Nächste DDoS-Erpresserwelle durch XMR-Squad

Mai 02, 2017

Bei zahlreichen Unternehmen in Deutschland und der Schweiz sind seit Montag, dem 1. Mai 2017, Erpresserschreiben im Namen von XMR-Squad eingegangen. Diese liegen auch dem Link11 Security Operation Center (LSOC) vor. Die kriminelle Gruppe hatte erst vor wenigen Tagen mit DDoS-Attacken auf Hermes und DHL für Schlagzeilen gesorgt, sich dann aber schnell wieder zurückgezogen. Nach ersten Analysen geht das LSOC bei den aktuellen Erpressungen von Nachahmern und Trittbrettfahrern aus.

In wichtigen Punkten unterscheiden sich Vorgehen und Auftreten der Täter von den Vorfällen zwischen dem 19. und 26. April 2017. Das LSOC fasst die Auffälligkeiten wie folgt zusammen:

  • Bei den ersten Erpressungen deklarierten die Täter ihre Forderungen als Test-Gebühr für das Prüfen des DDoS-Schutzes. Davon ist aktuell nicht mehr die Rede, sondern die Kriminellen sprechen schon in der Betreffzeile von „Ransom request“.
  • Der Text der Erpresser-Mails ist zum Großteil von bereits veröffentlichten Erpresserschreiben im Namen des Armada Collective kopiert. Eine der neuen E-Mails im Namen von XRM-Squad ist hier nachzulesen.
  • XMR-Squad hatte in der ersten Welle erst DDoS-Attacken gestartet und danach den Kontakt mit seinen Opfern gesucht. Bei den aktuellen Vorfällen wurden noch keine Demo-Attacken registriert. Wie schon bei den Erpresserbanden von Borya Collective, RedDoor, Caremini könnten die Täter versuchen, allein über die Androhung von Angriffen Bitcoins zu erpressen.
  • Die Schutzgeldforderung liegt mit Beträgen zwischen 3 und 10 Bitcoin (ca. 4.000 bis 13.000 Euro mit Stand vom 2. Mai 2017) deutlich über der Summe von 250 Euro, die XMR von seinen Opfern zwischen dem 19. und 26. April zu erpressen versuchte.

XMR-Squad wären nicht die erste Erpresserbande, deren kriminelles Vorgehen Nachahmer findet. Sehr populär ist es, sich als das Armada Collective oder Lizard Squad auszugeben. Armada Collective trat erstmals im Oktober 2015 in Erscheinung. Seitdem kam es auch in Deutschland und der Schweiz immer wieder zu DDoS-Erpressungen unter diesem Namen. Lizard Squad erlangte mit DDoS-Attacken auf Xbox und das Playstation Network an Weihnachten 2014 internationale Berühmtheit.

Das LSOC ist mit zahlreichen der von XMR-Squad angeschriebenen Unternehmen in Kontakt und wird die Geschehnisse genau verfolgen. Noch ist unklar, ob die Täter die angekündigten DDoS-Attacken von bis zu 500 Gbps auch wirklich umsetzen werden.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.