DDoS-Attacken durch Nachahmer des Armada Collective

Aug 312016, 2016

Nachfolger des Armada Collective drohen Finanzunternehmen in Deutschland mit großvolumigen DDoS-Attacken und der Verschlüsselung von Festplatten. Das geforderte Schutzgeld beträgt nur 1 Bitcoin. Im Unterschied zu anderen Trittbrettfahrern lassen die Täter ihren Worten auch Taten folgen und haben bereits ein Unternehmen mit einer Warnattacke von 90 Gbps angegriffen.

Die ersten Erpresser-Mails trafen in der Woche vom 22.-28.08.2016 bei den Finanzinstituten ein. Gegen Zahlung von 1 Bitcoin können sich die angeschriebenen Unternehmen vor DDoS-Attacken bis zu 300 Gbps und einer Verschlüsselung der Festplatten über den Trojaner Cerber schützen. Nach Einschätzung des LSOC ist es in Deutschland bislang noch nicht zu dieser kombinierten Drohung von DDoS-Attacken und Daten-Verschlüsselungen gekommen.

Im Unterschied zu den originalen Armada Collective weisen die aktuellen Täter den Opfern keine unternehmensspezifische Bitcoin-Adresse zu, sondern verwenden eine Adresse für viele angeschriebene Finanzinstitute. Auf dem Konto hat das LSOC mit Datum vom 26.08. einen Zahlungseingang von 1 Bitcoin festgestellt. Der Betrag wurde innerhalb weniger Minuten weitertransferiert.

Hier der Auszug aus dem Erpresserschreiben, dass bei allen Opfern identisch ist:

We, HACKER TEAM - Armada Collective
1 - We checked your security system. The system works is very bad
2 - On Friday 26_08_2016_8:00p.m. GMT !!! We begin to attack your network servers and computers
3 - We will produce a powerful DDoS attack - up to 300 Gbps
4 - Your servers will be hacking the database is damaged
5 - All data will be encrypted on computers Cerber - Crypto-Ransomware
4 - You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
5 - Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 20 bitcoins
6 - After payment we will advice how to fix bugs in your system
Transfer 1 bitcoin to bitcoin ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx and you'll be out of danger.

Zahlreiche DDoS-Erpresserbanden unter dem Namen Armada Collective

Das LSOC hat im 1. Halbjahr 2016 zahlreiche neue Nachahmer und Trittbrettfahrer bei DDoS-Erpressungen in Deutschland beobachtet. Die Nachahmungstäter sehen, dass Erpresserbanden wie DD4BC und die originalen Armada Collective scheinbar erfolgreich waren. Sie kopieren daher das Geschäftsmodell. Manchmal geben sie sich auch für ihre kriminellen Vorbilder aus. Erst im März traten DDoS-Erpresser als Armada Collective auf und attackierten deutsche sowie Schweizer Finanzinstitute und Online-Shops. Im Dezember 2015 standen Betreiber von Rechenzentren in Deutschland im Fokus von DDoS-Erpressern unter dem Namen Armada Collective.