5 DDoS-Taktiken und die Bedeutung für Unternehmen

Der erste gezielte DDoS-Angriff fand 1974 an der University of Illinois Urbana-Champaign statt. In den darauffolgenden 22 Jahren ist die Zahl der DDoS-Angriffe beispiellos gestiegen; seit 2005 hat sich die Zahl verzehnfacht. Mit 13 Millionen Angriffen im Jahr 2022 haben DDoS-Attacken einen neuen Höchststand erreicht. Allein im Bereich der drahtlosen Telekommunikation nahmen die DDoS-Angriffe seit 2020 um 79 Prozent zu, was in erster Linie auf die zunehmende Verbreitung von 5G-Mobilfunk im privaten Bereich zurückzuführen ist. Während die Anzahl an DDoS-Angriffen seit beinahe 50 Jahren massiv steigt, werden Angreifer immer geschickter darin, die traditionelle DDoS-Abwehr zu umgehen und raffiniertere, komplexe Attacken durchzuführen, die sich an Abwehrmechanismen von Unternehmen anpassen. Fünf DDoS-Taktiken haben in den letzten Jahren besonders viel Aufsehen erregt:

 

Zunehmende DDoS-Erpressung: Telekommunikationsdienstleister droht eine Millionenzahlung

Eine aufsehenerregende DDoS-Erpressungskampagne pro Jahr ist nicht ungewöhnlich. Das Jahr 2021 bricht jedoch den Rekord mit drei dieser aufsehenerregenden Erpressungskampagnen. Ein VoIP-Großhändler hat bei der US-Börsenaufsichtsbehörde SEC ein Formular eingereicht, in dem die Gesamtkosten des DDoS-Angriffs auf bis zu 12 Millionen US-Dollar geschätzt werden. Die Angreifer wissen, dass der Ausfall von VoIP-Anbietern, die eine große Anzahl von Kunden bedienen, sehr schmerzhaft ist und sich daher gut für Erpressungen eignet.

DDoS-basierte Erpressungen traten erstmals 1997 auf und konzentrierten sich zunächst auf frühe Online-Glücksspiel- und Pornografie-Websites. Bei der Erpressungs-Taktik drohen Cyberkriminelle Unternehmen mit einem DDoS-Angriff, wenn eine Forderung nicht gezahlt wird. Einige beginnen mit einem kleinen, demonstrativen DDoS-Angriff, um zu beweisen, dass die Bedrohung real ist, gefolgt von einer Erpressungsforderung, in der ein größerer Angriff angedroht wird, wenn nicht gezahlt wird.

 

Angreifer ändern Botnet-Strategien, indem sie die Größe von IoT-Botnetzen erhöhen

 

Seit den 1990er Jahren nutzen Angreifer Botnetze für DDoS-Angriffe, d. h. ein Netzwerk aus mit Malware infizierten Geräten wie Computern oder Geräten des Internets der Dinge (IoT) wird von einem Angreifer ferngesteuert. Mirai, eine Malware-Familie, war das erste große Botnetz, das IoT-Geräte infizierte – mehr als 600.000 Geräte waren betroffen. Die Zunahme von IoT-Geräten hat Cyberkriminellen eine enorme Anzahl an Türen geöffnet, um solche DDoS-Angriffe zu starten. IoT-Geräte – heute schätzungsweise 16,7 Milliarden – sind angesichts ihrer begrenzten Hardware und nur sehr weniger Sicherheitsimplementierungen attraktive Ziele.

Die Malware auf diesen leistungsschwachen Bots nutzt viele verschiedene Protokolle aus und verwendet häufig Reflection-Amplification-Angriffe. Diese Technik erhöht die Menge des erzeugten bösartigen Datenverkehrs und verschleiert die Quellen des Angriffsverkehrs. Allerdings ändern die Angreifer jetzt ihre Botnetz-Strategien, indem sie die Größe der IoT-Botnetze erhöhen und gleichzeitig leistungsstarke Server zusammenstellen. Im Gegensatz zu weniger leistungsfähigen IoT-Bots führen diese leistungsstarken Server-Bots Direct-Path-Flooding-Angriffe aus, die direkt auf die Opfer abzielen und Schutzmaßnahmen umgehen, die eigentlich verhindern sollten, dass gefälschter Datenverkehr das Opfer erreicht.

