Direkt zum Inhalt

Skalpell statt Schrotflinte: DDoS-Erpressung mit zunehmender Präzision

Cyberkriminelle zielen mit DDoS-Attacken darauf ab, Webanwendungen durch künstlich erzeugte Anfragen zu überlasten. Sobald die dadurch entstehende Last die Kapazitäten der dahinterliegenden Webinfrastruktur übersteigt, brechen die betroffenen Prozesse unweigerlich ein - kostspielige Ausfälle sind die Folge. Sobald eine solche DDoS-Attacke mit einer Lösegeldforderung verknüpft ist, spricht man in der Cybersicherheit von einem RDoS-Angriff (Ransom Denial of Service). Anzahl und Intensität solcher Erpressungsversuche nehmen seit Jahren zu, die Höhe der Lösegeldforderungen steigen ebenso. Wer sich effizient vor dieser Bedrohung schützen will, muss die Strategie hinter den Cyberattacken berücksichtigen.

Schwere Last für die Wirtschaft

Die durch Cyberkriminalität verursachten Kosten steigen seit Jahren kontinuierlich. Eine Ausarbeitung des Digitalverbands Bitkom ergab jüngst, dass Cyberattacken die deutsche Wirtschaft mit 223 Milliarden Euro jährlich belasten. Knapp ein Drittel dieser Attacken sind DDoS-Angriffe. Verantwortlich für die horrende Schadenssumme ist nicht zuletzt der verstärkte Fokus der Angreifer auf einzelne Wirtschaftsbereiche. Insbesondere DDoS-Erpresser gehen bei der Wahl ihrer Opfer mit hoher Präzision vor. Attraktive Ziele sind vor allem zahlungskräftige Kunden, die über kritische Digitalservices verfügen, deren Ausfall keinen Aufschub verzeiht. Der perfide Hintergedanke: Mit zunehmender Kritikalität der Prozesse wächst die Zahlungsbereitschaft des Ziels. Daher finden sich mehr und mehr Unternehmen aus dem Finanzsektor, der Gesundheitsbranche oder aus dem Bereich der kritischen Versorger unter den betroffenen Unternehmen. Die Allianz listet Cybervorfälle entsprechend als das größte Risiko für die oben genannten Sektoren.

Angreifer setzen auf Druck

Neben dem präzisen Targeting spielt vor allem das Timing der Angriffe eine entscheidende Rolle in der Strategie der Cyberkriminellen. So erfolgen die meisten Attacken unmittelbar vor dem Wochenende, am späten Freitagabend oder im Verlauf des Samstags. Ebenso beliebt sind Feier- und Brückentage. Die IT-Abteilungen sind zu diesen Zeiten spärlich besetzt, zentrale Entscheidungsträger sind nicht direkt verfügbar. Das baut zusätzlichen Druck auf die anwesende Belegschaft auf.

Die in den Erpresserschreiben vorgegeben Fristen steigern den Druck abermals. In der Regel erhalten die betroffenen Unternehmen diese E-Mails kurz vor oder parallel zum ersten Angriff. In den Schreiben werden die Firmen zur Zahlung von Lösegeldern in der Digitalwährung Bitcoin aufgefordert. Wer nicht in der angegebenen Frist die fällige Summe überweist, wird von den Angreifern mit nochmals stärkeren DDoS-Attacken ins Visier genommen. Die erste Angriffswelle dient lediglich dazu, um die Entschlossenheit der Cyberkriminellen zu demonstrieren - sie meinen es ernst und machen keine leeren Drohungen. Der zweite Angriff verfolgt das Ziel, die digitalen Geschäftsprozesse des Opfers längerfristig lahmzulegen. Verweigern Unternehmen dennoch die Zahlung, folgen weitere Angriffe bei parallel dazu steigenden Lösegeldforderungen.

Wer sind die Angreifer?

Die große Mehrheit aller Cyberkriminellen (etwa 90 Prozent laut Verizon Data Breach Investigations Report 2021) verfolgt in erster Linie monetäre Interessen. Speziell RDoS-Kampagnen sind darauf ausgelegt, in kurzer Zeit maximalen Profit zu generieren. Um möglichst viele Unternehmen im selben Zeitraum angehen zu können, ist eine genaue Orchestrierung der verfügbaren Angriffsressourcen erforderlich - das setzt mit zunehmender Zahl an Zielen eine aufwendige Koordination der Angriffskampagnen voraus. Bei DDoS-Erpressern handelt es sich demnach um eine Form der Organisierten Kriminalität, die ein lukratives Geschäftsmodell für sich entdeckt hat. 

