Gegenwärtig läuft eine Spamwelle durch Netz, mit der versucht wird, Webseitenbetreiber zu erpressen. Unbekannte drohen, einen massiven DDoS Angriff auf die Domain zu starten, wenn kein Schutzgeld bezahlt wird.
Experten halten diese Drohmails, die angeblich im Namen einer existierenden Hackergruppe geschickt werden, für Fakes.
In den englischsprachigen Mails wie der im folgenden abgebildeten, heißt es, man möge 0,2 Bitcoins an eine bestimmte Adresse überweisen, um einer DDoS-Attacke zu entgehen.
Diese würde zur Beeinträchtigung der Verfügbarkeit der Dienste auf dem Server führen. Die Mails werden von irgendwelchen (gehackten) Mailservern versendet und beinhalten die Aussage
We are Phantom Squad
Date: Tuesday 2017-09-19 at 18:04 UTC Subject: DDoS Warning From: <uid101080@xxxxxxxxxxxxxx.xx.> Message-Id: <1505844251.xxxxxxxxxx@xxxxxxxxxx> Hello, [removed] FORWARD THIS MAIL TO WHOEVER IS IMPORTANT IN YOUR COMPANY AND CAN MAKE DECISION! We are Phantom Squad Your network will be DDoS-ed starting Sept 30st 2017 if you don't pay protection fee - 0.2 Bitcoin @ [removed]. If you don't pay by Sept 30st 2017, attack will start, yours service going down permanently price to stop will increase to 20 BTC and will go up 10 BTC for every day of attack. This is not a joke.
Die Sicherheitsfirma Link11 berichtet über diese Mails und ordnet sie als Spam ein. Dieser Auffassung schließt sich das CERT an (Computer Emergency Response Team der Bundesverwaltung).
Alleged #phantomsquad group spreads #DDoS extortion mails around the globe. All attacks ?☠️ announced on 30.09.2017, rather unlikely. https://t.co/dK8HTH9TZp
— CERT-Bund (@certbund) 27. September 2017
Es gibt eine Phantom Squad. Diese ist bisher nur in Zusammenhang mit Angriffen auf Spielenetzwerke aufgefallen, zum Beispiel auf Steam im November 2016.
Die Mails ähneln sich, die gesetzte Frist und die Bitcoin-Adresse ändern sich jedoch von Welle zu Welle.
Gelegentlich wird die Drohung auch etwas verschärft ausgesprochen. Man droht mit 1 Tbps. Außerdem brauche man gar nicht zurückschreiben, Antwort käme eh nicht. Einfach zahlen reiche schon, man wisse dann schon, von wem die Zahlung stammt. Es wird auch keiner erfahren, dass man kooperiert hat.
Auffallend ist, dass die Mail die Domain oder das Netzwerk nicht spezifiziert, das angegriffen werden soll. Zudem wird die Mail an allgemeine Info- oder Supportaccounts geschickt, also ohne jede Individualisierung. Das deutet darauf hin, dass es sich um massenhaft versendete Mails handelt.
Das Vorgehen, so die Einschätzung von Link11, erinnert an ähnliche leere Drohungen vom Juni 2017 gegen verschiedene, auch deutsche Unternehmen.