Slachtoffers van DDoS aanvallen met memcached servers afgeperst

hacker4-gabor-kalman

Cybercriminelen zetten Distributed Denial of Service (DDoS) aanvallen met memcached servers in om slachtoffers af te persen. Memcached servers zijn servers bedoeld om data te cachen om laadtijden te verkorten. Doordat de servers geen authentificatie vereisen kunnen aanvallers echter het IP-adres van slachtoffers spoofen, waardoor zij de servers kunnen misbruiken om DDoS aanvallen op te zetten.

Dit meldt beveiligingsonderzoeker Brian Krebs op basis van bronnen binnen het beveiligingsbedrijf Cybereason. Akamai Technologies meldde onlangs dat één van zijn klanten is getroffen door een DDoS aanval met een capaciteit van 1,3Tbps, wat de aanval één van de zwaarste DDoS aanvallen ooit maakt. Hierbij werd gebruik gemaakt van memcached servers.

Wat is memcached?

Memcached is een service bedoeld om data te cachen en de laadtijd van geheugenintensieve diensten te verkorten. Memcached servers communiceren via het User Datagram Protocol (UDP) en vereisen geen communicatie. Dit stelt aanvallers in staat het IP-adres van een slachtoffer te spoofen om de reactie van memcached servers naar een slachtoffer te laten versturen.

Wat memcached servers extra interessant maakt voor cybercriminelen is dat memcached een amplificatiefactor van 50.000 biedt. Dit betekent in de praktijk dat een verzoek van 203 byte zich vertaald in een reactie van een memcached server van 100 megabyte. Door deze eigenschap kan een aanvaller met relatief weinig bandbreedte een grote hoeveelheid dataverkeer naar een slachtoffer te versturen.

Afpersing

Brian Krebs meldt op basis van verschillende experts bij het Amerikaanse beveiligingsbedrijf Cybereason dat aanvallers proberen slachtoffers af te persen door met behulp van memcached servers een DDoS aanval tegen hen op te zetten. Zo wijst het bedrijf op recente DDoS aanvallen waarbij in de verstuurde data een boodschap is verwerkt waarin slachtoffers de mogelijkheid krijgen geboden de DDoS aanval af te kopen door 50 Monero (XMR) te versturen naar een specifiek adres. Deze boodschap wordt een groot aantal keer herhaald, totdat het databestand een omvang heeft van ongeveer één megabyte.

Dit databestand wordt door aanvallers op een memcached server geplaatst. De aanvallers spoofen vervolgens het IP-adres van het slachtoffer en vragen het databestand duizenden malen op. "De payload is het verzoek om losgeld, dat continu wordt herhaald tot ongeveer een megabyte aan data", legt Matt Ploesel, principal security intelligence researcher bij Cybereason, uit aan Krebs. Ploesel geeft aan dat door meerdere memcached servers te misbruiken voor dit doeleinden een DDoS aanval met een extreem groot volume kan worden opgezet.

UDP-poort 11211 blokkeren

Naar schatting zijn ongeveer 50.000 memcached servers op internet beschikbaar. Aangezien slechts een klein aantal memcached servers nodig zijn om een DDoS aanval met een enorme capaciteit op te zetten is het onbegonnen werk dergelijke aanvallen te stoppen door memcached servers uit de lucht te halen. Memcached servers communiceren echter via UDP-poort 11211. Security experts die dergelijke DDoS aanvallen tot een einde proberen te brengen richten zich daarom vooral op het overtuigen van Internet Service Providers en webhosting providers om UDP-poort 11211 te blokkeren, meldt Krebs. Dit voorkomt dat verkeer vanaf memcached servers doelwitten kan bereiken.

Meer over
Lees ook
Cyber Defence moet innovatie versnellen

Cyber Defence moet innovatie versnellen

Wat meer optimisme over onze weerbaarheid voor cyberaanvallen is goed voor Nederland, vindt Roel van Rijsewijk, directeur Cyber Defence bij Thales. Het is ook goed dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid onlangs in het Cybersecuritybeeld Nederland 2019 opnieuw de noodklok luidde over de kwetsbaarheid van de Nederlandse...

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

'De Benelux loopt achter op het gebied van cybersecurity, India presteert het best'

Organisaties over de hele wereld lopen vast in hun voortgang op het gebied van cybersecurity en riskeren verlamming nu cybercriminelen steeds geavanceerder te werk gaan. Dit blijkt uit het rapport 2019 Risk:Value – ‘Destination standstill. Are you asleep at the wheel?’ van NTT Security, een gespecialiseerd beveiligingsbedrijf en expertisecentrum voor...

Cybersecurity vitale waterwerken niet waterdicht

Cybersecurity vitale waterwerken niet waterdicht

Tunnels, bruggen, sluizen en waterkeringen kunnen nog beter worden beveiligd tegen cyberaanvallen. Rijkswaterstaat heeft de afgelopen jaren veel werk verzet en noodzakelijke maatregelen in kaart gebracht om waterkeringen beter te beveiligen. Maar die veiligheidsmaatregelen zijn niet allemaal uitgevoerd. De Algemene Rekenkamer constateert dat de minister...