Het aantal ddos-aanvallen is het afgelopen halfjaar fors gestegen. In de maanden april, mei en juni is zelfs sprake van een ruime verdubbeling. Criminelen richten zich opvallend vaak op de publieke clouds van Microsoft, Azure, AWS en Google.
Dat stelt ict-beveiliger en leverancier van anti-ddos-oplossingen Link11 in een rapport over het eerste halfjaar van 2020.
Volgens operationeel directeur Marc Wilczek valt de groei samen met de forse toename van thuiswerkers en doordat bedrijven versneld hun digitale diensten uitbreiden. Daardoor is tijdens de Covid-19-pandemie het aanvalsoppervlak voor cybercriminelen flink vergroot.
Ook buiten de traditionele kantooruren slaan criminelen toe. De meeste aanvallen vinden plaats in het weekend en ’s avonds, analyseert Link11 op basis van gegevens van het eigen security operations center. In mei bereikte de hoeveelheid aanvallen een piek van 108 procent groei ten opzichte van diezelfde maand in 2019.
Herkomst en aanvalstactiek
Volgens de beveiliger komen de meeste aanvallen uit de VS, China en Rusland. Er is ook een sterke toename in aanvallen die te herleiden zijn naar Frankrijk. Verder concludeert het securitybedrijf dat criminelen steeds meer aanvalstactieken combineren. Het gaat dan om zogenoemde multi-vectoraanvallen. ‘Een op de twee aanvallen maakt gebruik van combineerde verschillende aanvalstactieken, waardoor ze moeilijker te verdedigen zijn. Een aanval omvatte zelfs veertien verschillende tactieken; het hoogste aantal tot nu toe geregistreerde vectoren’, aldus Wilczek.
DNS, CLDAP en NTP
De meest gebruikte vectoren (aanvalsvlakken) zijn volgens Link11: DNS, CLDAP en NTP, terwijl ook WS Discovery en Apple Remote Control nog steeds veel worden gebruikt nadat ze in 2019 waren ontdekt.
Sinds het begin van het jaar heeft de vectorset voor ddos-aanvallers zich ook uitgebreid met DVR DHCPDiscovery, een kwetsbaarheid in digitale videorecorders. ‘Die nieuwe aanvalsmethode is in het tweede kwartaal van 2020 honderden keren gebruikt voor ddos-aanvallen’, stelt de beveiliger.
Hoog aanvalsvolume
Volgens de beveiligers blijft de gemiddelde aanvalsbandbreedte hoog. ‘Het aanvalsvolume van ddos-aanvallen is op een hoog niveau gestabiliseerd en ligt gemiddeld op 4,1 Gbps. Bij de meeste aanvallen lag dit op tachtig procent tot 5 Gbps. De grootste ddos-aanval werd gestopt met 406 Gbps. Bij bijna vijfhonderd aanvallen was het aanvalsvolume meer dan 50 Gbps. Dit is ruim boven de beschikbare verbindingsbandbreedte van de meeste bedrijven.’
De langste ddos-aanval duurde 23 uur. Intervalaanvallen duren gemiddeld dertien minuten en gedijen op herhaling. Die korte aanvallen worden volgens de beveiliger gebruikt als ‘speldenprik’ om keer op keer het getroffen bedrijf plat te leggen.
Cloud
Het percentage ddos-aanvallen vanuit de cloud was volgens de onderzoekers het afgelopen halfjaar bijna de helft hoger dan in heel 2019 (45 procent). ‘Klanten van allerlei providers werden slachtoffer. Meestal waren dit klanten van Microsoft, Azure, AWS en Google Cloud. Aanvallers gebruiken vaak valse identiteiten en gestolen creditcards om toegang te krijgen tot cloud-accounts, waardoor het moeilijk is de criminelen achter de aanvallen te traceren.’
Lees hier het volledige rapport.
