Europol verlagert den Druck auf DDoS-Käufer

Die europäischen Strafverfolgungsbehörden haben eine neue Phase ihrer Kampagne gegen Distributed-Denial-of-Service-for-Hire-Operationen eingeleitet, indem sie über das Abschalten von Infrastruktur hinausgingen und angebliche Kunden direkt kontaktierten. Bei einer von Europol angekündigten koordinierten Aktion erklärten die Behörden, sie hätten Warn-E-Mails und Briefe an mehr als 75.000 Personen geschickt, die verdächtigt werden, für Dienste gezahlt zu haben, mit denen Websites offline geschaltet werden.

Die unter dem Namen PowerOFF durchgeführte Operation umfasste außerdem vier Festnahmen, 53 Domain-Beschlagnahmungen und 24 Durchsuchungsbeschlüsse. Die Größenordnung ist für sich genommen bedeutsam, doch die Methode ist womöglich das wichtigere Signal. Statt sich nur auf die Personen zu konzentrieren, die sogenannte Booter- oder Stresser-Dienste betreiben, nutzen Ermittler nun Daten aus beschlagnahmten Servern, um die registrierten Nutzer hinter diesen Angriffen zu identifizieren.

Damit ist die jüngste Durchsetzungsoffensive mehr als nur eine Aufräumaktion. Sie ist auch eine Abschreckungskampagne, die auf die Nachfrageseite der DDoS-Ökonomie abzielt, wo niedrige Einstiegshürden diese Dienste lange am Leben gehalten haben.

Warum DDoS-for-Hire-Dienste schwer auszurotten bleiben

DDoS-Angriffe sind nicht neu, bleiben aber attraktiv, weil sie vergleichsweise einfach auszulösen und oft hochgradig störend sind. Ein Kunde braucht keine fortgeschrittenen Einbruchsfähigkeiten, kein eigenes Botnet und kein tiefes technisches Wissen. Gegen eine Gebühr kann ein Dienst die Fähigkeit bieten, ein Ziel mit Traffic zu überfluten und Systeme so zu überlasten, dass eine Website, App oder ein Online-Dienst nicht mehr verfügbar ist.

Diese Bequemlichkeit hat dazu beigetragen, den Markt widerstandsfähig zu halten, obwohl die Strafverfolgung die Betreiber immer wieder zerschlagen hat. Europol erklärte, die jüngste Aktion sei möglich gewesen, weil Behörden Server im Zusammenhang mit den Diensten durchsucht und beschlagnahmt hätten, wodurch Ermittler Zugriff auf Unterlagen erhielten, mit denen sich Nutzer identifizieren ließen. Diese serverseitigen Beweise ermöglichten die ungewöhnlich große Kontaktaufnahme zu mutmaßlichen Kunden.

Die Taktik spiegelt eine praktische Wahrheit der Cybercrime-Bekämpfung wider: Infrastruktur lässt sich neu aufbauen, Domains können ersetzt werden, und Betreiber können unter neuen Marken wieder auftauchen. Wenn die Kundschaft diese Plattformen jedoch als unsicher wahrnimmt, wird das Geschäftsmodell schwerer aufrechtzuerhalten.

Photo illustration of Dario Amodei of Anthropic.
More in News

Anthropic reicht vertraulich ein, um den IPO-Prozess zu beginnen

Anthropic teilte mit, einen Entwurf der Registrierungsunterlage bei der US-Börsenaufsicht SEC eingereicht zu haben und damit den Weg für einen Börsengang einzuleiten.

Read article

Eine Botschaft, die den Preis beiläufigen Missbrauchs erhöhen soll

Die direkten Warnungen scheinen auf ein wichtiges Segment des DDoS-for-Hire-Marktes zugeschnitten zu sein: Menschen, die sich selbst womöglich nicht als Cyberkriminelle im herkömmlichen Sinne sehen. Diese Dienste wurden oft in Belästigungskampagnen, Vergeltungsaktionen, Streitigkeiten rund ums Gaming und eher niedrigschwelligen Störaktionen genutzt. Ihr Reiz beruhte stets teilweise auf Distanz. Der Käufer klickt, bezahlt und behandelt das Ergebnis, als handle es sich um ausgelagerte Unfugerei statt um eine nachvollziehbare Straftat.

Europols Schritt soll diese wahrgenommene Distanz verringern. Indem die Behörden mutmaßliche Nutzer einzeln kontaktieren, senden sie faktisch die Botschaft, dass die Beschlagnahmung einer Plattform nicht nur die Betreiber offenlegt. Sie kann auch die Kunden offenlegen.

Das ist wichtig, weil die Abschreckungswirkung über die 75.000 kontaktierten Personen hinausreichen könnte. Das breitere Publikum sind alle, die versucht sein könnten, einen kommerziellen DDoS-Dienst zu nutzen, weil er einfach, anonym und risikoarm wirkt. Die Aktion legt nahe, dass diese Annahmen zunehmend veraltet sind.

