Akute Ransom-Attacken auf Finanzdienstleister, E-Commerce und die Reisebranche

Anzeige

Seit Mitte August hat Radware mehrere Ransom-Kampagnen von Akteuren verfolgt, die sich als »Fancy Bear«, »Armada Collective« und »Lazarus Group« ausgeben und mit massiven DDoS-Attacken drohen. Die Geldforderungen werden per E-Mail zugestellt und enthalten in der Regel opferspezifische Daten wie Autonomous System Numbers (ASN) oder IP-Adressen von Servern oder Diensten, auf die sie abzielen werden, wenn ihre Forderungen nicht erfüllt werden. Es handelt sich um eine globale Kampagne, die vor allem auf Finanzdienstleister, E-Commerce und die Reisebranche abzielt.

Die Lösegeldgebühr wird zunächst auf 10 BTC festgesetzt, was aktuell knapp 100.000 Euro entspricht – in einigen Fällen auch 20 BTC. Diese Forderungen sind deutlich höher als bei vergleichbaren Kampagnen im Jahr 2019, bei denen in der Regel zwischen 1 BTC und 2 BTC verlangt wurden. Die Erpresser drohen mit DDoS-Angriffen von über 2 Tbps, falls die Zahlung nicht erfolgt. Um zu beweisen, dass der Brief kein Schwindel ist, geben die Autoren an, wann sie einen Demonstrationsangriff starten werden.

Aus dem Brief geht hervor, dass der Angriff fortgesetzt wird, wenn die Zahlung nicht vor Ablauf der Frist erfolgt, und das Lösegeld für jede versäumte Frist um 10 BTC erhöht wird. Jeder Brief enthält eine Bitcoin-Geldbörse für die Zahlung. Die Adresse des Wallets ist für jedes Ziel eindeutig und ermöglicht es dem Erpresser, Zahlungen zu verfolgen. Unabhängig vom jeweiligen Absender sind die Lösegeldbriefe sind in ihren Bedingungen und Forderungen sehr ähnlich und ähneln denen früherer Kampagnen.

 

Demo-Angriffe mit bis zu 200 Gbps

In vielen Fällen folgen auf die Lösegelddrohung Cyberangriffe mit einer Geschwindigkeit von 50 Gbps bis 200 Gbps. Zu den Angriffsvektoren gehören UDP- und UDP-Frag-Floods, einige mit WS-Discovery-Verstärkung, kombiniert mit TCP SYN, TCP out-of-state und ICMP Floods.

Laut Radware sollten solche Lösegeldforderungen mit vergleichbaren Indikatoren ernst genommen werden. Auf die Briefe folgen oft DDoS-Angriffe, die jedoch mitigiert werden können, sofern der richtige Schutz vorhanden ist. Statt asymmetrisch gerouteter Routing-Cloud-Schutzmaßnahmen empfehlen die Sicherheitsspezialisten den Einsatz eines hybriden Always-on-Schutzes.

Radware rät davon ab, die Lösegeldforderung zu zahlen, da es keine Garantie dafür gibt, dass die Angreifer die Bedingungen einhalten, und eine Zahlung identifiziert das Opfer als eines, das bereit ist, unter Bedrohung zu zahlen. Die Zahlung des Lösegelds finanziert die bösartige Operation und ermöglicht es den Akteuren, ihre Fähigkeiten zu verbessern und motiviert sie, ihre Kampagne fortzusetzen.

 

Angriffe gegen ISPs

Seit der letzten Augustwoche verfolgt Radware zudem mehrere Internet Service Provider in Europa, die von Störungen durch DDoS-Angriffe berichtet haben. Die Angriffe zielen in erster Linie auf die DNS-Infrastruktur der Provider ab und stören Kunden, die die DNS-Server des Providers zur Auflösung von Internet-Hostnamen benutzen. Mehrere Provider waren davon betroffen, und einige haben mehrtägige Störungen erlitten. Gegenwärtig hat Radware keine unmittelbare Verbindung zwischen den ISP-Angriffen und der Lösegeldkampagne. Es gibt einige Lösegeldbriefe, die darauf hinweisen, dass der Demonstrationsangriff auf die DNS-Infrastruktur abzielt, aber damit enden die Ähnlichkeiten. Es gibt keine Berichte über Lösegeldforderungen an ISPs, nur aus den Bereichen Finanzen, Reisen und E-Commerce.

 

Wirksame Schutzmaßnahmen

Radware empfiehlt folgende Schutzmaßnahmen gegen DDoS-Angriffe:

 

  • Hybrider DDoS-Schutz – DDoS-Schutz vor Ort und in der Cloud für die Echtzeit-Prävention von DDoS-Angriffen, der auch Angriffe mit hohem Datenaufkommen abwehrt und vor Pipe Saturation schützt
  • Verhaltensbasierte Erkennung – Schnelles und genaues Erkennen und Blockieren von Anomalien bei gleichzeitigem Zulassen legitimen Datenverkehrs
  • Echtzeit-Signaturerstellung – Sofortiger Schutz vor unbekannten Bedrohungen und Zero-Day-Angriffen
  • Notfallplan für die Cybersicherheit – Ein dediziertes Notfallteam von Experten, die Erfahrung mit IoT-Sicherheit und dem Umgang mit IoT-basierten Attacken haben
  • Erkenntnisse über aktive Bedrohungsakteure – zuverlässige, korrelierte und analysierte Daten für den präventiven Schutz gegen derzeit aktive bekannte Angreifer

 

308 Artikel zu „Lösegeld“

Unternehmen investieren immer weniger IT-Budget in Sicherheit und bezahlen eher Lösegeldforderungen

Nicht einmal jedes zweite deutsche und österreichische Unternehmen stuft seine eigenen kritischen Daten als »vollständig sicher« ein. So lautet ein beunruhigendes Ergebnis des aktuellen Risk:Value-Reports [1]. Die Investitionen in die IT-Sicherheit bleiben aber ungeachtet dessen weiterhin auf vergleichsweise niedrigem Niveau. Die Unternehmen sind eher bereit, auf Lösegeldforderungen im Falle einer Ransomware-Attacke einzugehen. Den Risk:Value-Report erstellt…

Diskrepanz: Vorstände würden niemals Lösegeld zahlen

Unter keinen Umständen würden sie Lösegelder bezahlen, um Cyberangriffe zu verhindern, sagen 84 % der Vorstände von Unternehmen, die noch nicht Ziel einer Ransomware-Attacke geworden sind. Unter denen, die bereits angegriffen wurden, haben 43 % gezahlt. Das ist eines der Ergebnisse einer Untersuchung, die im Auftrag von Radware von Merrill Research erstellt wurde [1]. Dabei…

Jedes dritte Opfer hat Lösegeld bezahlt

Deutsche Nutzer würden 211 Euro überweisen, um ihre Daten wieder zu erhalten. 33 Prozent aller Opfer von erpresserischer Software in Deutschland haben bereits Lösegeld bezahlt, um auf ihre Daten wieder zugreifen zu können. 36 Prozent würden im Falle einer Verschlüsselung ihrer Computer durch Ransomware auf die Forderungen eingehen. Dies zeigt eine Bitdefender-Studie, die von iSense…

Lösegeld: Zahlen oder nicht zahlen?

Der Schweizer E-Mail-Provider ProtonMail hat Lösegeld an Cyberkriminelle gezahlt, die seinen Dienst per DDoS-Attacke (Distributed Denial of Service) lahmgelegt hatten – nach eigenen Angaben widerwillig und aufgrund von Druck indirekt betroffener Unternehmen. Die Zahlung betrug 15 Bitcoins (derzeit rund 5.300 Euro). Security-Experten weisen darauf hin, dass Erpressung längst zu den gängigen Geschäftsmodellen von Cyberkriminellen gehört.…

Exit-Scam: Das Ende von Empire Market?

