14.06.2017

Seit gestern werden weltweit E-Mails mit einem Erpressungsversuch und einer angedrohten Denial of Service-Attacke verschickt. Diese E-Mails stammen von einer Gruppe, die sich HACKER TEAM - Meridian Collective nennt und ging auch an zahlreiche DFN-Mitgliedseinrichtungen. Verwendet werden dabei unterschiedliche Absender- und IP-Adressen.

Der Text dieser E-Mails:

PLEASE FORWARD THIS EMAIL TO SOMEONE IN YOUR COMPANY WHO IS ALLOWED TO MAKE IMPORTANT DECISIONS!
We are the Meridian Collective and we have chosen your website/network as target for our next DDoS attack.
1 - We checked your security system. The system works is very bad
2 - On Friday 16_06_2017_8:00p.m. GMT !!! We begin to attack your network servers and computers
3 - We will produce a powerful DDoS attack - up to 300 Gbps
4 - Your servers will be hacking the database is damaged
5 - All data will be encrypted on computers Crypto-Ransomware
4 - You can stop the attack beginning, if payment 1 bitcoin to bitcoin ADDRESS: 1HgGf2BCRkBmJNy13oWPo267bq7Lp17Djr
5 - Do you have time to pay. If you do not pay before the attack 1 bitcoin the price will increase to 5 bitcoins
6 - After payment we will advice how to fix bugs in your system
Please send the bitcoin to the following Bitcoin address:
1HgGf2BCRkBmJNy13oWPo267bq7Lp17Djr
Once you have paid we will automatically get informed that it was your payment.
How do I get Bitcoins?
You can easily buy bitcoins via several websites or even offline from a Bitcoin-ATM. We suggest you to start with localbitcoins.com or do a google search.
What if I don’t pay? If you decide not to pay, we will start the attack at the indicated date and uphold it until you do, there’s no counter measure to this, you
will only end up wasting more money trying to find a solution. We will completely destroy your reputation amongst google and your customers and make
sure your website will remain offline until you pay. This is not a hoax, do not reply to this email, don’t try to reason or negotiate, we will not read any
replies. Once you have paid we won’t start the attack and you will never hear from us again! Please note that Bitcoin is anonymous and no
one will find out that you have complied.

Es kann davon ausgegangen werden, dass - wie in der Vergangenheit - diesen Drohungen keinerlei tatsächliche Angriffe folgen werden. Den Forderungen sollte daher nicht nachgekommen werden.

Falls in Ihrer Einrichtung ähnliche Nachrichten eingingen, informieren Sie uns bitte per E-Mail an cert@dfn-cert.de, damit wir ein entsprechendes Lagebild erstellen und Sie direkt auf dem Laufenden halten können.

Update: Bislang wurden weltweit lediglich vier Bitcoin-Adressen beobachtet:

  • 14fKPXrkBdjUJZ9HPTXL45u3SmzERxQvox
  • 1C6nKRo72UYxhVz7ejwHNS4pBuSbfoe1Q7
  • 1HgGf2BCRkBmJNy13oWPo267bq7Lp17Djr
  • 1Kj69yhhWpJaWo9s3MZW6ZztcCjeeakdFW

2. Update: mittlerweile hat die "Tätergruppierung" den E-Mail-Text etwas umformuliert und nennt sich Xball collective bzw. Team Xball. Es kann davon ausgegangen werden, dass es sich um dieselben Personen handelt. Lediglich weitere Bitcoin-Adressen wurden diesbezüglich beobachtet:

  • 1BFhKbC84rKrUFsbtDpWJvBY3H7SkvXnyv
  • 1DbFdxqPcCU6rhqvdZVcsAhYX5iGqAjni9
  • 1Fc3ZoKPm5V2BDFxhQBxQRXyGD54owwSJi
  • 1KZsSR36jpHFx7DBEHr8gLMLPuZKQyKYkC
  • 1MDt7e73kY1u6YqCHrb4Zor6yP6hPvNKDb
  • 1PgjhU1Z1NzLUWyLxvZYpTWPaVKWWqT9eb

3. Update: Team Xball tritt jetzt auch unter dem Namen Collective of Amadeus mit identischen Bitcoin-Adressen auf. Angriffe nach abgelaufenen Ultimaten sind nicht bekannt. Uns liegt eine Meldung zu einer weiteren Bitcoin-Adresse vor (Team Xball):

  • 13qRaMncErReXzVBkbs6WsMJaW1iZqDu15

4. Update: Jetzt nennen sich die Trittbrettfahrer collective of Mefistof und verwenden weiterhin identische Bitcoin-Adressen:

  • 13qRaMncErReXzVBkbs6WsMJaW1iZqDu15

5. Update: Die Polizei Niedersachen hat ein identische Welle beobachtet, berichtet jedoch über den Namen collective of AWN-Rans. Ferner wurden wenige weitere Bitcoin-Adressen beobachtet:

  • 1Cw3BpYdLymgqZQj1NNaDbX8jPVbj4QM2e
  • 15sT9PaqautokcmSFbRCToLWeX7SAR2rww
  • 1EwFmKmmyJEWEqiD7ijP7BfBkmWGP9RnCj
  • 1GpZUS5wBr99fmEK9EH1aUizyYq41ZS1Wm
  • 1J1vegv1cJLr6affiRRo6k2tovRbdtq1iD
  • 16KrZEhHEEL6RSrXviAF6nnGMkuYYAAQQ5
  • 1EQM4hdgyvJjzUqum8NEBTMZu6MeitV6mD

Nach wie vor sind keinerlei Angriffe nach abgelaufenen Ultimaten bekannt.

Wir weisen ferner an dieser Stelle noch einmal auf unseren DoS-Basisschutz hin, den Teilnehmer am Dienst DFNInternet ohne zusätzliches Entgelt in Anspruch nehmen können - eine Beschreibung dieses Dienstes findet sich in den DFN Mitteilungen.