12-5-2016 Gedruckt am 29-05-2017 aus www.monitor.co.at/index.cfm/storyid/16807

Erpressen für einen guten Zweck?

DDoS-Erpresser im Robin Hood-Stil

Die Welle an DDoS-Erpressungen nimmt kein Ende. Vorletzte Woche waren es die Trittbrettfahrer von Lizard Squad, heute läuft das Ganze unter dem Namen „caremini“. Sie fordern gerade einmal 1 Bitcoin, und zwar als – jetzt kommt’s – „Spende“, um diesen dann angeblich an Charity-Organisationen weiterzuleiten.

Den Link zum kompletten Erpresser-Schreiben finden Sie im Text unten. Bild: Link11

Unter dem Absender „robin.hood@caremini.de“ fordern die DDoS-Erpresser in recht gutem Deutsch den ungewöhnlich niedrigen Betrag von 1 Bitcoin. Das Schutzgeld soll, so steht es im Schreiben, dann auf diverse Organisationen wie Save the Children, WWF und Ärzte ohne Grenzen aufgeteilt werden. Wer nicht zahlt, dem droht man mit einer heftigen DDoS-Attacke, die einem „viel mehr kosten“ wird „als ein Bitcoin“. Bestimmte Branchen bevorzugen die Erpresser übrigens nicht, Opfer gibt es in großen Finanzunternehmen ebenso wie bei kleinen IT-Dienstleistern.
 
Seit dem Auftreten der ersten Erpressermails von caremini hat das Link11 Security Operation Center (LSOC) das Vorgehen der Täter analysiert. Es weicht in wichtigen Punkten vom Vorgehen anderer Trittbrettbrettfahrer der vergangenen Wochen ab:
 
  • Während Erpresser wie die frühen Armada Collective und DD4BC die E-Mail-Adressen ihrer Opfer sorgfältig im Vorfeld recherchierten, nutzt caremini offensichtlich Crawler, um E-Mail-Kontakten von tausenden von Webseiten abzufragen. Die Erpresser-Mails richten sich daher an Adressen wie info@xxx.xx und kontakt@xxx.xx, wie sie auf jeder Webseite eingesehen werden können.
  • Für jedes Unternehmen generiert caremini eine individuelle Bitcoin-Adresse. Der Zeitaufwand dafür beträgt ca. 200 Millisekunden. In einer Stunde kommen die Täter so auf etwa 18.000 Bitcoin-Adressen.
  • Die DDoS-Erpresser nutzen ebenfalls ein Script, um die E-Mail-Kontaktdaten und Bitcoin-Adressen in einem Text-Template zusammenführen und automatisiert zu verschicken.
  • Die Täter versenden ihre Droh-Mails direkt an die Mail-Server der Opfer-Unternehmen. Sie nutzen weder Routing über TOR noch verschleiern sie die Absende-Adresse. Dafür setzen sie auf eine starke Verschlüsselung. Der eingesetzte Linux-Distributor dürfte nicht älter als 2015 sein.
  • Beim verwendeten Mail-User-Agent handelt es sich um das Unix-basierte mailx, ein leicht skriptbares Linux-Programm.
  • Die Absender-IP ist auf den Hosting-Anbieter Voxility in Rumänien eingetragen, während die Domain angeblich von deutscher Seite registriert wurde.
 
Dass die Täter die IP-Adresse selbst registriert haben, liegt im Bereich des Möglichen. Nach Einschätzungen des LSOC ist es aber wahrscheinlicher, dass sie den Linux-Server von caremini erst vor kurzem gehackt haben.