Die Gründe für DDoS-Angriffe und warum sie so gefährlich sind

0
450

This post is also available in: Englisch Französisch Italienisch Portugiesisch, Brasilien Spanisch

Was ist ein DDoS-Angriff?

DDoS steht für „Distributed Denial of Service“-Angriff. Den Zusatz „Distributed“ lassen wir zunächst außer Betracht, weil er hauptsächlich die verwendete Technik betrifft. Stattdessen konzentrieren wir uns auf die Bedeutung von „Denial of Service“. Wie aus der englischen Bezeichnung hervorgeht, besteht das Ziel eines DoS-Angriffs darin, Services für legitime Benutzer zu stören oder zu unterbrechen. Der Begriff „Services“ ist dabei sehr breitgefächert und umfasst z. B. die Informationsbereitstellung auf Websites, Online-Services auf E-Commerce-Websites, Backend-Services wie Zahlungsverarbeitung, die Kommunikation zwischen Unternehmen und Cloud-Applikationen oder die Konnektivität industrieller Prozesse bzw. Sensoren mit Remote-Steuerung über das Internet.

Die Ziele der Angriffe sind ebenso vielfältig: Defacement, wirtschaftliche Auswirkungen auf ein Unternehmen oder einen Staat durch Beeinträchtigung der Produktivität, Chaos stiften oder so viel Staub aufwirbeln, dass ein weiterer Angriff dahinter verborgen bleibt. Wird ein Netzwerk mit willkürlichem Traffic überlastet, sind die Verteidiger abgelenkt und die Angreifer können in aller Ruhe anderweitig ihre kriminellen Aktivitäten ausüben. Schließlich müssen sich die Verteidiger auf das dringlichste Problem konzentrieren, nämlich den Denial-of-Service-Angriff.

Je nach Zielsetzung können Denial-of-Service-Angriffe auf unterschiedliche Weise verübt werden. Ein Volumen-Denial-of-Service-Angriff zielt beispielsweise darauf ab, die Verbindungen zu einem Service oder zwischen Unternehmen und der Cloud oder zwischen Filialen und Stammsitz zu überlasten. Dadurch wird die legitime Kommunikation unterbunden und der Datenverkehr ausgebremst.

Ein Denial-of-Service-Angriff kann auch einen bestimmten Service ins Visier nehmen, z. B. eine Website, eine API oder einen Domain Name Service (DNS). In letzterem Fall werden die Ressourcen des Servers zur Zielscheibe. Derartige Angriffe auf Applikationsebene bzw. „Layer 7“ (L7) können einen Service komplett lahmlegen. Oder es kann sich um raffiniertere Formen wie Low & Slow-Angriffe handeln, die Ressourcen langsam abziehen und das Benutzererlebnis beeinträchtigen, sodass der Service-Betreiber in weitere Ressourcen wie CPU, Arbeitsspeicher oder Bandbreite investieren muss, um den Service aufrechtzuerhalten. Werden solche Angriffe über längere Zeit nicht erkannt, untergraben sie die Wirtschaftlichkeit eines Unternehmens oder Services.

Eine andere Art von Denial-of-Service-Angriffen ist zwar eher selten, aber dennoch so wichtig, dass sie als Bedrohung gilt. Dabei werden Schwachstellen in Software oder Hardware ausgenutzt, um den Absturz, das Anhalten oder den Neustart eines Geräts herbeizuführen, indem falsch formatierte Pakete gesendet werden. Schon ein einziges Paket genügt, damit ein Prozess grundlos abbricht oder ein langwieriger Neustart erfolgt. Dies kann erhebliche Störungen verursachen, sofern es nicht schnell erkannt wird. Wenn der Angriff nur aus einem Paket besteht, gestaltet sich die Suche nach dem Übeltäter unter Millionen von Paketen und Verbindungen extrem schwierig. In der Regel werden diese Angriffe durch eine Analyse der Absturzprotokolle von Kerneln oder Prozessen aufgedeckt. Die meisten dieser Exploits haben eine kurze Lebensdauer, weil die Schwachstelle nach der Entfernung behoben werden kann und das Update von Systemen oder Netzwerksignaturen künftige Angriffe leicht verhindert. Trotzdem sind sie hin und wieder erfolgreich.

