Verschlüsselter Maildienst ProtonMail von DDoS-Angriff und Erpressung betroffen

Nach Stand der Ermittlungen gab es zwei Angreifergruppen. Die Erpressung und Attacke auf ProtonMails IP-Adresse ging vom Armada Collective aus, das zuletzt mehrere Schweizer Firmen erpresst hat. Zusätzlich setzte ein weit raffinierterer Angriff bei Schwachstellen von ProtonMails ISP an.

Der verschlüsselte E-Mail-Dienst ProtonMail mit Sitz in der Schweiz meldet einen Angriff mit Distributed Denial of Service und einen Erpressungsversuch. Derzeit scheint die Angriffswelle erst einmal vorüber, ProtonMail.com ist aber weiter unerreichbar.

Motivfoto Hacker (Bild: Shutterstock)Am 3. November erhielt er laut seiner Selbstdarstellung in einem auf WordPress gehosteten Blog eine Geldforderung, der ein 15-minütiger erster Angriff folgte. Auf Druck zahlreicher Dritter habe man in die Bitcoin-Zahlung eingewilligt, berichtet ProtonMail. Die Angriffe seien aber dennoch fortgesetzt worden.

Der koordinierte Traffic überstieg 100 GBit/s und betraf nicht nur ProtonMails Rechenzentrum, sondern auch Router in Zürich, Frankfurt und an anderen Standorten des von ihm genutzten Internet-Service-Providers (ISP). Auch letzterer wurde zeitweise lahmgelegt, was für zahlreiche weitere Firmen (darunter Banken) einen Ausfall bedeutete. Letztlich sah sich der ISP gezwungen, ProtonMail vorübergehend vom Netz zu nehmen.

Die Erpresser meldeten sich zu diesem Zeitpunkt erneut, um die zweite Angriffswelle für sich in Anspruch zu nehmen. Laut ProtonMail handelt es sich um das Armada Collective, das in den letzten Wochen eine Reihe Schweizer Firmen erpresst hat. Schweizer Behörden und Europol haben Ermittlungen aufgenommen.

Bisherigen Erkenntnissen nach lässt sich der als „äußerst raffiniert“ beschriebene Angriff in zwei Stufen unterteilen. Der erste galt der IP-Adresse des E-Mail-Diensts. Der zweite aber griff Schwachpunkte bei dessen ISP an. Er sei wesentlich komplexer und bei den anderen Angriffen von Armada Collective nicht beobachtet worden.

ProtonMail schließt daraus, dass es von zwei unterschiedlichen Gruppen angegriffen wurde. Die zweite verfüge über Möglichkeiten, die vor allem bei staatlich geförderten Hackergruppen zu finden seien. Diese Angreifer hätten zudem nicht vor umfassendem Kollateralschaden zurückgescheut.

Nun ist das Schweizer Unternehmen dabei, langfristige Maßnahmen zu ergreifen, die es gegen vergleichbare Angriffe schützen würden. Die Kosten schätzt es auf 100.000 Dollar pro Jahr und bittet daher um Spenden.

Daten von ProtonMail-Kunden wurden nicht entwendet, diese konnten lediglich nicht auf ihre Postfächer zugreifen. Ironisch ist an dem Fall, dass sich ProtonMails Rechenzentrum nach dessen Angaben 1000 Meter unter der Erdoberfläche in einem Bunker befindet und einen Atomschlag überstehen könnte.

Vergangenen Sommer musste ProtonMail in seiner Schwarmfinanzierungsphase einen Angriff anderer Art überstehen: Der Bezahldienst Paypal sperrte vorübergehend sein Konto. Vorgeblich zweifelte Paypal die Legitimität des geplanten Diensts an.

Tipp: Wie gut kennen Sie sich mit der europäischen Technologie-Geschichte aus? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

5 Kommentare zu Verschlüsselter Maildienst ProtonMail von DDoS-Angriff und Erpressung betroffen

Kommentar hinzufügen
  • Am 6. November 2015 um 16:59 von Wolfram

    Tja und mittlerweile ist Protonmail schon wieder down. Offen gestanden werde ich den Eindruck nicht los, dass der Dienst doch nicht so professionell ist wie er angepriesen wird, Als Kunde habe ich zwar den (hoffentlichen) Nutzen von Sicherheit made in Switzerland. Andererseits: wenn der Server down ist, habe ich keinerlei Zugriff auf meine mails. Auch sonst ist der Dienst hinsichtlich Funktionalität (Spamfilter, Weiterleitungen, etc.) eher rudimentär. Schliesslich ist auch das updateverhalten (z.B. dieses Jahr von 1.16 auf 2.0) eher fragwürdig, weil keine Kommunikation. Das hat nachteilige Auswirkungen auf Drittanbieter. Die Macher sollten bei diesen Punkten definitiv mal über die Bücher.

    • Am 6. November 2015 um 21:06 von das_keyboard

      „Auch sonst ist der Dienst hinsichtlich Funktionalität (Spamfilter, Weiterleitungen, etc.) eher rudimentär.“

      Deshalb ist es ja eine Beta.

      „Andererseits: wenn der Server down ist, habe ich keinerlei Zugriff auf meine mails.“

      Deswegen sollte man in der BETA auch keine sehr wichtigen Mail darüber schreiben/empfangen. Die Info kam auch vom Betreiber selbst.

    • Am 6. November 2015 um 21:49 von pewe

      Der Dienst ist äußerst professionell und wurde gerade vom Forbes-Magazin als der neue GMail-Killer gepriesen. Interessant auch, dass beim initialen Crowdfunding der Bezahldienst Paypal zeitweise ausgestiegen ist mit ganz fadenscheinigen Begründungen. Meine Interpretation ist, dass einfache Verschlüsselung bei den Nutzern extrem beliebt ist und die aktuelle Crowdfundingkampagne innerhalb eines Tages bereits die Hälfte des Zielbetrages erzielt hat. Für viele Regierungen ist protonmail genauso wie LAVABIT ein Dorn im Auge. Die Erpresser scheinen sich übrigens per Bitcoin-Blockchain zu Wort zu melden:
      https://blockchain.info/de/address/1Q1nhq1NbxPYAbw1BppwKbCqg58ZqMb9A8
      FAZIT: Zu einer DDOS-Attacke dieser Größenordnung sind sie nicht in der Lage und vermuten noch stärkere Kräfte/Dienste hinter dem eigentlichen Angriff.

  • Am 6. November 2015 um 19:52 von KOrrektur

    Die Erpresser meldeten sich zu diesem Zeitpunkt erneut, um die zweite Angriffswelle für sich in Anspruch zu nehmen.

    Falsch!!! Die Erpresser sagten deutlich sie hätten mit dem zweiten Angriff überhaupt nichts zu tun. Dieser Angriff komme von jemand mächtigerem der Protonmail tot sehen will. Armada Collective sei nicht in der Lage Angriffe dieser grössenordnung durchzuführe. Was ich auch glaube.. Bitte um korrektur im Artikel!!

    Hier:
    https://blockchain.info/address/1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y

  • Am 7. November 2015 um 12:32 von Verein Enigmabox

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *