Nächste DDoS-Erpresserwelle durch XMR-Squad
Bei zahlreichen Unternehmen in Deutschland und der Schweiz sind seit Montag, dem 2. Mai 2017, Erpresserschreiben im Namen von XMR-Squad eingegangen. Diese liegen auch dem Link11 Security Operation Center (LSOC) vor. Die kriminelle Gruppe hatte erst vor wenigen Tagen mit DDoS-Attacken auf Hermes und DHL für Schlagzeilen gesorgt, sich dann aber schnell wieder zurückgezogen. Nach ersten Analysen geht das LSOC bei den aktuellen Erpressungen von Nachahmern und Trittbrettfahrern aus.
- In wichtigen Punkten unterscheiden sich Vorgehen und Auftreten der Täter von den Vorfällen zwischen dem 19. und 26. April 2017. Das LSOC fasst die Auffälligkeiten wie folgt zusammen:
- Bei den ersten Erpressungen deklarierten die Täter ihre Forderungen als Test-Gebühr für das Prüfen des DDoS-Schutzes. Davon ist aktuell nicht mehr die Rede, sondern die Kriminellen sprechen schon in der Betreffzeile von „Ransom request“.
- Der Text der Erpresser-Mails ist zum Großteil von bereits veröffentlichten Erpresserschreiben im Namen des Armada Collective kopiert. Eine der neuen E-Mails im Namen von XRM-Squad ist hier nachzulesen. https://lp.link11.de/share/public/Link11_XMR-Squad_Erpressermail_020517.pdf
- XMR-Squad hatte in der ersten Welle erst DDoS-Attacken gestartet und danach den Kontakt mit seinen Opfern gesucht. Bei den aktuellen Vorfällen wurden noch keine Demo-Attacken registriert. Wie schon bei den Erpresserbanden von Borya Collective, RedDoor, Caremini könnten die Täter versuchen, allein über die Androhung von Angriffen Bitcoins zu erpressen.
- Die Schutzgeldforderung liegt mit Beträgen zwischen 3 und 10 Bitcoin (ca. 4.000 bis 13.000 Euro mit Stand vom 2. Mai 2017) deutlich über der Summe von 250 Euro, die XMR von seinen Opfern zwischen dem 19. und 26. April zu erpressen versuchte.
Das Erpresserschreiben
Dem Link11 Security Operation Center (LSOC) liegt folgendes Erpresserschreiben vor:
From: xmr-squad@xxx.xxx
To: xxx
Subject: Ransom request: DDOS ATTACK!
FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!
We are xmr-squad. https://lmgtfy.com/q=xmr_squad
All your servers will be DDoS-ed in 24h starting wednesday (may 3) if you don’t pay protection – 5 Bitcoins @ xxxxxxxxxxxxxxxxxxxxxxxxx
xxxxxxxxx
If you don’t pay by wednesday, attack will start, price to stop will
increase to 30 BTC and will go up 5 BTC for every day of attack.
One bitcoin costs about 1.3k USD at the moment.
You can buy bitcoins easily here: https://blockchain.info/wallet
This is not a joke.
Our attacks are extremely powerful – sometimes over 500 Gigabits per second.
So, no cheap protection will help.
Prevent it all with just 5 BTC @ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Do not reply, we will not read.
Pay and we will know its you. AND YOU WILL NEVER AGAIN HEAR FROM US!
Bitcoin is anonymous, nobody will ever know you cooperated.
DDoS-Erpressungen und kein Ende
XMR-Squad wären nicht die erste Erpresserbande, deren kriminelles Vorgehen Nachahmer findet. Sehr populär ist es, sich als das Armada Collective oder Lizard Squad auszugeben. Armada Collective trat erstmals im Oktober 2015 in Erscheinung. Seitdem kam es auch in Deutschland und der Schweiz immer wieder zu DDoS-Erpressungen unter diesem Namen. Lizard Squad erlangte mit DDoS-Attacken auf Xbox und das Playstation Network an Weihnachten 2014 internationale Berühmtheit.
Das LSOC ist mit zahlreichen der von XMR-Squad angeschriebenen Unternehmen in Kontakt und wird die Geschehnisse genau verfolgen. Noch ist unklar, ob die Täter die angekündigten DDoS-Attacken von bis zu 500 Gbps auch wirklich umsetzen werden.
Über Link 11: „Datenschutz in Germany“
Es gibt momentan nur wenige, rein auf DDoS-Schutz spezialisierte Dienstleister am Markt. Laut Katrin Gräwe, Head of International Corporate Communications, tummeln sich bisher in Europa nur wenige Spezial-Anbieter in dieser IT-Security- Spezial-Nische. Das IT-Unternehmen hat vor vier Jahren begonnen, sich neben dem Server-Hosting auf den Schutz von DDoS-Attacken zu fokussieren und mit der „DDoS Protection Cloud“ ein eigenes Produkt an den Markt gebracht. Link11 verspricht den Kunden, ihr Unternehmen im 24/7-Modus vor Cyber-Attacken zu schützen. Betreiber kleiner Webseiten ohne Shops und DNS-Services können sich bei Link11 schon mit einer Monatslizenz im dreistelligen Euro-Bereich absichern lassen. Der DDoS-Schutz kann innerhalb von zwei Stunden aufgebaut werden.
Das Unternehmen mit Sitz in Frankfurt a.M. adressiert vor allem den Markt im deutschsprachigen Raum, hat seine Netzwerk-Strukturen am Unternehmenssitz angesiedelt, um der wachsenden Skepsis von Unternehmen und Privatanwendern gegenüber Servern und Cloud-Services in den USA entgegenzukommen. Zu den Kunden von Link11 gehören große Unternehmen und auch einige DAX-Konzerne.
Weiterführende Links:
Warnung vor aggressiver DDoS-Erpressergruppe XMR-Squad
Warnung vor Stealth Ravens: Shops sollten sich vor DDoS-Attacken aus Mirai-Botnetz schützen
Internet der Dinge Sicherheit: Brian Krebs enttarnt Mirai Botnetz
Kaspersky meldet: Mirai- Malware steckt hinter Telekom Attacke
Immer mehr DDoS-Angriffe in Deutschland: Amazon bietet Unternehmen ab sofort Schutz
Ransomware-Angriffe: Unternehmen weltweit alle 40 Sekunden betroffen
Acht Tipps zum Schutz vor DDoS Attacken und Angriffen über Bot-Netze
Kaspersky DDoS Intelligence Report Q3/2016
Signifikanter Anstieg von DDoS-Attacken über Linux-Server
Link11 bietet erstmalig DDoS-Schutzlösungen für Hosting-Provider an
DDoS-Attacken: Deutschland zurück in den Top 10
DDoS-Angriffe über die Cloud nehmen drastisch zu
Link11-DDoS-Report: Cyber-Kriminelle haben Linux-Rechner, WordPress und IoT ins Visier genommen
