DRDoS- und RDoS-Angriffe

Was sind DRDoS- und RDoS-Angriffe?

DRDoS-Angriffe sind verteilte Reflection-Attacken, die Abkürzung steht für Distributed Reflected Denial of Service. Für solche Reflection-Attacken missbrauchen Cyberkriminelle herkömmliche Webdienste und Protokolle, um ihre Angriffe zu verstärken und zu verschleiern. Diese Art von DDoS-Attacke wird oft auch für digitale Erpressungsmethoden genutzt, um hohe Lösegeldforderungen einzutreiben – in diesem Fall spricht man von RDoS (Ransom Denial of Service).

Auf einen Blick

1. DRDoS und RDoS: eine Definition
2. Welche Technologien setzen die Angreifer ein?
3. Wie läuft eine Cybererpressung ab?
4. Wie lassen sich DDoS-Erpresser erfolgreich abwehren?
5. DRDoS und RDoS: das müssen Sie wissen

01

DRDoS und RDoS: eine Definition

Aus technischer Sicht handelt es sich bei einer DRDoS-Attacke um eine Sonderform von DDoS. Hier stammen die schädlichen Anfragen nicht etwa direkt vom Angreifer selbst oder einem dafür aufgesetzten Botnet, sondern von regulären Internetdiensten. Diese funktionieren Cyberkriminelle zur Waffe um, indem sie diverse Internetprotokolle missbrauchen. So können Angreifer beispielsweise per IP-Spoofing (dem Versenden von IP-Paketen mit verfälschter IP-Absenderadresse) Internetdienste manipulieren, um den Traffic auf ein bestimmtes Ziel umzuleiten. Durch dieses Vorgehen verschleiern die Angreifer den eigentlichen Ursprung der DDoS-Attacke und sorgen gleichzeitig für eine massive Steigerung der abgefeuerten Bandbreite.

DRDoS-Attacken erfolgen in der Regel über hoch verstärkende Reflektoren wie DNS-Dienste, welche die kurzen Anfragen der Angreifer mit großen Datenpaketen beantworten. Auf diese Weise steigern solche Reflection-Attacken die Schlagkraft der Angriffe um ein Vielfaches. Weitere gängige Typen von Reflektoren sind etwa die Protokolle NTP, TFTP oder Memcached – über Letzteres lässt sich die Bandbreite von Attacken maximal um das 51.000-fache verstärken.

02

Welche Technologien setzen die Angreifer ein?

Meist beschränken sich Cyberkriminelle nicht nur auf einen Angriffsvektor, der DDoS-Trend zu Multi-Vektor-Angriffen hält an. Durch die parallele Offensive auf unterschiedliche Netzwerk-Layer zeigen sich Schwächen in der Web-Infrastruktur von Unternehmen umso deutlicher. Attacken auf die Vermittlungs- und Transportschicht sind typischerweise TCP SYN Floods oder Reflection-Angriffe auf UDP-Basis. Diese zeichnen sich entweder durch sehr hohe Bandbreiten oder immense Paketraten aus. Unterdessen erfolgen Angriffe auf Layer 7 oftmals per HTTP-GET-Flood- oder Low- und Slow-Attacken. Von Unternehmen erfordert die erfolgreiche Abwehr ein entsprechend ganzheitliches Schutzkonzept, das alle relevanten Angriffsvektoren adressiert – ansonsten drohen teure Ausfälle.

DRDoS Verstärkungsfaktoren und Protokolle

03

Wie läuft eine Cybererpressung ab?

Sobald eine DDoS-Attacke mit einer Lösegeldforderung verknüpft ist, spricht man in der Cybersicherheit von einem RDoS-Angriff. Die betroffenen Unternehmen erhalten zunächst ein Erpresserschreiben, das zur Zahlung eines Lösegelds in der Kryptowährung Bitcoin auffordert. Parallel dazu erfolgt ein erster DDoS-Angriff, der zeigen soll, dass es die Cybererpresser ernst meinen. Sollte das betroffene Unternehmen der Zahlungsaufforderung nicht in der festgesetzten Zeit nachkommen, erfolgt die eigentliche Attacke. Oftmals geben sich die Angreifer in den per E-Mail versandten Erpresserbriefen als Mitglieder bekannter Hackergruppen wie Fancy Bear, Armada Collective und Lazarus Group aus, um ihren Forderungen noch mehr Nachdruck zu verleihen. Inwiefern tatsächlich Verbindungen zu diesen international tätigen Gruppierungen bestehen, ist oft nicht bekannt.

