Link11 Insights Report: DDoS-Gefahr durch

TLP: GREEN
07. Dezember 2015
RISIKOFAKTOR: HOCH
Link11 Insights Report: DDoS-Gefahr durch Armada Collective
DDoS-Attacken und -Erpressungen durch die Gruppierung „Armada Collective“ sind seit Oktober 2015 in Europa bekannt. Die Arbeitsweise der Täter und ihre Kommunikation mit den attackierten Unternehmen ähnelt dem Vorgehen
der bereits bekannten Erpresserbande DD4BC („DDoS for Bitcoins“), die seit 2014 auf internationaler Ebene agiert.
Das Link11 Security Operation Center (LSOC) hat Details zu den Bitcoin-Erpressungen von Armada Collective analysiert
und im vorliegenden Report zusammengefasst.
Zentrale Erkenntnisse
Ziel:
DDoS-Erpressung zur Erlangung von Bitcoins.
Täter:
„Armada Collective“ könnte aus dem Umfeld von DD4BC stammen oder als Trittbrettfahrer deren Methoden nachahmen.
Opfer:
Die Erpresser konzentrieren sich auf mehrere Branchen: Rechenzentrumsbetreiber
und Hosting-Anbieter, Banken, E-Commerce-Betreiber und Online-Marketing-Agenturen. Die Täter sind derzeit vorrangig in Deutschland, Österreich, der Schweiz und
Griechenland aktiv.
Strategie:
Auf eine Erpresser-E-Mail, in denen Armada Collective bis zu 30 Bitcoins fordert,
folgt eine Warnattacke mit noch relativ niedriger Bandbreite. Für den Fall, dass das
erpresste Unternehmen die Zahlung verweigert, kündigt Armada Collective
DDoS-Attacken mit bis zu einem Terabit pro Sekunde an.
Methode:
Die bei den Warnattacken eingesetzten Angriffsvektoren (NTP, RIP Reflection Amplification) erreichten bislang eine Größenordnung von bis zu 20 Gbps. Sie könnten von
den Erpressern aber auch auf deutlich größere Volumina skaliert werden. Die Warnattacken starten wenige Minuten nach dem Eintreffen der ersten Erpresser-Mail.
Gefährdung: Die erpressten Firmen haben nur wenig Zeit, um sich auf die Warnattacke von Armada Collective vorzubereiten. Daher ist die Gefahr für ungeschützte Rechenzentren,
Finanzunternehmen und Online-Marketing-Firmen momentan sehr hoch. Andere
Branchen müssen damit rechnen, dass die DDoS-Erpresser ihre Aktivitäten auch auf
sie ausweiten.
1
1. Das Profil von Armada Collective
Armada Collective ist für eine wachsende Zahl von Bitcoin-Erpressungen verantwortlich. Der Name deutet auf eine
Gruppe hin, ein Einzeltäter kann allerdings nicht ausgeschlossen werden.
Die Erpressungen durch die noch relativ neue Gruppierung gehen bis Ende September 2015 zurück. Zu den ersten
Erwähnungen zählt die Erpressung der Bitcoin-Plattform Primedice.
Innerhalb kurzer Zeit haben die Erpresser ihre DDoS-Aktionen in Bezug auf Branchen und Länder kontinuierlich ausgeweitet. Seit einigen Wochen richten sich die Erpressungen gegen Betreiber von Rechenzentren und Online-Marketing-Agenturen in Deutschland. Außerdem erpresste Armada Collective Ende November drei griechische Banken. Im
Oktober wurden IT- und Hosting-Anbieter in der Schweiz, E-Commerce-Unternehmen in Russland und Finanzdienstleister in Thailand Opfer der DDoS-Erpresser.
