DDoS und Ransomware – ein gefährliches Duo
Geringe Kosten und die einfache Ausführbarkeit sorgen für ein Revival von DDoS-Angriffen. Vor allem Ransomware-Angreifer nutzen damit eine weitere Möglichkeit, ihre Opfer zu erpressen. Immer mehr Attacken gehen von Botnets aus, in die IoT-Geräte eingebunden sind. Längst sind Geschäftsmodelle entstanden, die es erlauben, solche Geschwader zu mieten. Hinzu kommen mobile Endgeräte, die offene ADB-Schnittstellen in Android-Phones nutzen.
Bekanntlich hat Ransomware im Waffenarsenal der Cyberkriminellen schon länger eine zentrale Rolle eingenommen. Angriffe mit Erpressersoftware verursachten 2020 weltweit Schäden von über einer Milliarde Dollar und brachten den Kriminellen Hunderte Millionen Dollar Gewinn ein.
Ein wenig aus den Schlagzeilen geraten sind dadurch DDoS-Attacken (Distributed Denial of Service), bei denen eine Vielzahl automatisiert durchgeführter Anfragen Server kollabieren lassen. DDoS ist wieder im Aufwind, tatsächlich nutzen nicht zuletzt Ransomware-Gruppen dieses zusätzliche Instrument, um noch mehr Druck auf ihre Opfer auszuüben.
Nach aktuellen Berichten verschiedener Anbieter von Content-Delivery-Netzwerken (CDN) und Sicherheitsfirmen war 2020 ein Rekordjahr für DDoS-Attacken. Das gilt sowohl für die Anzahl der Angriffe als auch für deren Umfang und die Menge der verwendeten Angriffsvektoren. Vermutlich ist die Pandemie ein Grund dafür, dass DDoS-Erpressungen wieder häufiger vorkommen.
Die Krise zwang Unternehmen dazu, in kurzer Zeit für viele Mitarbeiter Remote-Arbeitsmöglichkeiten zu schaffen. Damit wurden ihre Netze anfälliger für Störungen – und damit auch der gesamte Geschäftsbetrieb. Aus Sicht der Angreifer wuchs mit dem Massenumzug ins Home-Office die Wahrscheinlichkeit, dass Erpressungsopfer bereit sind zu zahlen.
In diesem Jahr setzt sich der Trend fort. CDNBetreiber Akamai verzeichnete im Februar drei der sechs größten volumetrischen DDoSAngriffe überhaupt. Allein in den ersten drei Monaten des Jahres gab es mehr Vorfälle mit einem Volumen von über 50 Gbps als im gesamten Jahr 2019. Akamai geht davon aus, dass Angriffe mit mehr als 50 Gbps die meisten Online-Dienste, die nicht über eine DDoS-Abwehr verfügen, aufgrund der Bandbreitenüberlastung außer Gefecht setzen können.
Die Rückkehr der DDoS-Erpressung
Die Motive hinter den DDoS-Angriffen sind vielfältig. Manchmal wollen skrupellose Unternehmen die Geschäfte eines Wettbewerbers stören, manchmal übermitteln Hacktivisten auf
diese Weise ihre politischen Botschaften an missliebige Unternehmen und Organisationen. Oft steckt auch einfach nur Vandalismus dahinter, der durch die Rivalitäten unter verschiedenen Gruppen verursacht wird. Das wichtigste Motiv ist aber immer noch Erpressung, zumal das Lancieren eines DDoS-Angriffs keine großen Investitionen erfordert. Heutzutage sind DDoS-for-hire-Services für sieben Dollar pro Angriff zu haben, das kann sich jeder leisten.
