DDoS-kwartaalrapport onthult ‘toevallige’ aanvallen en cybercriminelen op zoek naar geld

Onbedoelde DDoS-aanvallen door spammers, politieke sabotage en eigenaren van DDoS-botnets die geld proberen te verdienen met de Bitcoin: dit zijn een paar van de trends die worden geanalyseerd in Kaspersky Lab’s vierde kwartaalrapport van 2017, op basis van data van Kaspersky DDoS Intelligence.

Het aantal landen dat DDoS-botnet-slachtoffers heeft, is in het vierde kwartaal van 2017 gedaald van 98 naar 82. Vietnam is omhooggeschoten in de lijst van meest aangevallen landen en neemt daarmee de plaats in van Hong Kong. Ondanks kleine schommelingen hebben alle andere landen in deze top 10 hun positie behouden. Canada, Turkije en Litouwen hebben intussen, ten koste van Italië, Hong Kong en het Verenigd Koninkrijk, een plaats verworven in de top-10 van landen waar C&C-servers zijn gevestigd die DDoS-botnets besturen.

Na een sterke opmars in het derde kwartaal is het aandeel van Linux-botnets in de laatste drie maanden van het jaar op hetzelfde niveau gebleven (71 procent, tegenover 29 procent voor Windows-botnets). Het percentage SYN DDoS-aanvallen is echter gedaald van 60 naar 56 procent, als gevolg van afnemende activiteit van de Xor DDoS Linux-bot. Hierdoor is het aandeel van UDP-, TCP- en HTTP-aanvallen gegroeid, hoewel het percentage ICMP-aanvallen blijft dalen en met 3 procent een laagterecord voor 2017 heeft gevestigd.

De Kaspersky DDoS Protection-statistieken, die data bevatten over botnet-activiteiten, laten een daling zien in de populariteit van DDoS-aanvallen volgens de HTTP- of HTTPS-floodmethode: van 23 procent in 2016 naar 11 procent in 2017. Tegelijkertijd is er een toename in de frequentie van aanvallen waarbij ook verschillende methodes worden toegepast, namelijk van 13 naar 31 procent. Dit zou kunnen komen door de complexiteit en kosten van het organiseren van HTTP(S)-aanvallen, terwijl cybercriminelen met gemengde aanvallen beter slagen tegen lagere kosten.

De langstdurende DDoS-aanval via botnets in de laatste maanden van 2017 heeft 146 uur in beslag genomen. Het doelwit van deze aanval was een site van een Chinees bedrijf dat bezoekers leert traditionele Aziatische gerechten te bereiden. De meest beruchte aanvallen in de onderzochte periode waren echter politiek gekleurd. DDoS-aanvallen op het Tsjechische bureau voor statistiek en de site van het Spaanse Constitutionele Hof. Of pogingen om te profiteren van wijzigingen in de bitcoin-wisselkoers, zoals de aanvallen op BTG-websites en Bitcoinbeurs Bitfinex.

Online commerce en cybercriminaliteit maken ook deel uit van de DDoS-activiteiten in het vierde kwartaal van 2017. In aanloop naar de piekverkoopperiode van Black Friday en Cyber Monday hebben de ‘honeypots’ van Kaspersky Lab een plotselinge toename geregistreerd van het aantal pogingen van Linux-DDoS-bots om speciaal in stelling gebracht lokaas te infecteren. Dit zou de wens van cybercriminelen kunnen onderstrepen om, voorafgaand aan een periode van grote verkopen, de omvang van hun botnets uit te breiden.

Zoals in het vierde kwartaal is aangetoond, is DDoS niet altijd bedoeld als manier om geld te verdienen of problemen te veroorzaken: het kan ook een toevallige bijwerking zijn. Zo veroorzaakte een modificatie aan de Lethic-spambot in december een uitgebreide 'DDoS-aanval' op de DNS-servers van de nationale RU-domeinzone. Het lijkt erop, dat de Trojan door een fout van een ontwikkelaar een groot aantal verzoeken heeft ingediend naar niet-bestaande domeinen en uiteindelijk het effect van een massale DDoS-aanval heeft geproduceerd.

"Je hoeft geen direct doelwit te zijn om slachtoffer te worden van een DDoS-aanval”, zegt Kirill Ilganaev, hoofd Kaspersky DDoS Protection bij Kaspersky Lab. “Tegenwoordig is DDoS een instrument om druk uit te oefenen of illegaal geld te verdienen. Aanvallen brengen niet alleen schade toe aan grote, bekende organisaties, maar ook aan kleine ondernemingen. Geen enkel bedrijf dat afhankelijk is van internettoegang, al is het maar een beetje, kan vandaag de dag zonder bescherming tegen DDoS. Daarom hebben we in 2017 een speciale versie van Kaspersky DDoS Protection gelanceerd, aangepast aan de behoeften van kleine bedrijven.”

Kaspersky DDoS Protection combineert de uitgebreide expertise van Kaspersky Lab bij de bestrijding van cyberdreigingen met de unieke intern ontwikkelde bedrijfstechnologie. De oplossing biedt bescherming tegen alle typen DDoS-aanvallen, ongeacht complexiteit, kracht en duur.