Ein Bericht von Cloudflare enthält Einblicke und Trends über die DDoS-Bedrohungslandschaft – wie sie im globalen Cloudflare-Netzwerk beobachtet wurde. Im zweiten Quartal 2022 wurden einige der größten Angriffe observiert, die die Welt je gesehen hat, einschließlich eines HTTPS-DDoS-Angriffs mit 26 Millionen Anfragen pro Sekunde, den Cloudflare automatisch erkannt und entschärft hat. Darüber hinaus gehen die Angriffe gegen die Ukraine und Russland weiter, während eine neue Ransomware-DDoS-Angriffskampagne auftauchte.
Ukrainisches und russisches Internet
Der Bodenkrieg wird von Angriffen begleitet, die auf die Verbreitung von Informationen abzielen. Medienunternehmen in der Ukraine waren im zweiten Quartal am stärksten von DDoS-Angriffen betroffen. Die fünf am stärksten angegriffenen Branchen gehören alle zu den Online-/Internetmedien, dem Verlagswesen und dem Rundfunk. So wie der Krieg in der Ukraine zu Lande, in der Luft und auf dem Wasser weitergeht, so setzt er sich auch im Cyberspace fort. Unternehmen, die ukrainische Firmen ins Visier nehmen, versuchen offenbar, Informationen zu unterdrücken.
In Russland hingegen fallen die Online-Medien als am häufigsten angegriffene Branche auf den dritten Platz zurück. Auf dem Weg an die Spitze waren Unternehmen aus dem Bereich Banken, Finanzdienstleistungen und Versicherungen (BFSI) in Russland im zweiten Quartal am häufigsten betroffen; fast 45 % aller DDoS-Angriffe auf der Anwendungsebene zielten auf den BFSI-Sektor ab. Kryptowährungsunternehmen in Russland wurden am zweithäufigsten angegriffen.
DDoS-Angriffe mit Lösegeldforderungen
Clouflare hat eine neue Welle von Ransomware-DDoS-Angriffen von Entitäten gesehen, die behaupten, Fancy Lazarus zu sein. Im Juni 2022 erreichten die Ransomware-Angriffe ihren bisherigen Höchststand: Einer von fünf Befragten, die einen DDoS-Angriff erlebt haben, gab an, Opfer eines Ransomware-DDoS-Angriffs oder anderer Bedrohungen geworden zu sein.
Insgesamt stieg der Anteil der Ransomware-DDoS-Angriffe im zweiten Quartal um 11 % im Vergleich zum Vorquartal. Seit über zwei Jahren befragt Cloudflare die angegriffenen Kunden, ob sie eine Drohung oder eine Lösegeldforderung erhalten haben, um den DDoS-Angriff zu stoppen.
Die Anzahl der Befragten, die Drohungen oder Lösegeldforderungen meldeten, stieg im zweiten Quartal um 11 % im Vergleich zum Vorquartal und zum Vorjahr. In diesem Quartal hat Cloudflare DDoS-Angriffe mit Lösegeldforderungen abgewehrt, die von Unternehmen gestartet wurden, die sich als APT-Gruppe (Advanced Persistent Threat) „Fancy Lazarus“ ausgaben. Die Kampagne konzentrierte sich auf Finanzinstitute und Kryptowährungsunternehmen.
DDoS-Angriffe auf der Anwendungsebene
Im 2. Quartal 2022 stiegen die DDoS-Angriffe auf der Anwendungsebene im Vergleich zum Vorjahr um 72 %. Die Luft- und Raumfahrtindustrie war im 2. Quartal am stärksten betroffen, gefolgt von der Internetbranche, dem Bank-, Finanzdienstleistungs- und Versicherungssektor sowie dem Glücksspielsektor an vierter Stelle.
