DDoS und Ransomware – ein teuflisches Duo
Wenn Cyber-Gangster ihre Angriffstechniken kombinieren, wird es gefährlich. So schützen Sie sich.
Ransomware-Gangster verschlüsseln nicht nur Files und saugen Daten ab. Viele haben zusätzlich die Möglichkeiten der guten alten Distributed-Denial-of-Service(DDoS)-Attacken für sich entdeckt. Dabei beschränken sie sich nicht nur auf einen Angriffsvektor, sondern fahren mehrere parallele Attacken auf unterschiedliche Netzwerk-Layer. So legen sie die Schwächen in den Web-Infrastrukturen von Unternehmen bloß. Doch es gibt Möglichkeiten, sich zu schützen.
Nein, DDoS-Angriffe sind nichts Neues, und doch erleben sie gerade wieder einen Aufschwung. So gelang es Angreifern erst vor wenigen Tagen, die Behördenlandschaft in Belgien weitgehend lahmzulegen, indem sie den im öffentlichen Sektor tonangebenden Internet Service Provider (ISP) Belnet und andere Telcos erfolgreich attackierten.
Rund 200 Institutionen und Organisationen waren betroffen, darunter Behörden, Polizei, Universitäten, öffentliche Verkehrsmittel und Forschungseinrichtungen. Ihr Netzverkehr war stark eingeschränkt, die Webseiten kaum zu erreichen. Wie Dirk Haex, technischer Direktor von Belnet, in einer Mitteilung sagte, hätten die Angreifer ihre Taktik mehrfach geändert, weshalb es herausfordernd gewesen sei, Antworten zu finden. Die Gangster seien aber allem Anschein nach nicht in irgendwelche Systeme eingedrungen, ihr Ziel sei es gewesen, die Infrastruktur außer Betrieb zu setzen.
IoT-Botnets sind eine Bedrohung
DDoS-Angriffe gibt es seit mehr als 20 Jahren. Ihre Funktionsweise besteht darin, Server und Netze durch eine Vielzahl künstlich erzeugter Kommunikationsanfragen zu überlasten und außer Betrieb zu setzen. Die angreifenden Rechner – heute sind das oftmals auch in ein Botnet eingebundene IoT-Gadgets – sind in der Regel geographisch verteilt und nutzen viele verschiedene Internet-Verbindungen, was es schwierig macht, die Angriffe zu unterbinden.
Aktuell beobachten Sicherheitsexperten, dass die Angriffe nicht nur umfangreicher, sondern auch anspruchsvoller werden.
Gerade hat Lumen Technologies seinen vierteljährlichen DDoS-Report für das erste Quartal 2021 herausgebracht. Demnach steigen vor allem die Risiken, die von längst bekannten IoT-DDoS-Botnets wie Gafgyt und Mirai ausgehen. Heute können sich Cyberkriminelle problemlos Hunderttausende von kompromittierten IoT-Geräten mieten, um damit bestimmte Server-Infrastrukturen anzugreifen und lahmzulegen.
Botnets werden von einem Botnet-Operator kontrolliert und überwacht, dem sogenannten Command-and-Control-Server (C2s). Lumen zählte im ersten Quartal 700 aktive C2s, die zusammen 28.000 einzelne Opfer angegriffen hätten. Alles in allem kann das Unternehmen nun bereits knapp 3.000 solcher DDoS-C2s nachweisen. Die meisten werden in Serbien gehostet (1.260), gefolgt von den Vereinigten Staaten (380) und China (373). Die derzeit aktivsten C2s, von denen also gegenwärtig die meisten Angriffsbefehle ausgehen, verortet Lumen in den USA (163), den Niederlanden (73) und auch in Deutschland (70).
Multi-Vektor-Angriffe machten dem Anbieter zufolge 41 Prozent aller DDoS-Attacken aus, wobei das Unternehmen am häufigsten eine Kombination aus DNS Query Flood und TCP SYN Flood abwehrte. SYN-Flood-Angriffe zielen – vereinfacht gesagt – darauf ab, alle verfügbaren Ports auf einem Server durch das wiederholte Senden von SYN-Paketen zu
Die Angreifer steigerten ihre Lösegeldforderungen von anfangs 100.000 Euro auf bis zu 400.000 Euro.
überlasten und die Rechner so für den legitimen Datenverkehr unbrauchbar zu machen.
