DDoS-Attacke gegen Zahlung von Bitcoins abwenden?

DDoS-Attacke gegen Zahlung von Bitcoins abwenden?

Wird eine DDoS-Attacke auf den eigenen Webserver per E-Mail angekündigt? Und kann man sie durch Zahlung eines Geldbetrags verhindern? Das fragen sich aktuell die Empfänger dubioser E-Mails, in denen mit einer DDoS-Attacke auf Webserver gedroht wird.

Es wird wieder mal mit der Angst der Leute gespielt. Wenn es doch nur ein Spiel wäre. Hier geht es um harte Währung.

Und so läuft das Ganze ab: Eine bevorstehende Attacke auf seinen Webserver wird dem Betroffenen angekündigt. Um sie abzuwenden soll dieser einen von den vermeintlichen Angreifern festgelegten Betrag bezahlen. Doch ist dies möglich? Ergibt es Sinn, zu bezahlen? Was ist der Unterschied zu Locky, dem Krypto-Trojaner? Gehen wir der gesamten Geschichte auf den Grund.

So sieht eine beispielhafte DDos-Angriffsdrohung aus

Der Betreff kann unterschiedlich lauten, mal ist es “>< Danger. Distributed Denial of Service ><” oder einfach nur “>< Dangerous, DDoS ><” sowie >< Warning, DDoS ><. Die Absender-E-Mails sind unterschiedlich. Der Absendername lautet hier immer NWH-Groups, also New World Hacking Groups abgekürzt. Anfang diesen Jahres startete eine Welle auch unter diesem Namen: Armada Collective. Denken Sie daran: Namen sind austauschbar. Es geht um die Art der Bedrohung.

Der bedrohlich wirkende E-Mail-Text lautet so:

We are, New World Hacking Groups
We’ll begin massive DDoS attack Today, you have 5 hours after reading your posts!!!
1 – We’ll execute some targeted attacks and check your DDoS servers by the 500 Gbps attack power
2 – We can do multi-vector attacks Layer 3-7 TCP, UDP, SYN; NTP, DNS, SSDP – Amplification
3 – You do not help us antiddos, because we know your real IP address and it will always be able to find out
4 – Do not have time to change the hosting
5 – You can get away from the attack, if you pay 1.5 bitcoin to bitcoin ADDRESS: 1CB7Q8Mb77qSbkXnjynqGTjUTdFzXXXXXX
6 – If you do not pay before the attack 1.5 bitcoin, the price will increase to 15 bitcoins
7 – Attacks every day will cost you 15 bitcoins
8 – We will continue to attack for a long time, as long as you do not pay!!!
9 – If you do not pay, we will destroy your business
Transfer 1.5 bitcoin to ADDRESS: 1CB7Q8Mb77qSbkXnjynqGTjUTdFzXXXXXX
How to pay bitcoin? Google for the additional information!

Was tun, wenn man eine DDoS-Attacke E-Mail bekommen hat?

Durchatmen und nicht den Kopf verlieren. Es klingt erstmal sehr echt. Dass Sie Ihre Systeme abgesichert haben und immer auf dem neuesten Release-Stand der eingesetzten Server Software sind, sollte selbstverständlich sein.

  1. Googeln Sie den Text in der E-Mail. Meistens finden sich schon Hinweise, was anderen Leuten passiert ist. Nehmen Sie Warnhinweise ernst, wenn es sich um Angriffe auf Plugins von WordPress oder einem anderen Content Management System handelt.
  2. Recherchieren Sie, welche Attacke angedroht wird. Hier ist es ein “Distributed Denial of Service”, das bedeutet übersetzt “Verweigerung des Dienstes”. Kurz genannt DDoS. Ihr Webserver soll von sehr vielen Rechnern angegriffen werden, die überall verteilt sind. Der Opfer-Server wird beispielsweise mit sehr vielen fehlerhaften IP-Paketen konfrontiert, geradezu bombardiert und wird absichtlich überlastet. Der Server stellt seinen Dienst in der Konsequenz ein. Damit ist Ihre Website offline.
  3. Was sind Bitcoins? Bitcoin ist digitales Geld. Eine dezentralisierte Kryptowährung, die weltweit über das Internet versendet und empfangen werden kann. Der Quellcode von Bitcoin ist Open-Source und kann von jedem eingesehen werden. Bitcointransaktionen erfolgen direkt zwischen Sender und Empfänger (Peer-to-Peer) und ohne Zwischenstellen wie Banken oder Kreditinstitute. Das Bitcoinsystem kann somit nicht von staatlichen Behörden reguliert werden. Alle Transaktionen werden jedoch dauerhaft und sehr fälschungssicher in einer öffentlichen Blockchain-Datenbank gespeichert. Die Übertragung selbst enthält dabei keine personenbezogenen Daten!

