Was kostet eine DDoS-Attacke

Inhalt

Ein Angriff des Typs Distributed Denial of Service (DDoS) ist eine der populärsten Waffen im Arsenal der Cybergangster. Die Motive hinter DDoS-Attacken können vielfältig sein – von Cyber-Vandalismus bis hin zur Erpressung. Es sind Fäle bekannt, in denen Verbrechergruppen ihren Opfern mit einer DDoS-Attacke drohten, wenn sie ihnen nicht 5 Bitcoin zahlten (das sind mehr als 5.000 US-Dollar). Häufig wird eine DDoS-Attacke durchgeführt, um das IT-Personal abzulenken, während ein anderes Cyberverbrechen begangen wird, wie etwa Datendiebstahl oder das Einschleusen von Schadsoftware.

Einer DDoS-Attacke zum Opfer fallen kann praktisch jeder: Die Organisation eines solchen Angriffs ist nicht teuer und recht einfach, die Effizienz ist allerdings – fehlt ein zuverlässiger Schutz – äußerst hoch. Auf der Grundlage einer Analyse von Daten, die wir aus offenen Quellen erhalten haben (beispielsweise aus Angeboten über die Organisation von DDoS-Attacken in Internetforen oder im Tor-Netzwerk), haben wir den aktuellen Preis für Dienstleistungen im Bereich DDoS-Attacken auf dem Schwarzmarkt ermitteln und zudem definieren können, was genau die Cyberkriminellen, deren Kerngeschäft DDoS-Attacken sind, ihren Kunden anbieten.

DDoS als Service

Die Bestellung von DDoS-Attacken läuft in der Regel über vollwertige Web-Services, so dass nicht die Notwendigkeit eines direkten Kontakts zwischen dem Kunden und den Angriffsorganisatoren besteht. In den allermeisten Fällen haben die Autoren der von uns gefundenen Angebote anstelle ihrer Kontaktdaten Links auf die entsprechenden Ressourcen hinterlassen. Mit ihrer Hilfe kann ein potentieller Kunde den Bezahlvorgang durchführen, einen Bericht über die durchgeführten Arbeiten erhalten und zusätzliche Dienstleistungen nutzen. Vom Wesen her unterscheidet sich ihre Funktionalität nur wenig von solchen Services, die legale Dienste anbieten.

Was kostet eine DDoS-Attacke

Eins von zahlreichen Beispielen für einen Webservice zur Bestellung von DDoS-Attacken, der eher an die Webseite eines IT-Startups erinnert als an die einer cyberkriminellen Organisation

Derartige Webservices stellen eine vollwertige Webanwendung dar, die es registrierten Kunden ermöglicht, ihre Bestellungen zu verwalten und das Budget für die Durchführung von DDoS-Attacken zu planen. In einigen Fällen haben die Entwickler ein Bonus- und Kreditsystem vorgesehen, wobei für jede mit Hilfe dieses Dienstes durchgeführte Attacke gewissermaßen Punkte gesammelt werden können. Mit anderen Worten entwickeln die Cyberkriminellen in diesem Bereich Programme zur Kundenbindung.

Was kostet eine DDoS-Attacke

Angebot in einem öffentlichen russischen Forum: Dienstleistungen zur Organisation von DDoS-Attacken ab 50 Dollar pro Tag

Einige der Dienste, die wir gefunden haben, veröffentlichen die Zahl der registrierten Nutzer sowie Angaben über die Anzahl der Attacken pro Tag. Die Menge der Registrierungen auf vielen Webservices zur Organisation von DDoS-Attacken beläuft sich auf zehntausende Accounts. Allerdings müssen diese Informationen nicht zwingend der Wahrheit entsprechen und werden möglicherweise von den Betreibern der Services nur deswegen veröffentlicht, um die Popularität der Ressource künstlich zu pushen.

