Foto: Bits And Splits - shutterstock.com
DDoS-Angriffe, um Websites unerreichbar zu machen, waren auch im zweiten Quartal 2023 eine lästige und zeitfressende Plage. Zumal die Angriffe immer mächtige und ausgeklügelter werden.
Zu diesem Ergebnis kommt Cloudflare, Betreiber eines Content Delivery Networks und Anbieter von Internet-Sicherheitsdiensten, in seinem jüngsten Security-Report. Dazu analysierten die IT-Sicherheitsexperten unter anderem den Verkehr in ihrem eigenen Netz, das mehr als 300 Städte in über 100 Ländern verbindet.
Drei Angriffsmuster
Dabei kristallisierten sich im zweiten Quartal 2023 drei Muster heraus:
Mehrere gegen westliche Websites gerichtete DDoS-Offensiven, die von den prorussischen Hacktivisten-Gruppen REvil, Killnet und Anonymous Sudan orchestriert wurden.
Eine Zunahme von absichtlich herbeigeführten und gezielten DNS-Angriffen sowie ein 532-prozentiger Anstieg von DDoS-Angriffen unter Ausnutzung der Mitel-Schwachstelle (CVE-2022-26143).
Angriffe auf Kryptowährungsfirmen haben sich um 600 Prozent erhöht, während ein allgemeiner Anstieg von 15 Prozent bei HTTP-DDoS-Angriffen zu verzeichnen war. Bei diesen Attacken wurde eine alarmierende Eskalation bei der Raffinesse der Angriffe festgestellt.
Foto: Cloudflare
Einer der größten Angriffe in diesem Quartal war ein ACK-Flood-DDoS-Angriff, der von einer Mirai-Variante eines Botnets mit etwa 11.000 IP-Adressen ausging. Ziel der Attacke, die ihren Höhepunkt bei 1,4 Terabit pro Sekunde (Tbit/s) erreichte, war ein US-Internetdienst.
Angriffsdauer nimmt zu
Insgesamt weisen die übergeordneten Zahlen laut Cloudflare auf eine Zunahme der Gesamtdauer der Angriffe hin, doch die meisten Attacken sind von kurzer Dauer. So habe obige Attacke nur zwei Minuten gedauert. Generell sei jedoch festzustellen, dass die Zahl der Angriffe, die mehr als drei Stunden anhalten, im Quartalsvergleich um 103 Prozent stieg.
Finanzsystem im Visier
Foto: Cloudflare
Ferner droht Gefahr insbesondere durch prorussische Hacker. So hätten am 14. Juni die prorussischen Hacktivisten-Gruppen Killnet, REvil und Anonymous Sudan bekanntgegeben, dass sie sich zusammengeschlossen hätten, um "massive" Cyberangriffe auf das westliche Finanzsystem durchzuführen. Dazu zählen europäische und US-amerikanische Banken und des US Federal Reserve System.
Das Kollektiv mit dem Namen "Darknet Parliament" erklärte, sein erstes Ziel sei es, SWIFT (Society for Worldwide Interbank Financial Telecommunication) lahmzulegen. Ein erfolgreicher DDoS-Angriff auf SWIFT könnte schwerwiegende Folgen haben, da es sich dabei um den für Finanzinstitute wichtigsten Dienst zur Abwicklung globaler Finanztransaktionen handelt.
Ziele nach Branchen
Trotz der Aussagen der Hacktivisten waren Banken und Finanzdienstleister laut Cloudflare nur die am neunthäufigsten angegriffene Branche. Die am häufigsten angegriffenen Sektoren durch die Hacktivisten-Allianz waren der Bereich Computersoftware, das Glücksspiel- und Casino-Segment sowie die Gaming-Branche.
Foto: Cloudflare
An vierter und fünfter Stelle folgten Telekommunikations- und Medienunternehmen. Insgesamt erreichte der größte Angriff, den Cloudflare im Zuge dieser Kampagne registrierte, einen Spitzenwert von 1,7 Millionen Anfragen pro Sekunde. Der Durchschnitt lag bei 65.000 Anfragen pro Sekunde.
Deutsche Angriffsziele
In Deutschland hatten im letzten Quartal die DDoS-Angreifer vor allem die IT & Services im Visier. Rund 83 Prozent der Attacken richtete sich gegen diesen Bereich. Internet und Telcos folgen mit fünf beziehungsweise etwas über vier Prozent auf Platz 2 und 3.
Darüber hinaus haben die Security-Spezialisten in den letzten Monaten einen alarmierenden Anstieg von hochgradig zufälligen und ausgeklügelten HTTP-DDoS-Angriffen beobachtet. Es hat den Anschein, als ob die betreffenden Bedrohungsakteure die Angriffe absichtlich so aufgebaut haben, dass sie versuchen, Abwehrsysteme zu überwinden, indem sie das Verhalten des Browsers sehr genau imitieren.
Clevere Angriffsmethoden
Foto: Cloudflare
In einigen Fällen geschehe das durch die Einführung eines hohen Grades an Zufälligkeit bei verschiedenen Präsenzen wie Benutzeragenten und JA3-Fingerprints, um nur einige zu nennen. Zudem versuchten die Angreifer bei vielen dieser Attacken ihre Angriffsrate pro Sekunde relativ niedrig zu halten, um eine Entdeckung zu vermeiden und sich im legitimen Traffic zu verstecken.
Dieses Niveau an Raffinesse wurde bisher mit staatlichen und staatlich geförderten Bedrohungsakteuren in Verbindung gebracht. Es hat den Anschein, als ob nun auch Cyberkriminelle über diese Fähigkeiten verfügen. Ihre Aktionen haben sich bereits gegen prominente Firmen wie einen großen VoIP-Anbieter, ein führendes Halbleiterunternehmen und einen bedeutenden Zahlungs- und Kreditkartenanbieter gerichtet, um nur einige zu nennen.
Bedrohungslage selbst analysieren
Interessierte können mit Hilfe des interaktiven Cloudflare Radar auch selbst Analysen zu den aktuellen Angriffsmethoden und -zielen vornehmen.