Der breitere Cybersicherheitskontext

Die Maßnahme erfolgt vor dem Hintergrund weiter wachsender DDoS-Volumina. Europols Mitteilung verwies auf eine Bedrohungskategorie, die weiterhin verbreitet ist, weil sie mit vergleichsweise wenig Aufwand sofortige Störungen verursachen kann. Der Druck auf Verteidiger ist weiter gestiegen. Im vergangenen Jahr sagte Cloudflare, man habe den nach eigenen Angaben größten DDoS-Angriff der bisherigen Aufzeichnung abgewehrt, mit einem Spitzenwert von 29,7 Terabit pro Sekunde.

Diese Zahl unterstreicht die Zweiteilung der DDoS-Landschaft. Auf der einen Seite stehen enorme Angriffe mit industriellen Traffic-Fluten. Auf der anderen Seite kommerzialisierte Dienste, die Angriffsfähigkeiten für deutlich weniger versierte Kunden zugänglich machen. Letztere erzeugen nicht immer Rekordvolumina, erweitern aber den Kreis der Personen, die Störung als Waffe einsetzen können.

Für Organisationen, die öffentlich zugängliche Infrastruktur verteidigen, bedeutet das: Die Bedrohung beschränkt sich nicht auf Eliteakteure. Sie umfasst auch einen Massenmarkt, der durch billige, paketierte Angriffsservices ermöglicht wird.

I put my smart TV setup behind a router-based VPN and never looked back - here's why
More in News

Die Nutzung von VPNs auf Smart-TVs entwickelt sich zu einem Thema der Heimnetzwerk-Sicherheit

Ein routerbasiertes VPN für Smart-TVs wird nicht nur als Mittel für Streaming-Zugriffe beworben, sondern auch als Weg, die Datenexposition über vernetzte Geräte im Haushalt zu verringern.

Read article

Teil einer längeren Kampagne

PowerOFF ist keine isolierte Aktion. FBI und andere Behörden haben in den vergangenen Jahren mehrere Operationen gegen DDoS-for-Hire-Dienste durchgeführt, und Europols jüngste Ankündigung fügt sich in dieses Muster anhaltenden grenzüberschreitenden Drucks ein. Die wiederkehrende Herausforderung besteht darin, dass diese Plattformen an der Schnittstelle von Standard-Hosting, Zahlungswegen, Wegwerf-Domains und einer Kundschaft liegen, die weltweit verteilt sein kann.

Deshalb bleibt internationale Koordination unverzichtbar. Ein Dienst kann in einem Land betrieben, in einem anderen gehostet, über anderswo registrierte Domains vermarktet und von Kunden in Dutzenden von Rechtsräumen genutzt werden. Eine fragmentierte Reaktion lässt zu viele Lücken. Die jüngste Aktion zeigt, dass die Behörden diese Lücken weiterhin durch gemeinsame Ermittlungen und synchronisierte Abschaltungen schließen.

Was die Operation verändert

Das bemerkenswerteste Ergebnis ist womöglich nicht die Zahl der Festnahmen oder der beschlagnahmten Domains, obwohl beides relevant ist. Es könnte der Präzedenzfall der groß angelegten Benachrichtigung sein. Infrastruktur zu beschlagnahmen ist störend. Identifizierte Nutzer zu warnen ist gleichzeitig eine psychologische, rechtliche und strategische Maßnahme.

  • Sie signalisiert mutmaßlichen Käufern, dass ihre Aktivitäten den Behörden womöglich bereits bekannt sind.
  • Sie erhöht das Reputations- und Rechtsrisiko, solche Dienste künftig zu nutzen.
  • Sie zeigt, dass Ermittlungen sich von Plattformbetreibern auf ganze Ökosysteme ausweiten.

Ob das die Nachfrage spürbar verringert, bleibt abzuwarten. Cybercrime-Märkte haben eine lange Anpassungsgeschichte. Doch die Operation zeigt, dass sich auch die Strafverfolgung anpasst und die aus Beschlagnahmungen gewonnenen Erkenntnisse nicht nur nutzt, um Organisatoren zu verfolgen, sondern auch das Vertrauen der Kunden zu untergraben, das den Markt am Laufen hält.

Für Unternehmen, Institutionen und Online-Plattformen, die weiterhin mit disruptiven Traffic-Fluten konfrontiert sind, ist dieser Wandel bemerkenswert. Der Kampf gegen DDoS-Missbrauch geht längst nicht mehr nur darum, Dienste offline zu nehmen. Es geht zunehmend darum, potenzielle Kunden davon zu überzeugen, dass das Bestellen eines Angriffs weder privat noch folgenlos ist.

Dieser Artikel basiert auf einer Berichterstattung von TechCrunch. Den Originalartikel lesen.

NVIDIA
More in News

NVIDIA stellt RTX Spark vor, um AI-PCs unter Windows weiter voranzutreiben

NVIDIA hat RTX Spark vorgestellt, einen auf Arm basierenden Windows-PC-Chip, der laut dem Unternehmen bis zu 1 Petaflop an KI-Leistung für Laptops und kompakte Desktop-Rechner liefern kann.

Read article

Originally published on techcrunch.com