Erpressung mit Lösegeld boomt
Der Report basiert auf der Bedrohungslage von rund 7.000 abgewehrten DDoS-Server-Attacken, die über die Link11-Security-Operations-Center von Link11 liefen. Interessante Trends betreffen die Angreifergruppen und -branchen. Die wichtigsten Motive der DDoS-Kriminellen sind zumeist politischer oder wettbewerblicher Natur.
Eine weitere beliebte Angriffs-Taktik stellen der Datendiebstahl und die anschließende Erpressung dar. Auf dem Vormarsch sind dem Report zufolge rein finanziell motivierte DDoS-Angriffe mit organisierten Schutzgeld-Erpressungen. Besonders hervorgetan haben sich arrivierte Erpresserbanden wie Armada Collective sowie neue Tätergruppen wie Gladius und RedDoor.
Angriffsziel Nummer Eins für DDoS-Erpressungen sind zumeist Banken, Betreiber von Online-Shops sowie Rechenzentren und Anbieter von Online-Services. Laut Link11 kommen immer mehr Branchen dazu. Attacken werden gezielt nach Geschäftsrisiken bestimmter Branchen ausgesucht: Je länger die Ausfallzeit – desto höher die Kosten und Geschäftsrisiken – desto höher die Neigung zur Lösegeldzahlung.
Da verwundert es nicht, dass Kinobetreiber ins Visier der Angreifer geraten sind. Link 11 zufolge wurden im März die Webserver einiger bekannte Kinoketten in Deutschland Ziel von DDoS-Angriffen und brachten diese zum Teil stundenlang zum Ausfall. Finanzieller Schaden entstand vor allem im eBusiness: die Reservierungs- und die Kauffunktionen von Tickets waren nicht erreichbar. Darüber hinaus entdeckte die Gruppe „Gladius“ Online-Apotheken als neue, interessante Opfergruppe.
Weitere DDoS-Trends kurz zusammengefasst
- Angriffsbandbreiten: Die Spitzenbandbreite von Angriffen lag bei mehr als 100 Gigabyte/Sekunde (Gbps). Attacken mit mehr als 80 Gbps werden als „Hyper-Attacken“ klassifiziert – während es im Vorquartal nur 4 solcher Attacken gab, waren es im Berichtsquartal bereits 29 Angriffe. Die durchschnittliche Attacken-Bandbreite lag jedoch unverändert bei etwas mehr als 3 Gbps – zum Teil schon zu viel für kleinere Firmen, die nur mit 1 Gbps-Leitungen ans Netz angebunden sind.
- Attacken-Intensität: Die stärkste Attacke, die das Link11 im 1. Quartal 2016 gemessen und blockiert hatte, lag bei 147 Gbps. Im vierten Quartal 2015 lag diese noch bei 104 Gbps. Die Spitzen-Paketfilterrate betrug 47 Millionen Pakete/Sekunde.
- Attacken-Strategien.Der Anteil der Volumenattacken ist von 95 % in Q4/15 auf 98 % geklettert. DDoS-Angreifer nutzen am häufigsten UDP Floods, TCP SYN Floods und UPD Fragments. Zu 60 Prozent sind Volumenattacken gleichzeitig Multivektor-Attacken.
Über Link 11: „Datenschutz in Germany“
Es gibt momentan nur wenige, rein auf DDoS-Schutz spezialisierte Dienstleister am Markt. Laut Katrin Gräwe, Head of International Corporate Communications, tummeln sich bisher in Europa nur wenige Spezial-Anbieter in dieser IT-Security- Spezial-Nische. Das IT-Unternehmen hat vor vier Jahren begonnen, sich neben dem Server-Hosting auf den Schutz von DDoS-Attacken zu fokussieren und mit der „DDoS Protection Cloud“ ein eigenes Produkt an den Markt gebracht. Link11 verspricht den Kunden, ihr Unternehmen im 24/7-Modus vor Cyber-Attacken zu schützen. Betreiber kleiner Webseiten ohne Shops und DNS-Services können sich bei Link11 schon mit einer Monatslizenz im dreistelligen Euro-Bereich absichern lassen. Der DDoS-Schutz kann innerhalb von zwei Stunden aufgebaut werden.
Das Unternehmen mit Sitz in Frankfurt a.M. adressiert vor allem den Markt im deutschsprachigen Raum, hat seine Netzwerk-Strukturen am Unternehmenssitz angesiedelt, um der wachsenden Skepsis von Unternehmen und Privatanwendern gegenüber Servern und Cloud-Services in den USA entgegenzukommen. Christopher Blair, PR-Manager, sagt: „Die Kunden fordern, dass die Daten in Deutschland bleiben sollen“. Zu den Kunden von Link11 gehören große Unternehmen und auch einige DAX-Konzerne. Selbst Angela Merkel ließ es sich nicht nehmen, den Messestand von Link11 auf der CeBIT zu besuchen.