In het tweede kwartaal van 2022 bereikten DDoS-aanvallen (Distributed Denial of Service) een nieuw niveau: het aandeel van slimme aanvallen en de gemiddelde duur stegen sterk.
In vergelijking met het voorgaande jaar is de gemiddelde duur van een DDoS-aanval met een factor 100 gestegen tot 3.000 minuten. Het aandeel van slimme aanvallen brak bijna het record van vier jaar geleden en was goed voor bijna 50% van het totaal. Experts verwachten ook een toename van de totale DDoS-activiteit, vooral met de recente ineenstorting van cryptocurrency. Deze en andere bevindingen maken deel uit van een DDoS kwartaalrapport van Kaspersky.
Een DDoS-aanval is bedoeld om de normale werking van een website te belemmeren of volledig te laten crashen. Zulke aanvallen zijn meestal gericht op overheidsinstellingen, retail- of financiële bedrijven, media of andere organisaties. Tijdens zo’n aanval verliest het slachtoffer klanten doordat zijn website niet beschikbaar is en kan het bedrijf reputatieschade oplopen.
Van kwantiteit naar kwaliteit
Kaspersky-oplossingen beschermden gebruikers tegen ongeveer 2,5 keer meer DDoS-aanvallen vergeleken met cijfers van het tweede kwartaal van 2021. Tegelijkertijd daalden de absolute aantallen in Q2 2022, in tegenstelling tot het begin van het jaar met zijn dramatische toename van aanvallen als gevolg van hacktivistische activiteiten. Dit betekent echter niet dat de DDoS-markt is afgekoeld. Integendeel, de kwaliteit van de aanvallen is veranderd en ze zijn langer en ingewikkelder geworden.
Vergelijking van aantal DDoS-aanvallen: Q2 2022 en Q2 2021, alsook Q1 2022. De data van Q2 2021 zijn genomen als 100%.
Gemiddelde DDoS-sessie duurde 100 keer langer
De gemiddelde duur van een aanval in Q2 2022 was 3.000 minuten, ofwel twee dagen. Dat is 100 keer langer dan in Q2 2021, toen een aanval gemiddeld slechts 30 minuten duurde. In vergelijking met het eerste kwartaal van 2022, dat werd gekenmerkt door een ongekende duur van DDoS-sessies als gevolg van hacktivistische activiteiten, laat het cijfer voor Q2 ook een stijging zien - met een factor drie.
Sommige aanvallen in het afgelopen kwartaal duurden dagen of zelfs weken. Een record werd gevestigd door een aanval met een duur van 41.441 minuten, wat net iets minder is dan 29 dagen.
Een vergelijkende duur van DDoS-aanvallen: Q2 2022 en Q2 2021, alsook Q1 2022. De gegevens voor Q2 2021 zijn genomen als 100%.
"Het is extreem duur om een aanval zo lang door te laten gaan, vooral als deze niet effectief is omdat deze wordt gefilterd door security-oplossingen. Wanneer bots constant actief zijn, neemt het risico op botnet-slijtage, node-storing of detectie door controlecentra toe. De extreme duur van deze aanvallen en de groei van het aantal slimme en gerichte DDoS-aanvallen doen ons afvragen wat de capaciteiten, professionele verwantschap en financieringsbronnen van de organisatoren zijn," zegt Alexander Gutnikov, security-expert bij Kaspersky.
Slimme aanvallen streven naar records
Elke tweede aanval die in het tweede kwartaal van 2022 door Kaspersky's producten werd gedetecteerd, was slim, wat betekent dat de organisatoren geavanceerde voorbereidingen hebben getroffen. Bijna 50% van de aanvallen dit kwartaal was een slimme aanval, wat bijna een nieuw record was. Het hoogste aandeel ooit was vier jaar geleden toen de DDoS-markt in een dip zat. Het is onverwacht om zulke hoge cijfers te zien in een "verhit" jaar in termen van DDoS-activiteit.
Het aandeel slimme DDoS-aanvallen: Q2 2022, Q2 2021 en Q1 2022.
Wat heeft de DDoS-markt te maken met cryptocurrency?
Wat het aantal DDoS-aanvallen betreft, was het tweede kwartaal rustiger dan het eerste. Dit is een gebruikelijk fenomeen: de experts zien meestal een daling van de DDoS-activiteit richting de zomer. Volgens het Kaspersky DDoS Intelligence systeem kwam dit jaar de dynamiek van het aantal DDoS-aanvallen binnen het kwartaal niet overeen met dit typische patroon. Na een vertraging aan het einde van het eerste kwartaal, groeide de botnetactiviteit gestaag gedurende het tweede kwartaal, wat resulteerde in meer activiteit in juni dan in april. Dit komt overeen met de daling van cryptocurrency, die gewoonlijk de opwarming van de DDoS-markt stimuleert.
"De ineenstorting van cryptocurrencies begon met de keldering van de Terra (Luna) en is sindsdien alleen maar in een stroomversnelling geraakt. Verschillende factoren wijzen erop dat de tendens zich kan voortzetten: zo verkopen cryptominers bijvoorbeeld farms tegen lage prijzen aan gamers. Dit kan leiden tot een toename van wereldwijde DDoS-activiteit," legt Gutnikov uit.
Om beschermd te blijven tegen DDoS-aanvallen, raden experts aan om webresources te onderhouden door specialisten aan te wijzen die begrijpen hoe ze op DDoS-aanvallen moeten reageren. Daarnaast is het belangrijk contracten en contactgegevens van derden te valideren, inclusief die van internetproviders. Dit helpt teams snel toegang te krijgen tot contracten in geval van een aanval. Ook is het handig om je bedrijfsverkeer te kennen. Gebruik netwerk- en applicatiemonitoringtools om trends en tendensen in het verkeer te identificeren. Door inzicht te krijgen in de typische verkeerspatronen en -kenmerken van je bedrijf, kun je een basislijn vaststellen om ongebruikelijke activiteit die symptomatisch is voor een DDoS-aanval eenvoudiger te identificeren. Tot slot, zorg dat je klaar bent voor een verdedigingsplan B. Wees in staat om bedrijfskritische diensten snel te herstellen in het geval van een DDoS-aanval.
Bron: kaspersky.com, securelist.com, winmagpro.nl
Meer DDoS nieuws
Servers uit de lucht na onderzoek 'WeLeakInfo'
De Nederlandse politie heeft in nauwe samenwerking met de politie in België en de FBI een onderzoek gedraaid rond de online verkoop van gestolen inloggegevens en het faciliteren van DDoS aanvallen tegen betaling. Dinsdag is in België een verdachte aangehouden en zijn er huiszoekingen gedaan waarbij gegevensdragers en communicatiemiddelen in beslag zijn genomen. Tegelijkertijd zijn de criminele websites offline gehaald en de onderliggende ICT-infrastructuur in beslag genomen en ontoegankelijk gemaakt.
Een onbereikbare website het is de nachtmerrie van elke online ondernemer
Op die angst speelde een 25-jarige verdachte uit Veenendaal op slinkse wijze in. Hij wordt ervan verdacht DDOS-aanvallen uitgevoerd te hebben op meer dan twintig websites van internetondernemingen, waarbij klanten online bijvoorbeeld bloemen, meubels of verf kunnen bestellen. Na de eerste aanval eiste de verdachte betalingen in bitcoins van de getroffen bedrijven. Daarmee zouden ze nieuwe aanvallen – en een langdurig onbereikbare website – kunnen voorkomen (RDDOS).
21 jarige deed “voor de fun” een DDoS aanval op mijnoverheid.nl
Het Openbaar Ministerie eist vier maanden voorwaardelijke celstraf en 240 uur taakstraf tegen een 21-jarige man die DDoS-aanvallen uitvoerde op overheidswebsites.
Kopers van DDoS-aanval krijgen waarschuwing van cybercrimeteam
Maandag 11 oktober verstuurde de politie een brief naar 29 mensen die in verband worden gebracht met de aankoop van een DDoS-aanval. De brief geldt als laatste waarschuwing. Eerder werden in dit onderzoek al 2 doorzoekingen gedaan. Het onderzoek gaat nog verder.
Belgie: “Conclusies over de cyberaanval zijn voorbarig. Maar het is belangrijk om die gevoelige context te signaleren. Dat ontkennen is naïef”
Het Belgische Belnet ligt momenteel onder vuur. Het netwerk werd gisteren rond het middaguur getroffen door een DDoS-aanval. Meerdere overheidsdiensten kunnen daardoor geen gebruik maken van het internet. Het is onduidelijk wie er achter de aanval zit.
Een verdubbeling in het eerste kwartaal van het aantal DDoS aanvallen
Gisteren is het DDoS rapport gepubliceerd van het afgelopen kwartaal (Q1-2021) door cyber resilience bedrijf Link11. In het eerste kwartaal van 2021 bleven cybercriminelen misbruik maken van de pandemie om bedrijven en hun IT-infrastructuren aan te vallen.