Sichere E-Mail: DDoS-Erpressung gegen Protonmail und Runbox

Der Schweizer E-Mail-Anbieter Protonmail ist von Unbekannten mit einer schweren DDoS-Attacke angegriffen worden. Zwischenzeitlich hat sich die Situation normalisiert, derzeit ist der Dienst wieder offline. Der E-Mail-Provider wurde nach eigenen Angaben erpresst und hat sich dazu entschlossen, die geforderten 15 Bitcoin - knapp 6.000 Euro - zu bezahlen. Die Angriffe gingen trotzdem weiter.

Bereits am 3. November habe das Unternehmen eine Erpresser-E-Mail von einer Gruppe bekommen, die bereits für mehrere DDoS-Angriffe in der Schweiz verantwortlich sein soll, schreiben die Betreiber auf ihrem Blog. Der Erpressungsmail folgte ein erster Angriff, der die Seite für rund 15 Minuten vom Netz genommen haben soll.

Am darauffolgenden Tag folgte ein weiterer Angriff. Der Serverbetreiber von Protonmail sei relativ bald nicht mehr in der Lage gewesen, die Attacken abzuwehren. Denn die Angriffe richteten sich nach Angaben von Protonmail direkt gegen die Infrastruktur des betroffenen Datencenters. Die gesamte Bandbreite soll insgesamt über 100 Gigabit pro Sekunde betragen haben und richtete sich nicht nur gegen das Datencenter selbst, sondern auch gegen Router in Zürich, Frankfurt und an anderen Standorten des ISPs.

Zwei unterschiedlich starke Angriffswellen

Protonmail spricht selbst von zwei Phasen des Angriffs. Die erste Welle habe rein auf massenhafte Aufrufe der Protonmail-IPs gesetzt und könne daher von einer Vielzahl krimineller Akteure stammen, heißt es. Doch die zweite Welle habe gezielt Schwachstellen in der ISP-Infrastruktur ausgenutzt - und sei eher einem Nationalstaat zuzuschreiben als einer einzelnen Gruppe. Die Auswirkungen des Angriffs hätten bei der zweiten Angriffswelle Auswirkungen über Protonmail hinaus gehabt und auch andere bei dem ISP gehostete Dienste betroffen.

Weil die Angriffe so schwer gewesen seien, habe sich Protonmail schweren Herzens dafür entschieden, die geforderten Bitcoins an die Adresse 1FxHcZzW3z9NRSUnQ9Pcp58ddYaSuN1T2y zu bezahlen. Doch auch nachdem die geforderte Summe gezahlt wurde, gingen die Attacken weiter.

Die Protonmail-Betreiber sind nach eigenen Angaben in Kontakt mit der Schweizer Regierung und den IT-Behörden des Landes, um die Angriffe aufzuklären. Aufgrund der Angriffe müsse der Anbieter jetzt auf leistungsfähigere Datencenter umziehen, was mit enormen Kosten verbunden sei. Daher sammelt Protonmail Spenden für einen "Verteidungsfonds". Aktuelle Informationen gibt es über den Twitter-Account des Unternehmens.

Nachtrag vom 6. November 2015, 21:06 Uhr

Offenbar ist auch der norwegische E-Mail-Provider Runbox zeitweise von DDoS-Attacken betroffen gewesen, wie die Macher in ihrem Blog berichten. Runbox betont, dass man niemals Geld an Erpresser zahlen würde und fordert alle auf, es ihnen nachzutun.