Dramatische stijging van DDoS-aanvallen in 2025, wat betekent dit voor organisaties?

Gepubliceerd op 29 april 2025 om 12:04

Reading in another language

Deze podcast is AI-gegeneerd. (Engels)

Het eerste kwartaal van 2025 heeft een alarmwekkende toename in DDoS-aanvallen (Distributed Denial of Service) laten zien. Deze aanvallen, die bedrijven en overheidsinstellingen kunnen lamleggen, nemen in zowel aantal als complexiteit toe. Cloudflare, een van de grootste aanbieders van beveiligingsdiensten voor websites, heeft onlangs een rapport gepresenteerd waarin wordt beschreven hoe de dreiging zich ontwikkelt. In dit artikel duiken we dieper in de cijfers en trends rondom DDoS-aanvallen en bespreken we wat organisaties kunnen doen om zich tegen deze groeiende bedreiging te wapenen.

Toename van DDoS-aanvallen in het eerste kwartaal van 2025

In het eerste kwartaal van 2025 blokkeerde Cloudflare maar liefst 20,5 miljoen DDoS-aanvallen, een stijging van maar liefst 358% ten opzichte van het voorgaande jaar. Dit aantal is niet alleen indrukwekkend, maar toont ook aan dat DDoS-aanvallen steeds vaker en omvangrijker worden. Deze aanvallen richten zich vaak op de netwerkinfrastructuur en de applicaties van bedrijven, met als doel hen tijdelijk of permanent uit te schakelen. De afgelopen drie maanden van dit jaar zijn 16,8 miljoen van deze aanvallen gericht op de netwerklaag (Layer 3/4), een toename van 509% in vergelijking met dezelfde periode vorig jaar. Daarnaast werd een significant aantal HTTP-aanvallen uitgevoerd, wat wijst op de breedte van de dreiging en de verschillende aanvalsvectoren die cybercriminelen tegenwoordig gebruiken.

Het is opvallend dat de grootste aanvallen in het eerste kwartaal van 2025 tot wel 1 terabit per seconde (Tbps) of 1 biljoen pakketjes per seconde (Bpps) stegen. Dit zijn recordhoogtes die duiden op de kracht en effectiviteit van de gebruikte methoden. De kortdurende maar zeer intense aard van deze hyper-volumetrische aanvallen maakt het des te moeilijker voor organisaties om snel en effectief in te grijpen. De gemiddelde duur van deze aanvallen varieerde van 35 tot 45 seconden, maar de impact ervan kan langdurig zijn, afhankelijk van hoe goed de verdediging van een organisatie is ingesteld.

Verschillende aanvalstechnieken en hun gevolgen

De methoden die cybercriminelen gebruiken om DDoS-aanvallen uit te voeren, variëren sterk. Een van de meest voorkomende aanvalstechnieken is de SYN-flood, waarbij de aanvaller gebruikmaakt van een zwakte in het TCP/IP-protocol. Dit type aanval blijft een populaire keuze omdat het eenvoudig uit te voeren is en veel schade kan veroorzaken. Naast de SYN-floods werd ook het Mirai-botnet ingezet voor DDoS-aanvallen. Dit botnet bestaat uit duizenden geïnfecteerde apparaten, zoals routers en beveiligingscamera’s, die gezamenlijk een enorme hoeveelheid verkeer kunnen genereren.

In 2025 zien we ook een explosieve stijging van amplificatie-aanvallen, zoals SSDP- en CLDAP-aanvallen. SSDP (Simple Service Discovery Protocol) en CLDAP (Connectionless Lightweight Directory Access Protocol) zijn beide netwerktechnieken die aanvallers kunnen misbruiken om een grotere hoeveelheid verkeer te genereren dan normaal zou moeten. In het geval van SSDP-aanvallen zagen we een stijging van maar liefst 3.488% kwartaal-op-kwartaal. Dit wijst erop dat aanvallers hun technieken blijven verfijnen en nieuwe manieren vinden om nog krachtiger aanvallen uit te voeren.

De grotere, hyper-volumetrische aanvallen zijn een andere belangrijke trend. Deze aanvallen kunnen snel enorme hoeveelheden verkeer op een netwerk afvuren, waardoor het bijna onmogelijk wordt voor de getroffen organisatie om snel te reageren. Deze aanvallen bereiken steeds hogere pieken in termen van snelheid en volume, zoals de records van 4,8 Bpps en 6,5 Tbps die in het eerste kwartaal van 2025 werden geregistreerd.

