DDoS-Attacken im zweiten Quartal 2017

Nachrichtenüberblick

Im zweiten Quartal 2017 beobachteten wir, dass DDoS-Attacken immer häufiger als ein Instrument im politischen Kampf eingesetzt werden. Die Katar-Krise wurde begleitet von einer Attacke auf die Webseiten der größten Nachrichtenagentur der Region, Al Jazeera; in der Hitze der Präsidentschaftswahlen in Frankreich wurden die Webseiten der Zeitungen Le Monde und Figaro attackiert; und in Großbritannien erinnerte man sich an die ein Jahr zurückliegende Geschichte mit der Website zur Registrierung der Teilnahme an der Abstimmung über den Brexit — fortgesetzte Angriffe auf diese Website führten dazu, dass ein Teil der Bürger vom Referendum ausgeschlossen wurde.

Eine überaus bezeichnende Geschichte trug sich in den USA zu, wo die Federal Communications Commission (FCC) Pläne zur Aufhebung des Prinzips der Netzneutralität aufdeckte, das erst vor zwei Jahren gesetzlich festgeschrieben worden war. Das Kommentar-System auf der Website der Kommission funktionierte etwas 24 Stunden lang nicht und wurde schließlich aufgrund einer massiven Attacke deaktiviert. Dabei blieb unklar, was genau der Grund für den Systemabsturz war — handelte es sich um einen Ansturm von Gegnern des Neutralitätsprinzips, die eine Vielzahl identischer Kommentare abschickten, oder war es umgekehrt eine Attacke seitens der Befürworter der Netzneutralität, die versuchten, die Gegner davon abzubringen die Website der FCC mit gefälschten Kommentaren zu überschwemmen?

Doch das Hauptmotiv für die Durchführung von DDoS-Attacken ist und bleibt das Geld. Der Rummel um Kryptowährungen führte im zweiten Quartal zu einem drastischen Anstieg ihrer Kurse, was wiederum die Aufmerksamkeit von Cyberkriminellen erregte. Bitfinex, die größte Börse, die mit Bitcoins handelt, wurde gleichzeitig mit der Einführung der neuen IoT-Währung IOTA an der Börse einer Attacke ausgesetzt. Kurz vorher hatte die Börse BTC-E über eine Verlangsamung ihrer Arbeit aufgrund einer mächtigen DDoS-Attacke informiert. Allem Anschein nach versuchen Cyberverbrecher auf diese Weise die Kurse zu manipulieren, was auch durchaus realistisch ist, bedenkt man die hohe Volatilität von Kryptowährungen.

Die Betreiber eines DDoS-Botnets beschränken sich nicht darauf, ihre Kapazitäten zu verpachten. Ende Juni wurde ein umfassender Erpressungsversuch mit der Androhung von DDoS-Attacken registriert. Eine Gruppe, die sich selbst Armada Collective nennt, forderte circa 315.000 Dollar von sieben südkoreanischen Banken, dafür, die Funktionsfähigkeit ihrer Online-Services nicht zu beeinträchtigen. Laut einem Bericht von Radware ist das nicht der erste Versuch einer DDoS-Erpressung dieser Gruppe.

Mit den steigenden Verlusten, die durch DDoS-Attacken verursacht werden, gehen nun auch die Strafverfolgungsbehörden entschlossener gegen die Organisatoren der Angriffe vor. Im April 2017 verurteilte ein Gericht in Großbritannien einen jungen Mann zu zwei Jahren Freiheitsentzug wegen einer Reihe von Angriffen, die dieser fünf Jahre zuvor, noch als Student, durchgeführt hatte. Der Verurteilte hatte das Botnet Titanium Stresser aufgebaut, seine Dienste im Darknet angeboten und damit 386.000 Pfund Sterling verdient.

In technischer Hinsicht gab es im zweite Quartal auf dem Gebiet DDoS nicht viele Neuerungen. Allerdings verdient die Nachricht über einen neuen DDoS-Angriffsvektor unsere Aufmerksamkeit. Die Forscher von Corero Network Security berichteten darüber, dass sie bereits über 400 Attacken registriert hatten, die mit Hilfe von inkorrekt konfigurierten LDAP-Servern durchgeführt wurden. Der beobachtete Spitzenwert betrug 33 Gbit/Sek. Da in diesem Fall Verstärkungsangriffe durchgeführt werden, werden für die Organisation von Angriffen dieser Art relativ wenige Ressourcen benötigt.

