Ransom-DDoS-Angriffe: Tipps und Strategien gegen die Bedrohung durch Erpressung

Ein DDoS-Angriff (Distributed Denial of Service) beschreibt eine gezielte Attacke auf Komponenten der IT-Infrastruktur oder auch auf einzelne IT-Services, um einen Ausfall zu verursachen. Dabei senden Kriminelle eine Vielzahl vermeintlich gültiger Anfragen an ein einzelnes Ziel, bis eine Überlastung des Systems eintritt und es nicht mehr in der Lage ist, alle Anfragen gleichzeitig und zeitgerecht zu verarbeiten. Es wird für legitime Benutzer unzugänglich.

Erfolgreiche (Ransom)-DDoS-Angriffe beeinträchtigen die direkte, aber auch indirekte Verfügbarkeit von Services, wenn beispielsweise auch Basisdienste wie DNS oder Authentifizierung betroffen sind. Die Angriffe können dank ausgefeilter Programme sowohl von organisierten Gruppen als auch von Einzelpersonen durchgeführt werden.

Ablauf von RDDoS-Attacken

Eine Weiterentwicklung der DDoS-Szenarien ist, basierend auf dem Konzept von Ransomware, der RDDoS- bzw. Ransom-DDoS-Angriff (Ransom Distributed Denial of Service). Dabei kombinieren die Akteure einen Denial-of-Service Angriff mit einer konkreten Lösegeldforderung (Ransom). Die Lösegeldforderung kann dabei bereits vor dem technischen Angriff erfolgen, der damit verhindert werden soll, oder aber währenddessen, um den Angriff zu stoppen.

RDDoS-Drohungen sind grundsätzlich ernst zu nehmen, auch wenn nicht hinter jeder Lösegeldforderung eine tatsächliche DoS-Bedrohung steht. Zwar ist für einen erfolgreichen Angriff ein großes Netzwerk aus kompromittierten Geräten (Botnet) notwendig. Allerdings lässt sich dieses über „Cybercrime-as-Service“ Dienste relativ einfach anmieten. Das lohnt sich, wenn das Opfer möglichst schnell bezahlt und keine anderen Probleme entstehen.

Besonders beliebte Angriffsziele sind Unternehmen, bei denen schon kurze Ausfälle erhebliche Schäden anrichten. Eine Zahlung löst jedoch das Problem auf lange Sicht nicht, denn eine Wiederholung des Angriffs von demselben oder einem anderen Angreifer wäre jederzeit möglich.

Schutzmaßnahmen gegen (R)DoS-Attacken

Eine gezielte Vorbereitung auf mögliche Gefahren und Risiken ist ein wesentlicher Erfolgsfaktor. Grundsätzlich helfen aktuelle Next-Generation Firewall Systeme, die die geeigneten Funktionen unterstützen. Abwehr und Erkennung von ungültigen Anfragen sind jedoch nicht immer genug. Zu erheben, welche Systeme besonders von diesen Angriffen betroffen wären, ist die Grundlage einer Vorsorge- und Notfallplanung. [1]

Wichtige Dienste und Services wie Internet-Auftritte oder sonstige größere Portale sollten bei einem guten Hosting-Provider betrieben werden. Dieser sollte Vorkehrungen gegen DoS-Angriffe inkludieren, die bei Bedarf helfen und unterstützen können.

Wenn Systeme im eigenen Unternehmen mit einer eigenen Internet-Anbindung betrieben werden, ist meist diese physikalische Leitung der limitierende Faktor. Unzählige Anfragen überlasten sie. Oft kann der direkte Service-Provider unterstützen oder auch Services anbieten, um DoS-Angriffe zu erkennen und abzuschwächen.

Auch mit vorbereiteten Cloud-basierenden Services können DoS-Filter, Reserve-Ressourcen oder Backup-Dienste bereitgestellt werden. Eine solche Aktivierung ermöglicht oft, zumindest Notfall-Services online zu bringen und den Angreifer mit etwas Gegenwehr zu überraschen.

Fazit: Generell lautet die Empfehlung, niemals auf Forderungen von Cyberkriminellen einzugehen. Wissen diese einmal, dass ein Unternehmen bereit ist zu zahlen, können auch andere Arten von Angriffen folgen. Die gute Nachricht lautet, dass ein DoS-Angriff zumindest die eigenen Systeme nicht dauerhaft schädigt oder manipuliert. Hat der Angreifer den Eindruck, dass ein Unternehmen gut vorbereitet ist und nicht auf Forderungen eingeht, lohnt sich der weitere Einsatz meist nicht. Die Chancen stehen dann gut, dass der Akteur weiterzieht, um sich ein einfacheres Opfer zu suchen.