Der faulste Hack der Welt oder: Verdiene 100.000 Euro mit diesem komischen Trick

„Das ist kein Witz!“ — Oder doch?

|
27 April 2016, 11:58am

Bild: Screenshot Cloudflare

Knapp bei Kasse? Kriminelle Energie vorhanden, aber keine Ahnung, wie man Ransomware programmiert? Macht nichts: Eine mysteriöse Gruppe scheint einen praktischen und fast aufwandslosen Weg gefunden zu haben, das eigene Konto nachhaltig aufzubessern.

Seit knapp sechs Wochen verschickt ein „Armada Collective" fordernde E-Mails an verschiedene Unternehmen und versucht, damit Bitcoin zu erpressen. Die Nachricht richte sich an „WICHTIGE MENSCHEN UND ENTSCHEIDUNGSTRÄGER IN DER FIRMA ", wie die Erpresser gleich einleitend losbrüllen. In leicht holprigem Englisch wird eine handfeste Drohkulisse aufgebaut: Geld her, oder wir DDoSen euch in Grund und Boden!

Wer nicht zahlt, so die Absender, soll seinen Servern schon mal leise Servus sagen: Die dann folgenden Angriffe auf's Opfer-Netzwerk wären „sehr mächtig", „manchmal über ein 1 Tbps per second". Als Schutzgeld gegen die Angriffe verlangt die Gang einen Betrag zwischen zehn und 50 Bitcoin, was nach heutigem Wechselkurs einem Betrag zwischen rund 4.000 und 20.000 Euro entspricht. Als kleine Entscheidungshilfe wird auch noch ein bisschen zeitlicher Druck ausgeübt: Wer zögere, für den erhöhe sich der Betrag jeden Tag beträchtlich, um die schrecklichen Angriffe wieder zu stoppen.

Über die ungewöhnliche Erpressungsattacke berichtet der Netzwerk-Dienstleister Cloudflare, der einen kostenpflichtigen DDoS-Schutz anbietet. Über 100 Kunden sollen die Erpresser-Mail erhalten haben.

Obwohl die Nachricht etwas widersprüchlich formuliert ist („überweist uns das Geld, dann wissen wir, dass ihr gezahlt habt" vs. „Bitcoin ist total anonym und keiner wird wissen, dass ihr kooperiert habt"), scheint dieses Vorgehen der Erpresser maximal effektiv zu sein. Denn es gab gar keinen Angriff; zumindest keinen, von dem Cloudflare oder irgendeiner ihrer Kollegen, die DDoS-Schutz verkaufen, wüssten.

„Wir haben mit anderen Verkäufern von DDoS-Schutztools gesprochen und keiner konnte von irgendwelchen Attacken seit März berichten, die von einer Gruppe namens ‚Armada Collective' ausgingen", schreibt Cloudflare in einem Blogpost. Auch Angriffe in der behaupteten Stärke habe es noch nie gegeben.

Leider scheinen sich trotzdem viele Opfer von der Nachricht einschüchtern zu lassen und zahlen bereitwillig. Cloudflare berichtete, dass mindestens 100.000 US-Dollar in Bitcoin auf das Konto der „Armada" eingegangen seien. Das will der externe Dienstleister Chainanalysis herausgefunden haben. Sollte das stimmen, könnte das wohl als die faulste Art in die Geschichte eingehen, mit der man online an Geld kommen kann—allein durch die bloße Erwähnung einer Hacking-Attacke.

Natürlich sind nicht alle DDoS-Ankündigungen leere Drohungen. Eine Gruppe unter dem Namen Armada Collective ist schon früher in Erscheinung getreten und hat ihre DDoS-Attacken gegen Unternehmen auch durchgezogen, um Bitcoin zu erpressen. Das frühere „Armada Collctive" war auch unter dem Namen DD4BC bekannt—DDoS for Bitcoin. Es wird jedoch vermutet, dass die Hacker im Januar 2016 im Rahmen der Europol-Operation Pleiades festgenommen wurden und deren hauptsächlich für die Attacken verantwortlichen Mitglieder seitdem in verschiedenen europäischen Gefängnissen sitzen.

Diese berüchtigten Taten in der Vergangenheit wollte die aktuelle Fake-Gruppe wohl ausnutzen: Klickt man auf einen Link in der Droh-Mail, googelt ein Skript den Namen „Armada Collectiv". Dummerweise finden sich in den Suchergebnisleisten aber nun vor allem Artikel, die von den leeren Drohungen seit Anfang April berichten.

„Wir teilen gerne jederzeit unsere Sicht aus der Perspektive von vier Millionen Kunden, denen wir jeden Tag helfen, von echten Cyberattacken verschont zu bleiben", schreibt Cloudflare zum Schluss etwas scheinheilig—denn bei dem mysteriösen Unternehmen ist nie ganz klar, auf welcher Seite sie eigentlich stehen. Kriminelle Hacker, die selbst Angriffe durchführen, nutzen die Dienste von Cloudflare ebenso wie Boards, auf denen illegale Waren gehandelt werden. Die Firma ist daher vielen Ermittlern ein Dorn im Auge.

Doch auch die angebliche „Analyse" von Chainanalysis darf angezweifelt werden. Sucht man nämlich nach Phrasierungen der E-Mail auf Google, erhält man aus anderen Sicherheitsforen schnell eine eindeutige Bitcoin-Adresse aus dem Drohbrief, welche Cloudflare in seinem Post herausredigiert hatte. Da alle Transaktionen auf der Blockchain öffentlich einsehbar sind, braucht es nur wenige Sekunden, um die angeblichen Zahlungseingänge selbst zu überprüfen und festzustellen, dass dort nicht viel los ist (gelistet sind nur zwei Transaktionen mit Kleinstbeträgen).

Trotzdem: Mehr als eine Bitcoin-Adresse, etwas Kreativität an der Feststelltaste und ein anonymes E-Mail-Konto braucht es heutzutage in der ganzen Aufregung zwischen Ransomware und täglichen Datenlecks nicht, um etwas Panik zu schüren und möglicherweise eine stattliche Summe Geld umzuverteilen.