Die Attacke, die im zweiten Quartal das größte Aufsehen erregte, war der DDoS-Angriff auf Skype-Server. Nutzer dieses Messenger-Dienstes auf der ganzen Welt bekamen die Verbindungsprobleme zu spüren. Die Verantwortung für diese Aktion nahm die Gruppe CyberTeam auf sich. Ihre Motive sind allerdings bis heute nicht bekannt.

Tendenzen des Quartals

Ransom-DDoS

Im zweiten Quartal wurde der sich schon länger abzeichnende Trend immer offensichtlicher, dass Cyberkriminelle versuchen, unter Androhung von DDoS-Attacken Geld zu erpressen. Dieser Ansatz wird Ransom DDoS oder RDoS genannt. Online-Gangster schicken der Opferorganisation eine Mitteilung mit einer Lösegeldforderung in Höhe von 5 bis 200 Bitcoin. Sollte das Opfer nicht zahlen, so wird ihm mit einer DDoS-Attacke auf eine kritisch wichtige Ressource des Unternehmens gedroht. Derartige Mitteilungen gehen häufig mit kurzfristigen Attacken einher, die als Machtdemonstrationen zu verstehen sind. Als Opfer werden in der Regel sorgfältig solche Unternehmen ausgewählt, für die die Unerreichbarkeit ihrer Ressourcen potentiell mit großen Verlusten einhergeht.

Als Alternative zu dem oben beschriebenen Schema existiert noch eine Methode: Die Cybergangster versenden – in der Hoffnung mit so geringem Aufwand wie möglich das schnelle Geld zu machen – an eine große Anzahl von Unternehmen die Drohung, eine DDoS-Attacke gegen sie zu organisieren und erheben gleichzeitig eine Lösegeldforderung, ohne dabei die Besonderheiten der einzelnen Firmen zu berücksichtigen. In den meisten Fällen dieser Art gibt es keine Demonstrationsattacke. Entschließt sich ein Unternehmen, das Lösegeld zu zahlen, so könnte das Einfluss auf seinen Ruf haben und andere Gruppen Cyberkrimineller zur Durchführung von Attacken ermuntern.

Bei Letztgenannten handelt es sich immer häufiger nicht etwa um gut organisierte Teams von Profi-Hackern, sondern um Neulinge, die nicht über die technischen Fähigkeiten zur Organisation von DDoS-Attacken verfügen, sondern nur über die Mittel, ihre angeblichen „Möglichkeiten zu demonstrieren“. Als Opfer werden in erster Linie Unternehmen ausgewählt, denen es aus irgendwelchen Gründen an den notwendigen Ressourcen fehlt, ihre Services vor Angriffen zu schützen, die aber unter der Hand über Mittel zur Zahlung des Lösegeldes verfügen.

SambaCry

Ein weiteres wichtiges Ereignis dieses Quartals ist die Entdeckung einer Sicherheitslücke in der Netzwerksoftware Samba, die es Cyberverbrechern ermöglicht, auf Geräten unter Linux und Unix aus der Ferne Befehle auszuführen. Samba ist ein Softwareset, das die Kommunikation mit Netzwerkfestplatten und Druckern ermöglicht und das auf den meisten Unix-artigen System läuft, wie etwa Linux, den POSIX-kompatiblen Solaris und Mac OS X Servern, verschiedenen BSD-Varianten.

„Alle Samba-Versionen, beginnend mit der Version 3.5.0, die von der Sicherheitslücke zur Ausführung von entferntem Code betroffen sind, ermöglichen es Cyberkriminellen eine Bibliothek zur gemeinsamen Nutzung, in eine zum Schreiben verfügbare öffentliche Ressource zu laden, um daraufhin den Server dazu zu bringen schädlichen Code auszuführen“, erklärte das Unternehmen Samba.

