Radware warnt vor akuten DDoS-Angriffen mit über 2 Tbps

Seit Mitte August drohen Akteure, die sich als “Fancy Bear”, “Armada Collective” und “Lazarus Group” ausgeben, mit massiven DDoS-Attacken. Die Geldforderungen werden per E-Mail zugestellt und enthalten in der Regel opferspezifische Daten wie Autonomous System Numbers (ASN) oder IP-Adressen von Servern oder Diensten, auf die sie abzielen werden, wenn ihre Forderungen nicht erfüllt werden. Diese globale Kampagne zielt vor allem auf Finanzdienstleister, E-Commerce und die Reisebranche. Das berichtet der Lösungsanbieter für Cyber-Sicherheit Radware (Website).

 

Die Lösegeldforderung wird zunächst auf 10 Bitcoin festgesetzt, was aktuell rund 100.000 Euro entspricht – in einigen Fällen auch 20 Bitcoin. Diese Forderungen sind deutlich höher als bei vergleichbaren Kampagnen im Jahr 2019 (wir berichteten). Die Erpresser drohen mit DDoS-Angriffen von über 2 Tbps. Um die Echtheit zu beweisen, geben die Autoren an, wann sie einen Demonstrationsangriff starten werden.

Das Lösegeld wird für jede versäumte Frist um 10 Bitcoin erhöht. Jeder Brief enthält eine Bitcoin-Geldbörse für die Zahlung. Die Adresse des Wallets ist für jedes Ziel eindeutig und ermöglicht es dem Erpresser, Zahlungen zu verfolgen. Die Lösegeldbriefe sind in ihren Bedingungen und Forderungen sehr ähnlich zu früheren Kampagnen.

Demo-Angriffe mit bis zu 200 Gbps

In vielen Fällen folgen auf die Drohung Cyber-Angriffe mit einer Geschwindigkeit von 50 Gbps bis 200 Gbps. Zu den Angriffsvektoren gehören UDP- und UDP-Frag-Floods, einige mit WS-Discovery-Verstärkung, kombiniert mit TCP SYN, TCP out-of-state und ICMP Floods.

Die Drohungen sollten ernstgenommen werden. Auf die Briefe folgen oft DDoS-Angriffe, die jedoch mitigiert werden können, sofern der richtige Schutz vorhanden ist. Statt asymmetrisch gerouteter Routing-Cloud-Schutzmaßnahmen empfehlen die Sicherheitsspezialisten den Einsatz eines hybriden Always-on-Schutzes.

Radware empfiehlt den betroffenen Unternehmen, nicht zu zahlen. Eine Zahlung identifiziert das Opfer sonst als eines, das bereit ist, unter Bedrohung zu zahlen. Zudem finanziert das Lösegeld die Erpresser und ermöglicht es ihnen, ihre Fähigkeiten zu verbessern und motiviert sie, ihre Kampagne fortzusetzen.

Angriffe auch gegen ISP

Seit Ende August berichten auch mehrere Internet Service Provider in Europa von Störungen durch DDoS-Angriffe. Diese zielen in erster Linie auf die DNS-Infrastruktur der Provider ab und stören Kunden, welche die DNS-Server des Providers zur Auflösung von Internet-Hostnamen benutzen. Mehrere Provider waren davon betroffen, einige haben mehrtägige Störungen erlitten. Gegenwärtig sieht Radware aber keine unmittelbare Verbindung zwischen den ISP-Angriffen und der Lösegeldkampagne. Es gibt bisher keine Berichte über Lösegeldforderungen an ISPs, nur aus den Bereichen Finanzen, Reisen und E-Commerce.

Empfohlene Schutzmaßnahmen

1.Hybrider DDoS-Schutz – DDoS-Schutz vor Ort und in der Cloud für die Echtzeit-Prävention von DDoS-Angriffen, der auch Angriffe mit hohem Datenaufkommen abwehrt und vor Pipe Saturation schützt
2.Verhaltensbasierte Erkennung – Schnelles und genaues Erkennen und Blockieren von Anomalien bei gleichzeitigem Zulassen legitimen Datenverkehrs
3.Echtzeit-Signaturerstellung – Sofortiger Schutz vor unbekannten Bedrohungen und Zero-Day-Angriffen
4.Notfallplan für die Cyber-Sicherheit – Ein dediziertes Notfallteam von Experten, die Erfahrung mit IoT-Sicherheit und dem Umgang mit IoT-basierten Attacken haben
5.Erkenntnisse über aktive Bedrohungsakteure – zuverlässige, korrelierte und analysierte Daten für den präventiven Schutz gegen derzeit aktive bekannte Angreifer

pp