Die Arbeitsweise der Erpresser ähnelt stark dem Vorgehen der international agierenden DDoS-Erpresserbande
DD4BC, das Link11 im August 2015 in einem Report detailliert beschrieben und analysiert hat. Bei Armada Collective
könnte es sich daher um Trittbrettfahrer handeln, welche den Stil von DD4BC kopieren. Ebenso ist denkbar, dass Armada Collective eine Nachfolgeorganisation von DD4BC ist oder dass sich Gruppenmitglieder von DD4BC abgespalten
und mit Fokus auf den europäischen und asiatischen Markt neu organisiert haben.
2. Das Vorgehen von Armada Collective
Armada Collective sendet ein Erpresser-Schreiben, in dem zwischen 20 bis 30 Bitcoins (ca. 7.200 bis 11.000 Euro laut
Wechselkurs vom 7. Dezember 2015) gefordert werden, an mehrere E-Mail-Empfänger eines Unternehmens. Bei der
Erpressung von drei Banken in Griechenland forderten die Täter laut Medienberichten ein Rekord-Schutzgeld von
20.000 Bitcoin (ca. 7,3 Millionen Euro laut Wechselkurs vom 7. Dezember 2015).
Die Adressen haben die Erpresser vorher nicht nur auf der Firmenwebseite, sondern auch in Datenbanken wie der
RIPE NCC recherchiert. Dieses Vorgehen bestätigt die Beobachtungen des LSOC, dass sich DDoS-Erpresser zunehmend professionalisieren und ihre Arbeitsschritte sorgfältig planen.
Für den Versand der Mails nutzt Armada Collective anonyme Mail-Dienste wie Openmailbox.org. Die am häufigsten
verwendete E-Mail-Adresse ist [email protected]. Unmittelbar nach dem Versand der Erpresser-Mail startet die Gruppe einen DDoS-Angriff auf das Unternehmen. Diese Demonstrations-Attacke dauert bis zu
30 Minuten und erreicht Bandbreiten von 300 Mbps bis zu 20 Gbps. Für den Fall, dass das erpresste Unternehmen
die Zahlung verweigert, droht Armada Collective mit DDoS-Attacken bis zu einem 1 Tbps (1.000 Gbps).
Der Fall des Schweizer E-Mail-Providers ProtonMail zeigt, dass die Zahlung von Geld nicht das DDoS-Problem löst.
Das Unternehmen bezahlte die geforderten 20 Bitcoin DDoS-Schutzgeld an die Erpresser von Armada Collective,
wurde aber weiter angegriffen und seine Rechenzentren gingen offline. Die Erpresser betonten, dass die Angriffe
nicht mehr von ihnen stammen, sondern dass andere DDoS-Kriminelle dahinter steckten. Aber am Ende machte
die Täterfrage keinen Unterschied für das attackierte Unternehmen. ProtonMail muss mit den Folgen der Attacken
alleine fertig werden: den Kosten für die Ausfallzeiten und für den Umzug in leistungsfähigere Rechenzentren. Außerdem steht der E-Mail-Provider in der Kritik, weil es die Lösegeldforderungen erfüllt hat. Nach Einschätzungen von
Link11 stärkt dies die DDoS-Erpresser und kann Trittbrettfahrer und Nachahmer auf den Plan rufen.
Ähnlich wie DD4BC führt Armada Collective nicht jede angekündigte DDoS-Attacke aus. Erkennen die Erpresser, dass
ein Unternehmen einen wirkungsvollen DDoS-Schutz installiert hat, lassen sie scheinbar von ihm ab. Das könnte
bedeuten, dass die Gruppe die eigenen Ressourcen schonen oder Investitionen in bezahlte Angriffe über DDoS-Mietservices sparen will. Denn das selbsterklärte Ziel der DDoS-Erpresser ist es – wie bei kriminellen Organisationen in
der Offline-Welt – Geld zu verdienen und nicht das Opfer zu zerstören.
2
3. Inhalte der Erpresser-E-Mails
Die E-Mail-Texte, mit dem Armada Collective seine Opfer mit den Schutzgeldforderungen, sind in Englisch verfasst.