Weltgrößter Darknet-Markt ist nicht mehr erreichbar; Spekulationen um Exit-Scam. Empire Market, einer der größten Marktplätze im Darknet, ist seit Sonntag offline. Es wird angenommen, dass es sich um einen Exit-Scam handelt und die Betreiber der Seite mit dem Geld der kriminellen Kundschaft verschwunden sind. Empire Market zählte bislang zu den umsatzstärksten Umschlagsplätzen im Darknet. Nach…

Die meisten DDoS-Angriffe stammen aus den USA und China

Der aktuelle Threat Intelligence Report von A10 Networks zeigt, dass die USA und China die führenden Herkunftsländer von Distributed Denial of Service-Angriffen (DDoS) sind [1]. Zudem verdeutlichen die Ergebnisse, dass DDoS-Angriffe in Umfang, Häufigkeit und Komplexität weiter zunehmen und Hacker für ihre Zwecke zu immer unterschiedlicheren Strategien greifen. So werden DDoS-Botnet-Werkzeuge immer häufiger eingesetzt, während…

DDoS-as-a-Service wächst trotz Razzien und Verhaftungen

Nach Angaben der Sicherheitsspezialisten von Radware haben Razzien, Verhaftungen und die Beschlagnahmung von Servern keine nennenswerten Auswirkungen auf das Wachstum illegaler Booter- und Stresser-Dienste. Solche Dienste, auch als DDoS-as-a-Service bezeichnet, werden von vielen Hackern angeboten, die auf diese Weise ihre bestehenden Botnets vermarkten, wenn sie diese nicht gerade selbst für eine Attacke einsetzen. Sie agieren…

Cohesity: Optimiertes Datenmanagement für All-Flash-Lösungen von Cisco und HPE 

Hohe Effizienz, niedrige TCO und mehr Performance für Backup, Wiederherstellung und Skalierung von NAS.   Cohesity hat wichtige Software-Erweiterungen der Cohesity DataPlatform vorgestellt. Sie bieten moderne Datenmanagement-Funktionen für hochperformante All-Flash-Lösungen der Kooperationspartner Cisco und HPE. Die Cohesity DataPlatform enthält jetzt eine neue E/A-Boost-Technologie, die eine noch stärkere Datenkonsolidierung ermöglicht, die Gesamtbetriebskosten (TCO) senkt und eine…

Die Top-Mythen der IoT-Sicherheit

Konventionelle Ansätze der Cybersicherheit konzentrieren sich auf ein grundlegendes Konzept: jedes in Sichtweite befindliche Gerät schützen, um Hacker, Angreifer und Diebe fernzuhalten. In einer hochgradig vernetzten Welt, in der sich eine Vielzahl von Sensoren, Geräten und Systemen gegenseitig mit Daten versorgen, ist dieses Konzept jedoch überholt. Das Internet der Dinge wächst. IDC prognostiziert, dass es…

Vier entscheidende Strategien für den Ransomware-Schutz

  Zentralisierte Sicherheitstechnologie 3-2-1 Backup-Strategie Aktualisierte Betriebssysteme und Software-Versionen Sensibilisierung aller Mitarbeiter für das Sicherheitsthema   Arcserve warnt vor der gestiegenen Bedrohung durch Ransomware und stellt einen Strategiefahrplan zum Schutz vor Cyberattacken vor. Ransomware ist seit der Corona-Krise zu einer noch größeren Bedrohung für die Cybersicherheit von Unternehmen geworden. Der Schaden, der durch diese Art…

Cyberangreifer profitieren enorm von der Pandemie

  Cyberkriminelle zielen im ersten Halbjahr 2020 auf Heimarbeitsplätze ab, um Zugang zu Unternehmensnetzwerken und kritischen Daten zu erhalten. Fortinet stellt die Ergebnisse des FortiGuard Labs Global Threat Landscape Report für das erste Halbjahr 2020 vor [1]. Eine Zusammenfassung der Ergebnisse: Die FortiGuard Labs-Bedrohungsdaten des ersten Halbjahres 2020 zeigen, in welch dramatischem Ausmaß sich Cyberkriminelle und nationalstaatliche…

