Angriffe via Distributed-Denial of Service entwickeln sich in puncto Komplexität, Häufigkeit und Umfang weiter. Lumen Technologies trackt und entschärft diese Threats – einschließlich der Botnet-Familien Gafgyt und Mirai – und hat hierzu kürzlich seinen DDoS-Bericht für das erste Quartal 2021 veröffentlicht. Der Bericht bietet einen Überblick über die DDoS-Landschaft und identifiziert aktuelle Trends.
Als Grundlage für den Bericht dienten dem Lumen-Security-Team die Informationen von Black Lotus Labs – der unternehmens-eigenen Threat-Research-Unit – und Angriffstrends aus der Lumen-DDoS-Mitigation-Service-Plattform, die Gegenmaßnahmen direkt in das umfangreiche, globale Netzwerk des Unternehmens einbettet.
„Unternehmen sind zur Einnahmen-generierung zunehmend auf Webanwendungen angewiesen und viele erkennen, dass sie es nicht länger riskieren können, auf grundlegende DDoS-Abwehrmaßnahmen zu verzichten. Die Informationen in diesem Bericht unterstreichen dies einmal mehr“, so Mike Benjamin, Vice President of Security und Black Lotus Labs bei Lumen. „Während sich IoT-DDoS-Botnets kontinuierlich weiterentwickeln, konzentrieren wir uns bei Lumen darauf, unsere tiefen Einblicke zu nutzen, um schädliche Infrastrukturen zu identifizieren und zu zerschlagen.“
Zentrale Erkenntnisse des DDoS-Berichts für das erste Quartal 2021
Der DDoS-Bericht konzentriert sich auf die umfangreichsten Angriffe, die von der globalen DDoS-Scrubbing-Infrastruktur von Lumen gescrubbed wurden.
> IoT-Botnets:
- Angesichts von 700 aktiven Command-and-Control-Servern (C2s) und Angriffen auf insgesamt 28.000 verschiedene Opfer sind bekannte IoT-Botnets wie Gafgyt und Mirai nach wie vor ernsthafte DDoS-Bedrohungen.
- Lumen trackte im ersten Quartal weltweit fast 3.000 DDoS-C2s. Die meisten wurden in Serbien (1.260) gehostet, gefolgt von den Vereinigten Staaten (380) und China (373).
- Bei den aktivsten C2s weltweit verzeichneten die Vereinigten Staaten die meisten (163), gefolgt von den Niederlanden (73) und Deutschland (70).
- Lumen trackte mehr als 160.000 globale DDoS-Botnet-Hosts. Mit fast 42.000 befanden sich die meisten davon in den Vereinigten Staaten.
> DDoS-Angriffstrends:
- Der umfangreichste von Lumen anhand der gescrubbten Bandbreite gemessene Angriff lag bei 268 Gbit/s; der umfangreichste Angriff, gemessen anhand der gescrubbten Packet Rate, lag bei 26 MPPS.
- Der längste DDoS-Angriff, den Lumen für einen einzelnen Kunden entschärfte, dauerte fast zwei Wochen.
- Multi-Vector-Mitigations machten 41 Prozent aller DDoS-Mitigations aus, wobei am häufigsten eine DNS-Query-Flood in Kombination mit einer TCP-SYN-Flood verwendet wurde.
- Finanzwesen, Software und Technologie sowie Regierungseinrichtungen waren die Bereiche, die am stärksten von den 500 umfangreichsten Angriffen im ersten Quartal 2021 betroffen waren.
> Tracking von UDP-Reflektoren:
- Eines der wichtigsten Tools in den Händen von Cyberkriminellen, die die Bandbreite ihrer Angriffe erhöhen wollen, ist UDP-basierte Reflexion mit Hilfe von Services wie Memcached, CLDAP und DNS.
- Bei diesem Prozess fälscht ein Angreifer eine Quell-IP und verwendet dann einen Proxy-Server – oder Reflektor –, um große Antwortpakete an die IP des Opfers zu senden.
- Black Lotus Labs nutzt die über das umfangreiche globale Lumen Netzwerk möglichen tiefen Einblicke, um Services zu identifizieren, die potenziell für diese Art von Angriffen genutzt werden.
- Basierend auf den Daten aus dem ersten Quartal 2021 sind Memcached, CLDAP und DNS laut Black Lotus Labs die Services, die aktuell aktiv genutzt werden.
- Weitere Informationen zu UDP-Reflektoren finden Sie im neuesten Blogbeitrag von Black Lotus Labs: Tracking von UDP-Reflektoren für ein sichereres Internet.
#Lumen
