Jahresrückblick 2021: Denial of Service

0
161

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch Russisch

2021 war für die Sicherheitsbranche ein turbulentes Jahr. Zusätzlich zur anhaltenden COVID-19-Pandemie haben sich Bedrohungsakteure das ganze Jahr über in alarmierendem Tempo weiterentwickelt. So haben sich die Grenzen der bisherigen Bedrohungslandschaft verschoben, und viele von uns fragen sich, ob die Branche dieser zunehmenden und immer raffinierteren Kriminalität gewachsen bleibt.

Strafverfolgungsmaßnahmen und andere Offensiven haben im letzten Jahr wenig Erfolg gebracht. Außerdem mussten wir feststellen, dass Bedrohungsakteure aus ihren Fehlern lernen und weniger auf großen Social-Media-Plattformen aktiv sind. Ferner sind Ransom Denial-of-Service-Angriffe stark auf dem Vormarsch, und Ransomware-Akteure kooperieren immer häufiger mit DDoS-Angreifern. Und wie immer wurden auch dieses Jahr neue DDoS-Rekorde verzeichnet.

Strafverfolgung 2021

Strafverfolgungsmaßnahmen und andere Offensiven gegen Denial-of-Service-Angriffe haben sich dieses Jahr nur geringfügig auf die DDoS-Bedrohungslandschaft ausgewirkt. So verhaftete beispielsweise der Geheimdienst der Ukraine einen Mann, der ein Botnet mit mehr als 100.000 infizierten Knoten aufgebaut und betrieben hatte. Die niederländische Polizei warnte 29 niederländische Bürger in einem Schreiben, dass sie als Nutzer eines DDoS-for-Hire-Dienstes identifiziert wurden. Und das US-Justizministerium erhob Anklage gegen einen türkischen Staatsangehörigen, der DDoS-Angriffe über ein auf Android-Smartphones basierendes Botnet namens WireX durchgeführt hatte.

Eigentlich sollte man meinen, dass polizeiliche Verfolgung und Offensivaktionen abschreckend genug sind, um die steigende Flut von DDoS-Angriffen zu bremsen – aber weit gefehlt. Im 3. Quartal 2021 berichtete Radware, dass wir in den ersten neun Monaten von 2021 rund 75 % mehr DDoS-Angriffe als 2020 abwehren mussten. Dies war jedoch zu erwarten, da unsere Experten 2020 einen Anstieg der DDoS-for-Hire-Dienste zu Beginn der Pandemie feststellten. Auch die zahlreichen Versuche der Strafverfolgungsbehörden, eine Ausweitung der DDoS-Bedrohungslandschaft im Vorjahr zu verhindern, konnten daran nichts ändern.

Letztendlich dreht sich alles um Profit. Es steht einfach zu viel Geld auf dem Spiel, als dass Bedrohungsakteure bereit wären, sich aus der DDoS-Landschaft zurückzuziehen. Verlässt ein DDoS-Angreifer die Bedrohungslandschaft, nehmen einfach andere Akteure seinen Platz ein.

Unauffällig bleiben

Die nicht auf Profit ausgerichteten Akteure, darunter vor allem Hacktivisten, haben aus der Vergangenheit einiges gelernt. Deshalb haben neue Gruppen 2021 begonnen, ihre Vorgehensweise zu ändern. Ein Beispiel dafür ist die Bedrohungsgruppe DragonForce, die im Frühjahr und Sommer 2021 mehrere Cyberangriffe gegen Israel startete. Diese Gruppe hat herkömmlichen Medienplattformen den Rücken gekehrt und ein eigenes Forum für ihre Aktivitäten eingerichtet.

Diese interessanten Veränderungen im abgelaufenen Jahr kamen aber nicht unerwartet. Anfang 2021 hatte sogar der kriminelle Untergrund mit dreisten Ransomware-Angreifern und deren Komplizen zu kämpfen, die ihre Geschäfte in öffentlichen Foren abwickelten, ähnlich wie Hacktivisten, die DDoS-Kampagnen über Social-Media-Plattformen planten und durchführten. Als Folge davon wurden Bedrohungsakteure zensiert oder aus diesen schädlichen Foren verbannt.

Allem Anschein nach haben Hacktivistengruppen 2021 gelernt, sich aus der Öffentlichkeit zurückzuziehen, eigenständig zu agieren und ihre Plattformen so unauffällig zu betreiben, dass sie keine Schließung befürchten müssen. Dies erschwert Analysten das Aufspüren von Bedrohungsakteuren, weil ihre Kommunikation nicht mehr auf einer zentralisierten Plattform, sondern in zahlreichen unbekannten Spezialforen überall im Internet stattfindet.