Doelen en sectoren die het vaakst worden aangevallen

Hoewel DDoS-aanvallen overal kunnen plaatsvinden, zijn er bepaalde sectoren die vaker het doelwit zijn van aanvallen. In het eerste kwartaal van 2025 was de gok- en casino-industrie de meest aangevallen sector, een opvallende verschuiving ten opzichte van voorgaande jaren, waarin vooral telecom- en internetserviceproviders vaak werden getroffen. De toename van aanvallen op de gokindustrie kan te maken hebben met de toenemende digitalisering van deze sector en de vaak grote hoeveelheden geld die in het spel zijn.

De telecomsector, die traditioneel vaak wordt aangevallen vanwege het strategische belang van de infrastructuur, zakte naar de tweede plaats. Dit betekent niet dat de dreiging voor deze sector is afgenomen, maar dat andere sectoren, zoals de cyberbeveiligings- en luchtvaartsectoren, ook in opkomst zijn als doelwitten van DDoS-aanvallen. In 2025 is de cyberbeveiligingsindustrie zelf het doelwit van een aanzienlijke stijging van aanvallen, wat aangeeft dat zelfs de organisaties die zich bezighouden met de bescherming tegen cybercriminaliteit zelf niet immuun zijn voor aanvallen.

Het lijkt erop dat de aanvallers zich meer richten op bedrijven en organisaties die van strategisch belang zijn, zoals aanbieders van internetdiensten, luchtvaartmaatschappijen en zelfs de bedrijven die DDoS-aanvallen kunnen bestrijden. Deze verschuiving kan te maken hebben met de grotere economische en geopolitieke belangen die steeds vaker op het spel staan.

Aanvallers en hun motieven

Het is vaak moeilijk om precies te achterhalen wie de aanvallers zijn, maar Cloudflare heeft enkele inzichten gedeeld over de motieven en herkomst van de aanvallen. In veel gevallen blijkt de identiteit van de aanvallers onbekend, wat de situatie extra complex maakt. Het is echter wel bekend dat ongeveer 39% van de DDoS-aanvallen wordt uitgevoerd door concurrenten, wat duidt op het strategische gebruik van DDoS-aanvallen om de concurrentie uit te schakelen.

Daarnaast is er een groeiende bezorgdheid over staatsgesponsorde DDoS-aanvallen, die verantwoordelijk zijn voor ongeveer 17% van de gevallen. Dit wijst erop dat sommige landen DDoS-aanvallen gebruiken als een middel om economische en politieke doelen te bereiken. Ook ontevreden gebruikers en voormalige medewerkers blijken in sommige gevallen de aanval te hebben gepleegd, wat aangeeft dat de interne dreiging niet altijd uitgesloten kan worden.

Andere motieven voor DDoS-aanvallen zijn afpersing en zelf-DDoS, waarbij bedrijven of organisaties worden bedreigd om losgeld te betalen om de aanval te beëindigen. Dit benadrukt de gevaren van een niet-beschermde infrastructuur, die vatbaar kan zijn voor dergelijke vormen van digitale extorsie.

Strategieën voor mitigatie en verdediging

Gezien de dramatische stijging van DDoS-aanvallen in 2025, is het voor organisaties essentieel om robuuste strategieën te ontwikkelen om deze dreiging te mitigeren. Cloudflare heeft verschillende methoden ontwikkeld om DDoS-aanvallen effectief te bestrijden. De technologie achter hun autonome verdediging is bijzonder belangrijk omdat deze aanvallen kan detecteren en blokkeren zonder dat menselijke tussenkomst nodig is. Dit is essentieel omdat DDoS-aanvallen vaak van korte duur zijn en snel moeten worden gedetecteerd en gestopt.

Daarnaast biedt Cloudflare’s Magic Transit bescherming voor hosting- en internetserviceproviders, die bijzonder kwetsbaar zijn voor DDoS-aanvallen. Een andere handige tool is Radar, een interactieve tool die organisaties inzicht geeft in DDoS-trends en hen helpt zich beter voor te bereiden op toekomstige aanvallen.

Voor organisaties die niet gebruik maken van dergelijke gespecialiseerde diensten, zijn er enkele belangrijke best practices. Het is essentieel om altijd-aan bescherming te hebben, aangezien DDoS-aanvallen vaak van korte duur zijn maar ernstige gevolgen kunnen hebben. Verder is continue monitoring van netwerkverkeer van cruciaal belang, zodat verdachte activiteiten vroegtijdig kunnen worden opgemerkt. Organisaties moeten ook voorbereid zijn op snelle incidentrespons, wat inhoudt dat er duidelijke procedures moeten zijn voor het omgaan met een aanval zodra deze plaatsvindt.

