Die DDoS-Erpresserwelle rollt
Wie link11.de berichtete, startete eine DDoS-Erpresserwelle gegen tausende Unternehmen in Deutschland am 11. Mai 2016. Unter dem Absender „robin.hood@caremini.de“ fordern DDoS-Erpresser in gutem Deutsch einen ungewöhnlich niedrigen Betrag von 1 Bitcoin von ihren Opfern. Das DDoS-Schutzgeld soll dann auf diverse Organisationen wie Save the Children, WWF Deutschland und Ärzte ohne Grenzen aufgeteilt werden.
Wer nicht zahlt, dem droht eine heftige DDoS-Attacke. Die Erpresser setzen derweil keinen gezielten Fokus auf Branchen. Die Opfer sind große Finanzunternehmen in Deutschland bis hin zu kleineren IT-Dienstleistern. Ein durchdachtes Muster lässt sich daher nicht erkennen. Die Zahlungsfrist beträgt 5 Werktage.
Das Erpresserschreiben von caremini
From: robin.hood@caremini.de [mailto:robin.hood@caremini.de]
Sent: Dienstag, 10. Mai 2016 14:04
To: xxx
Subject: Hallo Welt
Hallo,
wir sind caremini.
Wir sammeln Spenden ein.
Dies hört sich jetzt wie ein Bitte an, ist in Wirklichkeit aber eine Aufforderung an dich!
Wir fordern dich auf Geld zu spenden und wir werden das Geld anschließend verteilen.
Je nachdem wie viel Spenden wir einnehmen, werden wir das Geld an verschiedene Organisationen verteilen:
- Pro Asyl
- Save the Children
- WWF Deutschland
- Ärzte ohne Grenzen
- Deutsche Krebshilfe
und weitere.
Wir verlangen von dir minimum 1 Bitcoin (du kannst gerne mehr Spenden!).
Du solltest diese eMail nicht ignorieren oder als Witz abtun. Falls Du der Forderung nicht nachkommst wird es dich Wirtschaftlich we
-
sentlich mehr kosten!
Wir werden mehrere DDOS-Attacken auf deine Internet-Dienste fahren, sprich dein Webauftritt und dein eMailverkehr werden über
Wochen gestört sein!
Dies wird dich viel mehr kosten als ein Bitcoin! Wir spaßen nicht, versprochen!
Wie gesagt das Geld ist nicht für uns, sondern für den guten Zweck.
Überweise mindestens 1 Bitcoin an folgende Bitcoin-Adresse:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Du hast 5 Werktage Zeit den Betrag zu überweisen. Wenn nach 5 Werktagen der Betrag nicht eingegangen ist werden wir mit den
DDOS-Attacken beginnen!
Du kannst ganz einfach Bitcoins auf bit4coin.net, bitcoin.de, btcdirect.eu oder einer der vielen anderen Bitcoin-Börsen kaufen und von
dort überweisen.
Diese Mail ging natürlich an viele Empfänger, aber jeder Empfänger hat seine eigene Bitcoin-Adresse bekommen. Also wir können ganz
genau zuordnen wer bezahlt hat und wer nicht.
Bitcoin ist anonym, niemand wird erfahren, dass Du bezahlt hast, jeder wird aber mitbekommen wenn Du nicht bezahlst ;)
--
Mit freundlichen Grüßen
caremini
Das Link11 Security Operation Center (LSOC) geht wieder von Trittbrettfahrern aus, die durch die intensive Medienberichterstattung über die Erpresserbande Armada Collective das schnelle Geld gewittert haben. Ausgehend von einer intensiven Medienberichterstattung über die Erpresserband Armada Collective, die 100.000 Dollar Schutzgeld erpresst haben sollen sind nun Nachahmer am Werk, die offensichtlich Fehler ihrer Vorgänger ausgemerzt haben, die detailliert veröffentlicht wurden.
