[Warning] DDoS Angriffe gegen Unternehmen in Österreich
Robert Waldner
waldner at cert.at
Mon Jun 14 18:05:32 CEST 2021
14. Juni 2021
Beschreibung
Seit einigen Wochen versucht eine Gruppe, die sich "Fancy Lazarus"
nennt, mittels DDoS-Angriffen und der Androhung von Folgeangriffen,
Schutzgelder zu erpressen. Vergleichbare Angriffe gab es global auch
schon ab August 2020 unter ähnlichen Namen.
Nachdem wir Meldungen von Partner-CERTs an uns über Angriffe auf Ziele
in anderen EU Staaten bekommen haben, sind jetzt auch in Österreich
einige Fälle aufgetreten.
Modus Operandi:
* Erpressungs-E-Mail an Unternehmen (Ankündigung des Demo-Angriffs,
Zahlungsfrist 7 Tage, sonst großer Angriff)
* Kurz darauf ein DDoS-Angriff (30 - 250 GBit/s DNS-Reflection gegen
die autoritativen Nameserver des Ziels, Dauer 2+ Stunden)
* Uns liegen einige Meldungen vor, dass nach dem Verstreichen der
sieben Tage der angedrohte Angriff nicht stattgefunden hat.
Gegenteilige Meldungen liegen nicht vor.
Auswirkungen
Überlastung der Internetanbindung, dadurch werden sowohl die vom Ziel
angebotenen Dienste, als auch die Nutzung des Internets vom Netz des
Zieles aus, gestört.
Abhilfe
Wie bei vielen anderen Bedrohungen auch, sollte man hier nicht auf das
Eintreten warten, sondern sich proaktiv mit dem Thema beschäftigen.
* DDoS-Angriffe sind seit einigen Jahren Teil der Bedrohungslage für
alle im Internet aktiven Firmen.
* Im Risikomanagement ist daher zu bewerten, was die essentiellen
Dienste sind und welche Ausfallzeiten bei diesen akzeptabel sind.
* Im Business Continuity Management sollte überlegt werden, wie die
essentiellen Dienste auch unter erschwerten Bedingungen
weitergeführt werden können.
* Bei den zu erwartenden Bandbreiten ist eine Mitigation rein im
eigenen Netz nicht möglich: es braucht die Mithilfe des Upstream
Providers oder eines Cloud-Services. Reden sie vorab mit ihrem ISP
über die Optionen und welche Hilfe sie erwarten können. Stellen sie
auch Kontaktmöglichkeiten außerhalb der Geschäftszeiten sicher.
* Im aktuellen Fall werden die autoritativen Nameserver angegriffen.
Da das DNS schon im Protokolldesign redundante Nameserver
unterstützt, ist es sehr einfach, für die eigenen Domains
zusätzlich weitere Nameserver außerhalb des eigenen Netzes zu
nutzen. Entsprechende Angebote, die auch per Anycasting
(https://datatracker.ietf.org/doc/html/rfc3258 ) viel
Resilienz und Geodiversität einbringen, sind vergleichsweise
günstig.
* Existiert eine redundante Anbindung über mehrere ISPs, so macht es
Sinn vorzubereiten, den Datenverkehr so aufzuteilen, dass der
Angriff möglichst einen anderen Weg nimmt, als der legitime
Datenverkehr.
* Stellen sie sicher, dass der Fernwartungszugang für das
Betriebspersonal nicht rein von der potentiell überlasteten
Internetanbindung abhängig ist.
__________________________________________________________________
Informationsquelle(n):
Proofpoint Artikel vom 10. Juni 2021 (englisch)
https://www.proofpoint.com/us/blog/threat-insight/ransom-ddos-extortion-actor-fancy-lazarus-returns
DDoS Whitepaper des CSC (Juli 2020)
https://www.bvt.gv.at/401/files/CSC/CSC_Schriftenreihe_Distributed_Denial_of_Service_DDoS_Juli_2020_BF_20200831.pdf
--
// CERT Austria - Robert Waldner <waldner at cert.at>
// https://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// https://www.nic.at/ - Firmenbuchnummer172568b, LG Salzburg
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 833 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20210614/fd4af996/attachment.sig>
More information about the Warning
mailing list