 

Im Dark-Web verkaufte DDoS-Dienste und -Tools

Die Strafverfolgungsbehörden warnen häufig vor den Gefahren des Dark-Web, in dem alle möglichen illegalen Gegenstände und Dienstleistungen verkauft werden. DDoS-Angriffe sind zu einem dieser Dienste geworden. Cybersecurity-Forscher analysierten 19 DDos-for-hire-Dienste, die nach eigenen Angaben insgesamt über 10 Millionen Angriffe erfolgreich durchgeführten. Anfang diesen Jahres beschlagnahmten die deutschen Behörden die Internetserver von FlyHosting, einem Dark-Web-Dienst, der Cyberkriminelle beliefert, die DDoS-Dienste in Auftrag geben. Im Mai haben die US-Behörden 13 DDoS-For-Hire-Dienste abgeschaltet.

Es gibt aber weiterhin eine breite Palette von Preismodellen, Arten und Größen von DDoS-Angriffen, die im Dark Web für wenig oder gar kein Geld erworben werden können. Dies bedeutet, dass jeder, auch Personen ohne technische Fachkenntnisse, einfach einen DDoS-for-hire-Dienst nutzen können, um aus den unterschiedlichsten Gründen (z. B. Erpressung, geopolitischer Protest, Wettbewerb) einen ziemlich ausgefeilten DDoS-Angriff zu starten.

 

Carpet-Bombing: Anstieg der Angriffe um 110 % im Jahr 2022

Die Zunahme an Carpet-Bombing-Angriffen begann im November 2021 und nahm im August 2022 an Fahrt auf: Die täglichen Angriffe mit dieser Methode stiegen von durchschnittlich 670 im Jahr 2021 auf durchschnittlich 1.134 im Jahr 2022, ein Anstieg um 69 Prozent. Vergleicht man die erste Hälfte des Jahres 2022 mit der zweiten, so ergibt sich ein noch größerer Anstieg von 110 Prozent bei Carpet-Bombing-Angriffen. Diese DDoS-Technik nimmt nicht nur einzelne Hosts, sondern ganze IP-Adressbereiche ins Visier und zielen darauf ab, die üblichen DDoS-Erkennungsmechanismen zu umgehen.

 

Eine neue Ära der Multi-Vektor-Angriffe

Immer ausgefeiltere Angriffsmethoden wie Multi-Vektor-Angriffe sind seit ihrem Aufkommen vor einigen Jahren alltäglich geworden. Bei einem Multi-Vektor-Angriff infiltrieren die Angreifer ein Netzwerk über mehrere Angriffspunkte oder Vektoren, so dass sich ihre Chancen auf ein erfolgreiches Eindringen drastisch erhöhen. In der zweiten Hälfte des Jahres 2022 machten Multi-Vektor-Angriffe mehr als 40 Prozent aller DDoS-Angriffe aus. Mehr als 250.000 DDoS-Angriffe nutzten mehr als 10 Vektoren in einem einzigen Angriff. Dies verdeutlicht, wie wichtig adaptive DDoS-Schutz-Maßnahmen sind. Der adaptive DDoS-Schutz beobachtet und analysiert den gesamten ein- und ausgehenden Datenverkehr auf IP-Adressebene sowie aktive Botnetze, Protokolle und Angriffsverhalten- und -muster, wodurch nicht nur DDoS-Angriffe und Merkmale erkannt, sondern auch automatisierte Gegenmaßnahmen ausgeführt werden, um diese Angriffe abzuwehren. Wenn Angreifer ihre Vektoren und Verhaltensweisen ändern, so analysiert dieser Schutz den Datenverkehr erneut und bietet zusätzliche dynamisch angepasste Gegenmaßnahmen.

