Schutzgeld oder Attacke
Wie computerwoche.de dazu informierte, berichten deren amerikanische Kollegen vom "IDG News Service", dass sich die meisten Unternehmen weigern, das Schutzgeld zu zahlen. Wie auf dem Bitcoin-Konto des Armada Collective erkennbar ist, gingen dort Zahlungen von über 100.000 Dollar ein. Die Gruppe verlangte Zahlungen zwischen zehn und 50 Bitcoins (4000 bis 20.000 Euro) als Schutzgeld von den bedrohten Unternehmen. Für den Fall, dass keine Zahlung erfolgt, wurden Distributed-Denial-of-Service-(DDoS)-Attacken angedroht, die Bandbreiten von bis zu 1 Tbit/s erreichen sollen.
Was sind DDoS-Attacken?
Dazu erläutert computerlexikon.com:
- DDoS-Attacke ist eine Abkürzung für Distributed Denial of Service.
- Unter DDoS (Distributed Denial of Service = Verweigerung des Dienstes) versteht man einen Angriff auf einen Computer mit dem erklärten Ziel, die Verfügbarkeit außer Kraft zu setzen.
- Im Gegensatz zur DoS-Attacke erfolgt der Angriff von vielen verteilten Rechnern aus. Das Opfer wird hierzu beispielsweise mit einer Vielzahl von fehlerhaften IP-Paketen bombardiert und stellt seinen Dienst wegen Überlastung ein.
- Eines der DDoS Programme die derzeit am effektivsten arbeiten ist TFN 2000 (TFN = Tribe Flood Network).
Bei konventionellen DoS Angriffen, die auf Flooding, d.h. der Überlastung der maximalen Bandbreitenkapazität eines Ziels basieren, muss einem Angreifer immer ein System zur Verfügung stehen, dass über wesentlich mehr Bandbreite als sein Ziel verfügt, damit das Ziel mit kontinuierlichen Anfragen überlastet werden kann. - Wenn nicht, muss ein Angreifer auf mehrere Systeme mit geringerer Bandbreite zurückgreifen, um so einen Angriff zu koordinieren - also etwa in dem er sich über etliche Telnet- oder SSH-Sitzungen einloggt und gleichzeitig einen Pingbefehl ausführt - dessen Gesamtbandbreite dann wieder die Bandbreite des Zielsystems wesentlich übersteigt.
- Verteilte DoS-Angriffe automatisieren dieses Schema, indem sie auf simpler Client/ServerTechnologie aufbauen. Ein DDoS-Server oder DDoS-Daemon wartet auf Anweisungen, Ziele anzugreifen, also kontinuierlich Daten an ein Ziel zu senden. Diese Anweisungen werden in einem für das DDoS-Programm anwendungsspezifischen Protokoll übertragen. Ein DDoS-Client, welcher dasselbe Kontroll-Protokoll unterstützt, wird benutzt, um Angriffsanweisungen für ein Ziel an beliebig viele DDoS-Server zu schicken, und somit Angriffe zu koordinieren.
Angriffe nur vorgetäuscht
Zwischenzeitlich kamen Informationen von der Security-Website Cloud-Flare, dass Unternehmen, die nicht auf die Erpressung eingegangen sind, trotzdem nicht attackiert wurden. So berichtet Matthew Prince, CEO von CloudFlare, in einem Blog-Eintrag:
"Wir haben keinen einzigen Vorfall entdeckt, bei dem das sogenannte Armada Collective tatsächlich eine DDoS-Attacke losgetreten hat"
Laut Prince soll es sich beim Armada Collective um Nachahmungstäter handeln, die ähnlich wie die Erpressergruppe DD4BC agieren. Die DD4BC-Gruppe hatte in der Vergangenheit mit Attacken in einer Bandbreite von über 500 Gbit/s gedroht, die von CloudFlare jedoch nicht verifiziert werden konnten. Zwischenzeitlich ist die Erpressergruppe DD4BC im Rahmen einer Europol Aktion aufgeflogen