Die Analyse von LSOC
Seit dem Auftreten der ersten Erpressermails von caremini hat das LSOC das Vorgehen der Täter analysiert. Es weicht in wichtigen Punkten vom Vorgehen anderer Trittbrettbrettfahrer der vergangenen Wochen ab:
- Während Erpresser wie die frühen Armada Collective und DD4BC die E-Mail-Adressen ihrer Opfer sorgfältig im Vorfeld recherchierten, nutzt caremini offensichtlich Crawler, um E-Mail-Kontakten von tausenden von Webseiten abzufragen. Die Erpresser-Mails richten sich daher an Adressen wie info@xxx.xx und kontakt@xxx.xx, wie sie auf jeder Webseite eingesehen werden können.
- Für jedes Unternehmen generiert caremini eine individuelle Bitcoin-Adresse. Der Zeitaufwand dafür beträgt ca. 200 Millisekunden. In einer Stunde kommen die Täter so auf 18.000 Bitcoin-Adressen.
- Die DDoS-Erpresser nutzen ebenfalls ein Script, um die E-Mail-Kontaktdaten und Bitcoin-Adressen in einem Text-Template zusammenführen und automatisiert zu verschicken.
- Die Täter versenden ihre Droh-Mails direkt an die Mail-Server der Opfer-Unternehmen. Sie nutzen weder Routing über TOR noch verschleiern sie die Absende-Adresse. Dafür setzen sie auf eine starke Verschlüsselung. Der eingesetzte Linux-Distributor dürfte nicht älter als 2015 sein.
- Beim verwendeten Mail-User-Agent handelt es sich um das Unix-basierte mailx, ein leicht skriptbares Linux-Programm.
- Die Absender-IP ist auf den Hosting-Anbieter Voxility in Rumänien eingetragen, während die Domain angeblich von deutscher Seite registriert wurde.
Dass die Täter die IP-Adresse selbst registriert haben, liegt im Bereich des Möglichen. Nach Einschätzungen des LSOC ist es aber wahrscheinlicher, dass sie den Linux-Server von caremini erst vor kurzem gehackt haben. Eine Sicherheitslücke via ImageMagic könnte zum Beispiel das betroffene System verwundbar gemacht haben.
Das LSOC steht mit den Strafverfolgungsbehörden und dem German Competence Center against Cybercrime im engen Kontakt und wird diese bei der Analyse und Aufklärung des Erpressungsversuchs unterstützen
Der Rat für Betroffene
DDoS-Schutzspezialisten wie die des LSOC raten die Erpressung unbedingt anzuzeigen. Die Allianz für Cybersicherheit bietet eine Übersicht über die jeweiligen Ansprechpartner für Cybercrime in den einzelnen Bundesländern.
Über Link11
Die Link11 GmbH ist ein deutscher IT-Infrastrukturanbieter mit den Kernkompetenzen DDoS Schutz, Server Hosting und CDN. Dafür unterhält Link11 ein leistungsstarkes Netzwerk und hochmoderne, ausfallsichere Rechenzentren.
Neben dem Hauptstandort in Frankfurt beschäftigt das Unternehmen weitere Mitarbeiter in Hamburg und Stuttgart. Die Teams verbinden kompetente IT-Lösungen mit kundenorientierter Expertise und Betreuung.
Die Link11 GmbH wurde 2005 von den beiden Geschäftsführern Jens-Philipp Jung und Karsten Desler gegründet. Seitdem hat sich das Unternehmen zum mehrfach ausgezeichneten, führenden deutschen Spezialanbieter von DDoS-Schutzlösungen entwickelt. Link11 präsentiert sich mit seinem Produktportfolio aktiv auf allen wichtigen internationalen Messen und baut seine Position als Anbieter von weltweiten CDN-Services weiter aus.
Zu den Kunden gehören führende E-Commerce-, Finanz- und Versicherungsunternehmen. Ausgewählte Provider und Hoster setzen Link11-Produkte als White-Label-Lösungen ein.
Als offizieller Partner nationaler und internationaler Fachverbände und Institutionen engagiert sich Link11 aktiv in den Bereichen IT-Security, Internettechnologie und in der E-Commerce-Branche.