[Das könnte Sie auch interessieren: Cyber 2022 Predictions About Open Banking]

RDoS auf dem Vormarsch

Anfang 2021 veröffentlichte Radware eine Warnung vor einer RDoS-Gruppe (Ransom Denial-of-Service), die frühere Opfer erneut ins Visier nahm, nachdem sie bereits im Sommer 2020 betroffen waren. In ihrem neuen RDoS-Erpresserschreiben wies die Gruppe darauf hin, dass das betreffende Unternehmen auf die ursprüngliche Lösegeldforderung vom August 2020 nicht reagiert hatte und daher Ziel eines DDoS-Angriffs werden würde, falls es weiterhin nicht zahlt.

Dieser Fall sorgte für Aufmerksamkeit, war aber nur der Beginn eines Jahres, in dem RDoS-Angriffe beeindruckend zunahmen. Im Juni 2021 prognostizierte ich in einer Threat Research Live-Episode von Radware, in der die Fake DarkSide-Kampagne im Energie- und Lebensmittelbereich diskutiert wurde, dass RDoS-Gruppen in Kürze die Namen von Ransomware-Gruppen annehmen würden. Drei Monate später begann eine RDoS-Angriffswelle auf VoIP-Anbieter. Im Rahmen des Angriffs auf VoIP.ms bezeichneten sich die Bedrohungsakteure als REvil. Dies ist der Name einer berüchtigten Ransomware-Gruppe, die nach dem Ransomware-Angriff auf Kaseya VSA vollkommen von der Bildfläche verschwunden war und erst vor Kurzem in die Bedrohungslandschaft zurückkehrte.

Die größeren RDoS-Kampagnen gegen mehrere VoIP-Anbieter wie VoIP.ms, Voipfone, VoIP Unlimited und Bandwidth.com waren bedenklich, weil kritische Infrastruktur betroffen war. Dies führte zu einer branchenweiten Warnung des Comms Council UK, in der es hieß, dass im Oktober eine „koordinierte, erpresserische internationale Kampagne professioneller Cyberkrimineller“ stattfinde, die auf Anbieter IP-basierter Kommunikationsdienste abziele. Und obwohl RDoS-Angriffe bisher meist als geringfügige Bedrohung angesehen wurden, die leicht abzuwehren ist, erwartet eines der Opfer, nämlich Bandwidth.com, infolge eines DDoS-Erpressungsversuchs einen Verlust von bis zu 12 Millionen USD, der durch Dienstausfälle verursacht wurde. Ein klares Anzeichen dafür, dass RDoS-Bedrohungen zunehmen.

Eine dritte große RDoS-Angriffswelle wurde gegen Ende des Jahres beobachtet, also zum selben Zeitpunkt, als auch die VoIP-Branche unter Beschuss stand. Diesmal wurden mehrere E-Mail-Anbieter zur RDoS-Zielscheibe, darunter Runbox, Posteo und Fastmail. Bei dieser Kampagne fiel unter anderem auf, dass die Gruppe, die sich selbst als „Cursed Patriarch“ bezeichnete, ein Lösegeld von rund 4.000 USD forderte. Derselbe Betrag wurde auch in den RDoS-Kampagnen verlangt, die bereits 2015 gegen E-Mail-Anbieter gerichtet waren.

Für 2022 erwarte ich eine Weiterentwicklung der RDoS-Landschaft. Letztendlich dürfte sie mit der weiträumigeren Ransomware-Bedrohungslandschaft verschmelzen.

Vereinte Kräfte: Ransomware und DDoS

Vielleicht fragen Sie sich gerade, worin eigentlich der Unterschied zwischen Ransomware und einem RDoS-Angriff besteht? Das ist verständlich, denn die Begriffe sind verwirrend. Zum Glück hat Pascal Geenens, Director of Threat Intelligence bei Radware, kürzlich in einem Blogartikel die Unterschiede verdeutlicht.  Kurz gesagt beruhen Ransomware-Angriffe auf einer Verschlüsselungs-Malware, die Systeme zerstört und Daten unzugänglich macht, bis ein Lösegeld gezahlt wurde. RDoS-Angriffe laufen ein wenig anders ab. Dabei wird ein Denial-of-Service-Angriff verübt, der Dienstbeeinträchtigungen oder Netzwerkausfälle verursacht, um die Opfer zu erpressen.