Zur Durchführung eines Denial-of-Service-Angriffs werden keine umfangreichen Fähigkeiten oder spezielles Wissen benötigt. In den meisten Fällen genügt es, den Standort des Services zu kennen, z. B. seine IP-Adresse, und über eine leistungsstarke Infrastruktur für den Angriff zu verfügen. Die Angriffsinfrastruktur kann aus Cloud-Servern bestehen, aber Angreifer können auch eine immer breitere Palette an IoT-Geräten von Verbrauchern und Prosumern (darunter IP-Kameras und Router) als „Sklaven“ für große verteilte Angriffe nutzen. Weil Angriffsverkehr aus allen Teilen der Welt und von verschiedenen Geräten stammt, werden diese Angriffe als „Distributed“ (verteilte) Denial-of-Service-Angriffe bezeichnet.

Was ein DDoS-Angriff nicht ist

In den obigen Ausführungen dürfte Ihnen aufgefallen sein, dass Denial-of-Service-Angriffe kein Eindringen in Netzwerke oder Server beinhalten. Fällt ein Unternehmen einem Denial-of-Service-Angriff zum Opfer, werden dabei keine Daten gestohlen oder bösartige Software in die Infrastruktur eingeschleust. Mit Ausnahme eines DDoS-Angriffs, der als Deckmantel dient, kann ein Unternehmen nach Beendigung des DDoS-Angriffs seine Services wiederherstellen und den Betrieb fortsetzen. Ganz im Gegensatz zu Ransomware, die das Unternehmen so lange außer Gefecht setzt, bis es seine internen Systeme wiederherstellt oder repariert. Und selbst dann können Tage, Wochen oder gar Monate vergehen, bis alle Services oder Prozesse wieder ordnungsgemäß funktionieren.

Andererseits müssen DDoS-Angreifer kaum befürchten, dass sie erwischt werden. Bei Nutzung von IoT-Geräten, Spoofing oder Reflection ist es schwierig oder nahezu unmöglich, den Traffic auf bestimmte Akteure zurückzuführen. Deshalb haben Täter wesentlich weniger Hemmungen, einen DDoS-Angriff durchzuführen, als in private Netzwerke einzudringen und Daten zu extrahieren.

Wie groß ist die Bedrohung durch DoS-Angriffe? Welche Unternehmen oder Branchen sind besonders gefährdet? Wer steckt hinter diesen Verbrechen? Welche Absichten haben die Täter und was motiviert sie?

Seit 2020 verzeichnen wir einen Anstieg von DDoS-Aktivitäten, die mit Ransom DoS-Kampagnen verbunden sind und sich zu einem festen Bestandteil der DDoS-Bedrohungslandschaft entwickelt haben. Sie spielen auch auf politischer und soziologischer Ebene eine Rolle, z. B. bei Wahlen, #blacklivesmatter und bei inner- oder zwischenstaatlichen Konflikten.

Damit Sie die Bedrohung und das Risiko für Ihr Unternehmen richtig einordnen können, müssen Sie verstehen, wer die Täter sind und welche Ziele sie verfolgen. Ferner müssen Sie wissen, wie die Angriffe normalerweise ablaufen. Die Strategien und Methoden, die bösartige Akteure einsetzen, hängen von ihrem Ziel und ihren Fähigkeiten ab. Und schließlich muss der Täter etwas finden, das für Sie von Wert ist und das er beeinflussen kann. Genau daraus ergeben sich die Chancen für bösartige Akteure – sie haben es auf wertvolle Ressourcen oder Schwachstellen mit kritischer Bedeutung abgesehen.

[Das könnte Sie auch interessieren: Wehrt Ihre DDoS-Schutzlösung die neuesten Angriffe ab?]

Organisiertes Verbrechen

Ransomware hat enorm zugenommen, wobei sich auch die Strategien deutlich weiterentwickelt haben – Täter und Komplizen sind immer besser organisiert. Ransomware-Akteure haben ihre Vorgehensweise auf dreifache Erpressung ausgebaut. Dies bedeutet, dass sie nicht nur Systeme verschlüsseln, sondern auch sensible Daten stehlen und mit deren Veröffentlichung drohen, falls das Lösegeld nicht bezahlt wird. Sollte sich das Opfer weigern oder Widerstand leisten, greifen die Täter auf DDoS-Angriffe zurück, um neue Verhandlungen zu erzwingen.