Wat de toekomst brengt

De verwachting is dat DDoS-aanvallen in de toekomst alleen maar zullen blijven toenemen. De dreiging is steeds complexer en uitdagender geworden, en de technologie die door aanvallers wordt gebruikt, blijft zich ontwikkelen. Organisaties moeten niet alleen hun huidige verdedigingssystemen verbeteren, maar ook proactief blijven in het zoeken naar nieuwe manieren om hun netwerken te beschermen. Dit vereist voortdurende innovatie en samenwerking met experts om de nieuwste dreigingen te begrijpen en te bestrijden.

De DDoS-aanvallen in het eerste kwartaal van 2025 zijn een wake-up call voor organisaties wereldwijd. De dramatische toename van het aantal en de intensiteit van deze aanvallen benadrukt de noodzaak voor voortdurende investering in cyberbeveiliging en de implementatie van robuuste verdedigingsstrategieën. Organisaties moeten niet alleen reageren op de dreiging, maar ook proactief zijn in het ontwikkelen van methoden om deze snelgroeiende en steeds complexer wordende aanvallen af te weren.

Bron: Cloudflare

Wat is?

  • DDoS-aanval (Distributed Denial of Service): Dit is een type cyberaanval waarbij een netwerk of website wordt overspoeld met zoveel verkeer dat deze niet meer bereikbaar is voor gebruikers. De aanval komt van meerdere bronnen tegelijk, wat het moeilijk maakt om de bron van het probleem te traceren.

  • Botnet: Een botnet is een netwerk van geïnfecteerde computers of apparaten die op afstand kunnen worden bestuurd door een cybercrimineel. Deze apparaten kunnen samen worden gebruikt om grote aanvallen uit te voeren, zoals DDoS-aanvallen.

  • SYN-flood: Een techniek waarbij een aanvaller veel "SYN" verzoeken naar een server stuurt, zonder deze af te maken. Hierdoor raakt de server overbelast en kan het geen nieuwe verzoeken verwerken, wat resulteert in een verstoring van de service.

  • Amplificatie-aanvallen: Dit is een techniek waarbij de aanvaller een klein verzoek verstuurt naar een netwerkprotocol dat een veel groter antwoord genereert. Dit vergroot de impact van de aanval. Voorbeelden zijn SSDP- en CLDAP-aanvallen.

  • Hyper-volumetrische aanvallen: Dit zijn DDoS-aanvallen die extreem veel verkeer genereren, vaak in de orde van terabits per seconde (Tbps) of biljoenen pakketjes per seconde (Bpps). Ze zijn krachtig en kunnen snel een netwerk platleggen.

  • Netwerklaag (Layer 3/4): Dit verwijst naar de lagen in het netwerkprotocol van het internet. Aanvallen op deze laag richten zich op de infrastructuur van een netwerk en kunnen bijvoorbeeld zorgen dat een website of server onbereikbaar wordt door overbelasting van de verbindingen.

  • HTTP-aanvallen: Dit is een type DDoS-aanval die zich richt op de webservers van een website door overmatig verkeer te sturen dat specifiek gericht is op HTTP (HyperText Transfer Protocol), het protocol dat wordt gebruikt om webpagina's te laden.

  • SSDP (Simple Service Discovery Protocol): Een netwerkprotocol dat apparaten in een lokaal netwerk helpt om elkaar te vinden. Aanvallers kunnen dit protocol misbruiken om een grote hoeveelheid verkeer naar een doelwit te sturen.

  • CLDAP (Connectionless Lightweight Directory Access Protocol): Een netwerkprotocol dat wordt gebruikt om toegang te krijgen tot directoryservices, zoals een lijst van gebruikers in een netwerk. Het kan worden misbruikt voor DDoS-aanvallen door een grote hoeveelheid verkeer naar een doelwit te sturen.

  • Incidentrespons: Dit verwijst naar de acties die een organisatie onderneemt om snel en effectief te reageren op een cyberincident, zoals een DDoS-aanval, om de schade te beperken en de systemen weer operationeel te krijgen.

Ontdek meer over cybercrime en het darkweb in onze uitgebreide bibliotheek. Voor een gestructureerd overzicht van relevante onderwerpen kun je terecht op onze onderwerpenpagina, waar je een alfabetisch gerangschikte lijst vindt.

