Verschlüsselter E-Mail-Provider Protonmail Ziel eines DDOS-Angriffs

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
Der schweizer Anbieter eines verschlüsselten E-Mail-Dienstes wurde Opfer eines DDOS-Angriffes. Nach eigenen Angaben wurden Protonmail dabei bis zu 100 GB/s Daten gesendet, welche den Server unerreichbar machten.
Am 3. November gab es den ersten Angriff, als Folge auf eine Erpressungsmail in der Erpresser eine Summe von 15 Bitcoins (~6.000€) forderte. Einen Tag später gab es dann Angriffe gegen die Server und auch den ISP, inklusive dessen Routern in verschiedenen Standorten in Europa.
Dabei soll es in zwei Wellen abgelaufen sein, was nach Protonmail dafür spricht, dass es zwei Angreifer gab. Die erste Welle richtete sich nur gegen IP-Adressen von Protonmail, während die zweite Welle insbesondere Schwachstellen ausnutze und somit eher einem Nationalstaat zuzuschreiben sind.
Da der Angriff die komplette Infrastruktur des ISPs von Protonmail lahm legte, waren auch hunderte andere Kunden des ISPs betroffen. Unter anderem durch Forderungen dieser Firmen fühlte sich ProtonMail gedrungen das Lösegeld zu zahlen. Doch nach der Zahlung gingen die Angriffe weiter und Protonmail bestätigt jetzt eindringlich, dass sie eine solche Lösegeldforderung nie mehr zahlen werden.
Protonmail hat Ermittlungen bei Schweizer Behörden und Europol eingeleitet. Außerdem haben sie eine Spendenaktion gestartet um in Zukunft eine "ausgefeiltere" Lösung zum DDOS-Schutz einzurichten, welche auch "große Firmen wie Twitter, Facebook, etc." nutzen und welche nach eigenen Angaben über 100.000€ pro Jahr kosten kann. Protonmail könnte heute - am 07.11. - wieder online kommen, wie die Firma auf Ihrer Twitter-Seite beschreibt.
Wie Heise Security und Golem berichten, war auch auch der norwegischer E-Mail-Anbieter Runbox betroffen.
 

rugk

Moderator
Mitarbeiter
Beiträge
1.013
Ort
Deutschland
Protonmail konnte die Angriffe nun durch Hilfe von zwei Firmen, bei denen sie sich in einem Blog-Eintrag bedanken. Außerdem haben Sie noch einmal die zwei Attacken differenziert:
  • Der erste Angriff kam von Armada Collective, eine Hackergruppe, welche auch für andere DDOS-Angriffe in der Schweiz verantwortlich war in letzter Zeit. Diese hatten die Lösegeldforderung gestellt.
  • Ein bisher unidentifizierter Angreifer, welcher sehr viel ausgefeiltere Techniken hatte und somit wohl eher einem Staaten zuzuschreiben ist. Dieser nahm zu keinen Zeitpunkt Kontakt mit Protonmail auf und hat wohl nur den günstigen Zeitpunkt eines anderen Angriffs ausgenutzt, um zu verhindern, dass dieser Angriff als ein anderer erkannt wird.
Protonmail wird außerdem die Daten des Angriffs mit weiteren Experten analysieren und in Zukunft weitere Informationen veröffentlichen.
 

Top