Seit August 2020 wurden Denial-of-Service-Erpressung oder Ransom DoS-Kampagnen in allen Branchen weltweit beobachtet. Mit hartnäckigen Kampagnen sendeten Akteure, die sich als Fancy Bear, Lazarus-Gruppe oder Armada Collective ausgaben, erpresserische E-Mails an Unternehmen. Darin drohten sie, das Unternehmen als Ziel ihres nächsten DDoS-Angriffs auszuwählen, und verwiesen auf ihre früheren Machenschaften. Des Weiteren kündigten sie an, in Kürze einen großen DDoS-Angriff einzuleiten. Damit ihre Drohungen ernstgenommen wurden, verübten sie mit einem winzigen Teil ihrer Infrastruktur einen kleinen Angriff auf eine bestimmte Ressource des erpressten Unternehmens.

Um dem Angriff zu entgehen, sollte ein Lösegeld zwischen 10 und 20 Bitcoins an eine bestimmte Bitcoin-Adresse gezahlt werden. Ging bis zum Angriffsbeginn keine Zahlung ein, erhöhte sich das Lösegeld um 5 oder 10 Bitcoins für jede weitere nicht eingehaltene Frist, während der Angriff weiterging.

Von Oktober bis November gingen immer weniger Erpresserschreiben und schließlich gar keine mehr ein. Bis zur zweiten Dezemberhälfte, als wir von Kunden erfuhren, dass sie erneut solche Schreiben erhielten. Unternehmen, die schon zuvor anvisiert wurden, bekamen nun ein zweites Schreiben, in dem die Angreifer mitteilten, sie wären mit profitableren Projekten beschäftigt gewesen, seien jetzt aber zurück. Unter Angabe derselben Bitcoin-Adresse forderten sie ein Lösegeld zwischen 5 und 10 Bitcoins. Das geringere Lösegeld wurde mit dem Anstieg des Bitcoin-Kurses begründet, der im Dezember im Vergleich zu früheren Monaten schlagartig um mehr als 100 % angestiegen war. Die Erpresser behaupteten, dass sie nie aufgeben würden und so lange zurückkämen, bis sie die Zahlung erhalten.

Im März 2021 konnten wir die letzte Ransom DoS-Kampagne endlich abhaken, doch schon im Mai gingen neue Schreiben ein. Dieses Mal gab sich eine Gruppe, die vermutlich mit den früheren Kampagnen nichts zu tun hatte, als „Fancy Lazarus“ aus. Dieser Name sollte den Opfern noch mehr Angst einjagen, denn er besteht aus zwei bekannten Gruppen. Zum einen Fancy Bear, eine russische APT, die für ihre Verbindungen zur russischen Regierung bekannt ist und deren politische Interessen unterstützt. Zudem war Fancy Bear vermutlich für das Hacking der E-Mails des Democratic National Committee verantwortlich, das den Ausgang der Präsidentschaftswahlen in den USA 2016 beeinflussen sollte. Hinzu kamen Cyberangriffe auf das deutsche und das norwegische Parlament, den französischen Fernsehsender TV5 Monde, das Weiße Haus und die NATO sowie der Versuch, die Kampagne des französischen Präsidentschaftskandidaten Emmanuel Macron zu manipulieren.

Und zum anderen die Lazarus-Gruppe, eine nordkoreanische APT, bei der es sich um eine staatlich geförderte Hackerorganisation handeln soll, die für den Angriff auf Sony Pictures 2014 und den Überfall auf die Bank von Bangladesch 2016, bei dem 81 Millionen US-Dollar erbeutet wurden, verantwortlich war. Diesmal nahmen der Akteur bzw. die Gruppe hauptsächlich ungeschützte Ressourcen von Unternehmen in verschiedenen Branchen ins Visier. Sie forderten ein Lösegeld zwischen 0,5 und 5 Bitcoins, um dem Angriff zu entgehen.

Der September 2021 war von DDoS-Angriffen geprägt, die sich auf die Services von VoIP-Telekommunikationsanbietern im Vereinigten Königreich und in Kanada auswirkten. Am 1. September gab der an der britischen Südküste ansässige VoIP-Betreiber Voip Unlimited bekannt, dass er von einer anhaltenden und groß angelegten DDoS-Attacke betroffen war, von der er annahm, dass sie von der russischen Ransomware-Gruppe „REvil“ ausging, nachdem sie eine „gigantische Lösegeldforderung“ gestellt hatte. Nach 75 Stunden ununterbrochener Angriffe meldete Voip Unlimited am 3. September eine Pause des bösartigen Traffics und bestätigte ein paar Tage später, dass weitere Angriffe ausblieben. Ebenfalls ab dem 1. September berichtete das in London ansässige Voipfone von Ausfällen bei Sprachdiensten, ein- und ausgehenden Anrufen sowie SMS-Services. Kunden wurden später per E-Mail informiert, dass Voipfone „vorübergehend von einem DDoS-Angriff beeinträchtigt wurde“. Am 16. September bemerkte VoIP.ms, ein kanadischer Telefondienstleister, dass Kunden nicht mehr richtig auf seine Website zugreifen konnten, und suchte nach einer Lösung des Problems.

Eine Woche später war das Problem immer noch nicht behoben. Als Ursache wurden anhaltende aggressive DDoS-Angriffe ausgemacht, die zu Unterbrechungen von Telefongesprächen und Services führten. Öffentliche Nachrichten auf Twitter, die VoIP.ms mit den Bedrohungsakteuren unter dem Benutzernamen @REvil92457183 austauschten, lieferten weitere Erkenntnisse. Obwohl die für den DDoS-Angriff verantwortlichen Täter den Namen „REvil“ verwendeten, gibt es keinen Beweis dafür, dass es sich um dieselbe REvil-Ransomware-Bande handelt, die es schon zuvor auf bekannte Unternehmen abgesehen hatte, darunter der weltweit größte Fleischverarbeiter JBS. Das Vorgehen des Ransomware-Akteurs entsprach nicht den Taktiken, Techniken und Prozeduren (TTPs), die REvil für erpresserische DDoS-Angriffe einsetzte. Ausgeschlossen werden kann jedoch nichts, denn es wäre nicht das erste Mal, dass eine kriminelle Vereinigung ihre Aktivitäten diversifiziert.

In einer mittlerweile gelöschten Pastebin-Notiz wurde die ursprüngliche Lösegeldforderung auf 1 Bitcoin beziffert, d. h. etwas mehr als 42.000 US-Dollar (zum Zeitpunkt der Veröffentlichung). Allerdings erhöhte das Twitter-Konto @REvil92457183 die Forderung nur zwei Tage später auf 100 Bitcoins bzw. mehr als 4,2 Millionen US-Dollar und teilte dazu mit: „Ok, genug geredet … Wenn wir aufhören sollen, kostet das jetzt 100 Bitcoins an die Pastebin BTC-Adresse. Ich bin sicher, eure Kunden werden euch für eure sch… egal Haltung reihenweise verklagen. REvil.“ Die Akteure nutzten Twitter, um die Angriffe zu enthüllen und VoIP.ms für die Nichtzahlung zu verurteilen. Dadurch sollten Kunden und Partner so viel Druck auf den Dienstleister ausüben, dass er das Lösegeld zahlt und den Serviceausfällen ein Ende bereitet. Ransomware-Akteure wenden ähnliche Druckmittel an, wie z. B. das Veröffentlichen neuer Opfer und der von ihnen gestohlenen sensiblen Daten auf ihren PR-Seiten im Darknet. Nachrichten von VoIP.ms auf Twitter zeigen, dass die Angriffe zunächst auf die Domain Name Services von VoIP.ms abzielten. VoIP.ms entschärfte diese Angriffe, indem Partner und Kunden gebeten wurden, die IP-Adressen der Services fest in ihren Systemen zu codieren.

Am 7. Oktober berichtete Voip Unlimited erneut von Unterbrechungen der Konnektivität und Sprachdienste, als seine Techniker mit der Abwehr von DDoS-Angriffen auf die Telefonieplattformen zu kämpfen hatten. Eine erste Meldung dieser Probleme findet sich am Abend des 7. Oktober auf der Webseite mit dem Servicestatus. Am Abend des 8. Oktober verzeichnete VoIP Unlimited weiterhin Störungen, die von anhaltenden DDoS-Angriffen auf seine Kunden verursacht wurden.