Laut Netscout Systems, einem Anbieter, der sich auf das Monitoring von Anwendungen und Netzwerken spezialisiert hat, setzen auch viele Cyberkriminelle ihre DDoS-Fähigkeiten ein, um potenziellen Kunden aus zwielichtigen Kreisen ihre Fähigkeiten zu demonstrieren. Ebenso richten sich Angriffe gegen OnlineGames. Manchmal nutzen Angreifer dieses Vorgehen auch als Deckmantel, um die IT- und Sicherheitsteams in den Unternehmen davon abzulenken, das andere bösartige Aktivitäten in ihren Netzwerken vor sich gehen – zum Beispiel die Kompromittierung der Infrastruktur oder die Exfiltration von Daten.
Demo-Angriffe auf ausgewählte Ziele
Die Zahl der Ransomware-DDoS-Vorfälle (RDDoS) ist seit August 2020 auffällig gestiegen. Zum einen haben mehrere RansomwareGruppen DDoS als zusätzliche Erpressungstechnik entdeckt, zum anderen ist eine bestimmte Gruppe besonders auffällig geworden, die bekannte staatlich gesteuerte Gruppen wie Fancy Bear (Russland) oder Lazarus Group (Nordkorea) imitiert.
Besagte Gruppe, die sich als „Lazarus Bear Armada (LBA)“bezeichnet, startet in der Regel zunächst DDoS-Attacken zu Demonstrationszwecken auf ganz bestimmte ausgewählte Ziele. Das Volumen dabei liegt zwischen 50 und 300 Gbit/s. Danach erhalten die Opfer eine Erpresser-Mail, in der die Angreifer behaupten, ein DDoS-Volumen von bis zu zwei Tbps erreichen zu können. Sie verlangen für die Unterlassung eine Zahlung in Bitcoin.
In ihren E-Mails lassen die Angreifer gern die Namen von medial bekannteren Hackergruppen fallen, um ihre Glaubwürdigkeit zu steigern. In vielen Fällen folgen keine weiteren Angriffe, auch wenn das Lösegeld nicht gezahlt wird – aber manchmal eben doch. Auffällig ist auch, dass frühere Opfer gern später noch einmal ins Visier genommen werden.
Die Gruppe LBA zielt meist auf Organisationen aus dem Finanz-, Handels-, Reise- und E-Commerce-Sektor aus der ganzen Welt ab. Die Attacken sind gut geplant, vielfach wurden vorher detaillierte Erkundigungen eingeholt. Sie zielen häufig auf solche kritischen Anwendungen und Dienste, die von den Unternehmen oft gar nicht als solche gesehen werden, sowie auf VPN-Konzentratoren, die den VPN-Traffic durchleiten.
Das FBI warnt
Vor den Aktivitäten dieser Gruppe haben das FBI und eine Reihe von IT-Sicherheitsanbietern bereits gewarnt. Während sich Organisationen wie LBA ganz auf RDDoS konzentrieren, um Geld von Unternehmen zu erpressen, nutzen bestimmte Ransomware-Banden DDoS als zusätzliches Druckmittel. Sie wollen zögerliche Opfer endgültig zur Zahlung des gewünschten Lösegelds bewegen.
Damit sind also manche Ransomware-Angriffe jetzt schon in dreierlei Hinsicht eine ernste Bedrohung: Es geht um das Verschlüsseln von Dateien, das Absaugen sensibler Daten mit der Drohung, diese zu veröffentlichen, und um die Überlastung der Infrastruktur via DDoS. Zu den Ransomware-Gangs, die ihrem Repertoire DDoSAngriffe hinzugefügt haben oder dies zumindest behaupten, gehören Avaddon, SunCrypt, Ragnar Locker und REvil.
Wie viele Opfer von RDDoS tatsächlich Lösegeld zahlen, ist schwer zu sagen. Aber die Tatsache, dass Anzahl, Ausmaß und Häufigkeit der Angriffe zunehmen, weist darauf hin, dass sich viele Unternehmen nicht lange bitten lassen. Der Schaden durch Produktions- und Lieferausfälle infolge eines Ransomware-Angriffs ist meist weit höher als die oft einstelligen Millionenbeträge, die die Gangster fordern.
