Categories: Sicherheit

Erneute Welle von DDoS-Erpressungen durch Fancy Lazarus

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken. Mit dem Absender Fancy Lazarus erhalten Unternehmen aus den verschiedensten Wirtschaftsbereichen Erpresser-Mails, in denen 2 Bitcoins (Stand aktuell ca. 66.000 Euro) gefordert werden: „It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!“, argumentieren die Erpresser in ihrer E-Mail. Meldungen über RDoS-Angriffe hat das LSOC bislang aus mehreren europäischen Ländern wie Deutschland und Österreich sowie aus den USA und Kanada erhalten.

Vorgehen der DDoS-Erpresser

Die Täter informieren sich im Vorfeld über die IT-Infrastruktur des Unternehmens und machen in der Erpresser-Mail eindeutige Angaben dazu, welche Server und IT-Elemente sie für die Warn-Attacken angreifen werden. Als Druckmittel starten die Angreifer teils mehrstündige Demo-Attacken, die sich durch hohe Volumen von bis zu 200 Gbps auszeichnen. Um diese Angriffsbandbreiten zu erreichen, setzen die Täter Reflection-Amplification-Vektoren wie DNS ein. Sollten die Forderungen nicht erfüllt werden, drohen massive Hochvolumen-Attacken von bis zu 2 Tbps. Für den Transfer der Bitcoins an eine spezifische Bitcoin Wallet bleiben dem Unternehmen 7 Tage. In der E-Mail heißt es außerdem, dass sich das Lösegeld mit Verstreichen der Zahlungsfrist auf 4 Bitcoin erhöhen und mit jedem weiteren Tag um einen weiteren Bitcoin steigen würde. Teilweise bleiben nach Ablauf des Ultimatums die angekündigten Angriffe aus. In anderen Fällen kommt es zu beträchtlichen Störungen bei den erpressten Unternehmen.

Mutmaßliche Täter sorgten weltweit schon für Schlagzeilen

Die Täter sind keine Unbekannten. Mit einem identischen Erpresserscheiben wurden im Herbst 2020 schon Payment-Anbieter, Finanzdienstleister und Banken auf der ganzen Welt erpresst und mit RDoS-Angriffen überzogen. Hosting-Provider, E-Commerce-Anbieter sowie Logistik-Unternehmen standen auch im Fokus der Erpresser. Damals agierten sie unter dem Namen Lazarus Group und Fancy Bear oder gaben sich als Armada Collective aus. Auch die mehrtägigen Ausfälle an der Börse von Neuseeland werden den Tätern zugerechnet.

Die erneute Erpresser-Welle trifft viele Unternehmen zu einem Zeitpunkt, in dem sich ein Großteil der Belegschaft noch über Remote-Working organisiert und auf uneingeschränkten Zugang zum Unternehmensnetzwerk angewiesen ist. Marc Wilczek, Geschäftsführer von Link11: „Die Express-Digitalisierung, die viele Firmen in den vergangenen Pandemie-Monaten durchlaufen haben, ist häufig noch nicht zu 100 % gegen Angriffe abgesichert. Die Angriffsflächen sind stark gestiegen, die IT nicht ausreichend gehärtet. Diese noch offenen Flanken wissen die Täter zielgenau auszunutzen.“

Was bei DDoS-Erpressungen zu tun ist

Sobald sie eine Erpresser-Mail erhalten, sollten die Unternehmen proaktiv ihre DDoS-Schutzsysteme aktivieren und in keinem Fall auf die Erpressung eingehen. Wenn die Schutzlösung nicht auf Volumen-Attacken von mehreren hundert Gbps und darüber hinaus skalierbar ausgelegt ist, gilt es sich zu informieren, wie die unternehmensspezifische Schutzbandbreite kurzfristig erhöht und mittels SLA garantiert werden kann. Wenn erforderlich, ist dies auch per Notfallintegration als Sofortmaßnahme umzusetzen.

Die mehrmonatige Beobachtung der Täter durch das LSOC hat gezeigt: Firmen, die einen professionellen und umfangreichen DDoS-Schutz nutzen, können ihre Ausfallrisiken deutlich reduzieren. Sobald die Angreifer merken, dass ihre Attacken ins Leere laufen, stoppen sie diese und ziehen sich zurück.

In jedem Fall rät das LSOC den attackierten Unternehmen, Anzeige bei den Strafverfolgungsbehörden zu erstatten. Dafür sind speziell eingerichtete Zentrale Ansprechstellen für Cybercrime der Polizeien (ZAC), die bei den Landeskriminalämtern angesiedelt sind, der beste Anlaufpunkt.

Über Link11

Link11 ist der im Bereich Cyber-Resilienz führende europäische IT-Sicherheitsanbieter mit Hauptsitz in Deutschland und weltweiten Standorten in Europa, Nordamerika, Asien und dem Nahen Osten. Die cloudbasierten Security-Services sind vollständig automatisiert, reagieren in Echtzeit und wehren alle Angriffe, sowohl bekannte als auch neue Muster, garantiert in unter 10 Sekunden ab. Damit bietet Link11 laut einhelliger Analysten-Meinung (Gartner, Forrester) die schnellste Erkennung und Abwehr (TTM), die auf dem Markt verfügbar ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Link11 als qualifizierten DDoS-Schutzanbieter für kritische Infrastrukturen aus.

Um Cyber-Resilienz zu gewährleisten, sorgen u.a. Web- und Infrastruktur-DDoS-Schutz, Bot-Management, Zero-Touch-WAF bis hin zu Secure-CDN-Services für eine ganzheitliche und plattformübergreifende Härtung der Netzwerke und kritischer Anwendungen von Unternehmen. Das 24/7 besetzte Link11 Security Operation Center, das nach dem Follow-the-Sun-Prinzip auf die Standorte in Deutschland und Kanada verteilt ist, stellt den reibungslosen Ablauf aller Systeme sicher und betreut den Ausbau des globalen MPLS-Netzwerks mit 41 PoPs und über 4 Tbps Kapazität. Garantierte Schutzbandbreiten bis zu 1Tbps bieten höchste Zuverlässigkeit. Die internationalen Kunden können sich so auf ihr Geschäft und digitales Wachstum konzentrieren. Seit der Gründung des Unternehmens im Jahr 2005 wurde Link11 mehrfach für seine innovativen Lösungen und sein Wachstum mit verschiedenen Preisen ausgezeichnet

Maria Jose Carrasco

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

20 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

22 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

23 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago