Drei DDoS Erpresserbanden in D-A-Ch-Region aktiv?
Das Link11 Security Operation Center (LSOC ) hat gleich drei Erspresserbanden registriert, die in Regionen Deutschlands, Österreichs und der Schweiz aktiv sind. Gemeldet wurden massive DDoS Attacken, die anscheinend von drei unabhängigen Banden gestartet werden. Ob sich die Cyberkriminellen abgesprochen haben, ist nicht bekannt. Das LSOC konnte die Angreifer, die auch in Norwegen, Großbritannien und Spanien aktiv sind, identifizieren. Erpresst werden sowohl Unternehmen als auch Privatnutzer.
In Deutschland aktiv: „Meridian Collective“
Diese Gruppe ist Anfang Juni im Fokus der Sicherheitsforscher aufgetaucht. Das Meridian Collective droht mit DDoS-Attacken von mehreren 100 Gbps und verlangt für eine Unterlassung eine Schutzgeld von 1 Bitcoin. Die Gruppe benutzt eine Erpresserschreiben, das denen früherer DDoS Angriffe fast 1:1 ähnelt und ahmt damit die Angriffe von von Hackergruppen, wie RedDoor, New World Hacking Groups, Borya Collective und Armada Collective nach. In deren Erpressermails wird ebenfalls mit der Verschlüsselung der Festplatte gedroht. Die Zahlungsfrist in den Schreiben war auf den 16.Juni datiert. Bisher erfolgte aber kein dokumentierter Angriff von Meridian Collective.
Europaweit aktiv: Team xBall und Collective Amadeus
Diese beiden Erpressergruppen meldeten sich nahezu zeitgleich mit dem Meridian Collective bei Nutzern in Norwegen, Österreich, Spanien und der Schweiz. Sie drohten nicht nur mit der Verschlüsselung der Festplatte, sondern auch mit der Freigabe persönlicher und geschäftlicher Daten, die sie zuvor von den Festplatten stehlen wollten. Wie in Deutschland, waren die Erpressermails identisch zu vorherigen Attacken anderer Erpresser, wurden aber auch in diesem Fall bisher nicht ausgeführt.
Ob und wann die drei Banden einen DDoS Angriff starten, ist nicht bekannt.
Das LSOC geht mittlerweile davon aus, dass es sich bei den angeblichen Erpresserbanden um einen Täter handelt, der unter verschiedenen Namen auftritt. Sowohl die Ähnlichkeit der Erpressermails – die aber von anderen Hackern „kopiert“ wurden – als auch die „Nichtausführung“ der angekündigten Angriffe lassen den Schluss zu ,dass es sich um ein und dieselbe Person handelt.