Was kostet eine DDoS-Attacke

Statistik eines Services, die die Beliebtheit dieses Dienstes unter den Auftraggebern von DDoS-Attacken (479.270 umgesetzte Angriffe) demonstrieren soll

Was kostet eine DDoS-Attacke

Statistik eines Services, die die Popularität gewisser DDoS-Szenarien unter Beweis stellt

Was kostet eine DDoS-Attacke

Informationen über die Popularität eines Services zur Durchführung von DDoS-Attacken unter Cyberverbrechern

Preise für DDoS-Attacken

Die Besonderheiten von DDoS-Attacken, die die Organisatoren der Angriffe in der Beschreibung ihrer Dienstleistungen hervorheben, haben nicht nur Einfluss auf den Vorsprung dieses Dienstes vor seinen Konkurrenten, sondern auch auf die Wahl, die ein Auftraggeber zu Gunsten des einen oder anderen Services trifft:

  1. Das Angriffsobjekt und seine Charakteristika. Ein Verbrecher, der sich an die Umsetzung eines Angriffs auf eine Regierungsressource macht, wird um sich Auftraggeber versammeln, für die eine solche Dienstleistung von Interesse ist. Dementsprechend kann der Cybergangster für diesen Dienst auch mehr verlangen als für Angriffe auf einen Internet-Shop. Eine wichtige Rolle bei der Preisgestaltung für die Dienstleistungen kann auch das Vorhandensein von Lösungen zum Schutz vor DDoS-Attacken seitens des Opfers spielen: Wenn hier Systeme zum Filtern des Traffics verwendet werden, so sind die Verbrecher gezwungen, Methoden zur Umgehung dieser Technologien einzusetzen, damit ihre Attacke auch wirksam ist. Das wiederum bedeutet, dass der Preis steigt.

  2. Die Angriffsquellen und ihre Charakteristika. Dieser Faktor kann ebenfalls den Preis bestimmen, den ein Service für die Organisation von Attacken verlangt: Je günstiger einem Online-Verbrecher die Unterhaltung eines Botnets zu stehen kommt (was beispielsweise durch die durchschnittlichen Kosten für die Infektion eines Gerätes zu seinem Anschluss an das Botnetz definiert wird), desto größer ist die Wahrscheinlichkeit, dass der Verbrecher den Preis für seine Dienste senken kann. Ein Netz beispielsweise, das aus 1.000 Überwachungskameras besteht, kann hinsichtlich der Organisation billiger sein als ein aus 100 Servern bestehendes Botnet: Kameras und andere IoT-Geräte sind gegenwärtig weniger geschützt und ihre Besitzer ignorieren dieses Problem in der Regel.

  3. Die Angriffsszenarien. Die Nachfrage nach der Organisation einer „unkonventionellen“ DDoS-Attacke (wenn der Auftraggeber beispielsweise verlangt, dass der Betreiber des Botnets verschiedene DDoS-Angriffstypen innerhalb eines kurzen Zeitraums einander abwechseln lässt oder mehrere Methoden gleichzeitig umsetzt) kann den Preis in die Höhe treiben.

  4. Der Durchschnittspreis für DDoS-Dienstleistungen in einem bestimmten Land. Der Wettbewerb zwingt die Cyberkriminellen dazu, die Preise für ihre Dienstleistungen anzuheben oder zu senken. Darüber hinaus versuchen die Übeltäter, die Zahlungsfähigkeit ihrer Kundschaft zu berücksichtigen und ihre Politik entsprechend danach auszurichten (so ist das Angebot über die Organisation einer DDoS-Attacke für Auftraggeber in den USA teurer als ein entsprechendes Angebot in Russland).

Unter Berücksichtigung der Charakteristika ihres Botnets bieten die von uns entdeckten DDoS-Services ihren Kunden eine Preisstaffelung, bei der der Käufer sekundenweise die Leistungsstärke des Botnetzes mieten kann. So kosten den Kunden beispielsweise 300 Sekunden DDoS-Attacke unter Verwendung eines Botnetzes, dessen Gesamtkanalkapazität 125 Gigabyte pro Sekunde beträgt, 5 Euro. Dabei waren alle anderen Charakteristika (Leistungsstärke und Szenario) für alle Tarife gleich.