Waren früher vor allem E-Commerce-Unternehmen und SaaS-Anbieter von DDoS-Angriffen betroffen, hat sich die Reichweite der Gangster inzwischen vergrößert. Die 500 größten Attacken im ersten Quartal 2021 richteten sich laut Lumen Technologies gegen die drei Branchen Finanzwirtschaft, Software und Technologie sowie öffentliche Hand.
Böse Kombination: Ransomware plus DDoS
Währenddessen berichtet der Münchner ITSicherheitsanbieter Myra von einer Zunahme sogenannte DRDoS-Attacken (Distributed Reflected Denial of Service) auf deutsche Unternehmen und Behörden. Dabei nutzten Cyberkriminelle die Schlagkraft volumetrischer Reflection-Angriffe, um hohe Lösegeldforderungen zu erpressen.
Perfide an diesem Vorgehen ist, dass die schädlichen Anfragen nicht vom Angreifer oder einem eigens dafür aufgesetzten Botnet stammen, sondern von regulären Internet
Diensten, die durch den Missbrauch verschiedener Internet-Protokolle in digitale Waffen umfunktioniert werden. So können Angreifer beispielsweise mit dem Versenden von IPPaketen mit verfälschter IP-Absenderadresse (IP-Spoofing) Internetdienste manipulieren, um den Traffic auf ein bestimmtes Ziel umzuleiten. Durch dieses Vorgehen verschleiern die Angreifer den Ursprung der DDoS-Attacke und sorgen gleichzeitig für eine massive Steigerung der abgefeuerten Bandbreite.
DRDoS-Angriffe erfolgen meist über hochverstärkende Reflektoren wie DNS-Dienste, die die kurzen Anfragen der Angreifer mit großen Datenpaketen beantworten. So steigert sich die Schlagkraft der Angriffe um ein Vielfaches. Weitere gängige Typen von Reflektoren sind die Protokolle NTP, TFTP oder Memcached – über Letzteres lässt sich die Bandbreite von Attacken maximal um das 51.000-fache verstärken.
Auch Myra beobachtet, dass sich Kriminelle nicht auf einen Angriffsvektor beschränken. Vielmehr werden parallele Angriffe auf unterschiedliche Netzwerk-Layer gefahren, was die Schwächen in der Web-Infrastruktur von
Unternehmen schnell bloßlegt. Attacken auf die Vermittlungs(OSI-Layer 3)- und Transportschicht (Layer 4) sind typischerweise TCP SYN Floods oder Reflection-Angriffe auf UDP-Basis. Diese zeichnen sich durch hohe Bandbreiten oder immense Paketraten aus.
Unterdessen erfolgen Angriffe auf dem Application-Layer 7 oftmals per HTTP-GET-Floododer Low- und Slow-Attacken. Deshalb sollten Unternehmen ein ganzheitliches Schutzkonzept wählen, das alle relevanten Angriffsvektoren adressiert – ansonsten drohen teure Ausfälle.
Wird eine DDoS-Attacke mit einer Lösegeldforderung verknüpft, ist von RDoS-Angriffen die Rede (Ransom Denial of Service). Myra beschreibt das Vorgehen wie folgt: Zuerst erhalten Unternehmen ein Erpresserschreiben, das sie zur Zahlung eines Lösegeldes in Bitcoin auffordert. Parallel dazu erfolgt ein erster DDoS-Angriff, der zeigen soll, dass es die Erpresser ernst meinen. Kommt das betroffene Unternehmen der Zahlung nicht innerhalb des gesetzten Ultimatums nach, erfolgt die eigentliche Attacke.
Gestaffelte Angriffe
Oftmals geben sich die Angreifer in den Erpresserbriefen als Mitglieder bekannter Hackergruppen wie Fancy Bear, Armada Collective und Lazarus Group aus, um ihren Forderungen noch mehr Nachdruck zu verleihen. Nicht immer bestehen tatsächlich Verbindungen zu diesen international tätigen Gruppierungen.
In den zuletzt beobachteten RDoS-Kampagnen auf deutsche Unternehmen setzten Cyberkriminelle in der ersten Angriffswelle auf ReflectionAttacken mit rund 200 Gbit/s. Waren die Opfer nicht bereit, den Lösegeldforderungen nachzukommen, folgte ein zweiter, weitaus stärkerer Angriff mit bis zu 2 Tbit/s. Gleichzeitig steigerten die Angreifer ihre Lösegeldforderungen von anfangs 100.000 Euro auf bis zu 400.000 Euro. Die Angriffe dauerten an, bis die betroffenen Firmen die Bitcoins überwiesen.