Das Cybersicherheitsunternehmen Imperva gab am Freitag bekannt, dass es vor kurzem einen DDoS-Angriff (Distributed Denial of Service) auf eine ungenannte Website abgewehrt hat, der 2,5 Millionen Anfragen pro Sekunde (RPS) erreichte.
„Lösegeld-DDoS-Angriffe sind zwar nicht neu, aber sie scheinen sich mit der Zeit und mit jeder neuen Phase weiterzuentwickeln und interessanter zu werden“, sagte Nelli Klepfish, Sicherheitsanalystin bei Imperva. „Wir haben zum Beispiel Fälle gesehen, in denen die Lösegeldforderung in den Angriff selbst eingebettet in eine URL-Anfrage eingefügt wurde.“
Die meisten Angriffe kamen aus Indonesien, gefolgt von den USA, China, Brasilien, Indien, Kolumbien, Russland, Thailand, Mexiko und Argentinien.
Distributed-Denial-of-Service (DDoS)-Angriffe sind eine Unterkategorie von Denial-of-Service (DoS)-Angriffen, bei denen eine Armee von miteinander verbundenen Online-Geräten, ein sogenanntes Botnet, dazu verwendet wird, eine Zielwebsite mit gefälschtem Datenverkehr zu überschwemmen, um sie für legitime Nutzer/innen unerreichbar zu machen.
Das Unternehmen mit Hauptsitz in Kalifornien gab an, dass das betroffene Unternehmen mehrere Lösegeldforderungen als Teil der DDoS-Angriffe erhalten hat, in denen es aufgefordert wurde, eine Bitcoin-Zahlung zu leisten, um online zu bleiben und den Verlust von „Hunderten von Millionen an Marktkapital“ zu vermeiden.
Interessanterweise nennen sich die Angreifer REvil, das berüchtigte Ransomware-as-a-Service-Kartell, das einen schweren Rückschlag erlitt, nachdem einige seiner Betreiber Anfang Januar von russischen Strafverfolgungsbehörden verhaftet wurden.
„Es ist jedoch nicht klar, ob die Drohungen wirklich von der ursprünglichen REvil-Gruppe oder von einem Betrüger stammen“, so Klepfish.
Ursprünge des Angriffs
Der Angriff mit 2,5 Millionen RPS soll weniger als eine Minute gedauert haben. Eine der Schwesterseiten, die von demselben Unternehmen betrieben wird, musste einen ähnlichen Angriff überstehen, der etwa 10 Minuten dauerte, obwohl die Taktik ständig geändert wurde, um eine mögliche Entschärfung abzuwenden.
Die von Imperva gesammelten Beweise deuten darauf hin, dass die DDoS-Angriffe vom Mēris-Botnet ausgingen, das weiterhin eine inzwischen behobene Sicherheitslücke in Mikrotik-Routern (CVE-2018-14847) ausnutzt, um Ziele wie Yandex anzugreifen.
„Die Arten von Websites, auf die es die Bedrohungsakteure abgesehen haben, scheinen geschäftliche Websites zu sein, die sich auf Vertrieb und Kommunikation konzentrieren“, so Klepfish. „Die Ziele sind in der Regel in den USA oder in Europa ansässig. Eine Gemeinsamkeit ist, dass es sich um börsennotierte Unternehmen handelt, was die Angreifer zu ihrem Vorteil nutzen, indem sie auf den potenziellen Schaden hinweisen, den ein DDoS-Angriff für den Aktienkurs des Unternehmens bedeuten könnte.
Die Erkenntnisse kommen zu einem Zeitpunkt, an dem böswillige Akteure zum ersten Mal in freier Wildbahn eine neue Verstärkungstechnik namens TCP Middlebox Reflection einsetzen, um die Banken-, Reise-, Spiele-, Medien- und Webhostingbranche mit einer Flut von gefälschtem Datenverkehr zu überziehen.
Der Lösegeld-DDoS-Angriff ist bereits die zweite Botnetz-Aktivität, die Imperva seit Jahresbeginn abgewehrt hat. Ende Januar hatte das Unternehmen einen Web-Scraping-Angriff auf eine unbekannte Plattform für Stellenanzeigen gemeldet.
„Der Angreifer nutzte ein großangelegtes Botnetz, das innerhalb von vier Tagen nicht weniger als 400 Millionen Bot-Anfragen von fast 400.000 einzelnen IP-Adressen generierte, um die Profile von Arbeitssuchenden zu sammeln“, so das Sicherheitsunternehmen.