Neue DDoS-Erpressergruppe Meridian Collective

Juni 14, 2017

Seit dem 13. Juni 2017 haben zahlreiche Unternehmen in Deutschland DDoS-Erpressermails im Namen des „Meridian Collective“ erhalten. Der oder die Täter fordern 1 Bitcoin Schutzgeld, um DDoS-Attacken von mehreren 100 Gbps zu verhindern. Meridian Collective folgt damit Vorgehensmustern, die schon von früheren DDoS-Tätern wie RedDoor, New World Hacking Groups, Borya Collective und Nachahmern des Armada Collective bekannt sind.

Neue DDoS-Erpressergruppe Meridian Collective
Neue DDoS-Erpressergruppe Meridian Collective (shutterstock/welcomia, Bild-ID: 35627875)

So ist das Erpresserschreiben nahezu identisch mit dem Text, den das vermeintliche Armada Collective im August 2016 an Finanzunternehmen in Deutschland schickte. Die neuen Täter haben nur ihren eigenen Namen, die Zahlungsfrist, die Höhe der Bitcoin-Forderungen sowie die Bitcoin-Adresse getauscht. Meridian Collective hat – wie im Original – auch die Androhung einer Festplattenverschlüsselung beibehalten.

Auszug aus einem der Erpresserschreiben:

"We, HACKER TEAM - Meridian Collective
1 - We checked your security system. The system works is very bad
2 - On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network servers and computers
3 - We will produce a powerful DDoS attack - up to 200 Gbps
4 - Your servers will be hacking the database is damaged
5 - All data will be encrypted on computers Crypto-Ransomware
4 - You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
5 - Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 5 bitcoins
6 - After payment we will advice how to fix bugs in your system"

Der oder die Täter arbeiten mit teilweise unterschiedlichen Bitcoin-Adressen, drohen mit DDoS-Bandbreiten zwischen 200 Gbps und 300 Gbps und haben neben deutschen u. a. auch spanische und britische Unternehmen angeschrieben.

Seit Anfang des Jahres 2017 hat das LSOC bereits drei sehr aggressive Wellen von DDoS-Attacken und –Erpressungen registriert. Die Täter dahinter – Stealth Ravens, XMR-Squad und der kurzzeitig inhaftierte ZZb00t – beließen es aber nicht nur bei Worten, sondern starteten wiederholt folgenreiche DDoS-Attacken. Von Meridian Collective sind bislang noch keine Angriffsaktivitäten bekannt. Die bei allen angeschriebenen Unternehmen angegebene Zahlungsfrist endet erst am Freitagmorgen des 16. Juni.

Das LSOC empfiehlt in keinem Fall auf die Erpressungen einzugehen. Im Falle eines DDoS-Angriffs sollten attackierte Unternehmen ein Krisen-Team bilden und einen Notfallplan aufstellen. Die DDoS-Schutzexperten empfehlen außerdem, den Internet-Provider zu informieren und sich präventiv über Schutzlösungen gegen DDoS-Attacken zu informieren.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.