| Die Schweizer Zeitung
Saturday November 25th 2017

Archives

Lösegeldzahlungen finanzieren und stärken DDoS-Angriffsinfrastruktur

Lösegeldzahlungen finanzieren und stärken DDoS-Angriffsinfrastruktur. (Symbolbild)

Lösegeldzahlungen finanzieren und stärken DDoS-Angriffsinfrastruktur. (Symbolbild)

Erpressung ist derzeit eine beliebte Masche der Cyberkriminellen, die auf einen schnellen finanziellen Gewinn aus sind. Über verschiedene Angriffsarten wird versucht, von einem Opfer Geld zu erpressen. Dazu gehören auch DDoS-Angriffe, mit welchen die Verfügbarkeit von Webseiten und –diensten gestört wird. MELANI berichtete dieses Jahr bereits mehrfach über solche Attacken und damit einhergehende Erpressungen der Gruppen Armada Collective und DD4BC, welche in der Schweiz für mediales Aufsehen gesorgt haben. MELANI rät dringend davon ab, auf die Forderungen der Erpresserbanden einzugehen.

DDoS-Angriffe sind ein seit langem bekanntes Phänomen. Bisher waren die Motive meist politischer Aktivismus oder Schädigung eines Konkurrenten. In diesem Jahr häuften sich allerdings Angriffe, welche rein finanziell motiviert waren. Die Täter haben sich dabei vornehmlich Unternehmen ausgesucht, bei deren Geschäftsmodell die Verfügbarkeit der Webseite besonders wichtig ist und die deshalb ein entsprechendes Erpressungspotenzial aufweisen. Unter dem Druck einer drohenden Nichterreichbarkeit der eigenen Webseite und der Hoffnung einer „schnellen“ Lösung, ziehen einige Unternehmen auch eine Zahlung in Betracht. Mit einer Zahlung beschert man den Tätern nicht nur einen Erpressungserfolg, sondern gibt Ihnen auch finanzielle Mittel, um ihre Angriffsinfrastruktur zu stärken und die Angriffe zu intensivieren. Oft verwenden Angreifer sogenannte Booter oder Stresser Dienste. Dies sind Werkzeuge, welche gegen Bezahlung DDoS Angriffe auslösen (quasi ein „DDoS as a service“). Je mehr Geld ein Angreifer zur Verfügung hat, desto mehr Angriffsvolumen (sowohl in Bezug auf die Intensität wie auch in Bezug auf die Länge) kann er sich bei einem solchen Dienstleister beschaffen. Werden keine Lösegelder bezahlt, verfällt hingegen das Geschäftsmodell der Verbrecher. Aus folgenden Gründen rät MELANI von einer Lösegeldzahlung ab:

Es besteht keine Garantie, dass durch die Zahlung des Lösegeldes der Angriff gestoppt wird.
Es besteht keine Garantie, dass der Angriff nicht unter anderem Vorwand und unter dem Label einer anderen Gruppe wiederholt wird.
Zahlung des Lösegeldes offenbart eigene Schwächen und verleitet die Angreifer, noch weitere Angriffsvektoren beim selben Opfer zu erproben.
Cyberkriminelle sind gut organisiert. Es spricht sich schnell herum, wenn ein Opfer bereit ist zu zahlen und entsprechend steigt die Wahrscheinlichkeit, auch von weiteren Gruppen angegriffen zu werden.
Die Zahlung finanziert und stärkt die Angriffsinfrastruktur der Verbrecher. Mit dem verdienten Geld können Sie sich eine bessere Angriffsinfrastruktur leisten. Der nächste Angriff wird somit noch stärker ausfallen. Dadurch steigen auch die Kosten für eine erfolgreiche Abwehr eines solchen Angriffs.
Eine Zahlung bestärkt die Angreifer in Ihrer Vorgehensweise. Die Motivation fortzufahren steigt.
Der für das Lösegeld eingesetzte Betrag fehlt zur Finanzierung der passenden Schutzmassnahmen.
Das Bezahlen von Lösegeld ist somit höchstens eine kurzfristige Symptombekämpfung und ohne Garantie und trägt nicht zur langfristigen Resilienz der eigenen Infrastruktur sowie der Sicherheit des Internets gegenüber DDoS-Angriffen bei – im Gegenteil: Durch das finanzielle Erstarken der Angreifer erhalten diese mehr Möglichkeiten zu längeren und stärkeren Angriffen und die eigene Widerstandsfähigkeit sowie die aller anderen Teilnehmer wird im Verhältnis zu den Angreifern immer schwächer.

MELANI empfiehlt in einem Erpressungsfall, Anzeige bei der lokalen Polizeidienststelle zu erstatten oder den Vorfall zumindest der Koordinationsstelle zur Bekämpfung der Internetkriminalität (KOBIK) zur Kenntnis zu bringen. Je mehr Hinweise zu einer Erpresserbande zusammengetragen werden, desto grösser ist die Chance auf eine erfolgreiche Ermittlung der Täter.

Präventive Massnahmen zum Schutz vor DDoS-Angriffen haben wir in einer Checkliste zusammengefasst. Idealerweise befasst sich ein Unternehmen im Rahmen des allgemeinen Risikomanagements auf Stufe der Geschäftsleitung mit der DDoS-Problematik schon vor einem Angriff und etabliert auf der Stufe des Betriebs eine gewisse DDoS-Abwehrbereitschaft. Ein DDoS-Angriff kann jede Organisation treffen! Sprechen Sie mit ihrem Internet-Anbieter über ihre Bedürfnisse und angemessene Vorkehrungen.