Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Free

Cyberkriminalität : Europol demontiert 27 DDoS-Angriffsplattformen in 15 Ländern

Eine weltweite Aktion der Strafverfolgungsbehörden hat 27 sogenannte „Stresser-Dienste“ ausgehoben, die für großangelegte DDoS-Angriffe genutzt wurden. Im Rahmen der mehrjährigen Operation „PowerOFF“ wurden nicht nur die Dienste vom Netz genommen, sondern auch einige Admins und andere beteiligte Akteure verhaftet.

Lesezeit 2 Min.

Bei einer von Europol koordinierten Aktion, an der 15 Länder beteiligt waren, wurden mehrere sogenannte Booter- und Stresser-Websites, wie zdstresser.net, orbitalstress.net und starkstresser.net, zerschlagen. Diese Dienste ermöglichen es Kriminellen, mithilfe von Botnet-Malware, die auf gehackten Geräten installiert ist, gezielte Angriffe für zahlende Kunden auszuführen. „Diese als ‚Booter‘ und ‚Stresser‘ bekannten Websites erlaubten es Cyberkriminellen und Hacktivisten, ihre Ziele mit massiven Datenmengen zu überfluten und Websites oder Onlinedienste lahmzulegen“, so Europol.

Die Hintergründe solcher Angriffe sind vielfältig und reichen von wirtschaftlicher Sabotage und finanziellen Interessen bis hin zu ideologischen Zielen, wie sie beispielsweise von Gruppen wie KillNet oder Anonymous Sudan verfolgt werden.

Auch zahlreiche Personen wurden im Zuge der Aktion dingfest gemacht

Im Rahmen der Operation wurden drei Administratoren dieser Plattformen in Frankreich und Deutschland verhaftet. Zudem konnten über 300 Nutzer identifiziert werden, die Angriffe geplant hatten.

In einer gemeinsamen Mitteilung gab die niederländische Polizei bekannt, dass sie gegen vier Verdächtige im Alter von 22 bis 26 Jahren aus Rijen, Voorhout, Lelystad und Barneveld ein Strafverfahren eingeleitet hat. Die Beschuldigten sollen für Hunderte DDoS-Angriffe verantwortlich sein.

Das US-Justizministerium hat außerdem zwei Personen angeklagt: Ricardo Cesar Colli, auch bekannt als „TotemanGames“, 22 Jahre alt und aus Brasilien, sowie eine bisher nicht namentlich genannte Person. Beide sollen einige der Plattformen für Computerangriffe betrieben haben.

„In den letzten Jahren sind Booter-Dienste immer populärer geworden, da sie es Nutzern mit wenig technischem Wissen ermöglichen, sich an Cyberangriffen zu beteiligen“, erklärt das US-Justizministerium. „Diese Angriffe werden als DDoS bezeichnet, weil sie das Ziel dazu bringen, aus dem Internet ‚ausgestoßen‘ oder vom Netz getrennt zu werden.“

An der internationalen Operation PowerOFF waren insgesamt 15 Länder beteiligt, darunter Australien, Brasilien, Kanada, Finnland, Frankreich, Deutschland, Japan, Lettland, die Niederlande, Polen, Portugal, Schweden, Rumänien, das Vereinigte Königreich und die Vereinigten Staaten.

Ähnliche Entwicklungen in jüngster Zeit

Die Entwicklungen folgen einer Ankündigung der deutschen Strafverfolgungsbehörden vor etwas mehr als einem Monat, dass sie einen kriminellen Dienst namens dstat[.]cc stillgelegt haben. Dieser Dienst ermöglichte es Kriminellen, verteilte Denial-of-Service-Angriffe (DDoS) durchzuführen.

Kürzlich meldete das Webinfrastruktur- und Sicherheitsunternehmen Cloudflare, dass Einkaufs- und Einzelhandelswebsites in den Vereinigten Staaten, die von Cloudflare geschützt werden, rund um den Black Friday und Cyber Monday einen deutlichen Anstieg von DDoS-Aktivitäten verzeichneten.

Cloudflare gab zudem an, dass im Jahr 2024 etwa 6,5 Prozent des weltweiten Datenverkehrs von seinen Systemen als potenziell schädlich blockiert wurden. Unternehmen der Glücksspiel- und Gaming-Branche waren dabei am stärksten von Angriffen betroffen, gefolgt von den Branchen Finanzen, Digital Native, Gesellschaft und Telekommunikation.

Fatale Verbindung: WAF plus CDN

Die Ergebnisse basieren auch auf der Entdeckung eines weitverbreiteten Konfigurationsfehlers in Unternehmensumgebungen, die eine Web Application Firewall (WAF) auf Basis eines Content Delivery Networks (CDN) einsetzen. Dieser Fehler kann es Angreifern ermöglichen, die Sicherheitsvorkehrungen vor Webressourcen zu umgehen und DDoS-Angriffe durchzuführen. Diese Methode ist unter dem Namen „Breaking WAF“ bekannt.

„Das Problem entsteht, weil moderne WAF-Anbieter oft gleichzeitig auch als CDN-Dienste fungieren, die für die Zuverlässigkeit des Netzwerks und das Caching von Webanwendungen verantwortlich sind“, so Zafran-Experten. „Diese doppelte Funktion führt zu einem weitverbreiteten blinden Fleck in der Architektur von CDN/WAF-Diensten.“

Um das Risiko solcher Angriffe zu verringern, wird Unternehmen empfohlen, den Zugriff auf ihre Webanwendungen zu sichern. Dazu können Maßnahmen wie die Nutzung von IP-Zulassungslisten, die Authentifizierung über HTTP-Header und der Einsatz von gegenseitig authentifiziertem TLS (mTLS) beitragen.

Diesen Beitrag teilen: