- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

Verstärkte Aktivitäten der Erpressergruppe DD4BC


Die DD4BC-Gruppe ist für eine große Zahl von Bitcoin-Erpressungskampagnen verantwortlich
Untersuchungen von PLXsert zufolge kündigte DD4BC kürzlich an, Unternehmen zusätzlich zu den DDoS-Angriffen über Social-Media-Kanäle bloßzustellen

(09.10.15) - Das Prolexic Security Engineering & Response (PLXsert)-Team von Akamai Technologies hat eine vermehrte Zahl von Angriffen und ein aggressiveres Vorgehen der Erpressergruppe DD4BC im Web beobachtet. Allein April 2015 bis September 2015 verzeichnete das Team 114 Angriffe. Akamai hat – unterstützt durch PLXsert – Details zu Distributed-Denial-of-Services (DDoS)-Attacken durch die Bitcoin-Erpressergruppe DD4BC veröffentlicht. Dazu analysierte PLXsert den Datenverkehr im Akamai-Netzwerk von September 2014 bis August 2015. Insgesamt identifizierte das Team 141 DD4BC-Attacken, einschließlich solcher, die gezielt über Social-Media-Kanäle das Markenimage das Unternehmen angriffen.

So arbeitet die DD4BC-Erpressergruppe
Die DD4BC-Gruppe ist für eine große Zahl von Bitcoin-Erpressungskampagnen verantwortlich, die bis in das Jahr 2014 zurückreichen. Seit dieser Zeit hat die Gruppe ihre Droh- und DDoS-Aktionen ständig ausgeweitet und zielt auf ein breites Spektrum von Branchen, beispielsweise Finanzdienstleistungen, Medien und Unterhaltung, Onlinespiele und Handel. In einer E-Mail teilt DD4BC den ausgewählten Opfern mit, dass sie mit einer DDoS-Attacke in einer niedrigen Bandbreite auf ihre Webseite rechnen müssen. Von Juni bis Juli dieses Jahres ist die Bandbreite in einigen Fällen auf mehr als 20 Gbit/s angewachsen. Anschließend wurde Schutzgeld gefordert. Für den Fall, dass die Zahlung ausbleibt, drohte ein massiver DDoS-Angriff, bei dem die Webseite dann lahmgelegt wird.

Unternehmen über Social Media anprangern
Untersuchungen von PLXsert zufolge kündigte DD4BC kürzlich an, Unternehmen zusätzlich zu den DDoS-Angriffen über Social-Media-Kanäle bloßzustellen. Das Ziel dabei ist es, mehr öffentliche Aufmerksamkeit zu erlangen und zu beweisen, dass DD4BC durch Lahmlegen der Webseiten in der Lage ist, das Opfer zu blamieren und dessen Image nachhaltig zu beschädigen.

Typischerweise verwendet DD4BC Multi-Vector-DDoS-Attacken, greift frühere Ziele wiederholt an und integriert auch Layer-7-Angriffe, wobei insbesondere die WordPress-Pingback-Sicherheitslücke ausgenutzt wird. Über diese werden wiederholt Reflected GET Requests an das Opfer verschickt, um die Webseite zu überfluten. Die Analysten von Akamai konnten derartige Angriffsmethoden auch in DDoS Booter Suite Frameworks feststellen.

Abwehr von Angriffen
PLXsert zählte seit September 2014 insgesamt 141 DD4BC-Angriffe gegen Akamai-Kunden, allein von April bis August 2015 waren es 114. Die durchschnittliche Bandbreite betrug 13,34 Gbit/s, die maximale belief sich auf 56,2 Gbit/s.

Zum Schutz vor Erpressungsversuchen durch DD4BC und nachfolgenden DDoS-Angriffen empfiehlt Akamai die folgenden defensiven Maßnahmen:

>> Unternehmen sollten Anomalie- und Signatur-basierte DDoS-Erkennungsmethoden implementieren, um Angriffe frühzeitig zu erkennen, bevor die Webseite für Benutzer nicht mehr zugänglich ist;

>> Die Ressourcen sollten verteilt werden, um die Widerstandsfähigkeit zu erhöhen und einen Single Point of Failure zu vermeiden;

>> Unternehmen sollten Layer-7-DDoS-Mitigation-Appliances an strategischen Stellen in ihrem Netzwerk einrichten, um die Risiken für kritische Applikationsserver zu vermindern.

"DD4BC droht mit DDoS-Angriffen, wenn die Zahlung von Bitcoins ausbleibt, mit der sich Opfer vor künftigen Angriffen schützen können", sagt Stuart Scholly, Senior Vice President und General Manager der Security Division bei Akamai. "Die aktuellen Attacken richteten sich vorwiegend auf Finanzdienstleister und nutzten neue Strategien und Taktiken, um ihre Opfer zu belästigen, zu erpressen und letztlich in der Öffentlichkeit bloßzustellen." (Akamai Technologies: ra)

Akamai Technologies: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Meldungen: Hintergrund

  • Blaupause eines Cyberangriffs

    Experten der Bitdefender-Labs ist es gelungen, den zeitlichen Verlauf eines Angriffs der Carbanak-Gruppe vollständig zu rekonstruieren. Opfer war eine osteuropäische Bank. Die Rekonstruktion aller Aktivitäten der Attacke liefert wertvolle Erkenntnisse für die Sicherung kritischer Infrastrukturen und zeigt die Bedeutung von Endpoint-Security-Maßnahmen auf. Während die Infiltrierung des Netzwerks bereits nach 90 Minuten abgeschlossen war, bewegten sich die Angreifer mit Hilfe der Cobalt Strike Malware weitere 63 Tage durch die gesamte Infrastruktur, um das System auszuspähen und weitere Informationen für den finalen Raubüberfall zu sammeln. Wäre die Attacke erfolgreich gewesen, hätten die Kriminellen unbemerkt über das Geldautomatennetzwerk verfügen können.

  • Mit noch komplexeren Methoden

    Nach der Verhaftung mehrerer mutmaßlicher Anführer der berüchtigten Fin7- beziehungsweise Carbanak-Cybergang im Jahr 2018 galt die Gruppe als aufgelöst. Die Experten von Kaspersky Lab haben jedoch eine Reihe neuer Angriffe derselben Akteure entdeckt, die GRIFFON-Malware einsetzt. Demnach könnte Fin7 die Anzahl der Gruppen, die unter demselben Schirm operieren, ausgeweitet haben - mit noch komplexeren Methoden. So gründete FIN7 eigens ein Fake-Unternehmen, das offiziell wie ein legitimer Sicherheitsanbieter auf der Suche nach Fachkräften auftrat, die dann beim Diebstahl finanzieller Vermögenswerte helfen sollten.

  • Bedrohung in Deutschland durch Trojaner Emotet

    Malwarebytes bestätigt in einer aktuellen Studie die gestiegene Gefahr durch den Trojaner Emotet. Vor einigen Tagen hatte das Bundesamt für Sicherheit in der Informationstechnik (BSI) diesbezüglich bereits eine aktuelle Sicherheitswarnung herausgegebenen und auf die gestiegenen Fallzahlen von Emotet aufmerksam gemacht. Emotet ist ein Trojaner, der vor allem durch Spam-E-Mails (MalSpam) verbreitet wird. Die infizierte Mail enthält entweder ein bösartiges Skript, ein Dokument mit aktivierten Makros oder einen schadhaften Link. Emotet-E-Mails sind oft gut gefälscht und täuschend echt als reguläre E-Mails getarnt. Aufgrund seiner modularen, polymorphischen Form sowie seiner Fähigkeit, mehrere, sich verändernde Payloads einzuschleusen, ist Emotet besonders hartnäckig und für Unternehmen oder Endverbraucher besonders gefährlich.

  • Cyberangriffe mit politischem Hintergrund

    Die Gaza-Cybergang, die nach heutiger Erkenntnis aus mehreren Gruppierungen mit unterschiedlichem Niveau besteht, hat im vergangenen Jahr eine Cyberspionageoperation durchgeführt, die sich gegen Einzelpersonen und Organisationen mit einem politischen Interesse an der Nahostregion richtete. Dieses Ergebnis geht aus einer detaillierten Analyse von Kaspersky Lab hervor. Für die Kampagne ,SneakyPastes' nutzten die Angreifer Einweg-E-Mail-Adressen, um die Infektion durch Spear-Phishing zu verbreiten, bevor Malware mehrstufig über kostenlose Webseiten nachgeladen wurde. Dieser kostengünstige, aber effektive Ansatz ermöglichte es der Gang, rund 240 hochkarätige Opfer in 39 Ländern weltweit zu treffen - darunter unter anderem Ziele aus dem politischen und diplomatischen Bereich sowie Medien und Aktivisten. Kaspersky Lab hat die Forschungsergebnisse umgehend an die Strafverfolgungsbehörden weitergegeben, die so einen bedeutenden Teil der Angriffsinfrastruktur zerstören konnten.

  • Ein ausgereiftes APT-Framework

    Die Experten von Kaspersky Lab haben ein technisch ausgereiftes Cyberspionage-Framework entdeckt, das seit mindestens 2013 aktiv ist und mit keinem bekannten Bedrohungsakteur in Verbindung zu stehen scheint. Die Spionageplattform ,TajMahal' umfasst rund 80 schädliche Module und enthält Funktionen, die bisher noch nie bei einer Advanced Persistend Threat (APT) gesehen wurden. So können unter anderem Informationen aus der Drucker-Warteschlange gestohlen und zuvor gesehene Dateien auf einem USB-Gerät bei der nächsten Verwendung desselben abgerufen werden. Kaspersky Lab hat bisher nur ein Opfer gesehen, eine zentralasiatische Botschaft mit Sitz im Ausland. Die Wahrscheinlichkeit, dass weitere Opfer existieren, ist allerdings hoch.