Record aantal DDoS-aanvallen. Stijging van 180%
- Bedrijfsnieuws van
- Akamai
- geplaatst op
- 8 december 2015 16:35 uur
Akamai Technologies, wereldwijd leider in Content Delivery Network-diensten, presenteert vandaag zijn State of the Internet Security-rapport over het derde kwartaal van 2015. Het rapport biedt inzicht in de actuele, wereldwijde cloud security-bedreigingen.
Hans Nipshagen, Regional Manager Benelux bij Akamai: “Het aantal DDoS-aanvallen is de afgelopen kwartalen blijven stijgen, zo ook in het derde kwartaal van dit jaar. Hoewel de recente DDoS-aanvallen gemiddeld korter en kleiner zijn, blijven ze een gevaar voor de cloud-veiligheid.” Hij vervolgt: “De toegankelijkheid van DDoS-for-hire sites faciliteren aanvallen waarbij internetdiensten als SSDP, NTP, DNS, CHARGEN of zelfs ‘Quote van de Dag’ geïdentificeerd en misbruikt worden.”
DDoS-aanvallen pieken opnieuw
Afgelopen kwartaal steeg het aantal DDoS-aanvallen, geregistreerd op het Akamai PLX-routed netwerk, met 23 procent naar een recordniveau van 1.510 aanvallen; een stijging van 180 procent ten opzichte van Q3 in 2014. De aanvallen waren wel korter en hadden een lagere, gemiddelde piek qua bandbreedte en volume. Het afgelopen kwartaal kende acht mega-aanvallen (groter dan 100 Gbps). In Q3 van vorig jaar registreerde Akamai er zeventien. De DDoS-aanval met de grootste brandbreedte in Q3 – waarbij het XOR DDoS botnet werd gebruikt – bedroeg 149 Gbps. In Q2 bedroeg de piek nog 250 Gbps. Opvallend is dat de media- en entertainmentsector het zwaarst getroffen werd door deze mega-aanvallen.
Hoewel de bandbreedte van de aanvallen is verminderd, deed er zich tijdens Q3 toch een aanval voor met een enorme omvang. Zo werd een partij uit de media- en entertainmentsector getroffen door een recordaanval van 222 Million packets per second (Mpps) – een kleine verbetering van de recordaanval van 214 Mpps uit Q2. Aanvallen van dergelijke omvang kunnen niveau 1-routers, die bijvoorbeeld gebruikt worden door Internet Service Providers (ISPs), in de problemen brengen.
Vooral de online gaming-sector werd zwaar getroffen in Q3 van 2015 en was hierdoor goed voor zeker de helft van de aanvallen die door Akamai zijn vastgelegd. Online gaming is al meer dan een jaar de sector die het meest aangevallen wordt. Naast gaming werden ook bedrijven in de software- en technologie-industrie aangevallen, deze industrie stond garant voor 25 procent van alle aanvallen.
De reflectiegebaseerde DDoS-aanvallen blijken populairder dan aanvallen die zijn gebaseerd op infectie. Terwijl de reflectiegebaseerde aanvallen verantwoordelijk waren voor slechts 5,9 procent van het DDoS-verkeer in Q3 van 2014, namen ze in Q3 van 2015 maar liefst 33,19 procent in beslag. Daar in het verleden vooral tijd en moeite werd gestoken in het bouwen en onderhouden van botnets, vallen aanvallers nu meer en meer blootgestelde netwerkapparaten en onbeveiligde dienstprotocollen aan.
Aanvalsactiviteiten bij webapplicaties
In Q2 van 2015 domineerde de Shellshock-kwetsbaarheid de aanvallen op webapplicaties via HTTPS. Dit was niet het geval in Q3. Met als gevolg dat het percentage van aanvallen op webapplicaties via HTTP versus HTTPS daalde naar een normaal niveau (88 procent via HTTP en 12 procent via HTTPS). Het gebruik van aanvallen op webapplicaties via HTTPS zal waarschijnlijk stijgen naarmate meer sites TLS-geactiveerd verkeer als standaard beveiligingslaag instellen. Aanvallers zouden evengoed HTTPS kunnen gebruiken in een poging om backend databases te penetreren. Deze worden vaak via applicaties geopend en werken op basis van HTTPS.
In vorige kwartalen waren local file inclusion (LFI) en SQL injection-(SQLi) aanvallen de meest voorkomende aanvalsvectoren op webapplicaties. De retailsector werd met 55 procent het zwaarst getroffen. Op grote afstand volgt de financiële dienstverleningsector met 15 procent. De aanvallen op webapplicaties steunden vooral op botnets, die profiteren van onbeveiligde routers en diensten.
Het derde kwartaal was eveneens opmerkelijk vanwege de stijging in het aantal pogingen om WordPress plugins aan te vallen. Dit was niet enkel het geval voor populaire plugins, maar ook bij kwetsbare en minder bekende plugins.
In Q3 van 2015 kwam 53 procent van de aanvallen op webapplicaties uit de Verenigde Staten en bleken zij eveneens in 75 procent van de aanvallen ook het doelwit te zijn. Een groot deel van de virtuele servers die in de cloud opereren, missen de nodige beveiliging waardoor ze een groot risico lopen misbruikt te worden in een botnet.
Website scrapers in de kijker
Het Akamai-rapport gaat tevens dieper in op zogenaamde scrapers en hoe deze te identificeren. Een ‘scraper’ is een specifiek type botnet dat als doel heeft het verzamelen en analyseren van data van aangevallen websites en deze vervolgens te gebruiken of zelfs te verkopen. Een voorbeeld van een goedaardige scraper is een zoekmachine-bot. Andere voorbeelden zijn rate aggregators, resellers en SEO analytics-diensten. Het State of the Internet Security-rapport gaat in op deze scrapers en geeft eveneens weer hoe ze geïdentificeerd kunnen worden.