In den jüngst durchgeführten RDoS-Kampagnen auf deutsche Unternehmen setzten Cyberkriminelle bei der ersten Angriffswelle auf Reflection-Attacken mit rund 200 GBit/s. Waren die Opfer nicht bereit, den Lösegeldforderungen nachzukommen, folgte ein zweiter, weitaus stärkerer Angriff mit bis zu 1 TBit/s – gleichzeitig stiegen die Lösegeldforderungen kontinuierlich von anfangs 100.000 Euro in Bitcoin auf bis zu 400.000 Euro. Die Angriffe hielten an, bis die betroffene Firma die geforderte Summe überwiesen hatte.

Sonderfall Triple Extortion kombiniert DDoS mit Ransomware

Auch Kombinationen von verschiedenen Erpressungsmethoden werden immer geläufiger: Bei einer sogenannten Triple Extortion (engl. Dreifachen Erpressung) erbeuten Angreifer wertvolle Datensätze und verschlüsseln die Originale auf den Firmenservern mittels Ransomware. Sollte die betroffene Firma die geforderte Summe nicht zahlen, um wieder an ihre Daten zu gelangen, veröffentlichen die Erpresser sensible Informationen. Falls weiterhin keine Zahlung erfolgt, wird anschließend die Web-Infrastruktur des Unternehmens mit DDoS-Attacken ausgeschaltet. Auf diese Weise können Cyberkriminelle ihre Angriffe mehrfach nach oben eskalieren, um ein Maximum an Profit zu erzielen.

Erklärungsgrafik in welchen 3 Schichten DDoS Angriffe von Myra abgewährt werden

04

Wie lassen sich DDoS-Erpresser erfolgreich abwehren?

Die beschriebenen Angriffsmuster sind keineswegs neu, in den vergangenen Jahren verzeichnete Myra Security schon mehrfach vergleichbare Attacken und mitigierte diese erfolgreich. Dennoch sind selbst heute noch viele Unternehmen nicht ausreichend auf den Ernstfall vorbereitet. Ungeschützte Systeme brechen unter der Last einer volumetrischen DRDoS-Attacke unweigerlich zusammen.

Glücklicherweise verschafft das Angriffsszenario betroffenen Firmen genügend Zeit zum Handeln. Dadurch haben bedrohte Unternehmen die Möglichkeit, bei Bedarf kurzfristig die erforderlichen Schutzsysteme nachzurüsten. Als Cloud-basierte Lösung lässt sich der Myra DDoS Schutz auch im Angriffsfall in kürzester Zeit implementieren – ohne zusätzliche Software oder Hardware.

Schutzlösungen mit Abschreckeffekt

Einmal mit adäquatem Schutz ausgestattet, überstehen die digitalen Prozesse von Unternehmen auch Angriffe mit hoher Bandbreite ohne nennenswerte Ausfälle. Cyberkriminelle verlieren in solchen Situationen oft schon nach der ersten Attacke das Interesse am jeweiligen Ziel. Zu hoch fällt das Risiko aus, durch eine missglückte Attacke das dahinterliegende Angriffskonstrukt aus Botnetzen und korrumpierten Servern zu gefährden. Tech-Konzerne und Ermittlungsbehörden sind permanent auf der Jagd nach Cyberkriminellen und deren digitalen Angriffswerkzeugen.

05

DRDoS und RDoS: das müssen Sie wissen

Bei Angriffen mittels DRDoS missbrauchen Cyberkriminelle gängige Internetdienste und Protokolle, um DDoS-Attacken “über Bande” auf das Ziel zu leiten. Dadurch verschleiern die Angreifer den Ursprung der Attacke und verstärken diese meist noch um ein Vielfaches. Mit RDoS-Angriffen versuchen Cyberkriminelle ihre Attacken direkt über Lösegelderpressung zu monetarisieren. Dabei werden die Webdienste und Schnittstellen von Unternehmen in Geiselhaft genommen. Wer nicht bereit ist, die geforderten Summen zu zahlen, der muss mit heftigen Angriffen auf seine Webserver rechnen. Für die Abwehr von DRDoS und RDoS sind holistische Schutzkonzepte auf allen relevanten Layern erforderlich. Auf diese Weise lassen sich selbst Angriffe auf unterschiedlichen Netzwerkschichten zuverlässig abwehren. Die Security-as-a-Service-Plattform von Myra bietet einen solchen ganzheitlichen Schutz. Unsere Lösungen filtern bösartigen Traffic noch bevor dieser Ihre Infrastruktur erreicht. Erfahren Sie hier mehr über unsere DDoS-Schutzprodukte.

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich