Androhungen von DDoS-Attacken als Form der Erpressung werden häufiger, berichtet Max Klaus vom Melani und gibt wichtige Tipps zum Umgang mit solchen Cyber-Machenschaften.
Neben Angriffen mit Ransomware, hätten angedrohte DDoS-Erpressungen (Distributed Denial of Service) in der Schweiz zugenommen, berichtet Max Klaus, stellvertretender Leiter der Melde- und Analysestelle Informationssicherung des Bundes (Melani) während eines Vortrags am Cyber Security Forum, das am Freitag in Bern stattgefunden hat. Als Zeichen hierfür nennt er den DDoS-Angriff auf diverse Webshops in der Schweiz Anfang Mrz des Jahres, der diese lahmlegte und als «Schwarzer Montag» in die Analen eingegangen ist.
Als Auftakt zu diesen Ereignissen bezeichnet Klaus eine Serie von Erpressungsversuche mehrerer Schweizer Banken kurz zuvor. Diese erhielten ein Schreiben, in dem den Geldinstituten eine DDoS-Attacke angedroht wurde, wenn sie den Lösegeldforderungen der Cyberkriminellen nicht nachkommen sollten. Eine Bank habe sich gebeugt und den geforderten Bitcoin-Betrag entrichtet, berichtet Klaus weiter. «Allerdings ist nicht bekannt, welches Institut dies gewesen ist, da die Angreifer mehrmals dieselbe Blockchain verwendeten», fügt er an. Dies lasse ihn auch daran zweifeln, dass eine «professionelle» Hackerbande wie das Armada-Kollektiv hinter den Angriffen stecke. «Denn um wirklich eine DDoS-Attacke auf säumige Banken zu initiieren, müsste man wissen, wer gezahlt hat und wer nicht. Das geht nicht, wenn man die selbe Blockchain für die Überweisung verwendet», führt Klaus aus. Schlussendlich sei auch nichts passiert, die Banken, welche den Geldforderungen nicht nachgekommen seien, wurden nicht angegriffen. Auch der «Schwarze Montag» verlief untypisch. Hier kam es laut Klaus zu den bereits erwähnten Angriffen, ohne dass vorher ein Erpressermail bei den betroffenen Shops eingegangen sei. «Nur ein Webshop erhielt im Nachgang ein Schreiben, das angeblich vom Armada-Kollektiv gestammt haben soll», berichtet er. Allerdings sei es auch hier unwahrscheinlich, dass diese Hackergruppe hinter den Attacken stecke, da diese normalerweise nach einem bestimmten Schema vorginge. So würden diese zunächst einen Probeangriff ausführen, um ihre Möglichkeiten zu demonstrieren. Danach folge das Erpresserschreiben und bei Nicht-Bezahlen der Forderug der echte Angriff. Nächste Seite: Tipps zum richtigen Verhalten
So verhält man sich bei Erpressungsversuchen
Geht es dann los mit den DDoS-Attacken, empfiehlt Melani laut Klaus den Angriff «auszusitzen». «Kein Angreifer wird Ihr Unternehmen während Wochen unter DDoS-Beschuss nehmen», so sein Argument. Schliesslich koste die hierzu benötigte Infrastruktur auch Geld. «Wenn die Angreifer merken, dass nichts zu holen ist, suchen sie ein anderes Opfer und ziehen weiter», versichert Klaus. Auf keinen Fall solle das geforderte Lösegeld gezahlt werden, betont der Melani-Vertreter und nennt gleich mehrere Gründe für diesen Ratschlag. «Wenn Sie zahlen, haben Sie zum einen dennoch keine Garantie, dass die Angriffe aufhören», beginnt er. Vielmehr signalisiere man zum andern dem Angreifer, dass man bereit sei, Zahlungen zu leisten. Die Chance sei dann gross, dass man mit Nachforderung konfrontiert werde. «Schliesslich unterstützen Sie durch die Geldzahlung die Angreifer finanziell», nennt Klaus als drittes Argument. Dadurch könnten die Cyberkriminellen sich beim nächsten Mal noch mehr Bandbreite leisten und noch grössere Angriffe durchführen.
Prävention kann helfen
Um für DDoS-Erpressungen gewappnet zu sein, empfiehlt Klaus ein gewisses Mass an Prävention zu leisten. Damit kann man den Erpressungsversuch nicht verhindern, aber das Ausmass des Angriffs abfedern. So sollte man sich beim Provider erkundigen, was es für Möglichkeiten gebe, um sich gegen DDoS-Angriffe zu wehren. «Erhalten Sie dann ein Schreiben, können Sie den Provider informieren», sagt er. Dieser fahre die Massnahmen hoch, was kurzfristig ins Geld gehe, aber man könne so die Auswirkungen eines Angriffs vermindern.
