Angreifer setzen auf innovative Techniken

Der Bericht beschreibt detailliert, wie in der zweiten Jahreshälfte 2021 leistungsstarke Botnet-Armeen entstanden und damit das Verhältnis zwischen volumetrischen und direkten Angriffen (sog. Direct-path oder Non-spoofed Attacks) neu ausbalanciert wurde, was zu komplexeren Angriffsmöglichkeiten führte und Angreifern ein Arsenal an neue Taktiken, Techniken und Methoden für ihre Aktivitäten an die Hand gab. "Es mag zwar verlockend sein, den Rückgang der Gesamtangriffe als Zurückfahren der Bemühungen von Angreifern zu betrachten, aber wir haben im Vergleich zum Niveau vor der Pandemie deutlich höhere Aktivitäten festgestellt", so Richard Hummel, Threat Intelligence Lead bei Netscout. "Die Realität ist, dass diese Angreifer ständig neue Techniken entwickeln und anpassen, einschliesslich der Verwendung von Server-Class-Botnets, DDoS-for-Hire-Diensten und vermehrt eingesetzten Direct-Path-Angriffen, die die Bedrohungslandschaft ständig weiterentwickeln."

Weitere wichtige Erkenntnisse aus dem Report sind:

• DDoS Extortion und Ransomware-Operationen sind weiter auf dem Vormarsch. Dass drei hochkarätige DDoS-Erpressungskampagnen simultan durchgeführt wurden, stellt einen neuen Höchststand dar. Ransomware-Gruppen wie Avaddon, REvil, BlackCat, AvosLocker und Suncrypt wurden dabei beobachtet, wie sie DDoS zur Erpressung ihrer Opfer einsetzen. Da sie damit grosse Erfolge verzeichnen konnten, nutzen Ransomware-Gruppen nun vermehrt DDoS-Erpresser, die sich als Partner ausgeben, wie beispielsweise bei der aktuellen REvil DDoS-Erpressungskampagne.
• VOIP Services sind Ziel von DDoS-Extortion-Attacken. Weltweite DDoS-Erpressungsangriffe der REvil-Nachahmungstäter richteten sich gegen mehrere Anbieter von VOIP-Diensten. Ein VOIP-Diensteanbieter meldete Umsatzeinbussen in Höhe von 9 bis 12 Mio. USD aufgrund von DDoS-Angriffen.
• DDoS-for-Hire-Dienste machen Attacken einfacher. Netscout untersuchte 19 DDoS-for-Hire-Dienste und wie sie die technischen Anforderungen und Kosten für massive DDoS-Angriffe eliminieren. Alle For-Hire-Dienste zusammen bieten insgesamt mehr als 200 verschiedene Angriffsarten an.
• Attacken im Asiatisch-Pazifischen Raum stiegen um 7%, während andere Regionen einen Rückgang verzeichneten. Angesichts der anhaltenden geopolitischen Spannungen in China, Hongkong und Taiwan ist im asiatisch-pazifischen Raum im Vergleich zu anderen Regionen der stärkste Anstieg an Angriffen zu beobachten.
• Server-class-botnet Armeen eingetroffen. Cyberkriminelle haben nicht nur die Zahl der Internet-of-Things-Botnets (IoT-Botnets) erhöht, sondern auch leistungsstarke Server und Netzwerkgeräte mit hoher Kapazität rekrutiert, wie die Botnets GitMirai, Meris und Dvinis zeigen.
• Direkte Attacken werden immer beliebter. Die Angreifer überschwemmten die Unternehmen mit TCP- und UDP-basierten Floods, auch bekannt als Direct-Path- oder Non-Spoofed-Angriffe. Gleichzeitig ging die Zahl der Angriffe insgesamt zurück, da einige Verstärkungsangriffe zurückgingen.
• Angreifer fokussieren sich auf spezifische Branchen. Am stärksten betroffen sind Softwarehersteller (Anstieg um 606%), Versicherungsagenturen und -makler (Anstieg um 257%), Computerhersteller (Anstieg um 162%) sowie Hochschulen, Universitäten und Berufsschulen (Anstieg um 102%).
• Die Geschwindigkeit des schnellsten DDoS-Angriffs war im Vergleich zum Vorjahr 107% schneller. Unter Verwendung von DNS, DNS-Verstärkung, ICMP, TCP, ACK, TCP RST und TCP SYN-Vektoren verzeichnete der Multi-Vektor-Angriff gegen ein Ziel in Russland 453 Millionen Datenpakete pro Sekunde.

Der Threat Intelligence Report von Netscout befasst sich mit den neuesten Trends und Aktivitäten in der DDoS-Bedrohungslandschaft. Er umfasst Daten, die mit dem Active Level Threat Analysis System (Atlas) von Netscout erfasst wurden, sowie Erkenntnisse des Atlas Security Engineering & Response Teams von Netscout.