DDoS-Angriffe auf der Netzwerkebene
Im 2. Quartal 2022 stiegen die DDoS-Angriffe auf der Netzwerkebene im Vergleich zum Vorjahr um 109 %. Angriffe mit einer Geschwindigkeit von 100 Gbit/s und mehr stiegen um 8 % gegenüber dem Vorquartal, und Angriffe mit einer Dauer von mehr als 3 Stunden stiegen um 12 % gegenüber dem Vorquartal. Die am häufigsten angegriffenen Branchen waren Telekommunikation, Glücksspiel und die Informationstechnologie- und Dienstleistungsbranche. Organisationen in den USA waren am häufigsten betroffen, gefolgt von China, Singapur und Deutschland.
Während Angriffe auf der Anwendungsebene auf die Anwendung (Schicht 7 des OSI-Modells) abzielen, auf der der Dienst läuft, auf den die Endnutzer zuzugreifen versuchen (in unserem Fall HTTP/S), zielen Angriffe auf der Netzwerkebene darauf ab, die Netzwerkinfrastruktur (z. B. Inline-Router und Server) und die Internetverbindung selbst zu überlasten.
Um einen DDoS-Angriff auf der Anwendungsschicht zu starten, muss ein erfolgreicher Handshake zwischen dem Client und dem Server stattfinden, um eine HTTP/S-Verbindung herzustellen. Damit ein erfolgreicher Handshake stattfinden kann, dürfen die Angreifer ihre Quell-IP-Adresse nicht fälschen. Zwar kann der Angreifer Botnets, Proxys und andere Methoden zur Verschleierung seiner Identität verwenden, doch stellt die Quell-IP-Adresse des angreifenden Clients die Angriffsquelle von DDoS-Angriffen auf der Anwendungsebene ausreichend dar.
Andererseits ist für DDoS-Angriffe auf der Netzwerkebene in den meisten Fällen kein Handshake erforderlich. Angreifer können die Quell-IP-Adresse fälschen, um die Angriffsquelle zu verschleiern und Zufälligkeit in die Angriffseigenschaften einzubringen, was es für einfache DDoS-Schutzsysteme schwieriger machen kann, den Angriff zu blockieren.
Angriffe mit hohen Bitraten versuchen, einen Denial-of-Service-Vorfall zu verursachen, indem sie die Internetverbindung verstopfen, während Angriffe mit hohen Paketraten versuchen, die Server, Router oder andere Inline-Hardwaregeräte zu überlasten. Diese Geräte verwenden eine bestimmte Menge an Speicher und Rechenleistung für die Verarbeitung jedes Pakets. Wenn sie also mit vielen Paketen bombardiert werden, kann es sein, dass die Appliance keine weiteren Verarbeitungsressourcen mehr hat. In einem solchen Fall werden die Pakete „verworfen“, d. h. die Appliance ist nicht in der Lage, sie zu verarbeiten. Für die Nutzer führt dies zu Dienstunterbrechungen und Denial-of-Service.
Kurze Angriffe können leicht unentdeckt bleiben, insbesondere Burst-Angriffe, bei denen ein Ziel innerhalb von Sekunden mit einer großen Anzahl von Paketen, Bytes oder Anfragen bombardiert wird. In diesem Fall haben DDoS-Schutzdienste, die sich auf eine manuelle Entschärfung durch Sicherheitsanalysen verlassen, keine Chance, den Angriff rechtzeitig zu entschärfen. Sie können nur aus der Analyse nach dem Angriff lernen und dann eine neue Regel einsetzen, die den Fingerabdruck des Angriffs herausfiltert, und hoffen, dass sie ihn beim nächsten Mal abfangen. Auch die Nutzung eines „On-Demand“-Dienstes, bei dem das Sicherheitsteam den Datenverkehr während des Angriffs an einen DDoS-Anbieter umleitet, ist ineffizient, da der Angriff bereits vorbei ist, bevor der Datenverkehr an den On-Demand-DDoS-Anbieter weitergeleitet wird.
Es wird empfohlen, dass Unternehmen automatisierte, ständig verfügbare DDoS-Schutzdienste nutzen, die den Datenverkehr analysieren und in Echtzeit einen Fingerabdruck erstellen, der schnell genug ist, um kurzzeitige Angriffe zu blockieren.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…