DDoS-Erpresserbande Kadyrovtsy droht deutschen Banken

Seit einigen Tagen erhalten Banken und mit Online-Marketing befasste Unternehmen in Deutschland Mails von einer Gruppe, die sich Kadyrovtsy nennt. Darauf hat das Link11 Security Operation Center (LSOC) hingewiesen. “We are the Kadyrovtsy and we have chosen your company as target for our next DDoS attack”, heißt es dem auf die Abwehr von DDoS-Attacken spezialisierten Unternehmen Link 11 zufolge in den Erpresserschreiben (PDF). Die Gruppe sei im europäischen Ausland bereits bekannt und dehne ihre Aktivitäten nun offenbar auf Deutschland aus.

Sie fordern hierzulande, so wie zuvor bereits anderswo, Schutzgeld in Höhe von 15 Bitcoin, also etwas über 7000 Euro und lassen den Unternehmen zwischen 4 und 5 Tagen, um dieser Forderungen nachzukommen. Dazu erhält jeder Empfänger eine spezifische Zahlungsaufforderung, was es dann schwerer macht, die Täter aufzuspüren.

Ihren Forderungen verleihen die Kriminellen mit Demoattacken Nachdruck um zu belegen, dass sie tatsächlich in der Lage sind, die Drohungen in die Tat umzusetzen. Allerdings erreichen bereits diese Warnangriffe Bandbreiten von über 50 GBit/s erreichen. Derartig großvolumige Warnattacken seien bislang nur von den in dem “Geschäft” bisher “führenden” Erpresserbanden DD4BC und Armada Collective bekannt, so Link 11.

“Im Unterschied zu vielen DDoS-Erpressungs-Nachahmern und -Trittbrettfahrern der vergangenen Wochen und Monate belässt es Kadyrovtsy nicht nur bei Erpresser-Mails. Diese Täter unterstreichen die Ernsthaftigkeit ihrer Forderungen mit Warnattacken zwischen 50 und 90 GBit/s”, so Link11. Sie hielten bis zu einer Stunde an und führten aufgrund des Volumens bei ungeschützten Zielen fast zu einer zumindest vorübergehenden Downtime. Nach Erkenntnissen von Link11 arbeitet Kadyrovtsy mit ICMP Floods und DNS-Reflection-Techniken und hat Zugriff auf ausreichend Ressourcen, um mehrere Opfer gleichzeitig anzugreifen.

Nach Einschätzung von Onur Cengiz, Leiter des LSOC, sind die Drohungen von Kadyrovtsy ernst zu nehmen. “Seit März gibt es vermehrt Erpresserwellen. Im Unterschied zu Gruppen wie RedDoor und caremini verschafft sich Kadyrovtsy mit den großvolumigen Warnattacken die aus dem Nichts kommen eindeutig Gehör. Nur die wenigsten Unternehmen sind in der Lage, solche Angriffe mit 50 GBit/s oder mehr alleine abzuwehren”, so Cengiz in einer Pressemitteilung. Er empfiehlt daher DDoS-Schutzsysteme zu aktivieren und sich gegeben falls zu informieren, wie sich die Schutzbandbreite kurzfristig erhöhen lässt. Außerdem sollten Netzwerkverantwortliche auf ungewöhnliche Vorkommnisse und Netzwerkanomalien umgehend reagieren.

Allgemein starke Zunahme bei DDoS-Angriffen mit Bitcoin-Erpressung

Die sich selbst Kadyrovtsy nennende Gruppe ist seit Ende April in Europa aktiv. Der Name lasse sich auf die Bezeichnung für Mitglieder paramilitärischer Einheiten zurückführen, die unter dem prorussischen, tschetschenischen Präsidenten Achmat (auch Akhmad) Kadyrow gekämpft haben. Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zufolge wurden von der Gruppe auch schon US-amerikanische Unternehmen erpresst. Ende April hat das CERT UK nach einer Attacke auf ein britisches Finanzunternehmen vor den Tätern gewarnt. Auch in Polen und den Niederlanden wurden banalen respektive Payment Service Provider angegriffen.

Allgemein nehmen DDoS-Angriffe mit Bitcoin-Erpressung seit dem vergangenen Jahr stark zu. Bis Mitte 2015 gingen sie vor allem auf das Konto der DD4BC-Gruppe, Ende 2015 trat dann eine Gruppe in Erscheinung, die sich Armada Collective nennt. Beide forderten wie jetzt Kadyrovtsy per E-Mail Schutzgelder in Form von Bitcoins von Unternehmen und drohten mit massiven DDoS-Angriffen. Zudem traten einige Nachahmungstäter auf den Plan.

Dem im April vorgelegten State of the Internet Security Report von Akamai zufolge gab es im vierten Quartal 2015 einen Rekordwert von 3600 DDoS-Angriffen. Im Vergleich zum vierten Quartal 2014 entspricht dies einer Zunahme um 149 Prozent.

Auch Deutschland ist davon in zunehmenden Maße betroffen, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem Bericht zur Lage der IT-Sicherheit in Deutschland 2015 erklärt. Demnach wurden im ersten Halbjahr 2015 in Deutschland 29.437 derartige Angriffe registriert. Im ersten Halbjahr 2014 waren es 25.113 Angriffe. Damit fällt der Zuwachs mit etwa 17 Prozent geringer als als in der Akamai-Statistik, dafür liegt der absolute Wert deutlich höher.

Kriminelle machen sich bei DDos-Attacken auch zunutze, dass die in einen Bereich fallen, für den die Zuständigkeiten nicht richtig geklärt sind. Das belegen etwa die Ergebnisse einer im Frühjahr vorgelegte Umfragen im Auftrag von Kaspersky. Demnach halten sich kleine Unternehmen tendenziell seltener für den Schutz ihrer Online-Dienste vor DDoS-Attacken zuständig als große Firmen.

Bei kleinen Firmen sind 40 Prozent der rund 3900 Befragten überzeugt, dass die Verantwortlichkeit vollständig beim Internet Service Provider beziehungsweise dem Web-Hosting-Anbieter liegt. Bei großen Firmen sind dagegen lediglich neun Prozent dieser Ansicht. Von Polizei beziehungsweise Behörden erhofft sich dagegen kaum einer etwas: Nur neun Prozent respektive zwei Prozent sehen diese Stellen in der Verantwortung.

Aber auch in den Firmen ist unklar, wer sich um den Schutz vor DDoS-Attacken kümmern muss. 44 Prozent aller im Auftrag von Kaspersky Befragten sind der Meinung, diese Aufgabe gehöre in den Zuständigkeitsbereich der IT-Abteilung. 16 Prozent ordnen sie dem oberen Management zu. Acht Prozent sehen die Abteilung für Sicherheitsmanagement in der Pflicht, vier Prozent die für Risikomanagement.