Das Vorgehen von XMR-Squad
Die Täter suchen das Licht der Öffentlichkeit. Dem Journalisten Mark Steier lieferten sie in einem Telefonat sowie per E-Mail wichtige Informationen. Diese fasste Steier in seinem Blogbeitrag „Ursache der Störung nun bekannt: DHL hatte einen DDOS-Angriff“ http://www.wortfilter.de/wp/ursache-der-stoerung-nun-bekannt-dhl-hatte-einen-ddos-angriff zusammen. Das LSOC hat mit Steier weitere Informationen ausgetauscht und mit ihm gemeinsam ein Kurzprofil der Täter erstellt.
- Herkunft: DDoS-Erpressungen durch die bis dato unbekannte Gruppe sind erst seit dem 19. April 2017 bekannt. Steier vermutet auf Basis des mit der Gruppe geführten Telefonats, dass sie russische Wurzeln hat.
- Einzeltäter/Gruppe: Per E-Mail und auf Twitter reden die Hacker von sich immer in der Mehrzahl.
- Name der Täter: XMR ist die Abkürzung für die dezentrale Kryptowährung Monero, die einen besonderen Fokus auf Privatsphäre leg
- Opfer: Die Erpresser zielen ohne erkennbare Logik auf Unternehmen aus verschiedenen Branchen und unterschiedlicher Größe in Deutschland. Bis jetzt sind dem LSOC DDoS-Attacken auf die Webseiten von Snipes, Freenet, Hermes, DHL, AldiTalk und 3DSupply bekannt.Neben den Unternehmen wurden laut der offiziellen Webseite der Täter auch das LKA Niedersachsen sowie das Land NRW angegriffen. Aktuell konzentrieren sich XMR-Squad noch auf Unternehmen und Behörden in Deutschland. Eine Ausweitung auf die Nachbarländer Österreich und Schweiz ist jedoch nicht auszuschließen.
- Web-Präsenz: Die Täter posten Infos zu den (scheinbar) erfolgreichen DDoS-Attacken auf Twitter und auf der eigenen Hacker-Webseite http://xmr-squad.biz/. Dabei lassen sie ihren Online-Auftritt von Cloudflare schützen. Der amerikanische Anbieter im Bereich DDoS-Schutz war in den vergangenen Monaten schon mehrfach dafür gerügt worden, dass er durch mangelnde Prüfung von Neukunden u. a.auch kriminellen Aktivitäten Schutz bietet.
- Schutzgeld-Forderung: Die Besonderheit an XMR-Squad ist, dass sie die Angriffe als eine Art Penetrationstest kommunizieren und für den Test eine Gebühr von 250 Euro verlangen: „wir "prüfen" ihre Protection :=) & dafür verlangen wir eben 250€ Win-Win.“ (Quelle: Twitter-Kommunikation https://twitter.com/xmr_squad/status/854969758638370817 ). Nach Erfahrungen des LSOC ist der Betrag relativ niedrig. DDoS-Erpresser fordern gewöhnlich einen Betrag von 1 bis 5 Bitcoin. Das entspricht nach heutigem Kurs einem Betrag von 1.100 bis 5.700 Euro.
- DDoS-Tool: Unklar ist noch, ob XMR-Squad über ein eigenes DDoS-Tool verfügt oder ob die Täter die Attacken bei „DDoS-as-a-Service“-Anbietern in Auftrag geben. Sicher ist aber, dass die DDoS-Attacken XMR-Squad über eine große Schlagkraft verfügen müssen, wenn sie die IT-Infrastruktur von großen Logistikkonzernen überlasten können.
Warnung vor aggressiven Tätern
Nach Einschätzung des LSOC sind die Erpressungsversuche von XMR-Squad unbedingt ernst zu nehmen, auf sie eingehen sollte man aber nicht. Statt die Testgebühr zu zahlen empfehlen die DDoS-Schutzexperten von Link11 jedem Unternehmen, vorhandene Schutzsysteme zu aktivieren oder sich um geeignete Schutzmaßnahmen zu kümmern sowie den Hosting-Anbieter über die Erpressung zu informieren. Außerdem sollten attackierte Unternehmen Anzeige bei den Strafverfolgungsbehörden erstatten. Die Allianz für Cybersicherheit bietet eine Übersicht über die jeweiligen Meldestellen für Cybercrime in den einzelnen Bundesländern.
Über Link 11: „Datenschutz in Germany“
Es gibt momentan nur wenige, rein auf DDoS-Schutz spezialisierte Dienstleister am Markt. Laut Katrin Gräwe, Head of International Corporate Communications, tummeln sich bisher in Europa nur wenige Spezial-Anbieter in dieser IT-Security- Spezial-Nische. Das IT-Unternehmen hat vor vier Jahren begonnen, sich neben dem Server-Hosting auf den Schutz von DDoS-Attacken zu fokussieren und mit der „DDoS Protection Cloud“ ein eigenes Produkt an den Markt gebracht. Link11 verspricht den Kunden, ihr Unternehmen im 24/7-Modus vor Cyber-Attacken zu schützen. Betreiber kleiner Webseiten ohne Shops und DNS-Services können sich bei Link11 schon mit einer Monatslizenz im dreistelligen Euro-Bereich absichern lassen. Der DDoS-Schutz kann innerhalb von zwei Stunden aufgebaut werden.
Das Unternehmen mit Sitz in Frankfurt a.M. adressiert vor allem den Markt im deutschsprachigen Raum, hat seine Netzwerk-Strukturen am Unternehmenssitz angesiedelt, um der wachsenden Skepsis von Unternehmen und Privatanwendern gegenüber Servern und Cloud-Services in den USA entgegenzukommen. Zu den Kunden von Link11 gehören große Unternehmen und auch einige DAX-Konzerne.
Weiterführende Links:
Weitere Informationen, Reports und Warnmeldungen zum Thema DDoS finden sich auf der von Link11 eingerichteten Webseite www.ddos-info.de
Warnung vor Stealth Ravens: Shops sollten sich vor DDoS-Attacken aus Mirai-Botnetz schützen
Internet der Dinge Sicherheit: Brian Krebs enttarnt Mirai Botnetz
Kaspersky meldet: Mirai- Malware steckt hinter Telekom Attacke
Immer mehr DDoS-Angriffe in Deutschland: Amazon bietet Unternehmen ab sofort Schutz
Ransomware-Angriffe: Unternehmen weltweit alle 40 Sekunden betroffen
Acht Tipps zum Schutz vor DDoS Attacken und Angriffen über Bot-Netze
Kaspersky DDoS Intelligence Report Q3/2016
Signifikanter Anstieg von DDoS-Attacken über Linux-Server
Link11 bietet erstmalig DDoS-Schutzlösungen für Hosting-Provider an
DDoS-Attacken: Deutschland zurück in den Top 10
DDoS-Angriffe über die Cloud nehmen drastisch zu
Link11-DDoS-Report: Cyber-Kriminelle haben Linux-Rechner, WordPress und IoT ins Visier genommen