Was kostet eine DDoS-Attacke

Preisliste eines der größten Services zur Organisation von DDoS-Attacken

Eine DDoS-Attacke mit einer Dauer von 1.800 Sekunden kostet den Kunden ihrerseits 60 Dollar bzw. eine Attacke, deren Besonderheiten (also Angriffstyp oder zu verwendende Rechenressourcen) die Anbieter auf ihrer Ressource für erfahrene Kunden nicht immer genau definieren, kostet 20 Dollar pro Stunde. Offensichtlich halten es nicht alle Cyberverbrecher für angebracht, die Details ihres Botnetzes preiszugeben (und es ist durchaus möglich, dass gar nicht alle Botnetzbetreiber aufgrund ihrer Inkompetenz die technischen Charakteristika verstehen). Unter anderem sagen die Anbieter dieses illegalen Dienstes nichts über den Typ der Bots, aus dem das Zombienetz besteht.

Für den genannten Preis bieten die Verbrecher ihren Kunden recht triviale Angriffsarten:

  • SYN-flood;
  • UDP-flood;
  • NTP-amplification;
  • Multi-vector amplification (mehrere Amplification-Szenarien).

Was kostet eine DDoS-Attacke

Preisliste eines Services, bei dem man mit wenigen Klicks eine DDoS-Attacke auf eine beliebige Ressource kaufen kann und einen ausführlichen Bericht über die geleisteten Dienste erhält

Einige Services bieten auch die Auswahl eines konkreten Angriffstyps an, was es Cyberverbrechern ermöglicht, verschiedene Szenarien zu kombinieren und eine Attacke unter Berücksichtigung der individuellen Besonderheiten des Opfers durchzuführen. Wenn das Opfer beispielsweise erfolgreich mit Attacken des Typs SYN-flood fertig wird, kann der Angreifer den Angriffstyp in den Einstellungen ändern und die Reaktion des Opfers abwarten.

Was kostet eine DDoS-Attacke

Tarife eines englischsprachigen Services, der seine DDoS-Tarife nach Sekunden abrechnet

Unter den von uns analysierten Angeboten waren auch solche, in denen die Cyberkriminellen in Abhängigkeit vom Typ des Opfers den Preis für ihre Dienstleistungen berechnen.

Was kostet eine DDoS-Attacke

Auf einer russischsprachigen Seite gefundene Informationen, die ausschließlich einem Service zur Durchführung von DDoS-Attacken gewidmet ist

Die Cybergangster bieten beispielsweise einen Preis ab 400 Dollar für einen Angriff auf eine Website/einen Server, die/der Dienste zum Schutz vor DDoS in Anspruch nimmt das ist ein um 4 Mal höherer Preis als für eine Website ohne DDoS-Schutz.

Zudem lässt sich nicht jeder auf DDoS-Attacken spezialisierte Cyberkriminelle auf einen Angriff auf staatliche Ressourcen ein: Diese befinden sich unter Beobachtung von Strafverfolgungsbehörden und die Organisatoren der Attacken wollen ihre Botnetze nicht unnötig ins Rampenlicht rücken. Allerdings stießen wir auch auf Angebote, bei denen Angriffe auf staatliche Ressourcen in der Preisliste gesondert aufgeführt waren.

Was kostet eine DDoS-Attacke

„Der Preis kann sich ändern, wenn die Ressource politischen Status hat“, heißt es auf dieser Website, auf der die Organisation von DDoS-Attacken angeboten wird

Interessant ist, dass einige Verbrecher auch nicht davor zurückschrecken neben der Organisation von DDoS-Attacken auch den Schutz vor Angriffen dieser Art anzubieten.

Was kostet eine DDoS-Attacke

Unter den Dienstleistungen zur Organisation von DDoS-Attacken finden sich auch Dienstleistungen zum Schutz vor DDoS-Attacken

Preisbildungsbeispiel

Nehmen wir als Beispiel das Szenario eines „DDoS-Verstärkungsangriffs“ (DNS Amplification). Das Wesen dieser Attacke liegt darin, dass der Angreifer eine speziell aufbereitete Anfrage (mit einem Umfang von etwa 100 Byte) an einen verwundbaren DNS-Server sendet, und dieser antwortet dem „Absender“ (d.h. dem Opfer) mit einer großen Datenmenge (einem Kilobyte). Ein Botnetz kann aus Dutzenden und sogar hunderten solcher Server oder aus Ressourcen irgendeines öffentlichen Cloud-Serviceproviders bestehen. Fügt man dem noch öffentliche Load-Testing-Webdienste hinzu, mit Hilfe derer man einen Angriff des Typs „SaaS Amplification“ durchführen kann, so erhält man ein wirklich schweres Geschütz.