Merken Sie sich den letzten Satz gut. Nun lesen Sie die Drohmail nochmal durch. Also der DDoS-Attacke-Angstmacher möchte eine Zahlung durch Bitcoins, wenn Sie diese getätigt haben, dann lässt er sie in Ruhe. Doch wie will der Angstmacher herausfinden, von wem die Bitcoins kommen?

Wie will man einen Bitcoin Absender herausfinden?

Dazu muss man wissen, dass man keine “Kontonummer” hat, sondern es wie folgt läuft: Bei einer Transaktion wird der Bitcoin-Wert der Adresse genommen, der eingegebene Betrag zur Empfänger-Adresse transferiert. Der eigene verbleibende Betrag kommt auf eine „Change-Adresse“ – also sozusagen eine „Wechselgeld-Adresse“ – und die ursprüngliche Adresse ist mit keinen Bitcoins mehr verknüpft. Das Bitcoin-System ist nämlich nicht so ausgelegt, dass Adressen mehrfach verwendet werden – das würde hohe Risiken für Sender und Empfänger einer Transaktion bergen.

Somit weiß derjenige nicht, woher er die Bitcoins erhalten hat. Er kann also die Bedrohung nicht bewusst aussetzen, noch kann er überprüfen, von wem genau bezahlt wurde. Sendet also jemand eine Massenmail, in der Hoffnung, dass einer der Adressaten die geforderte Summe zahlt, so freut er sich. Die anderen, die nicht zahlen, wird er nicht angreifen, da es ja nur eine Droh-E-Mail ist, um Geld zu erpressen.

Vorsichtsmaßnahmen nach einer Droh-E-Mail für eine DDoS-Attacke

Soweit die Theorie. Natürlich ist man nicht davor gefeit, dass man mit einer DDoS-Attacke bedroht wird und bei Nichtzahlung nicht etwa doch angegriffen wird. Die Chance ist jedoch relativ gering. Die meisten Angreifer bluffen.

Das las ich auch bei bekannten Security-Anbietern wie beispielsweise Cloudflare oder Wordfence. Letzterer hat mir bestätigt, dass es sich hier um DDoS-Attacken-Trolle handeln könnte. Ich solle jedoch meine Firewall-Regeln einfach hochsetzen (Rate Limiting Rules), so dass mögliche Angriffe schneller abgeschmettert werden könnten. Reine temporäre Vorsichtsmaßnahme, die nicht schaden kann. Sollte ich dann doch eine große Attacke mitbekommen, die mir meine Firewall meldet, dann sollte ich mich an meinen Serverhoster oder Hosting Anbieter wenden. Damit dieser ein Auge darauf hat.

Was lernen wir daraus? Das Böse ist immer und überall. Manchmal droht es nur, manchmal schlägt es zu. Wer darauf angewiesen ist, mit der Website / dem Onlineshop Geld zu verdienen, sollte sich entsprechend absichern. Am besten auch mit einer passenden Cyber-Versicherung. Damit holt man sich die IT-Experten ins Boot, die den Versicherten in solchen Fällen zur Seite stehen.

Unser Tipp:

Bleiben Sie auf dem Laufenden mit unserem Newsletter:

Autor:in Nicole Y. Jodeleit

ist Freiberuflerin für Online-Kommunikation und schreibt auf verschiedenen Corporate Blogs über unterschiedliche Themen.

Über Hiscox

Hiscox ist ein internationaler Spezialversicherer, der spezielle berufliche und private Risiken abdeckt. Zu den Kunden zählen Selbstständige, Unternehmer, Privatpersonen und Institutionen, die auf die jahrzehntelange Erfahrung und Expertise von Hiscox setzen. Die Produkte sind stets passgenau auf die spezifischen Risiken des Kunden zugeschnitten. Im Schadenfall ist Hiscox sofort zur Stelle und reguliert den Schaden schnell und zuverlässig. Wir freuen uns darüber, dass unsere Kunden unseren Schadenservice mit 4,6 von 5 Sternen weiterempfehlen (Kundenumfrage 2022).