Um ihren Lösegeldforderungen mehr Nachdruck zu verleihen, operieren die Erpresserbanden häufig im Namen bekannter Hackergruppen wie Fancy Bear APT28, Armada Collective oder Lazarus Group. Inwiefern tatsächlich Verbindungen zwischen den Angreifern und diesen international agierenden Gruppen bestehen, ist nicht bekannt. Zuletzt erfolgte eine größere RDoS-Kampagne im DACH-Raum unter dem Decknamen „Fancy Lazarus“ - der Name verweist damit auf zwei der bekanntesten Hackerkollektive.

Technologisch komplexe Attacken

Bei den Attacken kommen meist mehrere Angriffsvektoren parallel zum Einsatz, die je nach Ziel auf die Infrastrukturebene (Layer 3 & 4) oder die Applikationsebene (Layer 7) ausgelegt sind. Sie zielen also sowohl auf Webanwendungen selbst als auch auf die dahinterliegende Infrastruktur ab. Zudem greifen Cybererpresser für ihre Kampagnen oftmals auf sogenannte Reflection-Attacken zurück. Die Angriffe erfolgen dabei über hoch verstärkende, nur indirekt beteiligte (vom Angreifer ausgenutzte) Zwischensysteme, welche die kurzen (kleinen) Anfragen der Angreifer mit großen Datenpaketen beantworten. Hierzu missbrauchen die Cyberkriminellen herkömmliche, ganz legale Webdienste und Protokolle wie DNS, NTP oder TFTP. Auf diese Weise steigern solche Reflection-Attacken die Schlagkraft der Angriffe um ein Vielfaches und sorgen gleichzeitig dafür, den Ursprung zu verschleiern.

Wie können Unternehmen sich schützen?

Wer vorab keine dedizierten DDoS-Schutzsysteme für alle relevanten Netzwerkschichten implementiert hat, ist der ersten Angriffswelle meist schutzlos ausgeliefert. Sobald das Angriffsvolumen die Kapazitäten der eigenen Infrastruktur übersteigt, gehen die betroffenen Prozesse in die Knie. Mit professioneller Hilfe können DDoS-Attacken aber selbst in akuten Angriffsszenarien noch per Notfallaufschaltung mitigiert werden. Sobald der Datenverkehr durch den Schutzdienstleister gereinigt wird, sind die betroffenen Prozesse wieder verfügbar. Hierdurch lassen sich weitere Schäden und Ausfallzeiten verhindern.

Optimale Sicherheit vor Überlastungsangriffen bieten hingegen präventiv implementierte Schutzsysteme, die im Angriffsfall automatisch den schadhaften Traffic filtern. Vor allem Cloud-basierte Schutzlösungen bieten sich für solche Szenarien an, da sie keine zusätzliche Software oder Hardware erfordern und zudem nicht an die Kapazitäten der individuellen Internetanbindung gekoppelt sind.

Schutzlösungen mit Abschreckeffekt

Einmal mit adäquatem Schutz ausgestattet, überstehen die digitalen Prozesse von Unternehmen auch Angriffe mit hoher Bandbreite ohne Ausfälle. Cyberkriminelle verlieren in solchen Situationen oft schon nach der ersten Attacke das Interesse am jeweiligen Ziel, da Attacken auf geschützte Unternehmen unnötig Ressourcen verbrauchen. Ohnehin werden geschützte Unternehmen sehr viel seltener angegangen, da sie nicht dem Beuteschema der Cyberkriminellen entsprechen. Zu hoch fällt das Risiko aus, durch eine missglückte Attacke das dahinterliegende Angriffskonstrukt aus Botnetzen und korrumpierten Servern zu gefährden. Die Werkzeuge der Cyberkriminellen verfügen meist über eine begrenzte Haltbarkeit. Regelmäßig zerschlagen internationale Ermittlungsbehörden weit verspannte Botnetze.

In der Summe profitieren präventiv geschützte Unternehmen gleich mehrfach: Teure Ausfälle durch DDoS-Attacken werden vermieden und gleichzeitig sinkt die Bedrohungslage der Organisation nachhaltig, da deren Attraktivität für Angreifer abnimmt. Die einzige Antwort auf die verschärfte Bedrohungslage lautet also präventiver Schutz für das operative Geschäft.

Umsetzung erfordert starke Partner

Die Herausforderung beim Aufbau präventiver Schutzmaßnahmen liegt in der genauen Definition des individuellen Bedarfs. Jedes Unternehmen, jede IT-Abteilung und jedes Projekt sind unterschiedlich weit digitalisiert und setzen verschiedene Schwerpunkte beim Schutzbedarf. Diese Schwerpunkte müssen maßgeschneidert adressiert werden. Um dieses Ziel bestmöglich zu erreichen, bedarf es starker Partner. Die Transformation in das New Normal ist geprägt von digitalen Ökosystemen und Partnerschaften. Hier kann kein Player, egal welcher Größe, auf Dauer alle Herausforderungen allein stemmen. Durch das Auslagern von IT-Security zu Spezialisten lässt sich das Sicherheitsniveau auf ein Level heben, das inhouse nur schwer erreichbar ist.