Hacktivisten

Ganz im Gegensatz zum organisierten Verbrechen werden diese bösartigen Akteure nicht von Geldgier, sondern von politischen oder ideologischen Überzeugungen angetrieben. Sie streben nach Defacement, Doxing, Vernichtung oder Ausfällen von Websites und Ressourcen, um politische Vorhaben oder gesellschaftliche Veränderungen voranzutreiben. Unternehmen können in die Fänge und ins Fadenkreuz von Hacktivisten geraten, ohne dass sie irgendeine Kontrolle über die Situation haben. Diese Gruppen gehen in der Regel nicht sehr raffiniert vor, sondern verlassen sich auf ihre große Anhängerschaft und die sozialen Medien, um ihre Angriffskampagnen zu verkünden und durchzuziehen. In privaten Foren verteilen sie Denial-of-Service-Tools an ihre Anhänger und erklären deren Gebrauch. Meistens handelt es sich um ältere, gut bekannte und allgemein verfügbare Tools, die leicht zu verwenden sind. In den Händen einer großen Menschengruppe erweisen sich diese einfachen Angriffswerkzeuge jedoch als effektive verteilte Waffen. In den jüngsten Angriffskampagnen der politisch orientierten Hacktivisten-Gruppe Dragon Force Malaysia wurden Tools wie Torshammer, Low bzw. High Orbit Ion Canon (LOIC und HOICI) und ein mobiles Angriffswerkzeug für Android namens Garuda eingesetzt. Damit wurden im Juni und Juli 2021 Cyberangriffe auf israelische Ziele verübt, um gegen den Ausbau der diplomatischen Beziehungen zwischen der israelischen Regierung und den mehrheitlich muslimischen Ländern in Südostasien zu protestieren.

Unzufriedene Mitarbeiter und verärgerte Kunden

Eine andere Gruppe von Angreifern, die normalerweise weniger raffiniert sind und als Einzelkämpfer agieren, sind verärgerte Mitarbeiter und verärgerte Kunden. Die Glücksspiel- und Wettbranche wird häufig zur Zielscheibe frustrierter Kunden, die ihrem Ärger Luft machen, nachdem sie größere Summen gesetzt und verloren haben. Diese Gruppe findet sich jedoch auch in anderen Branchen, z. B. wenn eine Website falsche Informationen enthält, wenn Waren falsch geliefert oder Dienstleistungen mangelhaft bereitgestellt werden usw.

Da diese Täter einen sofortigen, vorübergehenden Zugriff auf geeignete Tools benötigen, wählen sie meist öffentlich verfügbare DDoS-as-a-Service-Portale. Dort erhalten sie per Abonnement einen praktischen Zugang zu DDoS-Botnets und Angriffsservern. Mit wenigen Klicks können diese Akteure im Handumdrehen die Online-Ressourcen von Unternehmen zum Ausfall bringen und das Image schädigen.

[Das könnte Sie auch interessieren: Jahresrückblick 2021: Denial of Service]

Nationalstaatliche Akteure

Nationalstaatliche Akteure ihrerseits verfügen über das Know-how und die Ressourcen, um Waffen mit riesiger Zerstörungskraft zu bauen – sowohl in der Realität als auch in der Cyberwelt. Sie sind vor allem für den Einsatz von Cyberwaffen bekannt, um Störungen und Chaos zu verursachen und dadurch ganze Volkswirtschaften oder Regime aus dem Gleichgewicht zu bringen. Kritische Infrastrukturen wie Stromnetze, Ölpipelines und Wasserversorgung, aber auch Finanzinstitute können zur Zielscheibe massiver Angriffe werden, wenn sich zwei Staaten bekriegen. DDoS-Angriffe erweisen sich als besonders effektiv, weil die Täter schwer zu ermitteln sind. Schließlich bestehen die Hauptziele nationalstaatlicher Angriffe darin, nicht auf frischer Tat ertappt zu werden und durch Schuldzuweisungen an eine andere Nation die Außenpolitik zu manipulieren.

Konkurrenten

Abschließend möchte ich auf eine häufig vergessene Bedrohungsgruppe hinweisen, die stärker mitmischt, als viele meinen: die Konkurrenten. Es liegt auf der Hand, dass sich diese Gruppe einen Wettbewerbsvorteil verschaffen möchte, indem sie Imageschäden verursacht, geistiges Eigentum stiehlt oder die Preise von rivalisierenden Unternehmen und Ländern unterbietet. Diese Gruppe nutzt automatisierte Angriffswerkzeuge wie Bots für das Scraping von Informationen. Manche von ihnen beauftragen Hacker mit der Störung von Services, während andere noch einen Schritt weitergehen und Gruppen dafür bezahlen, dass sie in Netzwerke eindringen und vertrauliche oder sensible Daten stehlen.

Im Anschluss an die Mirai-Botnet-Angriffe auf Krebs, OVH und Dyn DNS wurde ein Akteur mit dem Pseudonym „BestBuy“ beschattet und verhaftet, als er versuchte, 900.000 Internetmodems von Kunden der Deutschen Telekom zu versklaven. BestBuy, der im echten Leben Daniel Kaye heißt, besaß damals bereits ein auf Mirai basierendes Botnet aus 400.000 Bots. Er schmiedete seinen Plan, nachdem er vom CEO von Cellcom Liberia dafür angeheuert wurde, den Ruf von Lonestar MTN zu zerstören, dem schärfsten Konkurrenten von Cellcom in Liberia. Kaye startete seine Angriffe über den damals bekanntesten Stresser-Dienst namens „vDoS“. Doch vDoS war nicht leistungsstark genug, um ein großes Mobilunternehmen wie Lonestar in die Knie zu zwingen. Weil kurz davor der Quellcode des Mirai-Botnets bekannt geworden war, baute sich Kaye mit diesem Code sein eigenes Botnet. Im November 2016 versuchte der Auftragshacker, die Services von Lonestar MTN zu stören – und legte dabei das Internet in ganz Liberia lahm. Daniel Kaye wurde im Januar 2019 am Luton Airport in London festgenommen, als er nach einem Treffen mit seinem Cellcom-Kontakt nach Zypern zurückfliegen wollte.

Welche Tools und Techniken werden für DoS-Angriffe bevorzugt eingesetzt?

Weniger raffinierte Akteure greifen auf DDoS-as-a-Service-Portale zurück. Diese Portale sind im öffentlichen Internet überall verfügbar und mit einer Google-Suche leicht zu finden. DDoS-as-a-Service-Plattformen, die auch als Booter oder Stresser bezeichnet werden, bieten genug Schlagkraft, um die meisten Unternehmen empfindlich zu treffen.

Wer größere Ambitionen verfolgt, wie z. B. organisierte kriminelle Gruppen oder Auftragshacker, findet bei Stresser-Diensten meist nicht die nötige Reichweite, Flexibilität oder Rentabilität. Dann werden in der Regel eigene Angriffswerkzeuge entwickelt, die aus Botnets und Angriffsinfrastruktur bestehen. Botnets dienen normalerweise zum Generieren einer hohen Anzahl an Paketen oder Anfragen pro Sekunde. Mit solchen Angriffen werden die Ressourcen von Netzwerkgeräten oder Servern überlastet. Angriffsserver werden typischerweise für Reflection- und Amplification-Angriffe eingesetzt. Diese Server suchen nach Internetdiensten, die sich für Amplification-Angriffe eignen, darunter DNS, NTP, SSDP und Memcached. Auf der Basis von Amplification-Server-Listen verüben die Angriffsserver Volumen-DoS-Angriffe, die zu einer Uplink-Sättigung führen. Täuschen Sie sich nicht – das Internet hat ein enormes Amplification-Potenzial. Für Reflection werden keine großen Server benötigt. Wir konnten viele Angriffe beobachten, bei denen bekannte Router-Marken mit DNS-Diensten ausgenutzt wurden, die standardmäßig Rekursion erlauben. 2021 veröffentlichten Wissenschaftler eine Studie, in der sie neue Wege zur Nutzung gefälschter TCP-Pakete aufzeigten, um verheerende DDoS-Amplification-Angriffe mit Verstärkungsfaktoren von 50.000 bis 100.000.000 zu generieren.

Wie können Sie sich schützen?  Welcher Abwehrmechanismus ist am effektivsten?

Aus unserer Erfahrung ist eine Cloud-basierte Lösung am effektivsten, um alle Angriffe abzuwehren, selbst Volumen-Angriffe, denen die Internet-Links der geschützten Website kapazitätsmäßig nicht gewachsen sind. Die ultimative Lösung für Unternehmen, die minimale Latenz und maximalen Schutz benötigen, besteht in einer hybriden DDoS-Lösung. Dabei werden On-Premise-Funktionen für Erkennung und Prävention kombiniert. Gleichzeitig erfolgt eine automatische Umleitung an ein Cloud-Scrubbing-Center, wenn aufgrund des Angriffsvolumens eine Übersättigung der Internet-Links droht.

Die Zukunft der DDoS-Bedrohungslandschaft

Da die Bandbreiten von Interconnects, Clouds und Internetverbindungen zunehmen, werden Angriffe immer umfangreicher und wirkungsvoller. Sowohl Unternehmen als auch Haushalte (Heimautomatisierung, Online-Streaming, vernetzte Autos) sind stärker denn je auf Internetkonnektivität angewiesen. Weil sich die Digitalisierung während der Pandemie beschleunigt hat, bestehen mehr Möglichkeiten, um Unternehmen und Privatpersonen durch DoS-Angriffe zu schaden. Aufgrund des Erfolgs früherer Ransomware-Kampagnen ist es sehr wahrscheinlich, dass die Zahl der Ransom DoS-Versuche in naher Zukunft ansteigen wird.

Abbildung 1: Gesamtzahl der blockierten bösartigen Netzwerkvorfälle im Cloud-DDoS-Schutzservice von Radware – 2020 versus 2021

Da die Zahl der blockierten bösartigen Vorfälle pro Kunde stetig wächst, scheinen uns DDoS-Angriffe erst einmal erhalten zu bleiben. Angesichts der vielen Schwachstellen, die in den letzten zwei Jahren aufgedeckt wurden, wird es immer leichter, große Botnets aufzubauen und leistungsstarke Amplification-Dienste auszunutzen. Unsere Unternehmen und unser Alltag sind immer stärker digitalisiert. Wir verlagern Applikationen in die Cloud, sodass vernetzte Abhängigkeiten zwischen Online- und mobilen Applikationen entstehen. Ferner sind wir immer stärker auf die Services und Web-APIs von Dritten angewiesen, von vernetzten Autos und Häusern bis hin zum Konsum von Online-Videos. Und weil wir zunehmend von Clouds und Konnektivität abhängig sind, machen wir uns angreifbar und schaffen mehr Gelegenheiten für Missetäter, ihr Unwesen zu treiben.

Aufgrund des Erfolgs bisheriger Ransomware-Kampagnen ist mit hoher Wahrscheinlichkeit davon auszugehen, dass die Zahl der Ransom DoS-Versuche in Kürze zunehmen wird. Mein Forschungsteam ist sich einig, dass die Zukunft mehr Chancen für groß angelegte Denial-of-Service-Angriffe bieten wird. Deshalb behalten wir die Schachzüge, Strategien und Methoden von böswilligen Akteuren in der DDoS-Bedrohungslandschaft genau im Auge. Durch die Weitergabe unserer Erkenntnisse möchten wir Unternehmen helfen, sich selbst rechtzeitig und gezielt zu schützen, damit Kriminelle möglichst wenig Schaden anrichten können. Wie bei den meisten Sicherheitsbedrohungen gilt, dass Angriffen und Angreifern die Luft ausgehen wird, wenn man ihnen die wirtschaftliche Grundlage der Bedrohung entzieht. Aber es ist ein ständiger Kreislauf, und für jeden Schritt nach vorne werden wir auch einen zurückgeworfen, weil die Technologie und die Digitalisierung der Welt weiter voranschreiten.

Im Radware Hacker-Almanach 2021 – The Evolution of Threat Actors erfahren Sie mehr zu den Strategien und Methoden von Bedrohungsakteuren.

Vorheriger ArtikelCyberprognosen für 2022: Vorbereitung auf künftige Sicherheitsherausforderungen
Nächster ArtikelWarum Unternehmen den zunehmenden Bot-Angriffen nicht gewachsen sind
As the Director, Threat Intelligence for Radware, Pascal helps execute the company's thought leadership on today’s security threat landscape. Pascal brings over two decades of experience in many aspects of Information Technology and holds a degree in Civil Engineering from the Free University of Brussels. As part of the Radware Security Research team Pascal develops and maintains the IoT honeypots and actively researches IoT malware. Pascal discovered and reported on BrickerBot, did extensive research on Hajime and follows closely new developments of threats in the IoT space and the applications of AI in cyber security and hacking. Prior to Radware, Pascal was a consulting engineer for Juniper working with the largest EMEA cloud and service providers on their SDN/NFV and data center automation strategies. As an independent consultant, Pascal got skilled in several programming languages and designed industrial sensor networks, automated and developed PLC systems, and lead security infrastructure and software auditing projects. At the start of his career, he was a support engineer for IBM's Parallel System Support Program on AIX and a regular teacher and presenter at global IBM conferences on the topics of AIX kernel development and Perl scripting.

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here