DDoS-Erpressungen durch angebliche Phantom Squad

Sep 212017, 2017

Unternehmen in vielen Ländern der Welt haben seit dem 19. September 2907 Erpresser-Mails im Namen von Phantom Squad erhalten. Aktuell liegen Meldungen aus Deutschland, Großbritannien, Italien, den USA und Japan vor. Um sich von DDoS-Attacken freizukaufen, sollen die angeschriebenen Firmen 0,2 Bitcoin zahlen. Die Zahlungsfrist läuft bis zum 30. September. Bei den Erpressern, die vermutlich nur bluffen, dürfte es sich vermutlich nicht um die ursprünglichen Phantom Squad handeln.

Angriffe auf globale Gaming-Plattformen machten sie bekannt

Bislang kannte man Phantom Squad durch Angriffe auf Spielenetzwerke. Anfang November 2016 bekannten sie sich auf Twitter zu Attacken auf die Steam-Plattform. Nur kurze Zeit später kündigten sie Weihnachtsattacken auf das Playstation Network und Xbox live an. Schon Anfang Januar 2016 hatte die Gruppe – scheinbar in Zusammenarbeit mit Lizard Squad – das Playstation Network für einen Tag lahmgelegt.

DDoS-Erpressungen vermutlich durch Nachahmungstäter

Dass die selbsternannte Cyber-Sicherheitsgruppe sich nun neu orientiert und auf DDoS-Erpressungen fokussiert hat, ist eher unwahrscheinlich. Viel glaubwürdiger erscheint nach Einschätzung des LSOC, dass der oder die jetzt aktiven Täter mit den originalen Angreifen gar nichts zu tun haben und sich nur mit dem Namen Phantom Squad schmücken, um Angst zu verbreiten.

Sehr häufig nutzen Erpresser die Namen von international bekannten DDoS-Angreifern wie Armada Collective, Lizard Squad oder New World Hackers, um ihre Forderungen glaubwürdiger klingen zu lassen. In diesen Fällen sind die Namen zwar austauschbar, die E-Mails mit den Schutzgeldforderungen jedoch fast immer identisch.

Erpresserschreiben mit Standardformulierungen

Der aktuell gestreute Text weist sehr große Ähnlichkeiten mit Erpresserschreiben des angeblichen Armada Collective aus dem Frühjahr 2016 auf. Allein das Datum für die Zahlungsfrist und die Bitcoin-Adresse variieren.

Die vorgeblichen Phantom Squad hatten schon im Mai 2016 versucht mit solchen E-Mails an Bitcoins zu kommen. Ihre damalige Schutzgeldforderung von 0,2 Bitcoin findet sich jetzt in derselben Höhe in dem aktuellen Schreiben wieder.

Hello,
FORWARD THIS MAIL TO WHOEVER IS IMORTANT IN YOUR COMPANY AND CAN MAKE DECISION!
We are Phantom Squad
Your network will be DDoS-ed starting [date] if you don't pay protection fee – 0,2 Bitcoins @ [Bitcoin Address].
If you don't pay by [date], attack will start, yours service going down permanently price to stop will increase to 20 BTC and will go up 10 BTC for every day of attack.
This is not a joke.

Warum die Täter bei der aktuellen Erpresserwelle auf den 2. Teil des Schreibens verzichtet haben, der mit der Androhung von 1-Tbps-Attacken die Angst verstärken soll, ist unklar.

Our attacks are extremely powerful - sometimes over 1 Tbps per second. And we pass CloudFlare and others remote protections! So, no cheap protection will help.
Prevent it all with just 0.2 BTC @ [Bitcoin Address].
Do not reply, we will not read. Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!
Bitcoin is anonymous, nobody will ever know you cooperated.

Wahrscheinlichkeit für DDoS-Attacken durch Phantom Squad eher gering

Dem LSOC liegen aktuell keine Indikatoren dafür vor, dass es bei Schutzgelderpressungen durch die vorgeblichen Phantom Squad je zu Attacken gekommen ist. Die Wahrscheinlichkeit ist hoch, dass die Täter nach dem 30. September nicht wieder von sich hören lassen. Dies war schon bei den DDoS-Erpressungen durch das Meridian Collective, Team Xball und Collective Amadeus der Fall, die im Juni 2017 deutsche Unternehmen unter Druck zu setzen versuchten.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.