Die Einstiegshürde ist niedrig
Ein Problem ist derzeit die starke Zunahme solcher Angriffe, die von der niedrigen Einstiegshürde begünstigt wird. DDoS-for-hireDienste sind weit verbreitet, und ihre Nutzung erfordert keine tiefgehenden technischen Kenntnisse. „Im ersten Quartal 2021 bestätigten 13 Prozent unserer Kunden, die von einer DDoS-Attacke betroffen waren, dass es sich um einen RDDoS-Angriff gehandelt habe“, heißt es in einem aktuellen Bericht von Cloudflare.
Akamai beobachtet einen 57-prozentigen Anstieg der Zahl der angegriffenen Unternehmen im Vergleich zum Vorjahr. „In der Hoffnung, größere Auszahlungen in Bitcoin zu erhalten, haben Kriminelle ihre Anstrengungen und auch die Vielfalt ihrer Angriffe erhöht. Damit dürfte die Vorstellung, dass DDoS-Erpressung ein alter Hut sei, endgültig ad acta gelegt sein“, schreiben die Akamai-Forscher in einem Bericht vom letzten Monat.
Ein Glücksspielunternehmen musste leiden
Gerade erst sei ein großer RDDoS-Angriff mit einem Volumen von mehr als 800 Gbps auf ein europäisches Glücksspielunternehmen gelaufen. Von Akamai heißt es dazu: „Das war die größte und komplexeste Attacke, die wir seit der Rückkehr solcher Erpressungsangriffe gesehen haben. Seitdem sind die Show-of-ForceAngriffe von 200+ Gbps im August 2020 auf über 500 Gbps bis Mitte September gestiegen und haben sich bis Februar 2021 sogar auf 800+ Gbps aufgebläht.“
Die Kriminellen sollen für den Angriff einen bis dahin unbekannten Angriffsvektor genutzt haben, das Datagram Congestion Control Protocol (DCCP). Der Angriff ähnelt einer SYNFlood, ist aber volumetrisch. Die Angreifer versuchen mit DCCP Verteidigungsmaßnahmen zu umgehen, die sich auf traditionelle TCP- und UDP-Datenströme konzentrieren. Laut Akamai sind die Angreifer ständig auf der Suche nach neuen Angriffsvektoren und Protokollen, die sie nutzen können, um Verteidigungsmaßnahmen zu umgehen. Das Netzwerk-Datenübertragungsprotokoll DCCP ähnele dem in DDoD-Kreisen gern genutzten UDP, stelle aber zusätzliche Fluss- und Überlast-Kontrollfunktionen bereit, die UDP nicht bietet.
Angriffe über verschiedene Vektoren
Dem CDN-Betreiber zufolge enthielten fast zwei Drittel der im vergangenen Jahr beobachteten DDoS-Angriffe mehrere Angriffsvektoren, in einigen Fällen hätten die Kriminellen sogar bis zu 14 verschiedene Wege ausprobiert, um sich Zugang zu Servern und Netzwerken zu verschaffen. Netscout meldet ebenfalls einen starken Anstieg der Multivektor-Angriffe, einmal seien bis zu 25 verschiedene Vektoren kombiniert worden.
Besonders beliebt sind DDoS-Reflection- und Amplification-Angriffe, die durch den Missbrauch mehrerer UDP-basierter Protokolle erreicht werden. Dabei senden Angreifer Datenpakete, ausgehend von der IP-Adresse ihres Opfers, an schlecht geschützte Server im Internet und zwingen diese, Antworten an das betroffene Unternehmen zu senden. Damit werden zwei Ziele erreicht: Reflection, weil das Opfer nicht erkennt, dass der Datenverkehr nicht von einer seriösen Adresse, sondern von den Bots des Angreifers kommt, und Verstärkung (Amplification), weil einige Protokolle missbraucht werden, um große Antwortvolumina auf kurze Anfragen zu generieren, wodurch Umfang und Häufigkeit der von Angreifern abgeschickten Pakete verstärkt werden.
