Server in Schockstarre: Schutzgelderpressung per DDoS-Drohung

0

„Operation Payback“ haben die Hacker der Gruppe „Anonymous“ die Aktion genannt, die in den Jahren 2010 und 2011 unter anderem den Kreditkartenunternehmen Visa und Mastercard das Fürchten lehrte und auch Paypal für einige Stunden in die Knie zwang. Politisch motivierte Angriffe auf weltbekannte Großunternehmen sind seltene Ausnahmen –  ganz anders als DDoS-Attacken auf Online-Händler, die ihr Schutzgeld nicht zahlen wollten.

Der Geschenkehandel blüht in der Vorweihnachtszeit auf, Blumen- und Schmuckhändler setzen in der Zeit vor dem Valentinstag mehr um, KFZ-Versicherungsvermittler haben ihre goldene Zeit im November. Fällt gerade in solchen Zeiten deren Internetauftritt für einige Stunden – oder gar Tage – aus, kann das die wirtschaftliche Existenz der Betroffenen gefährden. Cyberkriminelle sehen darin ihre Chance, Forderungen zu stellen.

Im Jahr 2015 etwa sandte eine Erpresserbande namens „Armada Collective“ E-Mails an zahlreiche Unternehmen, in denen die Kriminellen Beträge von bis zu 30 Bitcoin (der Gegenwert schwankte zwischen 5.000 und 9.000 Euro) forderten. Sollte das Krypto-Geld nicht bis zu einem in der E-Mail genannten Zeitpunkt transferiert sein, drohten die Kriminellen mit einem DDoS-Angriff. In manchen Fällen ließ Armada Collective unmittelbar auf den Versand der E-Mails eine auf 30 Minuten beschränkte DDoS-Attacke folgen, um den Opfern klar zu machen, dass die Drohung ernst zu nehmen sei. Manche Unternehmer rechneten nüchtern die geforderte Summe gegen die zu erwartenden Erlöseinbußen auf, zahlten, und hatten dann tatsächlich vorerst ihre Ruhe vor „Armada Collective“. Bei renitenteren Online-Händlern verschärften die Kriminellen ihre Drohungen, erhöhten ihre Forderungen, und legten mitunter die Server ihrer Opfer tatsächlich über einen schmerzhaft langen Zeitraum lahm. Allerdings war offenbar keiner der DDoS-Angriffe tatsächlich existenzvernichtend.

„Tote zahlen nicht, und Munition ist teuer“

Das Vorgehen von „Armada Collective“ steht stellvertretend für das anderer Cyberkrimineller. Ihr vorrangiges Ziel ist nicht, den Schaden ihrer Opfer zu maximieren, sondern Geld zu verdienen. Trieben sie ihre Opfer in den wirtschaftlichen Ruin, ließe sich von diesen kein Schutzgeld mehr eintreiben. Auch die Täter kalkulieren kühl: Lässt sich ein Server nur unter Aufbietung massiver Ressourcen in die Knie zwingen, oder zeigt er sich gar gegen DDoS-Angriffe gut abgesichert, verstärken die kriminellen Hacker ihrer Angriffe nicht etwa, sie brechen sie ab und suchten sich vorerst leichtere Ziele. Denn: Auch die Munition ist teuer. Viele kriminelle Banden verüben die Attacken nicht selbst, sondern geben sie in Auftrag – an andere Kriminelle, die über umfangreiche Botnetze, aber keine eigenen Schutzgeld-Erpressungs-Ambitionen verfügen. Die kassieren dann für ihre Dienste von den Erpressern.

Der Nutzen, an einzelnen Opfern ein Exempel zu statuieren, ist, verglichen mit der Situation in der Straßenkriminalität, gering: Onlinehändler, die Opfer von DDoS-Attacken werden, bewahren darüber häufig Stillschweigen, um ihr eigenes Image nicht zu beschädigen – solche Exempel sprechen sich also kaum herum, und wenn doch, dann könnten andere Unternehmen nach einer technischen Analyse der erfolgreichen Angriffe ja auch auf die Idee kommen, statt in Schutzgeld in die Sicherheit ihrer IT zu investieren.

Genau da liegt die Chance, sich gegen solche Erpresser zu wappnen: Ein Cloud-basierter Filter, der den gesamten Datenverkehr analysiert, bereinigt und nur legitimen Traffic an das Unternehmensnetzwerk weiterleitet, kann es auch mit großvolumigen Angriffen aufnehmen. Mit Cloud-Ressourcen, die sich schnell der aktuellen Situation anpassen lassen, ist es auch in Zeiten steigender Angriffsbandbreiten durch Reflection- / Amplification-Attacken möglich, den hereinkommenden Traffic schnell und gründlich zu filtern. Leistungsstarke, softwarebasierte DDoS-Schutzlösungen verfügen über mehrere hundert Gbps starke Netzwerkanbindungen. Die entstehenden Kosten sind zwar nicht zu vermeiden, anders als Schutzgelder sind sie aber kalkulierbar, und der Schutz erstreckt sich nicht nur auf eine kriminelle Bande. Paypal hat sich die Absicherung seiner Server rund 3,5 Millionen Pfund (https://www.heise.de/newsticker/meldung/DDoS-Attacke-kostet-Paypal-3-5-Millionen-Pfund-1755660.html) kosten lassen. Ein im Vergleich kleinerer Online-Händler muss nicht solche Summen investieren – auf eine Absicherung ganz zu verzichten, kann sich aber als die teurere Variante erweisen. (dme)

Artikel kommentieren