannt. Die zuletzt von Myra Security mitigierte Attacke wurde unter dem Decknamen „Cursed Patriarch“ ausgeführt.

Bei den Attacken kommen meist mehrere Angriffsvektoren parallel zum Einsatz, die je nach Ziel auf Vermittlungs- und Transportebene (Layer 3 & 4) oder Anwendungsebene (Layer 7) ausgelegt sind. Zu den häufigsten Attacken auf Layer 3 & 4 zählen TCP SYN Floods und Reflection-Angriffe auf UDP-Basis. Weitere typische Angriffsvarianten sind ICMP Flood, UDP Fragmentation, UDP Amplification via DNS, NTP, rpcbind, SSDP, ACK Flood und RST Flood. Indessen sind HTTP GET, POST und weitere Flood-Attacken sowie Low- und Slow-Angriffe für Attacken auf Layer 7 die gängigsten Vektoren. Attacken auf die Anwendungsschicht haben sich zu einer der häufigsten Angriffsformen entwickelt.

Wen haben die Angreifer im Visier?

Die Cyberkriminellen haben es zunehmend auf größere und zahlungskräftige Unternehmen abgesehen. Auch Versorger aus dem KRITIS-Bereich, die systemrelevante Dienste für die Bevölkerung zur Verfügung stellen, geraten immer öfter ins Fadenkreuz der Angreifer. Im Zusammenhang mit dem aktuellen RDoS-Angriff im Namen von „Cursed Patriarch“ war ein Myra-Kunde betroffen. In enger Zusammenarbeit mit dem verantwortlichen IT-Team der Firma konnte Myra alle Angriffswellen souverän abwehren.

Ob Prävention oder schnelle Notfallhilfe im Angriffsfall: Myra Security ist für Sie da!

Die Myra DDoS Website Protection schützt Websites, DNS, Mail und VoIP auf den Layern 3, 4 und 7 vollautomatisch. Dank hundertprozentiger Traffic-Sichtbarkeit ermöglicht Myra ein intelligentes Load-Balancing sowie Site Failover mit hoher Zuverlässigkeit und minimalen Antwortzeiten.

Die Myra DDoS BGP Protection schützt vollautomatisch vor volumetrischen Angriffen auf den Layern 3 und 4. Die Schutzlösung ist einfach zu implementieren und erfordert keine zusätzliche Hardware oder Software. Über das automatische Flow-Monitoring sind detaillierte Traffic-Analysen (NetFlow und sFlow) möglich. Die Umschaltung von betroffenen Netzen erfolgt im Angriffsfall ebenfalls vollautomatisch.

Myra bietet ein umfangreiches Portfolio mit einem gleichermaßen attraktiven wie auch flexiblen Preismodell, das von On-Demand-Betrieb bis Flatrate reicht.

Diesen Artikel teilen