Das Swiss Governmental CERT hat eine Erpresser-Mail ebenfalls auf seiner Webseite veröffentlicht. Link11 liegen
ebenfalls ähnliche Erpresserschreiben vor.
From: Armada Collective <[email protected]>
Subject: Ransom request: DDOS ATTACK!
FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION!
We are Armada Collective.
All your servers will be DDoS-ed starting Friday if you don‘t pay 20 Bitcoins @ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
When we say all, we mean all - users will not be able to access sites host with you at all.
Right now we will start 15 minutes attack on your site‘s IP (xxx.xx.xx.xxx). It will not be hard, we will not crash it at the moment to try to
minimize eventual damage, which we want to avoid at this moment. It‘s just to prove that this is not a hoax. Check your logs!
If you don‘t pay by Friday , attack will start, price to stop will increase to 40 BTC and will go up 20 BTC for every day of attack.
If you report this to media and try to get some free publicity by using our name, instead of paying, attack will start permanently and will
last for a long time.
This is not a joke.
Our attacks are extremely powerful - sometimes over 1 Tbps per second. So, no cheap protection will help.
Prevent it all with just 20 BTC @ xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Do not reply, we will probably not read. Pay and we will know its you.
AND YOU WILL NEVER AGAIN HEAR FROM US!
BItcoin is anonymous, nobody will ever know you cooperated.
Bild 01: Erpresserschreiben von Armada Collective
Zum Schutz der Kunden verzichtet Link11 auf die Veröffentlichung der Folge-E-Mails von Armada Collective. Diese
unterscheiden sich in Inhalten und Formulierungen. Die Erpresser könnten so Rückschlüsse auf die Unternehmen
ziehen, die mit den E-Mails an die Öffentlichkeit gegangen sind.
Warnattacken sollen die eigenen Fähigkeiten und die Ernsthaftigkeit der Forderungen von Armada Collective demonstrieren. Das Ende dieser DDoS-Demonstrationen kündigen die Erpresser vielfach in weiteren E-Mails an.
Wenn die Schutzgeldzahlung ausbleibt, nimmt Armada Collective erneut per E-Mail Kontakt zum Unternehmen auf.
Dazu leiten die Erpresser ihre erste E-Mail ein weiteres Mal an die bekannten E-Mail-Empfänger weiter. Diese Mail
ergänzen sie mit dem Hinweis, dass sie die Zahlungsfrist verlängern.
3
4. Geldforderungen per Bitcoin
Armada Collective setzt für die Abwicklung der Zahlungen auf anonyme Bitcoin-Transfers. In der Anfangszeit nutzten die Erpresser noch ein und dieselbe Bitcoin-Adresse für mehrere attackierte Unternehmen. In den aktuell vorliegenden Erpresser-Mails ist jedem Unternehmen eine individuelle Bitcoin-Adresse zugeordnet. Dadurch kann Armada
Collective den Zahlungseingang leichter überwachen und nachmahnen.
Die Täter erpressten in den vergangenen Wochen immer häufiger Unternehmen und erhöhten außerdem ihre
Schutzgeldforderungen. Sie stiegen von 5 Bitcoins im September auf aktuell 20 bis 30 Bitcoins. Die Schutzgeldforderung von 20.000 Bitcoins gegen Banken in Griechen fällt hingegen auffällig hoch auf.
5. Analyse der DDoS-Attacken
Die bisher dokumentierten DDoS-Angriffe durch Armada Collective verfügen nach Messungen von Link11 sowie
basierend auf Informationen des Swiss Governmental CERT und einer Open Source Intelligent Analyse (OSINT) über
eine Kapazität von bis zu 20 Gbps. Die angekündigten Attackengrößen von bis zu 1 Tbps schätzen die DDoS-Experten des LSOC nach technischer Analyse der bisherigen Angriffe als unrealistisch ein. Die Erfahrung hat gezeigt, dass
Angriffsvolumina bei Erpressungsversuchen selbst bei ausbleibender Zahlung aufgrund der technischen Kompetenz
in der Regel unter 100 Gbps liegen.