Nach vorläufigen Schätzungen beträgt die Zahl der Geräte, auf denen die angreifbare Software installiert ist, mehr als 500.000. Das bedeutet, dass Cybergangster sie zum Aufbau eines Botnets missbrauchen können, das dann wiederum zur Organisation umfangreicher DDoS-Attacken verwendet werden kann.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Kaspersky Lab verfügt über langjährige Erfahrung in der Abwehr von Cyberbedrohungen, darunter auch DDoS-Attacken unterschiedlicher Art und Komplexität. Die Experten des Unternehmens verfolgen die Aktivität von Botnetzen mit Hilfe des Systems DDoS Intelligence.

Das System DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Prevention) basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Der vorliegende Bericht enthält die Statistik des Systems DDoS Intelligence für das zweite Quartal 2017.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Wenn beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnetzen stammen.

Der geografische Standort der Opfer der DDoS-Attacken und der Server, von denen die Befehle verschickt werden, wird nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Botnetze beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im zweiten Quartal 2017 gegen Ziele in 86 Ländern, das sind 14 mehr als im vorangegangenen Quartal.
  • Wie schon im vergangenen Quartal, richtete sich fast die Hälfte aller Angriffe (47,42%) gegen Ziele in China.
  • Sowohl nach der Zahl der Attacken als auch nach der Menge der Ziele bilden nach wie vor China, Südkorea und die USA das Führungstrio. Nach Anzahl der registrierten Steuerungsserver stellen ebenfalls diese drei Länder die TOP 3, doch hier belegt Südkorea den ersten Platz.
  • Im zweiten Quartal erlebten die lang andauernden DDoS-Attacken eine Renaissance. Die Rekorddauer betrug 277 Stunden, das sind 131% mehr als im ersten Quartal. Dabei blieb der Anteil der Attacken, die weniger als 50 Stunden andauerten, nahezu unverändert (99,7% gegenüber 99,8% im vergangenen Quartal).
  • Deutlich zurückgegangen sind die Anteile der Angriffsarten TCP (von 26,6% auf 18,2%) und ICPM (von 8,2% auf 7,3). Zugenommen hingegen haben die Anteile von SYN-DDoS und von Attacken des Typs UDP und HTTP.
  • Im vergangenen Quartal ging der Anteil von Linux-Botnetzen zurück. Im zweiten Quartal waren sie wieder für 51,23% der Attacken verantwortlich (gegenüber 43,40% im ersten Quartal).

Geografie der Attacken

Im zweiten Quartal 2017 wurden in 86 Ländern der Welt DDoS-Attacken registriert, von denen sich die Meisten gegen Ziele in China richteten (58,07% an allen Attacken), das ist ein um 3 Prozentpunkte höherer Wert als im vorangegangenen Quartal. Der Anteil Südkoreas ging zwar zurück (von 22,41% auf 14,17%), das Land konnte aber dennoch den zweiten Platz behaupten. Die USA legten von 11,37% auf 14,03% zu und zogen damit fast mit Südkorea gleich.

Unter den ersten zehn Ländern, auf die im zweiten Quartal insgesamt 94,60% aller Attacken entfielen, sind jetzt auch Italien (0,94%) und die Niederlande (0,84%), Vietnam und Dänemark aus dem Rating verdrängt. Der Anteil Russlands (1,23%) nahm um 0,37 PP ab und das Land rutschte damit von dem vierten auf den sechsten Platz. Großbritannien legte anteilsmäßig hingegen zu, und zwar von 0,77% auf 1,38%, womit das Land von Position sieben auf Position fünf aufstieg.

Verteilung der DDoS-Attacken nach Ländern, erstes und zweites Quartal 2017

Im zweiten Quartal 2017 entfielen 95,3% der DDoS-Attacken auf Ziele in den Ländern aus unseren TOP 10.

Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, erstes und zweites Quartal 2017

China konnte den ersten Platz im Länder-Rating nach Anzahl der Ziele behaupten – hier befinden sich 47,42 Prozent aller Ziele, das sind insgesamt um 0,36 PP weniger als im vorangegangenen Quartal. Die USA haben mit Südkorea die Plätze getauscht, das sie von Rang zwei auf Rang drei verdrängten. Dementsprechend stieg der Anteil der Vereinigten Staaten auf 18,63 Prozent an (gegenüber 13,80% im ersten Quartal), und der Anteil Südkoreas ging von 26,57 auf 16,37 Prozent zurück.

