Stealth Ravens: Neue DDoS-Erpresser in Deutschland

Jan 312017, 2017

Das Link11 Security Operation Center (LSOC) hat in den vergangenen Tagen zahlreiche Fälle von DDoS-Erpressungen mit umgesetzten Warnattacken gegen deutsche Online-Shops registriert. Hinter dem aggressiven Vorgehen stehen Täter, die sich als „Stealth Ravens“ bezeichnen und für die DDoS-Angriffe gegen ihre Opfer angeblich ein Mirai-Botnetz zur Verfügung haben.

Seit dem 25. Januar 2017 haben E-Commerce-Anbieter in Deutschland Schutzgeldforderungen über 5 Bitcoins erhalten. Die Erpresser nennen sich Stealth Ravens und scheinen es ernst zu meinen. Sie kündigen in den kurz gehaltenen Erpresser-E-Mails eine DDoS-Attacke auf einen konkreten Server des Online-Shops an und führen diese dann auch zügig aus. Laut Erpresserschreiben nutzen sie dafür ein Mirai-Botnetz: „If you dont pay 5 bitcoin until 1. february you will be hardly ddosed! Our attacks are super powerfull (Mirai botnet).“ Die Attacken erreichten bislang Spitzenbandbreiten bis zu 15 Gpbs.

Die Täter verschicken ihre Forderungen von anonymen E-Mail-Diensten. Die Erpresser-Mails sind in Englisch verfasst und unterscheiden sich teilweise in ihren Formulierungen. Jedes Schreiben enthält eine opferspezifische Bitcoin-Adresse. Die Zahlungsfristen enden am 1. bzw. 2. Februar.

Derartige Erpressungen durch DDoS-Angriffe sind inzwischen leider schon trauriger Alltag in vielen Branchen. Alleine im vergangenen Jahr versuchten fast 10 verschiedene Gruppen wie Armada Collective, Lizard Squad, Kadyrovtsy und New World Hacking Groups mit dieser Masche in Deutschland, Österreich und der Schweiz an Geld zu kommen. Im Unterschied zu Stealth Ravens bluffen allerdings viele der Täter.

Aufgrund der offensiven Demo-Attacken warnt das LSOC alle Online-Shops in Deutschland und rät zur Rücksprache mit dem ISP und zur aufmerksamen Beobachtung des Netzwerkverkehrs. Allerdings zeigt der Link11 DDoS-Report für das 3. Quartal 2016, dass sich DDoS-Attacken oft innerhalb weniger Minuten aufbauen. Eine Hyper-Attacke mit mehr als 80 Gbps erreichte ihren Peak innerhalb von 3 Minuten. Wenn solch ein Angriff ohne Vorwarnung auf ein ungeschütztes Unternehmen trifft, dann bleibt den meisten IT-Security-Systemen kaum Zeit, um Alarm zu schlagen, geschweige denn, um angemessene Schutzmaßnahmen zu aktivieren.

Sind Sie von DDoS-Attacken betroffen?

Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!

Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!

Kontakt Link11 Security Operation Center (LSOC)

+49 (0)800-0011800
LSOC@link11.de

Link11 steht mit dem BSI - Allianz für Cybersicherheit und den Strafverfolgungsbehörden im Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen.