DDoS-Attacke gegen Zahlung von Bitcoins abwenden?

Der Betreff kann unterschiedlich lauten, mal ist es “>< Danger. Distributed Denial of Service ><” oder einfach nur “>< Dangerous, DDoS ><” sowie >< Warning, DDoS ><. Die Absender-E-Mails sind unterschiedlich. Der Absendername lautet hier immer NWH-Groups, also New World Hacking Groups abgekürzt. Anfang diesen Jahres startete eine Welle auch unter diesem Namen: Armada Collective. Denken Sie daran: Namen sind austauschbar. Es geht um die Art der Bedrohung.

Der bedrohlich wirkende E-Mail-Text lautet so:

We are, New World Hacking Groups
We’ll begin massive DDoS attack Today, you have 5 hours after reading your posts!!!
1 – We’ll execute some targeted attacks and check your DDoS servers by the 500 Gbps attack power
2 – We can do multi-vector attacks Layer 3-7 TCP, UDP, SYN; NTP, DNS, SSDP – Amplification
3 – You do not help us antiddos, because we know your real IP address and it will always be able to find out
4 – Do not have time to change the hosting
5 – You can get away from the attack, if you pay 1.5 bitcoin to bitcoin ADDRESS: 1CB7Q8Mb77qSbkXnjynqGTjUTdFzXXXXXX
6 – If you do not pay before the attack 1.5 bitcoin, the price will increase to 15 bitcoins
7 – Attacks every day will cost you 15 bitcoins
8 – We will continue to attack for a long time, as long as you do not pay!!!
9 – If you do not pay, we will destroy your business
Transfer 1.5 bitcoin to ADDRESS: 1CB7Q8Mb77qSbkXnjynqGTjUTdFzXXXXXX
How to pay bitcoin? Google for the additional information!

Durchatmen und nicht den Kopf verlieren. Es klingt erstmal sehr echt. Dass Sie Ihre Systeme abgesichert haben und immer auf dem neuesten Release-Stand der eingesetzten Server Software sind, sollte selbstverständlich sein.

1. Googeln Sie den Text in der E-Mail. Meistens finden sich schon Hinweise, was anderen Leuten passiert ist. Nehmen Sie Warnhinweise ernst, wenn es sich um Angriffe auf Plugins von WordPress oder einem anderen Content Management System handelt.
2. Recherchieren Sie, welche Attacke angedroht wird. Hier ist es ein “Distributed Denial of Service”, das bedeutet übersetzt “Verweigerung des Dienstes”. Kurz genannt DDoS. Ihr Webserver soll von sehr vielen Rechnern angegriffen werden, die überall verteilt sind. Der Opfer-Server wird beispielsweise mit sehr vielen fehlerhaften IP-Paketen konfrontiert, geradezu bombardiert und wird absichtlich überlastet. Der Server stellt seinen Dienst in der Konsequenz ein. Damit ist Ihre Website offline.
3. Was sind Bitcoins? Bitcoin ist digitales Geld. Eine dezentralisierte Kryptowährung, die weltweit über das Internet versendet und empfangen werden kann. Der Quellcode von Bitcoin ist Open-Source und kann von jedem eingesehen werden. Bitcointransaktionen erfolgen direkt zwischen Sender und Empfänger (Peer-to-Peer) und ohne Zwischenstellen wie Banken oder Kreditinstitute. Das Bitcoinsystem kann somit nicht von staatlichen Behörden reguliert werden. Alle Transaktionen werden jedoch dauerhaft und sehr fälschungssicher in einer öffentlichen Blockchain-Datenbank gespeichert. Die Übertragung selbst enthält dabei keine personenbezogenen Daten!

Merken Sie sich den letzten Satz gut. Nun lesen Sie die Drohmail nochmal durch. Also der DDoS-Attacke-Angstmacher möchte eine Zahlung durch Bitcoins, wenn Sie diese getätigt haben, dann lässt er sie in Ruhe. Doch wie will der Angstmacher herausfinden, von wem die Bitcoins kommen?

Dazu muss man wissen, dass man keine “Kontonummer” hat, sondern es wie folgt läuft: Bei einer Transaktion wird der Bitcoin-Wert der Adresse genommen, der eingegebene Betrag zur Empfänger-Adresse transferiert. Der eigene verbleibende Betrag kommt auf eine „Change-Adresse“ – also sozusagen eine „Wechselgeld-Adresse“ – und die ursprüngliche Adresse ist mit keinen Bitcoins mehr verknüpft. Das Bitcoin-System ist nämlich nicht so ausgelegt, dass Adressen mehrfach verwendet werden – das würde hohe Risiken für Sender und Empfänger einer Transaktion bergen.

Somit weiß derjenige nicht, woher er die Bitcoins erhalten hat. Er kann also die Bedrohung nicht bewusst aussetzen, noch kann er überprüfen, von wem genau bezahlt wurde. Sendet also jemand eine Massenmail, in der Hoffnung, dass einer der Adressaten die geforderte Summe zahlt, so freut er sich. Die anderen, die nicht zahlen, wird er nicht angreifen, da es ja nur eine Droh-E-Mail ist, um Geld zu erpressen.

Soweit die Theorie. Natürlich ist man nicht davor gefeit, dass man mit einer DDoS-Attacke bedroht wird und bei Nichtzahlung nicht etwa doch angegriffen wird. Die Chance ist jedoch relativ gering. Die meisten Angreifer bluffen.

Das las ich auch bei bekannten Security-Anbietern wie beispielsweise Cloudflare oder Wordfence. Letzterer hat mir bestätigt, dass es sich hier um DDoS-Attacken-Trolle handeln könnte. Ich solle jedoch meine Firewall-Regeln einfach hochsetzen (Rate Limiting Rules), so dass mögliche Angriffe schneller abgeschmettert werden könnten. Reine temporäre Vorsichtsmaßnahme, die nicht schaden kann. Sollte ich dann doch eine große Attacke mitbekommen, die mir meine Firewall meldet, dann sollte ich mich an meinen Serverhoster oder Hosting Anbieter wenden. Damit dieser ein Auge darauf hat.

Was lernen wir daraus? Das Böse ist immer und überall. Manchmal droht es nur, manchmal schlägt es zu. Wer darauf angewiesen ist, mit der Website / dem Onlineshop Geld zu verdienen, sollte sich entsprechend absichern. Am besten auch mit einer passenden Cyber-Versicherung. Damit holt man sich die IT-Experten ins Boot, die den Versicherten in solchen Fällen zur Seite stehen.