Schutzgeld? DDoS Attacke? “Wir greifen Deine Webseite an, wenn Du nicht zahlst!”

Was so manche Webseiteninhaber an E-Mails bekommen, klingt wie aus einem schlechten Film: zahlst Du nicht, werden wir Dich mit der geballten Power unseres Botnetzes angreifen … also Deine Seite. Und dann ist die nicht mehr erreichbar. Du hast das Schicksal selbst in der Hand.

DDoS Attacken waren in der Vergangenheit häufig gegen Konzerne, große Firmen oder Regierungsseiten gerichtet. Erpresseranschläge galten dabei jedoch nur Firmen: diese wurden so lange angegriffen, bis sie eine bestimmte Summe an Bitcoins zahlen (1 Bitcoin = Tageswert 23.03.2016 ca. 370 €). Diese Drohungen richten sich mittlerweile nicht mehr nur gegen große Firmen, auch mittelständische Betriebe werden erpresst.

So beschreibt der Link11 GmbH (IT- Security) [1]:

Seit Anfang Oktober 2015 verschickt eine neue DDoS-Erpresserbande unter dem Namen „Armada Collective“ Droh-Mails mit Schutzgeldforderungen von bis zu 30 Bitcoins und greift ihre Opfer auch an. Aktuell konzentrieren sich die Erpresser auf Hosting-Anbieter, E-Commerce-Betreiber und seit Neuestem auch auf Banken in unterschiedlichen Ländern Europas und Asiens.

Eine dieser möglichen Erpressermails liest sich im barrierefreien Klartext wie folgt:

Betreff: DDOS ATTACK !

Hello,

You are going under DDoS attack unless you pay 3 Bitcoin. Pay to 1JjbFaURDh[***]mDhPHtFE3E315ezDAhTJ Please note that it will not be easy to mitigate our attack, because our current UDP flood power is 400-500 Gbps.

Don’t worry, it will not be hard (we will try not to crash it at this moment) and will stop in 10 minutes. It’s just to prove that we are serious.We are aware that you probably don’t have 3 BTC at the moment, so we are giving you 24 hours to get it and pay us. Find the best exchanger for you on howtobuybitcoins.info or localbitcoins.com You can pay directly through exchanger to our BTC address, you don’t even need to have BTC wallet. Current price of 1 BTC is about 415 USD, so we are cheap, at the moment. But if you ignore us, price will increase. IMPORTANT: You don’t even have to reply. Just pay 3 BTC to 1JjbFaURDh[***]mDhPHtFE3E315ezDAhTJ – we will know it’s you and you will never hear from us again. We say it because for big companies it’s usually the problem as they don’t want that there is proof that they cooperated. If you need to contact us, feel free to use some free email service.

But if you ignore us, and don’t pay within 24 hours, long term attack will start, price to stop will go to 10 BTC and will keep increasing for every hour of attack. Many of our „clients“ believe that if they pay us once, we will be back. That’s not how we work – we never attack the same target after we are paid. If you are thinking about reporting this to authorities, feel free to try. But it won’t help. We are not amateurs. REMEMBER THIS: It’s a one-time payment. Pay and you will not hear from us ever again!

We do bad things, but we keep our word.
Thank you.

Da wird ganz schön rumgedroht in der Mail: wenn man das Schutzgeld zahlt, passiert nichts. Erst einmal soll es eine “Kostprobe der Macht” geben. Also eine 10 minütige halbstarke Attacke. Wenn man zahle (in Bitcoins, eine Internetwährung), dann würde auch nichts weiter geschehen. Zahle man nicht innerhalb von 24 Stunden, dann würde die Attacke richtig losgehen und auch der Schutzgeldbetrag immer höher werden.

Sollte man nun zahlen?

Nein! Statt auf eine Erpressung einzugehen, sollte man sich lieber mit dem Hoster in Verbindung setzen und entsprechende Schutzmaßnahmen einrichten, so dass DDoS Attacken ihre Wirkung verfehlen. Die Computerwoche (CW) schrieb im November 2015 [2] dazu:

Die aktuellen Erpresserwellen treffen nicht nur die Global Player, sondern auch viele kleine und mittelständische Unternehmen. Gerade diese haben oft noch keinen ausreichenden Schutz gegen die DDoS-Gefahr und sind daher leichtes Ziel. Dennoch sollten sie nie auf die Forderungen der Erpresser eingehen und Geld zahlen. Wichtig ist, dass sich Unternehmen präventiv über Notfallmanagement sowie Schutzmöglichkeiten informieren.

Ferner ist auch grundsätzlich offen, ob überhaupt eine Attacke gestartet wird oder ob hier einfach nur gedroht wird.

(Anhang) DDos – was ist das?

Man hört es immer wieder: DDoS Attacke legt XY Server lahm. Doch was passiert da eigentlich? Das Ziel bei einer solchen Attacke ist es, möglichst viele Rechner, die man z.B. über zuvor verbreitete Trojaner unter seine Kontrolle gebracht hat (ein sogenanntes Botnetz), dazu zu bringen, einen Webserver mit Anfragen zu fluten oder regelrecht zu bombardieren, bis dieser überlastet ist und die Anfragen nicht mehr beantworten kann. Der Effekt ist dann, dass der Server nicht mehr erreichbar ist. Die Webseite ist „down“.

Dabei bedeuten die Abkrüzungen

• DoS = Denial of Servie
  DDoS = Distributed Desnial of Service

Es wird ein bestimmter Dienst (Service) (z.B. der Webserver) mit sovielen verschiedenen Anfragen quasi zugespammt, das er überlastet ist und keine Anfragen mehr bearbeiten kann. Distributed ist von mehreren verschiedenenen Stellen gleichzeitig. Abwehren kann man das eigentlich nur indem man die einkommenden Anfragen überwachen lässt und wenn mehrere Anfragen von einer Quelle kommen diese zu blockieren (IP Sperre). Schwierig ist das, wenn das Distributed ist, also von vielen (wir reden von bis zu mehreren Millionen je nach Botnet) Rechnern gleichzeitig.

t