 

Ein adaptiver und hybrider Schutzschild ist ausschlaggebend

Von krimineller Erpressung und der Ausschaltung von Wettbewerbern bis hin zu Cyber-Kriegsführung und geopolitischem Druck – Angreifer nutzen DDoS-Angriffe, um Angst zu schüren, Chaos zu verursachen und Geld zu verdienen. Im Jahr 2022 erlebten Unternehmen eine Vielzahl unterschiedlicher DDoS-Angriffsmotive. Der Russland-Ukraine-Krieg zum Beispiel löste eine Kaskade von Angriffen auf Dutzende von Ländern und Industrien aus, die bis heute andauern. Ein Rückblick auf die DDoS-Historie verdeutlicht, dass diese Art von Cyberkriminalität nunmehr einen festen Platz im wirtschaftlichen und gesellschaftlichen Alltag eingenommen hat.

Cyberkriminelle gehen bei DDoS-Angriffen mittlerweile sehr strategisch vor und wählen eine Taktik mit größtmöglicher Wirksamkeit. Zur Ausführung von beispielsweise Multi-Vektor-DDoS-Angriffen ermitteln Cyberkriminelle vorab, welchen Schutz ein Unternehmensnetzwerk hat. Im nächsten Schritt wählen sie entsprechende Vektoren aus, um diesen Schutz zu umgehen und beobachten, wie das Unternehmen auf diese Vektoren reagiert. Wehrt das Angriffsziel diese Attacke erfolgreich ab, wird eine ganz neue Reihe an Vektoren für einen nächsten Versuch ausgewählt.

Aufgrund dessen ist eine traditionelle Verteidigungsstrategie für Unternehmen hinfällig. Hingegen ist eine Echtzeit-Übersicht über den Internetdatenverkehr auf globaler Ebene erforderlich, gerade unter Berücksichtigung geopolitischer Konflikte. Anhand der Beobachtungen des globalen Internetdatenverkehrs lassen sich neue Angriffstrends und DDoS-Merkmale erkennen, und vorausschauend feststellen, von welchem DDoS-Botnet-Host oder missbräuchlich genutzter Server Angriffe ausgehen können. Diese Echtzeit-Übersicht sollte in jedem Unternehmen mit einer automatisierten Abwehr kombiniert sein, um den beobachteten DDoS-Datenverkehr zu blockieren, sodass legitimer Datenverkehr vom Angriff unberührt bleibt.

Karl Heuser, Business Manager Security – Enterprise (DACH & EEUR)  bei Netscout

Ein weiteres Beispiel sind Angriffe auf die Applikationsebene und der verstärkte Einsatz von State-Exhaustion Angriffen – Attacken, die z.B. Firewalls, VPN-Gateways, Load-Balancer und weitere „stateful“ Sicherheitskomponenten überlasten. In diesem Zusammenhang ist ein Onpremise „stateless inline“ DDoS-Schutz unerlässlich, der Angriffe jeglicher Größenordnung identifiziert und abwehrt. Neu entwickelte Angriffsvektoren werden kleiner und imitieren legitimen Datenverkehr. Von einer reinen Cloud-Lösung können diese Angriffe daher nicht oder nur eingeschränkt abgewehrt werden. Im Falle eines großen volumetrischen Angriffs, der darauf abzielt, die Internetverbindung zu sättigen, bietet eine hybride DDoS-Schutz-Architektur aus Onpremise und Cloud die Möglichkeit den Datenverkehr automatisch von einem Inline-DDoS-Abwehrsystem an einen Cloud-basierten DDoS-Schutz zur Mitigation weiterzuleiten und gereinigten Datenverkehr zurückzuliefern.

Fazit: Nur eine hybride DDoS Abwehr-Architektur, bestehend aus einem dynamisch anpassbaren Onpremise-Inline-Protection-System und einem Cloud-Mitigation-Service zur Abwehr volumetrischer Angriffe, gewährleistet ein Höchstmaß an Schutz zum unterbrechungsfreien IT-Betrieb.

Von Karl Heuser, Business Manager Security – Enterprise (DACH & EEUR) bei Netscout