Vanwege de COVID-19 pandemie is er een forse toename geweest van het aantal DDoS-aanvallen. In april, mei en juni 2020 lag het aantal geregistreerde aanvallen gemiddeld 97 procent hoger dan in dezelfde periode vorig jaar. Dat blijkt uit het halfjaarlijkse DDoS-rapport van Link11, aanbieder van cyber resilience-oplossingen.
Volgens het Link11 Security Operations Center (LSOC) bereikte de hoeveelheid aanvallen in mei zelf een piek van 108 procent meer dan in dezelfde maand van 2019. Volgens het securitybedrijf is er een potentieel risico dat cybercriminelen profiteren van het (inmiddels ingeburgerde) thuiswerken, een waarschuwing die de afgelopen maanden al vaker klonk. Het is daarom belangrijk dat organisaties risico’s uitsluiten bij hun thuiswerkers, zodat de aanvalstactieken van cybercriminelen worden ondermijnd, aldus Link11.
Toename multivector-aanvallen
Enkele conclusies uit het rapport zijn:
Multi-vector aanvallen nemen toe: één op de twee aanvallen (52%) combineerde verschillende aanvalstactieken, waartegen verdediging moeilijker is. Eén aanval omvatte zelfs 14 verschillende tactieken; het hoogste aantal tot nu toe geregistreerde vectoren.
Het aanvalsvolume van DDoS-aanvallen is op een hoog niveau gestabiliseerd en ligt gemiddeld op 4,1 Gbps. De grootste DDoS-aanval werd gestopt bij 406 Gbps. Bij bijna 500 aanvallen was het aanvalsvolume meer dan 50 Gbps. Dit is ruim boven de beschikbare verbindingsbandbreedte van de meeste bedrijven.
Het percentage DDoS-aanvallen vanuit de cloud was het afgelopen half jaar 47 procent hoger dan heel 2019 (45%). Klanten van allerlei providers werden slachtoffer, meestal waren dit klanten van Microsoft, Azure, AWS en Google Cloud. Aanvallers gebruiken vaak valse identiteiten en gestolen creditcards om toegang te krijgen tot cloud-accounts, waardoor het moeilijk is de criminelen achter de aanvallen te traceren.
De langste DDoS-aanval duurde 23 uur: intervalaanvallen duren gemiddeld 13 minuten en gedijen op herhaling. Hierdoor worden ze vaak als kleine pinpricks ingesteld.
Groeiend aantal reflection amplification vectoren: de meest gebruikte vectoren waren DNS, CLDAP en NTP, terwijl WS Discovery en Apple Remote Control nog steeds veel worden gebruikt nadat ze in 2019 waren ontdekt. Sinds het begin van het jaar heeft de vectorset voor DDoS-aanvallers zich ook uitgebreid met DVR DHCPDiscovery. Het LSOC ontdekte de vector die misbruik maakt van een kwetsbaarheid in digitale videorecorders. De nieuwe aanvalsmethode was in het tweede kwartaal van 2020 honderden keren gebruikt voor DDoS-aanvallen.
DDoS sources voor reflection amplification aanvallen worden over de hele wereld verspreid. De meeste aanvallen komen uit de VS, China en Rusland vandaan. Er is ook een sterke toename in aanvallen te herleiden naar Frankrijk.
DDOS-aanvallen focus op weekend, avond
Uit de analyse blijkt verder dat de frequentie van DDoS-aanvallen afhangt van de dag, de week en het tijdstip. De meeste aanvallen concentreren zich in het weekend en de avond. Op zaterdag en op werkdagen buiten de kantooruren worden ook meer aanvallen geregistreerd.
De pandemie heeft volgens Marc Wilczek, COO van Link11, organisaties gedwongen om hun digitale transformatieplannen te versnellen, maar heeft ook het aantal mogelijkheden voor cyberaanvallen vergroot. Hierdoor is de kans op maximale verstoring het offline gaan van kritieke systemen nog groter geworden.
"De 'nieuwe samenleving' zal voor veel bedrijven een groot beveiligingsrisico blijven vormen en er moet nog veel werk worden verzet om netwerken en systemen te beveiligen tegen volumeaanvallen. Organisaties moeten investeren in beveiligingsoplossingen op basis van automatisering, AI en machine learning. Dergelijk oplossingen zijn ontworpen om aanvallen met meerdere vectoren en beveiligingsmechanismen aan te pakken."
