Distributed-Denial-of-Service-Angriffe (DDoS) sind seit langem eine erhebliche Bedrohung; insbesondere deswegen, weil Angreifer keinen Zugriff oder eine Schwachstelle in den Unternehmenssystemen benötigen, um sie mit Anfragen oder Traffic zu überlasten.
Dennoch haben die Bedrohungsakteure nahezu jeden Aspekt ihrer Angriffe verfeinert, was in den letzten Monaten zu einer rasanten Entwicklung der DDoS-Landschaft geführt hat. Dazu gehören die Konzentration auf hochwertige Ziele, die Umgehung gängiger DDoS-Abwehrmechanismen und die Aufrüstung der Botnet-Infrastruktur, um wesentlich größere Angriffe zu ermöglichen.
Für die meisten Cyberkriminellen steht das Geld im Vordergrund. Viele der wichtigsten Arten von Cyberangriffen – Datenverstöße, Ransomware usw. – lassen sich auf klarem Wege zu Geld machen.
Es überrascht daher nicht, dass die jüngsten Trends darauf hindeuten, dass die Angreifer ihre Bemühungen auf die Bereiche konzentrieren, wo sie das meiste Geld erbeuten können. Westliche Banken und das SWIFT-System, das für die Abwicklung von Zahlungen zwischen Banken verwendet wird, sind zu einem vorrangigen Ziel geworden. Darüber hinaus wurde der Kryptowährungssektor als die Branche identifiziert, die am häufigsten Ziel von HTTP-DDoS-Angriffen war. Gemessen am Anteil des gesamten Traffics der Branche stieg der Angriffs-Traffic gegenüber dem Vorquartal um 600 %.
Diese gezielten Angriffe zielen darauf ab, kritische Systeme im Finanzsektor und darüber hinaus lahmzulegen.
Eine der größten technischen Hürden für die Angreifer sind die Algorithmen zur Bot-Erkennung. Anti-Bot-Lösungen erkennen verschiedene Faktoren, die menschliche Nutzende von bösartigen Bots unterscheiden, und ermöglichen es, schlechten Traffic mit minimalen Auswirkungen auf legitime Nutzende herauszufiltern.
In den letzten Monaten sind ausgeklügelte Umgehungslösungen von nationalstaatlichen Akteuren zu den gewöhnlichen Cyberkriminellen durchgedrungen. Diese Tools und Techniken ermöglichen es automatisierten Angreifern, legitime Nutzende und Browser besser zu imitieren und Abwehrsysteme zu überwinden. Zwei der am häufigsten verwendeten Umgehungstechniken sind:
Zufallsgesteuerte HTTP-Eigenschaften: Das Fingerprinting automatisierter Bots und Tools ist eine Kernfunktion vieler Systeme zur Bot-Abwehr. Um dies zu umgehen, randomisieren Angreifer immer öfter bestimmte Eigenschaften wie User-Agent-Strings und JA3-Fingerprints, was die signaturbasierte Erkennung erschwert.
Kleine und langsame Angriffe („Low-and-Slow“): HTTP-Anforderungsraten, die höher sind, als Menschen sie erzeugen können, sind ein klares Zeichen für einen automatisierten DDoS-Angriff. In letzter Zeit haben sich die Angreifer auf weniger umfangreiche und langsamere Angriffe konzentriert, sodass ihre Kampagnen schwerer erkannt werden können.
Eine weitere gängige Taktik, um die Abwehr eines Ziels zu umgehen, ist die DDoS-Verstärkung (DDoS-Amplification), bei der ein legitimer Dienst missbraucht wird, um große Datenmengen an ein Ziel zu senden. DNS-basierte Angriffe machten fast ein Drittel aller DDoS-Angriffe auf der Netzwerkebene aus – Cyberkriminelle machen sich die Tatsache zunutze, dass das DNS allgemein als vertrauenswürdig gilt und eine entscheidende Komponente der Internet-Infrastruktur darstellt.
In der Vergangenheit bestand ein Botnet in der Regel aus einer Reihe kompromittierter Internet-of-Things-Geräte (IoT). Da diese Geräte häufig unzureichend gesichert sind, können sie leicht kompromittiert werden. Sie verfügen über eine Internetverbindung und begrenzte Rechenleistung, wodurch sie einfache, automatisierte Angriffe wie Credential Stuffing oder DDoS durchführen können.
In den letzten Monaten haben Cyberkriminelle auf virtualisierte Botnets umgestellt. Diese virtuellen Geräte verfügen über eine wesentlich größere Netzwerkbandbreite und Rechenleistung, sodass sie Angriffe starten können, die bis zu 5.000-mal stärker sind als IoT-Geräte.
Das Aufkommen dieser riesigen, VM-basierten Botnets hat weitaus größere DDoS-Angriffe ermöglicht, als zuvor möglich waren. Ein Beispiel hierfür ist dieser rekordverdächtige Angriff mit 71 Millionen Anfragen pro Sekunde (rps), der auf eines dieser VM-basierten Botnets zurückgeführt wurde.
Die Cybersicherheit ist eine schnelllebige Branche, in der sich die Bedrohungslage über Nacht ändern kann. DDoS-Angriffe nutzen zwar keine Schwachstellen aus, aber sie versuchen, Systeme zu überlasten oder wertvolle Ressourcen zu verbrauchen. Da diese Angriffe immer umfangreicher und raffinierter werden, ist der Einsatz moderner DDoS-Präventionssysteme unerlässlich, um den Traffic der Angreifer zu filtern und diese Systeme online zu halten.
Der Web-, Anwendungs- und Netzwerk-DDoS-Schutz von Cloudflare ist so konzipiert, dass er alles schützt, was mit dem Internet verbunden ist. Cloudflare bietet Schutz gegen DDoS-Angriffe auf den Ebenen 3, 4 und 7, einschließlich der Fähigkeit, die groß angelegten und subtilen Attacken, die durch VM-Botnets, Low-and-Slow-Kampagnen und HTTP-Randomisierung ermöglicht werden, zu erkennen und zu blockieren.
Weitere Internet-Trends finden Sie auf Cloudflare Radar.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
David Belson — @dbelson
Head of Data Insight, Cloudflare
Folgende Informationen werden in diesem Artikel vermittelt:
So haben Cyberkriminelle ihre Angriffsmethoden weiterentwickelt
3 der neuesten Angriffstrends
Abwehrstrategien, mit der Sie der Bedrohung zuvorkommen
Entwicklung der DDoS-Bedrohungslandschaft im zweiten Quartal 2023
Bericht zum Thema Anwendungssicherheit für das zweite Quartal 2023