DDoS-Erpresserbande „caremini“ spielt Robin Hood

Mai 12, 2016

Unter dem Namen „caremini“ fordern DDoS-Erpresser 1 Bitcoin Schutzgeld von deutschen Unternehmen, um es angeblich an Charity-Organisationen zu verteilen. Die Erpresserwelle startete am 10. Mai 2016 und hat bisher Tausende Firmen erfasst – von Banken bis zu kleinen und mittelständischen Internet-Unternehmen. Laut Erpresser-Mail haben die Opfer fünf Werktage Zeit, um das DDoS-Schutzgeld auf ein individuelles Bitcoin-Konto zu überweisen. Sollte der Zahlungseingang ausbleiben drohen heftige DDoS-Attacken.

Hier das Original-Erpresserschreiben

In Deutschland, Österreich und der Schweiz sind DDoS-Erpressungen in den vergangenen Wochen und Monaten sprunghaft angestiegen. Das Vorgehen und die Werkzeuge der Täter erinnern oft an die internationalen Erpresserbanden DD4BC (Verlinkung) und Armada Collective (Verlinkung). Das LSOC stuft als Trittbrettfahrer ein und bezweifelt, dass das Lösegeld wirklich für wohltätige Zwecke spenden wird.

Wer hinter „caremini“ steckt, ist unklar. Das LSOC hat durch seine Analysen jedoch folgende Informationen gewonnen:

  • Während Erpresser wie die frühen Armada Collective und DD4BC die E-Mail-Adressen ihrer Opfer sorgfältig recherchierten, nutzt caremini offensichtlich Crawler, um E-Mail-Kontakten von tausenden von Webseiten abzufragen. Die Erpresser-Mails richten sich daher an Adressen wie info@xxx.xx und kontakt@xxx.xx
  • Für jedes Unternehmen generiert caremini eine individuelle Bitcoin-Adresse zu. Der Zeitaufwand dafür beträgt ca. 200 Millisekunden. In einer Stunde kommen die Täter so auf 18.000 Bitcoin-Adressen.
  • Die DDoS-Erpresser nutzen ein Script, um die E-Mail-Kontaktdaten und Bitcoin-Adressen in einem Text-Template zusammenführen und automatisiert zu versenden.
  • Die Täter versenden ihre Droh-Mails direkt an die Mail-Server der Opfer-Unternehmen. Sie nutzen weder kein Routing über TOR noch verschleiern sie die Absende-Adresse. Dafür setzen sie auf eine starke Verschlüsselung. Der eingesetzte Linux-Distributor dürfte nicht älter als 2015 sein.
  • Beim verwendeten User-Agent handelt es sich um Heirloom mailx 12.5 6/20/10, ein leicht skriptbares Linux-Programm.
  • Die Absender-IP ist auf den Hosting-Anbieter Voxility in Rumänien eingetragen.

Die Täter könne die IP-Adresse natürlich selbst registriert haben. Nach Einschätzungen des LSOC ist es aber wahrscheinlicher, dass sie den Linux-Server von caremini erst vor kurzem gehackt haben. Eine Sicherheitslücke via ImageMagic könnte der Türöffner gewesen sein.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.