Die Größe von DDoS-Angriffen wird zum einen im Traffic-Volumen pro Sekunde berechnet, das die Bandbreite beeinträchtigt, und in Paketen pro Sekunde, was auf Kosten der Rechenpower eines Servers geht. Der beliebteste DDoS-Angriffsvektor im vergangenen Jahr und auch davor war die DNS-Amplification. Andere Protokolle, die häufig für Verstärkung missbraucht werden, sind das Network Time Protocol (NTP), Connection-less Lightweight Directory Access Protocol (CLDAP), Simple Service Discovery Protocol (SSDP) und Web Services Discovery (WSD oder WS-DD), außerdem das Remote Desktop Protocol (RDP) über UDP und Datagram Transport Layer Security (DTLS).
Laut Netscout bemächtigen sich Angreifer gern bestimmter Open-Source- und auch kommerzieller Anwendungen und Dienste, die auf dem verbindungslosen Netzwerkprotokoll UDP basieren, um neue Reflection/AmplificationDDoS-Angriffsvektoren zu erschließen und Angriffswellen zu starten. Einige Beispiele dafür sind demnach die SSDP-Implementierung von Plex Media Server und das UDP-basierte Netzwerkerkennungs-Protokoll, das vom Jenkins Software Development Automation Server verwendet wird. Andere DDoS-Vektoren, die im vergangenen Jahr häufig vorkamen, waren TCP ACK, TCP SYN, ICMP, TCP Reset, TCP ACK/ SYN Amplification und DNS Floods.
DDoS-Botnets nutzen IoT- und Mobilgeräte
Botnets, die aus kompromittierten Geräten und Servern bestehen, sind die treibende Kraft hinter DDoS-Angriffen. Im vergangenen Jahr standen aber vermehrt IoT-Geräte, die mit Varianten der Mirai-Malware infiziert waren, an der Spitze dieser gefährlichen Botnets. Diese Geräte sind oft schlecht geschützt, die voreingestellten Anmeldedaten werden nicht geändert und lassen sich daher leicht kompromittieren. Netscout beobachtete 2020 einen Anstieg der Brute-Force-Angriffe auf die Protokolle Telnet und Secure Shell (SSH) um 42 Prozent im Vergleich zum Vorjahr.
Darüber hinaus werden auch kompromittierte Android-Mobilgeräte zum Auslösen von DDoS-Angriffen verwendet. Im Februar berichteten Forscher von Netlab – der Netzwerksicherheits-Abteilung des chinesischen Unternehmens Qihoo 360 – über ein Botnet namens Matryosh, das Android-Geräte kompromittiere, deren ADB-Schnittstelle (Android Debug Bridge) via Internet adressierbar seien.
In diesem Fall nutzen die Übeltäter das TorNetzwerk, um ihre Command and Control Server (C2s) zu verbergen. Der in diesem Botnet implementierte Verschlüsselungsalgorithmus und die Botnet-Kontrolle sind so verschachtelt angelegt, dass Netlab das Bild der russischen Matroschka-Puppe bemühte. Administratoren können in einem gemanagten Unternehmensumfeld mit entsprechender Sicherheitssoftware die Nutzung des ADP-Interface auf Android-Geräten blockieren. Probleme treten aber dann auf, wenn Mitarbeiter ihre privaten Devices für Unternehmenszwecke nutzen.
Dass mobile Endgeräte für DDoS-Angriffe genutzt werden, scheint sich durchaus als Trend zu verfestigen. In einer jährlichen Umfrage von Netscout unter Cloud- und Internet-ServiceProvidern sieht das zumindest fast ein Viertel der Befragten so.
„Fast zwei Drittel der im vergangenen Jahr beobachteten DDoS-Angriffe nutzten mehrere Angriffsvektoren, in einigen Fällen sogar bis zu 14 verschiedene Wege, um sich Zugang zu Servern und Netzwerken zu verschaffen.“