Armada Collective setzt bei den Angriffen vorrangig auf großvolumige Reflection / Amplification Attacken. NTP
Amplification sowie RIP Amplification Attacken kommen in verschiedenen Bandbreitenstärken und Längen zum
Einsatz.
Armada Collective weist darauf hin, dass einfache DDoS-Schutzlösungen gegen diese Attacken-Vektoren nicht helfen. In einigen E-Mails nennen die Erpresser einzelne Low-Cost-Anbieter beim Namen und stellen deren Schutz als
unzureichend dar.
„They can‘t block massive UDP floods, but with them massive UDP floods are not even necessary, because
small sophisticated TCP attacks are passing through their firewalls. Also, they don‘t work very well with HTTP
attacks“.
Bild 02: Auszug aus einem Original-Erpresserschreiben von Armada Collective
„Our attacks are extremely powerful - sometimes over 1 Tbps per second. And our bots can even bypass XXX‘s
(and similar cheap protections) javacript visitors check. So, no cheap protection will help.“
Bild 03: Armada Collective unterstreicht die Mächtigkeit der eigenen DDoS-Attacken
4
6. Zusammenfassung
Armada Collective agiert bei den DDoS-Erpressungen in weiten Teil professionell. Der Einsatz von Warnattacken folgt
bekannten Mustern und hat großes Droh-Potenzial für die attackierten Unternehmen. Um die Arbeit effizient zu
halten, vollstreckt Armada Collective die angekündigten Attacken nur gegen unzureichend oder ganz ungeschützte
Firmen. Unternehmen, die durch einen leistungsstarken DDoS-Schutz abgesichert sind, wurden offensichtlich bisher
nicht angegriffen. Dieses Vorgehen der Erpresser zeigt, wie wirksam die Installation einer geeigneten DDoS-Schutzlösung für die Absicherung des Geschäftsbetriebs ist.
Jedes Unternehmen, das eine Erpresser-E-Mail von Armada Collective erhält, sollte diese unbedingt ernst nehmen.
Schon die Warnattacke kann die Netzwerke und Infrastrukturen empfindlich schädigen. Die Gefahr durch Armada
Collective ist daher hoch. Für attackierte Unternehmen ist es wegen der Hartnäckigkeit der Erpresser ratsam, schnell
zu handeln und innerhalb der Zahlungsfrist einen leistungsfähigen DDoS-Schutz aufzusetzen.
Da die Gruppe digitale Werkzeuge wie selbstverständlich nutzt und innerhalb weniger Woche bereits zahlreiche
Firmen attackiert hat, ist von weiteren DDoS-Erpressungen und von der Erschließung neuer Branchen und Märkte
auszugehen.
Über Link11
Die Link11 GmbH mit Sitz in Frankfurt am Main ist ein deutsches IT-Unternehmen mit Kernkompetenzen in den
Bereichen DDoS-Schutz und Server Hosting. Mit der DDoS Protection Cloud hat Link11 im Jahr 2011 ein neues und innovatives Produkt erfolgreich am Markt etabliert. Dieser Link11 DDoS-Schutz ist bereits zum Patent angemeldet und
ermöglicht, jede Webseite oder ganze Serverinfrastrukturen vor DDoS-Angriffen zu schützen. Zu den Kunden zählt
Link11 führende Unternehmen aus den Bereichen E-Commerce, Finanzen & Versicherung, Medien und Produktion.
Mit Netzwerkstandorten und eigenen Glasfaserstrecken zwischen Frankfurt, Amsterdam und London gehört Link11
heute zu den großen DDoS-Filter-Anbietern weltweit. Der kontinuierliche Ausbau des Netzes umfasst aktuell weitere Standorte in Asien und den USA.
5

Download Report