Warnung: Gefährliche DDoS-Angriffe von ZZb00t halten seit 4 Wochen an

Mai 17, 2017

Seit Ende April reißt eine Serie von DDoS-Attacken, die vorrangig auf deutsche Webseiten zielen, nicht ab. Hinter den Angriffen auf u.a. Rakuten.de, billiger.de, Hood.de und RedCoon.de steht ein Hacker mit dem Twitter-Namen @ZZb00t. Das LSOC warnt vor den Attacken, die auf die originalen IP-Adressen der Webserver zielen.

Mit der Begründung „So much #insecure #servers out there.“ (Quelle Twitter-Kommunikation 29.04.2017) startet ein Hacker mit dem Pseudonym ZZb00t seit dem 22. April wiederholt DDoS-Attacken gegen Webseiten. Die Mehrheit seiner Opfer sitzt in Deutschland. Auf der Suche nach Schwachstellen in der IT-Infrastruktur hat ZZb00t u.a. schon Rakuten.de, billiger.de, Hood.de, RedCoon.de und große Logistikunternehmen erfolgreich angegriffen. Wie der E-Commerce-Blog Wortfilter.de berichtete, zogen sich die Ausfallzeiten oft über Stunden hin. Obwohl viele der attackierten Unternehmen einen DDoS-Schutz eingekauft haben, stehen sie den Angriffen wehrlos gegenüber. Der Grund dafür ist nach Analysen des Link11 Security Operation Centers (LSOC), dass die Schutzlösung nicht vollständig implementiert und kein Site Shield aufgebaut wurde. Dazu kommt, dass die Opferunternehmen keinen DDoS-Infrastrukturschutz eingerichtet haben.

Nach den Analysen des LSOC liegen folgende Informationen über den DDoS-Angreifer vor:

  • Täter: ZZb00t bezeichnet sich in seinem Twitter-Profil @zzb00t als „gray hat“, der früher als IT-Security-Consultant gearbeitet hat. Er nutzt ausschließlich Tweets, um seine Attacken zu kommunizieren und die attackierten Unternehmen zu verspotten: „Did I mention that I hear hardstyle during an attack? Strikes hard as #DDoS“ (Quelle Twitter Kommunikation, 13.05.2017). Die Frage, ob dahinter eine Gruppe oder ein Einzeltäter steckt, hat ZZb00t mit einem Tweet beantwortet: „I'M NOT A GROUP!!! You got pwned by a single person.“ (Quelle Twitter Kommunikation, 13.05.2017)
  • Chronologie: Seit dem ersten Tag und Tweet ist ZZb00t täglich aktiv, kündigt Attacken an, kommentiert die Folgen und verhöhnt seine Opfer.
  • Motivation: Finanzielle Interessen scheinen nicht hinter den DDoS-Attacken von ZZb00t zu stehen. Dem LSOC sind keine Informationen zu Schutzgeldforderungen bekannt. ZZb00t bezeichnet sich in seinem Twitter-Profil hingegen als „#vulnerabilities hunter“ und gibt als Grund für sein Handeln wiederholt den schlechten Schutz von Servern an: „So much #insecure #servers out there“ (Quelle Twitter Kommunikation, 29.04.2017).
  • Angriffsziele: Neben großen Logistikdienstleistern zählen auch die folgenden Unternehmen zu den Opfern von ZZb00t: die ITK-Anbieter M-net.de und bplaced.de, die Online-Shops Redcoon, Buyerzon.de, Swarovski.de und Eis.de, der Online-Marktplatz Hood.de, die E-Commerce-Dienstleister Rhiem, DreamRobot und JTL und die E-Sports-Plattform ESL.eu.
  • Vorwarnungen: Mit einem Vorlauf von mehreren Stunden kündigt ZZb00t die Attacken in seinen Tweets an: „Stresstest will start on 15/05/2017 15:00 CEST for http://www.redcoon.de. (Quelle Twitter Kommunikation 14.05.2017) und „Congratulations to @RakutenDE_B2B , your server performance test is on the way. Starting at 19:00 CEST on http://www.rakuten.de (Quelle Twitter Kommunikation, 11.05.2017)
  • Angriffsmuster: ZZb00T setzt auf Volumen-, Protokoll- und Applikationsattacken, die wenige Minuten bis hin zu mehreren Stunden und Tagen andauern. Die Schlagkraft der Angriffe ist mit bis zu 20 Gbps nicht außergewöhnlich hoch. Sie reicht aber aus, um Server mit Uplinks von 1 bis 2 Gbps offline zu nehmen.
    Das Besondere an den Attacken von ZZb00T ist, dass sie nicht den Domainnamen angreifen, sondern auf die originale IP-Adresse zielen. Die Informationen, welche IP-Adressen zu einer Domain gehören, lassen sich online und mit wenigen Klicks in Datenbanken abfragen. ZZb00t nutzt gezielt die Schwachstelle vieler IT-Infrastrukturen aus, die den DDoS-Schutz ihrer originalen IP-Adressen vernachlässigen und nicht über ein Site Shield vom direkten Zugriff abschirmen.
  • Gefahreneinschätzung: Die DDoS-bedingten Downtimes der attackierten Unternehmen sprechen eine klare Sprache. ZZb00t ist mit seinen Angriffen sehr erfolgreich. Seine Ankündigungen neuer Attacken sind unbedingt ernst zu nehmen.
  • Handlungsempfehlung: Das LSOC rät allen Unternehmen zu prüfen, ob der vorhandene DDoS-Schutz neben dem Domainnamen auch die Subdomains abdeckt. Zusätzlich sollte die IP-Adresse des Original-Servers nicht direkt aus dem Internet erreichbar sein. Hierzu empfiehlt sich, ein Site Shield zu implementieren. Um auch interne Netze gegen die Angriffe zu schützen, ist der Aufbau eines DDoS-Infrastrukturschutzes via BGP anzuraten.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.