Der neue IT-Imperativ: On-Demand-Wiederherstellung

Es gibt viele Gründe, warum ein Unternehmen eine Datenkatastrophe erleben kann. Diese reiche von einem Feuer im Rechenzentrum bis hin zu den immer häufiger auftretenden Ransomware-Angriffen. Ebenso kann es sich um Insider-Bedrohungen oder einfach nur menschliches Versagen handeln. Wenn sich die daraus resultierende Ausfallzeit hinzieht oder geschäftskritische Daten nicht abgerufen werden können, können die Folgen…

Maschinelles Lernen für bessere Security: Sieben wichtige Erkenntnisse zur IoT-Sicherheit

Unternehmen von heute bewegen sich mit großer Geschwindigkeit in Richtung digitaler Transformation. Die Definition ihres Netzwerks ändert sich dabei ständig – mit Hybrid-Clouds, IoT-Geräten und jetzt auch Heimarbeitsplätzen. Angesichts des wachsenden Datenverkehrs am »Rand« des Netzwerks (Edge) steigt auch das Sicherheitsrisiko, verbunden mit häufigen, schweren und ausgeklügelten Cyberangriffen – wie Palo Alto Networks beobachtet. Um…

Angriffe auf Industriesystem gezielter und gefährlicher

Risiko von USB-Bedrohungen für Industrien hat sich über 12 Monate verdoppelt. Der jüngste Honeywell USB Threat Report stellt fest, dass sich die Anzahl der Bedrohungen, die speziell auf betriebstechnische Systeme abzielen, im gleichen Zeitraum von 16 auf 28 Prozent nahezu verdoppelt hat. Die Anzahl der Bedrohungen insgesamt, die betriebliche Technologiesysteme stören können, stieg von 26…

5 Mythen über Cyber Resilience

Angesichts der wachsenden Bedrohung durch Cyberangriffe wird Cyber Resilience für Unternehmen immer wichtiger. Erst 36 Prozent der Unternehmen haben bisher allerdings ein hohes Resilienz-Level erreicht – so eine aktuelle Studie von Frost & Sullivan und Greenbone Networks. Ist Cyber Resilience nur etwas für große Unternehmen mit hohen IT-Budgets? Elmar Geese, COO bei Greenbone, räumt mit…

IoT-Sicherheit: Von Türklingeln und Kühlschränken bis zu Atomreaktoren

Die aktuelle und künftige Relevanz von Cybersicherheit im IoT-Kontext. Da die Welt immer vernetzter wird, werden immer mehr Geräte miteinander verbunden. Der Fitness-Tracker am Handgelenk überträgt drahtlos Daten auf das Smartphone, das wiederum die Entertainment-Hubs in den vernetzten Autos auf der Fahrt steuert. Das Smartphone ist auch der Dreh- und Angelpunkt der meisten Geschäftsverbindungen –…

Studie: Gefährlicher Leichtsinn im Umgang mit Bürodruckern

Effiziente Prozesse, Flexibilität, Umsatzsteigerung – die Liste der positiven Effekte durch die digitale Transformation in Unternehmen ist lang. Das Thema IT-Sicherheitsrisiken rund um die zunehmende Vernetzung wird dabei meist nur am Rand behandelt. Wie es um das Sicherheitsbewusstsein in deutschen Büros tatsächlich steht, zeigt eine aktuelle Studie von Sharp mit Fokus auf einem scheinbar harmlosen…

Kritische Kommunikation: Fünf Sicherheitsfallen, die Unternehmen vermeiden sollten

Smartphone und Tablet bieten zahlreiche Einfallstore für Cyberkriminelle. Gerade Betreiber kritischer Infrastrukturen müssen ihre mobile Kommunikation vor den unterschiedlichsten Sicherheitsrisiken schützen, warnt Virtual Solution. Fallen Strom-, Wasser- oder Gesundheitsversorgung durch Hackerangriffe aus, drohen schlimme Konsequenzen für Bürger und Unternehmen. Die Herausforderungen in puncto IT-Sicherheit nehmen für Energieversorger, Krankenhäuser oder Transportunternehmen kontinuierlich zu, denn die Angriffsflächen…