Erpresserische DDoS-Angriffe auf mailbox.org

Seit einigen Wochen finden weltweit verstärkt Denial-of-Service-Attacken gegen E-Mail-Anbieter statt, die in den letzten Tagen eine besondere Intensität erreichten. Also Angriffe, die das Ziel verfolgen, die betroffenen Anbieter lahmzulegen. – Vergangenen Donnerstag Abend und kurzzeitig auch am Freitag Nachmittag wurde eine Denial-of-Service-Attacke gegen mailbox.org versucht. Zeitgleich erhielten wir per E-Mail die Aufforderung der Erpresser, ein Lösegeld in Bitcoin zu zahlen. Dem werden wir nicht nachkommen.

Da wir mit weiteren Angriffen in den kommenden Tagen rechnen, informieren wir Sie in diesem Blogartikel über die Hintergründe und möglichen Auswirkungen. Außerdem bitten wir um Ihr Verständnis, sollte es in den nächsten Tagen zu Störungen kommen.

Bitte beachten Sie:

  • Sollten wir nicht wie gewohnt erreichbar sein oder der Abruf Ihrer E-Mails nicht möglich sein, probieren Sie es bitte zu einem späteren Zeitpunkt erneut.
  • Bitte stellen Sie in diesem Fall keine Anfragen zur Nichterreichbarkeit an unseren Support. Wir tun alles, um möglichst schnell wieder wie gewohnt für Sie da zu sein.
  • E-Mails, die an Sie gesendet werden, gehen zu keinem Zeitpunkt verloren, sondern werden ggf. nur später zugestellt.
  • Bei Beeinträchtigungen informieren wir Sie über unseren Twitter-Kanal. Bitte schauen Sie ggf. auch dort nach, sollte etwas nicht rund laufen.

 

Mehr zu den Hintergründen:

DDoS-Angriffe sollen das Ziel lahmlegen, egal wie

Bei einer Distributed Denial-of-Service-Attacke (DDoS) steuern Erpresser eine große Anzahl vireninfizierter Computer und veranlassen diese, zeitgleich eine große Datenmenge an das angegriffene Ziel zu senden, um dieses zu überlasten. In unserem Falle handelte es sich um einen Angriff der größeren Kategorie. Wir konnten rund 147.000 verschiedene Ursprungs-PCs zählen, die für die Attacke missbraucht wurden und die zusammen rund 290 Millionen Datenpakete pro Sekunde an uns sendeten. Das Ganze ist vergleichbar mit 147.000 Menschen, die zeitgleich im Sekundentakt eine bestimmte Telefonnummer anrufen, um ein Telefonnetz einer Stadt, eines Unternehmens oder einer Behörde strukturell lahmzulegen.

Die durch DDoS-Angriffe erzeugten Datenmengen sind oft sinnlos und ohne Inhalt, sollen aber allein durch ihre schiere Menge Leitungswege überlasten oder Firewalls und Server überfordern, so dass legitimer Datenverkehr der Kunden nicht mehr durchkommt. Weil die Angreifer dabei aber zu keiner Zeit Zugriff auf das angegriffene Netzwerk haben, ist die Sicherheit der Kundendaten auch zu keinem Zeitpunkt gefährdet.

Gegen derartige Überlastungs-Angriffe kann man sich zunächst kaum schützen, man kann nur versuchen eine Infrastruktur aufzubauen, die gegenüber diesen Angriffen möglichst robust und überdurchschnittlich leistungsfähig ist und darum wenig oder kaum beeinträchtigt wird. 100%igen Schutz gibt es nie – am Ende geht es immer um ein Kräftemessen, welche Seite mehr Last erzeugen bzw. mehr Last ohne Auswirkungen ertragen kann. Der Stärkere gewinnt.

mailbox.org ist auf DDoS-Angriffe vorbereitet

Wir von mailbox.org haben immer wieder kleine, von Kunden unbemerkte, DDoS-Angriffe gegen uns beobachtet und auch mit größeren, gezielten DDoS-Angriffen gerechnet. Dementsprechend haben wir in den letzten Jahren unsere Hausaufgaben gemacht und viel in eine robuste und darauf ausgelegte Infrastruktur investiert. Dazu gehört beispielsweise, dass wir unsere Server in zwei Rechenzentren parallel betreiben und auf vier verschiedenen Wegen Daten mit anderen Providern austauschen. Auch ist unsere Netzwerk-Infrastruktur deutlich leistungsfähiger ausgelegt, als wir das für unseren Normalbetrieb eigentlich benötigen würden.

Darüber hinaus haben wir mit MyraSecurity ein auf den Schutz vor DDoS-Angriffen spezialisiertes (deutsches) Unternehmen als Partner unter Vertrag, das eine extrem leistungsfähige und auf das Wegfiltern von DDoS-Datenverkehr spezialisierte Infrastruktur unterhält. Gleich einem großen Schutzschild oder immensen Wellenbrecher an einer Hafeneinfahrt, säubern diese Unternehmen möglichst viel des DDoS-Datenverkehrs, um dem Angegriffenen einen möglichst reduzierten und normalen Datenverkehr weiterleiten zu können. Im Normalfall haben Anbieter von DDoS-Schutzmechanismen einen ruhigen Job. Erst wenn ein Angriff festgestellt wird, ändern unsere Systeme von mailbox.org automatisiert unsere Datenleitungen und Verkehrswege, so dass der DDoS-Schutzanbieter für die Dauer des Angriffs vor uns geschaltet wird.

Wir möchten an dieser Stelle betonen: MyraSecurity erhält in unserem Setup keinen Einblick in den (verschlüsselten) Datenverkehr. Die DDoS-Schutzmaßnahmen können rein auf Basis von Äußerlichkeiten der Datenpakete stattfinden, anhand derer die DDoS-Schutzanbieter bestimmen, was sie blocken und was sie durchleiten sollten.

Erster Angriff am vergangenen Donnerstag

Theorie und Praxis: Ob man an alles gedacht hat, zeigt sich immer erst im Ernstfall. Vergangenen Donnerstag konnten wir den ersten großen DDoS-Angriff nach ein paar Anlaufschwierigkeiten gut parieren. In den ersten Minuten kam es zwar noch zu größeren Störungen oder Beeinträchtigungen, die jeweiligen Ursachen konnten wir jedoch schnell abschalten, unsere Infrastruktur anpassen und so dauerhaft verbessern.

Nach rund 30 bis 60 Minuten waren, trotz des andauernden Angriffs, kaum Auswirkungen für unsere Nutzer zu spüren. Einige Webseiten reagierten noch etwas träge, aber auch dies konnten wir durch Konfigurationsanpassungen lösen. Gegen 22 Uhr wurde der Angriff gegen uns eingestellt, nachdem dieser schon länger kaum mehr Auswirkungen für unsere Nutzer zeigte. – Unter dem Strich waren wir mit dem gesamten Verlauf und unserer Abwehr sehr zufrieden und sind gestärkt und verbessert aus der Situation herausgegangen.

Der zweite Angriff am Freitag

Am Freitag (22. Oktober) haben wir das Geschehene im Team analysiert und weitere Verbesserungen umgesetzt. – Just in der Sekunde, wo wir im Zuge von Umbaumaßnahmen einen Teil der Firewall-Verbesserungen noch einmal zur Überarbeitung kurzzeitig abgeschaltet hatten, kam es gegen 16 Uhr zu einem weiteren kurzen DDoS-Angriff gegen uns. – Das nennt man wohl Pech. Wir konnten den Angriff zwar durch die Re-Aktivierung unserer Einstellung binnen Minuten parieren; in der Folge des sinnlosen Datenverkehrs ist jedoch ein interner Loadbalancer so merkwürdig abgestürzt, dass auch sein Ersatz-Partner den Betrieb nicht automatisiert übernehmen konnte. Ein Techniker unseres Teams musste vor Ort im Rechenzentrum eingreifen. Für die Dauer von rund 60 Minuten kam es dabei zu vereinzelten Störungen beim Login und dem Zugriff mittels IPv6. Für die Zukunft haben wir nun vorgesorgt, um eine solche Situation zu verhindern und/oder um hilfsweise deutlich schneller reagieren zu können.

Ausblick auf die nächsten Tage

Die DDoS-Erpressungsversuche gegen E-Mail-Anbieter werden weitergehen. Wir von mailbox.org rechnen die nächsten Tage mit weiteren Angriffen. – Auch unsere Kollegen bei anderen Anbietern kämpfen aktuell mit einer laufenden DDoS-Welle, während wir diese Zeilen schreiben. Hinter den Kulissen haben wir uns weltweit mit anderen betroffenen Anbietern vernetzt und tauschen kollegial und freundschaftlich Informationen zu Angriff und Abwehrmaßnahmen aus.

Ob es den Erpressern beim nächsten Angriff auf uns gelingt, unsere Infrastruktur zu überlasten oder ob wir am längeren Hebel sitzen und die DDoS-Attacken ohne spürbare Auswirkungen bleiben, wird sich zeigen.

Wir sehen uns so gut wie möglich aufgestellt und haben unseres Wissens nach alles getan und vorbereitet, was man tun kann. Doch jedes Netzwerk und jede Datenleitung kommt an ihre Limits, wenn ein Angriff nur stark genug ist. Glücklicherweise kostet es die Erpresser auch Geld diese immensen Angriffs-Ressourcen zu betreiben und bereitzustellen. So haben auch sie ihre Limits in der Stärke und Dauer der Angriffe und werden nach einiger Zeit aufhören müssen.

Wir bitten um Geduld und Verständnis

Sollte es in den nächsten Tagen zu Störungen unseres Dienstes kommen, bitten wir um Ihr Verständnis und Ihre Geduld. Wir werden unser Bestes geben, um eventuelle Angriffe abzuwehren.

Wir möchten Sie insbesondere bitten, in dieser Situation von allgemeinen Anfragen abzusehen und bitten um Verständnis, dass wir während einer Angriffswelle eventuell nicht vollständig, zeitnah oder individuell kommunizieren können und uns ggf. auch Blog-Artikel, Userforum oder Störungsbanner nicht zur Verfügung stehen. Allgemein finden Sie in solchen Situationen auf unserem Twitter-Kanal jedoch entsprechende Status-Meldungen und Updates unseres Teams.

Und, natürlich: mailbox.org wird sich zu keinem Zeitpunkt erpressen lassen und kein Schutzgeld bezahlen.

 

---

Unser Admin- und Netzwerkteam von Heinlein Hosting und mailbox.org möchte sich bei dieser Gelegenheit bei den Kollegen von MyraSecurity für die hervorragende Betreuung und gute kollegiale Zusammenarbeit bedanken.