Polizei Bielefeld fasst Urheber zahlreicher DDoS-Attacken in Deutschland

Auf seinem mittlerweile gelöschten Twitter-Konto bezeichnete sich ein 24-jähriger Fachinformatiker aus Voerde am Niederrhein als “mentally disturbed gray hat” sowie als ehemaliger IT-Security-Consultant. Seine Opfer, darunter den Münchner Netzbetreiber M-Net sowie die E-Commerce-Unternehmen Rakuten.de, Hood.de und Redcoon.de, offenbar auch Shopware und Profihost sowie den Glasschmuckhersteller Swarovski, bezeichnete er als “Kunden”. Seine Aktivitäten sah er wohl mehr oder weniger als ungefragte Beratungsdienstleistung, die erforderlich sei, weil es “da draußen so viele unsichere Server” gebe.

DDoS (Bild: Shutterstock/Evlakhov Valeriy)
Der jetzt verhaftete Fachinformatiker mit dem Pseudonym “ZZb00T” versetzte rund einen Monat deutsche E-Commerce-Anbieter mit DDoS-Attacken in Angst und Schrecken DDoS (Bild: Shutterstock/Evlakhov Valeriy)

Jetzt haben das Fachkommissariat für Computerkriminalität der Kriminalpolizei Bielefeld und die Schwerpunktabteilung für Wirtschaftskriminalität der Staatsanwaltschaft Bielefeld seine Identität herausgefunden und ihn wohl bei der Arbeit vom Schreibtisch weg verhaftet. Wie die Behörden mitgeteilt haben, legte er über ein Botnetz “die Online-Präsenzen namhafter deutscher Firmen lahm. Er verlangte, damit die Angriffe gestoppt würden, eine Lösegeldzahlung in Bitcoins, einer anonymen Onlinewährung.“ Die Festnahme sei bereits am 23. Mai erfolgt. Das Twitter-Konto des 24-Jährigen ist inzwischen deaktiviert worden.

Seinen Aktivitäten haben zuvor diverse Experten nachgespürt, unter anderem des auf Anti-DDoS-Lösungen spezialisierten Unternehmens Link11. Ihnen zufolge hat ZZB00t unter anderem Rakuten.de, billiger.de, Hood.de und Redcoon.de und “große Logistikunternehmen” (vermutlich DHL) erfolgreich angegriffen.

Mit seinen Aktivitäten begann ZZB00t demnach am 22. April. Den Experten von Link11 waren am 17. Mai noch keine Schutzgeldforderungen bekannt, wie sie die Behörden ZZB00t jetzt vorwerfen. Möglicherweise wurden die aber nicht öffentlich gestellt, sondern direkt an die Betroffenen gerichtet. Auf Twitter bezeichnete sich der Hacker wiederholt als Schwachstellenjäger und nannte als Motivation, dass es einfach zu viele unsichere Server geben.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Seine Angriffe kündigte er oft mit mehreren Stunden Vorlauf an, erfolgreich waren sie trotzdem: Oft waren die Angebote der Angegriffenen – teilweise trotz diverser DDoS-Schutz-Dienste – mehrere Stunden lang offline. Laut Link11 setzte ZZb00T “auf Volumen-, Protokoll- und Applikationsattacken, die wenige Minuten bis hin zu mehreren Stunden und Tagen andauern. Die Schlagkraft der Angriffe ist mit bis zu 20 Gbps nicht außergewöhnlich hoch. Sie reicht aber aus, um Server mit Uplinks von 1 bis 2 Gbps offline zu nehmen.”

Besonderheit der Attacken von ZZb00T sei es, dass sie sich nicht gegen den Domainnamen, sondern die originale IP-Adresse richten. “ZZb00t nutzt gezielt die Schwachstelle vieler IT-Infrastrukturen aus, die den DDoS-Schutz ihrer originalen IP-Adressen vernachlässigen und nicht über ein Site Shield vom direkten Zugriff abschirmen”, so das Fazit der deutschen Anti-DDoS-Experten. Eigenen Angaben zufolge hat ZZb00T zwar alleine gearbeitet, der Kommunikation bei Twitter zufolge stand er aber möglicherweise doch in einem Vertrauensverhältnis zu anderen Personen. Dazu gibt es aber bislang lediglich Vermutungen, die Behörden haben dazu noch keine Auskunft gegeben.

Loading ... Loading ...
Redaktion

Recent Posts

Studie: Rund ein Drittel der APIs sind ungeschützt

Angriffe auf APIs und Webanwendungen sind zwischen Januar 2023 und Juni 2024 von knapp 14…

2 Wochen ago

Universitätsmedizin Essen setzt für E-Mail-Sicherheit auf NoSpamProxy

Mit täglich über 45.000 eingehenden E-Mails ist die IT-Abteilung des Klinikums durch Anhänge und raffinierte…

2 Wochen ago

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Wochen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Wochen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Wochen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Wochen ago