Das Problem? Ransomware-Akteure haben begonnen, mit DDoS-Akteuren gemeinsame Sache zu machen, und zwar durch eine dreifache Erpressung. Bei einem Ransomware-Angriff mit einfacher Erpressung werden nur die Daten auf dem Zielgerät verschlüsselt. Bei einem Ransomware-Angriff mit doppelter Erpressung werden die verschlüsselten Daten ausgeschleust, um mit ihrer Veröffentlichung zu drohen, falls das Lösegeld nicht bezahlt wird. Dreifache Erpressung liegt vor, wenn ein Ransomware-Akteur das Zielnetzwerk mit Denial-of-Service-Angriffen bombardiert, um eine Fortsetzung der Verhandlungen zu erzwingen. 2020 griffen Ransomware-Akteure wie SunCrypt und RagnarLocker während der Verhandlungen auf Denial-of-Service-Angriffe zurück. 2021 wurden auch Denial-of-Service-Angriffe im Zuge der Ransomware-Kampagnen von Avaddon, Darkside, Yanluowang und HelloKitty verzeichnet.

Botnet-Entwicklung

In Bezug auf DDoS-Botnets gab es dieses Jahr einige bedeutende Verhaftungen sowie neue Entwicklungen in der Bedrohungslandschaft. Ein Beispiel: Anfang 2021 verfolgten viele IoT-Experten mit großem Interesse den Aufbau eines P2P-Botnets namens Mozi. Seit dieses Botnet 2019 von 360 Netlab entdeckt wurde, hat es sich von einem kleinen Botnet zu einer fortschrittlichen, aus mehreren Modulen bestehenden Bedrohung entwickelt. Im Sommer 2021 verkündete 360 Netlab jedoch das Ende von Mozi, weil sein Betreiber in China verhaftet wurde. Das sind natürlich gute Neuigkeiten, aber viele wissen, wie lange es dauern wird, bis dieses Botnet tatsächlich ausstirbt. Obwohl es keine Updates mehr erhält, wird es sich aufgrund seiner Architektur und seines Designs noch eine Weile weiter ausbreiten. Ähnlich wie das hartnäckige Botnet XTC/Hoaxcall wird es vermutlich erst in einigen Jahren verschwinden. Leider lässt sich ein P2P-Botnet nicht durch eine einzige Aktion lahmlegen. Dieses Botnet wird erst offiziell aussterben und verschwinden, wenn alle betroffenen Netzwerkgeräte neu gestartet, aktualisiert oder ersetzt wurden.

Ein weiteres Botnet, das 2021 große Aufmerksamkeit erregte, war Manga/Dark.IoT. Dieses Botnet wurde auch von Juniper und Palo Alto Networks das ganze Jahr über beobachtet. Die Analyse des Botnets Manga/Dark.IoT ergab nichts Außergewöhnliches. Es handelt es sich um ein typisches Mirai-basiertes IoT-Botnet, das sich auf DDoS-Angriffe als primären Bedrohungsvektor beschränkt und keine anderen Aktivitäten wie Krypto-Mining oder Datendiebstahl ausübt. Was der Sicherheitsbranche an dieser Bedrohung jedoch auffiel, war die Fähigkeit der Betreiber, ihre Botnets schnell weiterzuentwickeln und auszubauen, indem sie neu erkannte Schwachstellen in ihr Arsenal aufnahmen. So berichteten Unit42-Forscher von Palo Alto Networks beispielsweise im März 2021, dass die Betreiber dieses Botnets die Schwachstellen CVE-2021-27561 und CVE-2021-27562 innerhalb weniger Stunden nach ihrem Bekanntwerden ausnutzten.

Im Laufe der diesjährigen Manga/Dark.IoT-Kampagne konnten Forscher auch mehrmals untersuchen, wie Bedrohungsakteure ein DDoS-Botnet entwickeln und ausbauen bzw. welche Fehler sie dabei machen. Zu den größten Herausforderungen beim Aufbau eines ausgedehnten Botnets zählt der Kampf mit anderen Bedrohungsakteuren um anfällige Ressourcen. Wer Schwachstellen nicht selbst entwickeln oder entdecken kann, ist auf ihre öffentliche Bekanntmachung angewiesen. Dann heißt es schnell sein, um die Schwachstelle als Erster auszunutzen und so viele anfällige Geräte wie möglich zu sammeln. Dieser Prozess ist von Ausprobieren und Misserfolgen geprägt. Nicht alle Bedrohungsakteure finden immer heraus, wie sie Schwachstellen richtig ausnutzen können. Und selbst wenn dies gelingt, war das Ergebnis möglicherweise die Zeit und Mühe nicht wert. 2021 haben die Betreiber des Botnets Manga/Dark.IoT fast zwei Dutzend Schwachstellen ausgenutzt. Erst vor Kurzem, im Dezember 2021, nahm das Botnet TP-Link-Router ins Visier.

