Zwei weitere DDoS-Erpressergruppen aufgetaucht: Team Xball und Collective Amadeus

Jun 192017, 2017

Nur kurz nach den ersten DDoS-Erpressungen durch das Meridian Collective forderten innerhalb weniger Tage zwei weitere DDoS-Erpresser Schutzgeld. Das Team Xball und das Collective Amadeus beschränken sich nicht nur auf ein Land, sondern sind von Norwegen über Deutschland, Österreich und die Schweiz bis Spanien aktiv.

Team Xball droht nicht nur mit DDoS-Attacken

Als erstes meldete sich das Team Xball bzw. das Xball Collective. Die Erpresser-E-Mails, die dem LSOC vorliegen, datieren vom 15. Juni 2017. Anders als Meridian Collective drohten der oder die Täter neben DDoS-Attacken und einer Festplattenverschlüsselung auch die Veröffentlichung gehackter Informationen an.

Die E-Mails wurden mit dem Betreff „Attention“oder „Warning“ gefolgt von einer 7-stelligen Zahl verschickt. Die Zahlungsfrist sollte 1 Stunde früher als bei den Erpressungen durch das Meridian Collective, nämlich um 7 Uhr (GMT)am Freitag, 16. Juni 2017.

Auszug aus einem der Erpresser-E-Mails im Namen des Teams Xball:

"We are the Team Xball and we have chosen your website/network as target for our next DDoS attack.

Unfortunately your data was leaked in the recent hacking of the web site and we now have your information.
We have DataBase tax forms, DOB, Names, Addresses, Credit card details, bank account full details and more sensitive data.
Now, we can publish your details and your clients online who would damage the rating of the company and would create many problems for you.
On Friday 16_06_2017_7:00p.m. GMT !!! We begin to attack your network servers and computers We will produce a powerful DDoS attack - up to 250 Gbps All data will be encrypted on computers Crypto-Ransomware You can stop the attack beginning, if payment 1 bitcoin (2900 $).
Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 10 bitcoins

Please send the bitcoin to the following Bitcoin address:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Once you have paid we will automatically get informed that it was your payment."

Bei der Auswahl seiner Opfer setzte das Team Xball vor allem auf Masse. So schrieb es nicht nur Unternehmen an, sondern bedrohte auch Privatpersonen ohne Online-Shop oder professionelle Webseite.

Auch das Collective Amadeus ist aktiv

Auch das „Collective Amadeus“ oder „collective of Amadeus” drohte seinen Opfern ein ganzes Maßnahmenpaket an Cyberattacken an, sollte das Schutzgeld von 1 Bitcoin nicht gezahlt werden. Die E-Mails wurden ebenfalls am 15. Juni verschickt und waren nahezu identisch mit denen des Teams Xball. Neu waren verschiedene Angaben zur Zahlungsfrist: „On Friday 06-16 9:00 p.m. GMT !!! We begin to attack your network servers and computers“ und „On 6/17/2017 6:23:59 AM + 36 Hours !!! We begin to attack your network servers and computers”

Das LSOC vermutet, dass es sich bei allen drei DDoS-Erpressern von Meridian Collective, Team Xball und Collective Amadeus um den- oder dieselben Täter handelt. Viele Zahlungsfristen sind schon verstrichen, ohne dass DDoS-Attacken, Festplattenverschlüsselungen oder Datenveröffentlichen registriert wurden.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.