Seite wählen

DRDoS & RDoS: Erpressung mittels Reflection-Attacken

Bedrohungslage | 11 September 2020

Lesezeit: .

In den vergangenen Wochen häufen sich DRDoS- und RDoS-Attacken auf deutsche Unternehmen und Behörden. Dabei nutzen Cyberkriminelle die Schlagkraft hochvolumetrischer Reflection-Angriffe, um hohe Lösegeldforderungen zu erpressen.

Aus technischer Sicht handelt es sich bei einer Distributed-Reflected-Denial-of-Service-Attacke (DRDoS) um eine Sonderform von DDoS. Hier stammen die schädlichen Anfragen nicht etwa direkt vom Angreifer selbst oder einem dafür aufgesetzten Botnet, sondern von regulären Internetdiensten. Diese funktionieren Cyberkriminelle zur Waffe um, indem sie diverse Internetprotokolle missbrauchen. So können Angreifer beispielsweise per IP-Spoofing (dem Versenden von IP-Paketen mit verfälschter IP-Absenderadresse) Internetdienste manipulieren, um den Traffic auf ein bestimmtes Ziel umzuleiten. Durch dieses Vorgehen verschleiern die Angreifer den eigentlichen Ursprung der DDoS-Attacke und sorgen gleichzeitig für eine massive Steigerung der abgefeuerten Bandbreite.

DRDoS-Attacken erfolgen in der Regel über hoch verstärkende Reflektoren wie DNS-Dienste, welche die kurzen Anfragen der Angreifer mit großen Datenpaketen beantworten. Auf diese Weise steigern solche Reflection-Attacken die Schlagkraft der Angriffe um ein Vielfaches. Weitere gängige Typen von Reflektoren sind etwa die Protokolle NTP, TFTP oder Memcached – über Letzteres lässt sich die Bandbreite von Attacken maximal um das 51.000-fache verstärken.

Mitigation auf mehreren Schichten erforderlich

Meist beschränken sich Cyberkriminelle aber nicht nur auf einen Angriffsvektor, der DDoS-Trend zu Multi-Vektor-Angriffen hält an. Durch die parallele Offensive auf unterschiedliche Netzwerk-Layer zeigen sich Schwächen in der Web-Infrastruktur von Unternehmen umso deutlicher. Attacken auf die Vermittlungs- und Transportschicht sind typischerweise TCP SYN Floods oder Reflection-Angriffe auf UDP-Basis. Diese zeichnen sich entweder durch sehr hohe Bandbreiten oder immense Paketraten aus. Unterdessen erfolgen Angriffe auf Layer 7 oftmals per HTTP-GET-Flood- oder Low- und Slow-Attacken. Von Unternehmen erfordert eine erfolgreiche Abwehr ein entsprechend ganzheitliches Schutzkonzept, das alle relevanten Angriffsvektoren adressiert – ansonsten drohen teure Ausfälle.

Erpressung als Geschäftsmodell: Ransom Denial of Service

Sobald eine DDoS-Attacke mit einer Lösegeldforderung verknüpft ist, spricht man in der Cybersicherheit von einem RDoS-Angriff (Ransom Denial of Service). Die betroffenen Unternehmen erhalten zunächst ein Erpresserschreiben, das zur Zahlung eines Lösegeldes in der Kryptowährung Bitcoin auffordert. Parallel dazu erfolgt ein erster DDoS-Angriff, der zeigen soll, dass es die Cybererpresser ernst meinen. Sollte das betroffene Unternehmen der Zahlung nicht in der festgesetzten Zeit nachkommen, erfolgt die eigentliche Attacke. Oftmals geben sich die Angreifer in den per E-Mail versandten Erpresserbriefen als Mitglieder bekannter Hackergruppen wie Fancy Bear, Armada Collective und Lazarus Group aus, um ihren Forderungen noch mehr Nachdruck zu verleihen. Inwiefern tatsächlich Verbindungen zu diesen international tätigen Gruppierungen bestehen, ist nicht bekannt.
In den jüngst durchgeführten RDoS-Kampagnen auf deutsche Unternehmen setzten Cyberkriminelle bei der ersten Angriffswelle auf Reflection-Attacken mit rund 200 GBit/s. Waren die Opfer nicht bereit, den Lösegeldforderungen nachzukommen, folgte ein zweiter, weitaus stärkerer Angriff mit bis zu 2 TBit/s – gleichzeitig stiegen die Lösegeldforderungen kontinuierlich von anfangs 100.000 Euro in Bitcoin auf bis zu 400.000 Euro. Die Angriffe hielten an, bis die betroffene Firma die geforderte Summe überwiesen hatte.

DDoS-Erpresser erfolgreich abwehren

Die beschriebenen Angriffsmuster sind keineswegs neu, in den vergangenen Jahren verzeichnete Myra Security schon mehrfach vergleichbare Attacken und mitigierte diese erfolgreich. Dennoch sind selbst heute noch viele Unternehmen nicht ausreichend auf den Ernstfall vorbereitet. Ungeschützte Systeme brechen unter der Last einer volumetrischen DRDoS-Attacke unweigerlich zusammen.

Glücklicherweise verschafft das Angriffsszenario betroffenen Firmen genügend Zeit zum Handeln. Dadurch haben bedrohte Unternehmen die Möglichkeit, bei Bedarf kurzfristig die erforderlichen Schutzsysteme nachzurüsten. Als Cloud-basierte Lösung lässt sich die Myra DDoS Protection auch im Angriffsfall in kürzester Zeit implementieren – ohne zusätzliche Software oder Hardware.

Schutzlösungen mit Abschreckeffekt

Einmal mit adäquatem Schutz ausgestattet, überstehen die digitalen Prozesse von Unternehmen auch Angriffe mit hoher Bandbreite ohne nennenswerte Ausfälle. Cyberkriminelle verlieren in solchen Situationen oft schon nach der ersten Attacke das Interesse am jeweiligen Ziel. Zu hoch fällt das Risiko aus, durch eine missglückte Attacke das dahinterliegende Angriffskonstrukt aus Botnetzen und korrumpierten Servern zu gefährden. Tech-Konzerne und Ermittlungsbehörden sind permanent auf der Jagd nach Cyberkriminellen und deren digitalen Angriffswerkzeugen.

Kompetenter DDoS-Schutz aus Deutschland

Die Myra DDoS Website Protection schützt Webapplikationen auf Layer 7 vollautomatisch. Dank hundertprozentiger Traffic-Sichtbarkeit ermöglicht Myra ein intelligentes Load-Balancing sowie Site Failover mit hoher Zuverlässigkeit und minimalen Antwortzeiten.

Die Myra DDoS BGP Protection schützt vor volumetrischen Angriffen auf den Layern 3 und 4. Die Schutzlösung ist einfach zu implementieren und erfordert keine zusätzliche Hardware oder Software. Über das automatische Flow-Monitoring sind detaillierte Traffic-Analysen (NetFlow und sFlow) möglich. Die Umschaltung von betroffenen Netzen erfolgt im Angriffsfall ebenfalls vollautomatisch.

Diesen Artikel teilen

Ähnliche Artikel

Security Insights | 2 Juni 2020

Alles rund um Geoblocking, Geotargeting und Geolocation

Weiterlesen

Security Insights | 19 März 2020

Appell zu digitaler Besonnenheit

Weiterlesen

Security Insights | 3 September 2020

BaFin fordert höhere Hürden für IT-Auslagerung

Weiterlesen