Denkwürdige DDoS-Angriffe

Ich bin ehrlich gesagt sehr verwundert, dass sich niemand zu den rekordverdächtigen DDoS-Angriffen bekannt hat, auf die ich nun eingehen werde. Vor nicht allzu langer Zeit vermeldeten Hacktivisten und DDoS-Akteure noch umgehend in sozialen Medien, dass sie für eigene (oder auch fremde) Angriffe verantwortlich seien. Heute herrscht bei Bedrohungsakteuren das Schweigen im Walde. So haben wir dieses Jahr einen DDoS-Rekordangriff nach dem anderen verzeichnet, ohne dass auch nur ein Pieps aus dem Untergrund kam. In manchen Fällen fragten Ransomware-Akteure wie Lockbit in Untergrund-Foren, wer einen Angriff verübt hatte und ob dessen Botnet oder Dienste verfügbar seien. Durch dieses Schweigen wird es noch schwieriger, kriminelle Aktivitäten zu verfolgen, aber eines steht fest: Die Täter fahren heute schwerere DDoS-Geschütze auf.

Zum Beispiel meldete Cloudflare im August 2021 einen Angriff mit 17,2 Millionen Anfragen pro Sekunde, der von 20.000 Bots in 125 Ländern ausging – Weltrekord. Knapp einen Monat später berichtete Qrator von einem ähnlich rekordverdächtigen Angriff, bei dem 21,8 Millionen Anfragen pro Sekunde von fast 56.000 MikroTik-Geräten erreicht wurden. Diese massiven DDoS-Angriffe, die nur rund 60 Sekunden dauerten, stellten viele Experten vor die große Frage, wer und was hinter diesen Angriffen steckt.

Wie aus ersten Berichten hervorgeht, ist vermutlich Meris für diese beiden Angriffe verantwortlich. Bei Meris handelt es sich um ein groß angelegtes IoT-Botnet, das kompromittierte MikroTik-Router und HTTP-Pipelining nutzt, um kurze, aber voluminöse DDoS-Angriffe über ein Netzwerk aus SOCKS-Proxys zu starten.

Einen Monat nach den ursprünglichen Meris-Angriffen meldete Microsoft, dass es einen DDoS-Angriff mit 2,4 TBit/s (Terabit pro Sekunde) auf einen Azure-Kunden in Europa entdeckt und entschärft hatte. Der Angriff ging von fast 70.000 Bots in mehreren Ländern des Asien-Pazifik-Raums aus, ähnlich wie in den Meris-Berichten. Genau wie die anderen Angriffe war auch dieser schnell wieder vorbei – die stärkste Welle hielt nur 60 Sekunden an.

Auch wenn in Bezug auf Meris und seinen Ursprung noch Fragen offen sind, verdeutlichen diese Angriffe die kontinuierliche Weiterentwicklung von DDoS-Bedrohungen. Für 2022 erwarte ich, dass diese Fortschritte in der Bedrohungslandschaft zu umfangreicheren DDoS-Angriffen führen werden, da die Bedrohungsakteure lernen, ihre Bot-Ressourcen zu maximieren und gleichzeitig diskret im Hintergrund zu bleiben.

Blick in die Zukunft

Über Meris und alle weiteren neuen Entwicklungen in diesem Jahr hinaus stellen wir fest, dass DDoS-Angriffe auch 2022 nicht aus der Bedrohungslandschaft verschwinden werden. Obwohl viele die Bedrohung als trivial oder die Täter als Amateure abtun, werden sie im neuen Jahr schnell merken, dass Angriffe nicht komplex sein müssen, um Wirkung zu zeigen.

Ich hoffe, dass die Gesellschaft 2022 langsam wieder zur Normalität zurückfindet, aber wir müssen uns für eine Zukunft rüsten, die von Remote-Abläufen und digitalen Lösungen abhängig ist. Mit Blick auf diese Zukunft müssen Regierungen weltweit in Zusammenarbeit mit der Sicherheitsbranche bessere Möglichkeiten finden, um Bedrohungsakteuren einen Riegel vorzuschieben und die Bedrohungslandschaft in den Griff zu bekommen. Nur dann können wir einem gewieften Feind die Stirn bieten.

[Gefällt Ihnen dieser Artikel? Melden Sie sich jetzt an, um wöchentlich die neuesten Radware-Meldungen per E-Mail zu erhalten. Außerdem bekommen Sie Zugriff auf Radwares Premium-Inhalte.]

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here