Update: Armada-Collective-Copycats international aktiv

September 06, 2016

Über DDoS-Erpressungen im Namen von „Armada Collective“ wird inzwischen auch aus anderen Ländern berichtet. Aktuell sind nach Kenntnisstand des LSOC neben Deutschland ebenfalls Australien, die USA, Südafrika, Polen und Großbritannien betroffen. Die neue Zahlungsfrist endet am 6. September 2016 um 20 Uhr.

Die DDoS-Erpresser nutzen für jede Schutzgeldforderungen eine neue, gespoofte E-Mail-Adresse. Den Text haben die Täter in Bezug auf das Datum für die angedrohten Attacken angepasst. Die Zahlungsfrist endet am „06-09-2016 8:00 p.m.!!!!!“. Die Höhe des Betrags liegt weiterhin bei 1 Bitcoin, der auf ein spezifisches Bitcoin-Konten einzuzahlen ist. Teilweise nutzen die Erpresser jedoch eine Adresse für mehrere Opfer. Neben Finanzinstituten haben die Täter weitere Branchen und Unternehmen unterschiedlicher Größe ins Visier genommen: Vom kleinen Online-Händler bis zum Großunternehmen zielen die Armada-Collective-Copycats auf möglichst viele Firmen. Den aktuellen Stand der Erpresserwelle in Großbritannien fasst ein Artikel der IBTimes zusammen.

Wie schon berichtet drohen die Täter neben großvolumigen DDoS-Attacken zwischen 10 und 300 Gbps auch mit der Verschlüsselung von Festplatten durch die Crypto-Ransomware Cerber, Locky und Cryptolocker. Die Abteilung Cybersecurity bei der Polizei von New Jersey warnt vor dem Hintergrund des neuen Verschlüsselungs-Trojaners Rex auch vor den Aktivitäten von Armada Collective.

Seit Anfang des Jahres 2016 hat das LSOC einen starken Anstieg von DDoS-Erpressungen im deutschsprachigen Raum registriert. Die Trittbrettfahrer und Copycats treten unter Namen wie RedDoor, Caremini, Kadyrovtsy, Armada Collective und Lizard Squad auf. Die Empfehlung des LSOC ist es, in keinem Fall zu zahlen, sondern den Erpressungsversuch dem zuständigen LKA oder anonym der Allianz für Cybersicherheit zu melden. Außerdem sollten die bedrohten Unternehmen überprüfen, wie sie beim DDoS-Schutz aufgestellt sind und Notfallpläne bereithalten.

Registrieren Sie sich jetzt für Warnmeldungen zu DDoS-Attacken und DDoS-Erpressungen.