Gerelateerd nieuws:

  • DDoS-aanvallen op websites van de gemeente Utrecht en de gemeente Den Haag (29 april)
    De groep NoName heeft beweerd verantwoordelijk te zijn voor DDoS-aanvallen op twee belangrijke websites in Nederland: de gemeentelijke sites van Utrecht en Den Haag. DDoS, oftewel Distributed Denial of Service, is een aanval die gericht is op het verstoren van de toegang tot websites door deze te overspoelen met verkeer, waardoor ze onbereikbaar worden voor reguliere gebruikers. Deze aanval is een voorbeeld van de toenemende dreigingen die overheden en bedrijven wereldwijd treffen. Dergelijke aanvallen kunnen aanzienlijke verstoringen veroorzaken in de dienstverlening en zijn vaak een teken van bredere cyberaanvallen of politieke motieven. De aangevallen gemeenten zullen waarschijnlijk hun IT-infrastructuur en beveiligingsmaatregelen evalueren om zich tegen verdere aanvallen te wapenen.
  • DDoS aanval op Nederlandse provincies en gemeenten (28 april)

De hackersgroep NoName heeft verklaard meerdere websites van Nederlandse provincies te hebben aangevallen met een DDoS aanval. De getroffen provincies zijn Drenthe, Groningen, Noord-Brabant, Noord-Holland en Overijssel. Bij een DDoS aanval worden websites overspoeld met zoveel verkeer dat ze tijdelijk onbereikbaar kunnen worden. De motieven achter deze aanval zijn nog niet duidelijk, maar dergelijke acties worden vaak ingezet om onrust te veroorzaken of politieke statements te maken. Er is nog geen informatie bekend over langdurige schade of datalekken als gevolg van deze aanval. Overheden en betrokken partijen werken aan herstel en beveiligingsmaatregelen om de dienstverlening snel te herstellen en toekomstige aanvallen te voorkomen.

  • Russische hackers richten ddos-aanvallen uit op Nederlandse websites (28 april)

Op maandag 28 april 2025 werden de websites van verschillende Nederlandse provincies en gemeenten aangevallen door Russische hackers. De aanvallen waren gericht op de provincies Groningen, Noord-Holland, Zeeland, Drenthe, Overijssel, en Noord-Brabant, evenals de gemeenten Apeldoorn, Breda, Nijmegen, en Tilburg. De hackersgroep NoName, die bekendstaat om dergelijke ddos-aanvallen, claimde de verantwoordelijkheid voor de aanval. Ze voerden deze uit vanwege Nederland’s steun aan Oekraïne, wat de groep als doelwit had. Ddos-aanvallen verstoren websites door overmatige verkeerstoegang, waardoor de servers bezwijken en de websites tijdelijk onbereikbaar worden. De getroffen websites waren tegen 14.00 uur weer online. Deze aanval is niet de eerste keer dat NoName Nederlandse doelwitten aanvalt, aangezien er vorig jaar ook soortgelijke aanvallen plaatsvonden.

  • DDoS-aanvallen treffen Belgische organisaties (12 april)

In de vroege uren van 12 april 2025 heeft de cybercriminele groep Dark Storm Team meerdere DDoS-aanvallen opgeëist op Belgische doelen. De getroffen organisaties zijn luchtvaartmaatschappij Sabena, de Federatie Wallonië-Brussel en het provinciale RSZ-kantoor in Brugge. Deze aanvallen maken gebruik van een tactiek bekend als Network Denial of Service, waarbij de beschikbaarheid van netwerken en digitale diensten wordt verstoord door het netwerkverkeer te overbelasten. Dit soort aanvallen is vaak gericht op websites, e-maildiensten en webapplicaties en kan ingezet worden om politieke boodschappen te verspreiden, aandacht af te leiden of afpersing toe te passen. Dark Storm Team lijkt met deze actie publieke en logistieke sectoren in België bewust te hebben geviseerd. De impact ligt vooral op het gebied van bereikbaarheid en continuïteit van dienstverlening.

  • DDoS-aanval treft meerdere Belgische organisaties (6 april)

Op 6 april 2025 heeft de pro-Russische hackersgroep NoName een reeks DDoS-aanvallen opgeëist op verschillende Belgische websites. Onder de getroffen doelwitten bevinden zich overheidsinstanties zoals het Grondwettelijk Hof en de Provincie Luik, evenals private bedrijven waaronder internetproviders BASE en Telenet. Ook de domeinbeheerder Nomeo en het bedrijf Allweb Belgium zouden zijn aangevallen. Een DDoS-aanval, oftewel een Distributed Denial of Service aanval, is gericht op het overbelasten van servers zodat websites onbereikbaar worden. Zulke aanvallen worden vaak ingezet als digitale verstoringsactie en kunnen de continuïteit van zowel publieke als commerciële diensten ernstig beïnvloeden. Hoewel de impact op dit moment nog niet volledig duidelijk is, benadrukt deze aanval opnieuw het belang van digitale weerbaarheid en samenwerking tussen publieke en private partijen om snel te kunnen reageren op zulke dreigingen.

Reactie plaatsen

Reacties

Er zijn geen reacties geplaatst.