Erpresserbanden bedrohen die Dach-Region
Neben dem Meridian Collective erpressen das Team Xball und das Collective Amadeus derzeit Unternehmen mit DDoS-Attacken. Aktuell sind mehrere DDoS-Erpresserbanden in Deutschland, Österreich, Schweiz und in anderen europäischen Ländern wie Norwegen, Großbritannien und Spanien aktiv. Zahlreiche Unternehmen aber auch Privatpersonen, die eine Domain bei einem Hoster registriert haben, wurden zu Bitcoin-Zahlungen aufgefordert.
Neben DDoS-Attacken drohen ihnen auch die Verschlüsselung ihrer Festplatte sowie die Veröffentlichung gehackter Informationen. Als Absender traten das Meridian Collective, das Team Xball und das Collective Amadeus auf. Nach Einschätzung des Link11 Security Operation Center (LSOC) steht hinter diesen drei Gruppierungen womöglich ein und derselbe Täter.
Das „Meridian Collective“
Seit dem 13. Juni 2017 haben zahlreiche Unternehmen in Deutschland DDoS-Erpressermails im Namen des „Meridian Collective“ erhalten. Der oder die Täter fordern 1 Bitcoin Schutzgeld, um DDoS-Attacken von mehreren 100 Gbps zu verhindern. Meridian Collective folgt damit Vorgehensmustern, die schon von früheren DDoS-Tätern wie RedDoor, New World Hacking Groups, Borya Collective und Nachahmern des Armada Collective bekannt sind.
So ist das Erpresserschreiben nahezu identisch mit dem Text, den das vermeintliche Armada Collective im August 2016 an Finanzunternehmen in Deutschland schickte. Die neuen Täter haben nur ihren eigenen Namen, die Zahlungsfrist, die Höhe der Bitcoin-Forderungen sowie die Bitcoin-Adresse getauscht. Meridian Collective hat – wie im Original – auch die Androhung einer Festplattenverschlüsselung beibehalten.
Auszug aus einem der Erpresserschreiben:
"We, HACKER TEAM - Meridian Collective
1 - We checked your security system. The system works is very bad
2 - On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network servers and computers
3 - We will produce a powerful DDoS attack - up to 200 Gbps
4 - Your servers will be hacking the database is damaged
5 - All data will be encrypted on computers Crypto-Ransomware
4 - You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
5 - Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 5 bitcoins
6 - After payment we will advice how to fix bugs in your system"
Seit Anfang des Jahres 2017 hat das LSOC bereits drei sehr aggressive Wellen von DDoS-Attacken und –Erpressungen registriert. Die Täter dahinter –
- Stealth Ravens,
- XMR-Squad und der kurzzeitig inhaftierte
- ZZb00t
– beließen es aber nicht nur bei Worten, sondern starteten wiederholt folgenreiche DDoS-Attacken. Von Meridian Collective sind bislang noch keine Angriffsaktivitäten bekannt. Die bei allen angeschriebenen Unternehmen angegebene Zahlungsfrist endete erst am Freitagmorgen des 16. Juni.
Das Team Xball
Das Team Xball und das Collective Amadeus beschränken sich nicht nur auf ein Land, sondern sind von Norwegen über Deutschland, Österreich und die Schweiz bis Spanien aktiv. Als erstes meldete sich das Team Xball bzw. das Xball Collective. Die Erpresser-E-Mails, die dem LSOC vorliegen, datieren vom 15. Juni 2017. Anders als Meridian Collective drohten der oder die Täter neben DDoS-Attacken und einer Festplattenverschlüsselung auch die Veröffentlichung gehackter Informationen an.
Die E-Mails wurden mit dem Betreff „Attention“oder „Warning“ gefolgt von einer 7-stelligen Zahl verschickt. Die Zahlungsfrist sollte 1 Stunde früher als bei den Erpressungen durch das Meridian Collective, nämlich um 7 Uhr (GMT)am Freitag, 16. Juni 2017 enden.
Auszug aus einem der Erpresser-E-Mails im Namen des Teams Xball:
"We are the Team Xball and we have chosen your website/network as target for our next DDoS attack.
Unfortunately your data was leaked in the recent hacking of the web site and we now have your information.
We have DataBase tax forms, DOB, Names, Addresses, Credit card details, bank account full details and more sensitive data.
Now, we can publish your details and your clients online who would damage the rating of the company and would create many problems for you.
On Friday 16_06_2017_7:00p.m. GMT !!! We begin to attack your network servers and computers We will produce a powerful DDoS attack - up to 250 Gbps All data will be encrypted on computers Crypto-Ransomware You can stop the attack beginning, if payment 1 bitcoin (2900 $).
Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 10 bitcoins
Please send the bitcoin to the following Bitcoin address:
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Once you have paid we will automatically get informed that it was your payment."
Bei der Auswahl seiner Opfer setzte das Team Xball vor allem auf Masse. So schrieb es nicht nur Unternehmen an, sondern bedrohte auch Privatpersonen ohne Online-Shop oder professionelle Webseite.
Das Collective Amadeus
Auch das „Collective Amadeus“ oder „collective of Amadeus” drohte seinen Opfern ein ganzes Maßnahmenpaket an Cyberattacken an, sollte das Schutzgeld von 1 Bitcoin nicht gezahlt werden. Die E-Mails wurden ebenfalls am 15. Juni verschickt und waren nahezu identisch mit denen des Teams Xball. Neu waren verschiedene Angaben zur Zahlungsfrist: „On Friday 06-16 9:00 p.m. GMT !!! We begin to attack your network servers and computers“ und „On 6/17/2017 6:23:59 AM + 36 Hours !!! We begin to attack your network servers and computers”
Das LSOC vermutet, dass es sich bei allen drei DDoS-Erpressern von Meridian Collective, Team Xball und Collective Amadeus um den- oder dieselben Täter handelt. Viele Zahlungsfristen sind schon verstrichen, ohne dass DDoS-Attacken, Festplattenverschlüsselungen oder Datenveröffentlichen registriert wurden.
Link 11 empfiehlt
Sollten Sie von einem Erpressungsversuch betroffen sein, sind Sie als Link11 DDoS-Schutz-Kunde gut geschützt!
Bringen Sie diese Erpressung bitte trotzdem zur Anzeige, die Ermittlungsbehörden sind bereits aktiv. Informieren Sie gerne auch Link11, so stellen Sie sicher, dass alle Seiten auf potentielle Angriffe bestens vorbereitet sind. Wir stehen Ihnen mit Rat und Tat zur Seite!
Kontakt Link11 Security Operation Center (LSOC)
+49 (0)800-0011800
LSOC@link11.de