Was kostet eine DDoS-Attacke

DDoS = Cloud + DNS Amplification + SaaS Amplification

Dabei hängt der Preis für diesen Service von dem Preis der Ressourcen seitens des Providers ab. Nehmen wir als Beispiel Amazon EC2 — der Preis für diesen virtuell dezidierten Server minimaler Konfiguration (und für DDoS-Attacken ist nicht so sehr die Konfiguration der infizierten Workstation von Bedeutung als vielmehr die Kanalkapazität ihrer Verbindung) beträgt etwa 0,0065 Dollar pro Stunde. Dementsprechend kosten 50 virtuelle Server für die Organisation einer DDoS-Attacke von geringer Durchschlagskraft auf irgendeinen Online-Shop die Cyberkriminellen insgesamt 0,325 Dollar in der Stunde. Berücksichtigt man die zusätzlichen Ausgaben der Verbrecher (beispielsweise die Kosten für die Anschaffung einer SIM-Karte für die Registrierung eines Accounts und der Verbindung mit einer Kreditkarte), so kostet eine Stunde DDoS-Attacke unter Verwendung eines Cloud-Dienstes die Internetgangster in etwa vier Dollar.

Was kostet eine DDoS-Attacke

Was kostet eine DDoS-Attacke

Preisliste der verschiedenen Cloud-Service-Provider

Der „Selbstkostenpreis“ für eine Attacke unter Verwendung eines Cloud-Botnets bestehend aus 1.000 Workstations beträgt für den Ausführenden also um die 7 Dollar pro Stunde. Den Tarifstaffelungen der von uns gefundenen Services zufolge beträgt der durchschnittliche Angriffspreis für den Kunden 25 Dollar pro Stunde. Und das bedeutet wiederum, dass ein Cyberverbrecher, der eine DDoS-Attacke organisiert, ein Plus von 18 Dollar pro Angriffsstunde zu verzeichnen hat.

Fazit

Die Kunden der von uns untersuchten Services wissen sehr wohl um die Vorteile einer DDoS-Attacke und um deren Effizienz. Der Preis für einen fünf Minuten dauernden Angriff auf einen großen Online-Shop beträgt um die 5 Dollar. Das Opfer hat aber weitaus mehr zu verlieren, denn es verliert Kunden, die schlicht nicht in der Lage sind, ihre Bestellungen aufzugeben. Und man stelle sich einmal vor, wie viele Kunden ein angegriffener Internet-Store verliert, wenn die Attacke einen ganzen Tag andauert.

Gleichzeitig suchen Cyberverbrecher weiterhin aktiv nach neuen und günstigeren Mitteln und Wegen, Botnetze zu organisieren. Dabei ist ihnen das „Internet der Dinge“ eine große Hilfe. Ein aktueller Entwicklungstrend besteht in der Infektion von IoT-Geräten (Videoüberwachungskameras, „intelligente“ Haushaltsgeräte usw.) und ihrer anschließenden Ausnutzung in DDoS-Attacken. Und solange es angreifbare IoT-Geräte gibt, haben Übeltäter auch die Möglichkeit sie entgegen ihrer eigentlichen Bestimmung zu benutzen.

Außerdem sollte man bedenken, dass sich DDoS, und insbesondere DDoS-Erpressung, mittlerweile in ein Geschäft verwandelt hat, das sich einer stabilen und hohen Nachfrage erfreut: Die Rentabilität einer Attacke kann bei über 95 Prozent liegen. Und die Tatsache, dass die Betreiber von Online-Plattformen häufig bereit sind zu zahlen, ohne überhaupt überprüft zu haben, ob die Erpresser tatsächlich in der Lage sind, eine Attacke durchzuführen (eine Tatsache, die sich bereits Betrüger anderer Art zunutze machen), befeuert den Eifer der Angreifer nur noch zusätzlich. Alles oben Gesagte gibt Anlass zu der Prognose, dass der durchschnittliche Preis für die Organisation von DDoS-Attacken in nächster Zeit nur noch abnehmen wird und Angriffe dieser Art dafür umso häufiger werden.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.