Welle von DDoS-Erpressungen durch Fancy Lazarus

B2B Cyber Security ShortNews

Beitrag teilen

Erneute Welle von DDoS-Erpressungen durch Fancy Lazarus. Warnung vor akuten Ransom DDoS-Attacken gegen Unternehmen in ganz Europa und Nordamerika im Namen von Fancy Lazarus.

Das Link11 Security Operations Center (LSOC) beobachtet neuerlich eine starke Zunahme von Ransom Distributed Denial of Service (RDDoS bzw RDoS)-Attacken. Mit dem Absender Fancy Lazarus erhalten Unternehmen aus den verschiedensten Wirtschaftsbereichen Erpresser-Mails, in denen 2 Bitcoins (Stand aktuell ca. 66.000 Euro) gefordert werden: „It’s a small price for what will happen when your whole network goes down. Is it worth it? You decide!“, argumentieren die Erpresser in ihrer E-Mail. Meldungen über RDoS-Angriffe hat das LSOC bislang aus mehreren europäischen Ländern wie Deutschland und Österreich sowie aus den USA und Kanada erhalten.

Anzeige

Vorgehen der DDoS-Erpresser

Die Täter informieren sich im Vorfeld über die IT-Infrastruktur des Unternehmens und machen in der Erpresser-Mail eindeutige Angaben dazu, welche Server und IT-Elemente sie für die Warn-Attacken angreifen werden. Als Druckmittel starten die Angreifer teils mehrstündige Demo-Attacken, die sich durch hohe Volumen von bis zu 200 Gbps auszeichnen. Um diese Angriffsbandbreiten zu erreichen, setzen die Täter Reflection-Amplification-Vektoren wie DNS ein. Sollten die Forderungen nicht erfüllt werden, drohen massive Hochvolumen-Attacken von bis zu 2 Tbps. Für den Transfer der Bitcoins an eine spezifische Bitcoin Wallet bleiben dem Unternehmen 7 Tage. In der E-Mail heißt es außerdem, dass sich das Lösegeld mit Verstreichen der Zahlungsfrist auf 4 Bitcoin erhöhen und mit jedem weiteren Tag um einen weiteren Bitcoin steigen würde. Teilweise bleiben nach Ablauf des Ultimatums die angekündigten Angriffe aus. In anderen Fällen kommt es zu beträchtlichen Störungen bei den erpressten Unternehmen.

Mutmaßliche Täter sorgten weltweit schon für Schlagzeilen

Die Täter sind keine Unbekannten. Mit einem identischen Erpresserscheiben wurden im Herbst 2020 schon Payment-Anbieter, Finanzdienstleister und Banken auf der ganzen Welt erpresst und mit RDoS-Angriffen (Ransom Denial of Service) überzogen. Hosting-Provider, E-Commerce-Anbieter sowie Logistik-Unternehmen standen auch im Fokus der Erpresser. Damals agierten sie unter dem Namen Lazarus Group und Fancy Bear oder gaben sich als Armada Collective aus. Auch die mehrtägigen Ausfälle an der Börse von Neuseeland werden den Tätern zugerechnet.

Die erneute Erpresser-Welle trifft viele Unternehmen zu einem Zeitpunkt, in dem sich ein Großteil der Belegschaft noch über Remote-Working organisiert und auf uneingeschränkten Zugang zum Unternehmensnetzwerk angewiesen ist. Marc Wilczek, Geschäftsführer von Link11: „Die Express-Digitalisierung, die viele Firmen in den vergangenen Pandemie-Monaten durchlaufen haben, ist häufig noch nicht zu 100 % gegen Angriffe abgesichert. Die Angriffsflächen sind stark gestiegen, die IT nicht ausreichend gehärtet. Diese noch offenen Flanken wissen die Täter zielgenau auszunutzen.“

Mehr bei Link11.com

 


Über Link11

Link11 ist der im Bereich Cyber-Resilienz führende europäische IT-Sicherheitsanbieter mit Hauptsitz in Deutschland und weltweiten Standorten in Europa, Nordamerika, Asien und dem Nahen Osten. Die cloudbasierten Security-Services sind vollständig automatisiert, reagieren in Echtzeit und wehren alle Angriffe, sowohl bekannte als auch neue Muster, garantiert in unter 10 Sekunden ab. Damit bietet Link11 laut einhelliger Analysten-Meinung (Gartner, Forrester) die schnellste Erkennung und Abwehr (TTM), die auf dem Markt verfügbar ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Link11 als qualifizierten DDoS-Schutzanbieter für kritische Infrastrukturen aus.


 

Passende Artikel zum Thema

Zero-Day-Schwachstelle in Firefox und Windows

Die kürzlich von der RomCom-Gruppe (auch bekannt als Storm-0978) genutzte Exploit-Kette – die eine Zero-Day-Schwachstelle in Firefox (CVE-2024-9680) und eine ➡ Weiterlesen

CPS: Neue Malware IOCONTROL zielt auf KRITIS

Experten des Team82 haben eine gegen kritische Infrastruktur gerichtete Malware identifiziert. Die Cyberwaffe IOCONTROL stammt laut den Experten wahrscheinlich von ➡ Weiterlesen

Nordkorea: Cyberspionage bedroht internationale Sicherheit

In den letzten Jahren hat Nordkorea seine Fähigkeiten in der Cyberspionage enorm ausgebaut und gezielte Hackerangriffe auf internationale Unternehmen und ➡ Weiterlesen

APT-Gruppe TA397 attackiert Rüstungsunternehmen

Security-Experten haben einen neuen Angriff der APT-Gruppe TA397  – auch unter dem Namen „Bitter“ bekannt – näher analysiert. Start war ➡ Weiterlesen

Security-Breaches bei Firewall-Geräten von Palo Alto Networks

Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. ➡ Weiterlesen

Schwachstellen im Cloud-Management – Zugriff auf 50.000 Geräte 

Die Sicherheitsforscher von Team82, der Forschungsabteilung von Claroty, haben insgesamt zehn Schwachstellen in der Reyee-Cloud-Management-Plattform des chinesischen Netzwerkanbieters Ruijie Networks ➡ Weiterlesen

Test: Schutz vor Malware unter MacOS Sonoma 14.6

Hunderte Exemplare besonders gefährlicher MacOS-Malware attackieren im Labortest Schutzprodukte für Unternehmen unter Sonoma 14.6. Der Q3/2024-Test zeigt starke Lösungen für ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen