Cyberaanvallen die online-diensten als websites, mailservers en clouddiensten platleggen komen steeds vaker voor. Opvallend genoeg houden DDoS-aanvallen nu minder lang aan, maar zijn ze wel heviger. En goedkoper. Voor de aanvallers wel te verstaan.
Cybercriminelen verbeteren hun aanvallen op online-diensten door nieuwe methodes te gebruiken voor het bestoken van hun doelwitten met overvloedige hoeveelheden verkeer. De daders achter DDoS-aanvallen (distributed denial of service) schakelen over op geavanceerdere technieken. De (over)belasting valt daarmee op efficiëntere wijze te veroorzaken. Bovendien zijn deze nieuwe aanvalsmethodes goedkoop uit te voeren.
Flinke uitschieters
De bandbreedte waarmee een gemiddelde DDoS-aanval toesloeg, lag in het tweede kwartaal van dit jaar op 7,76 Gbps (gigabit per seconde). Die netwerkbelasting ligt 72 procent hoger dan vorig jaarhet geval waszo blijkt uit metingen door DDoS-afweerleverancier Prolexic (onderdeel van cloudaanbieder en content-distributienetwerk Akamai). Naast de stijging van de gemiddelde DDoS-bandbreedte zijn de pieken nog veel meer gestegen. De uitschieters lagen maar liefst 241 procent hoger dan een jaar eerder.
Tegelijkertijd is de gemiddelde duur van een DDoS-aanval afgenomen: naar 17 uur. Voor de meeste slachtoffers is die periode nog altijd lang genoeg om flinke schade te lijden. Voorzitter Greg Medcraft van de beurswaakhondenassociatie International Organisation of Securities Commissions (Iosco) waarschuwt voor het groeiende gevaar van DDoS-aanvallen voor de financiële sector.
DDoS as a service
Zowel de van bandbreedte als de enorme uitschieters daarin zijn mogelijk doordat aanvallers sterker geschut weten in te zetten. Bovendien doen ze dat op slimmere manieren. Enerzijds kunnen botnetten van gekaapte zombie-pc’s een veel zwaardere verkeersoverlast veroorzaken. Dat komt door die afnemen. Anderzijds kapen cybercriminelen ook slecht beveiligde servers, die zijn voorzien van royale bandbreedte. Die zetten zij vervolgens ze serverkapingen zijn mogelijk door kwetsbare componenten. De inzet van die krachtiger dan ontoegankelijk worden voor het bestookte bedrijf.
Versterker op 11
De toename in DDoS-aanvalskracht is echter vooral te danken aan de populariteit van nieuwe technieken. Aanvallers weten daarmee hun afgevuurde datastromen te vermenigvuldigen. Soms wordt die versterking zelfs uitgevoerd door de onder vuur liggende systemen zelf. De daders maken namelijk misbruik van configuratiefouten in servers. Deze fouten zijn aanwezig in de geronselde ‘aanvalsmachines’ en soms ook in de systemen van de slachtoffers.
Daarnaast maken DDoS-uitvoerders misbruik van de functionaliteit in algemene internetprotocollen. Dit omvat veelgebruikte protocollen als NTP (Network Time Protocol), SMTP (Simple Network Management Protocol), DNS (Domain Name System) en CHARGEN (Character Generator). Het gebruik van deze reflectie- en versterkingstechnieken : het was in het tweede kwartaal goed voor 15 procent van alle DDoS-aanvallen, vermeldt het Prolexic Quarterly Global DDoS Attack Report.