Der Anteil der Ziele auf russischem Gebiet ging von 1,55 Prozent im ersten Quartal auf 1,33% zurück. Das hatte den Abstieg Russlands von Platz fünf auf Platz sieben zur Folge. Nicht mehr in den TOP 10 vertreten sind Vietnam und Dänemark, im zweiten Quartal neu hinzugekommen sind Italien (1,35%) und Australien (0,97%).

Veränderungsdynamik der Zahl von DDoS-Attacken

Die Zahl der DDoS-Attacken pro Tag schwankte im zweiten Quartal 2017 zwischen 131 (17. April) und 904 (13. April). Spitzenwerte wurden auch am 24. April (581), 7. Mai (609), 10. Juni (614) und 16. Juni (621) registriert. Relativ ruhig war es am 14. April (192), 31. Mai (240) sowie am 23. Juni (281).

Veränderungsdynamik der Zahl von DDoS-Attacken*, zweites Quartal 2017
*DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

Auch im zweiten Quartal 2017 blieb in Bezug auf DDoS-Attacken der Montag (11,74% der Attacken) der ruhigste Wochentag, der angespannteste Tag war der Sonntag (15,57%). Der Anteil der samstäglichen Aktivität ging dagegen von 16,05% im ersten Quartal auf 14,39% im zweiten Quartal zurück. Die zweite Position im Aktivitäts-Ranking nach Wochentagen belegte der Donnerstag, der nur einen geringfügig kleineren Anteil (15,39%) als der Sonntag zu verzeichnen hatte.

Verteilung der DDoS-Attacken nach Wochentagen

Art und Dauer der DDoS-Attacken

Im zweiten Quartal 2017 eroberten die Angriffe des Typs SYN-DDoS ihre Position teilweise zurück, die sie im vergangenen Quartal eingebüßt hatten, wobei der Anteil dieser Angriffsart von 48,07 auf 53,26 Prozent anstieg. Zugenommen haben auch die Anteile von UDP-Attacken (von 8,71% auf 11,91%) und von HTTP-Attacken (von 8,43% auf 9,38%). Dabei hat der Anteil der Angriffsart TCP-DDoS stark abgenommen (von 26,62% auf 18,18%). Leicht zurückgegangen ist auch die Popularität von ICMP (von 8,17% auf 7,27% aller registrierten Attacken).

Verteilung der DDoS-Attacken nach Typen

Im zweiten Quartal 2017 belegen die sehr lang andauernden Attacken wieder einen Platz in der Statistik — 0,07 Prozent der Attacken dauerten länger als 100 Stunden, wobei die längste Attacke 277 Stunden andauerte – das ist ein um 157 Stunden höherer Wert als der Rekordwert des letzten Quartals. Gleichzeitig stieg der Anteil der Angriffe mit einer Dauer von 4 Stunden und weniger, von 82,21 Prozent im vergangenen Quartal, auf 85,93 Prozent an. Dementsprechend ging der Anteil der Attacken mit einer Dauer von 5 bis 49 Stunden zurück.

Verteilung der DDoS-Attacken nach Dauer (in Stunden)

Steuerungsserver und Botnetztypen

Das Führungstrio nach Anzahl der erkannten Command and Control-Server hat sich im zweiten Quartal etwas verändert: China hat mit einem Anteil von 7,74% die Niederlande von dem dritten Platz verdrängt, die – ungeachtet der Tatsache, dass ihr Anteil von 3,51% auf 4,76% gestiegen ist – auf Position vier abgerutscht sind. Spitzenreiter dieses Ratings bleibt Südkorea, dessen Anteil von 66,49% auf 49,11% gesunken ist. Den zweiten Platz belegen wie gehabt die USA (16,07%). Insgesamt entfallen auf die TOP 3 der Hitliste 72,92 Prozent der Steuerungsserver.

Neueinsteiger in den TOP 10 sind in diesem Quartal Kanada und Dänemark (mit je 0,89%), die damit Rumänien und Großbritannien aus dem Rating verdrängt haben. Im Vergleich zum ersten Quartal 2017 haben sich die Anteile von Hongkong und Russland deutlich reduziert (von 1,89% auf 1,19% und von 3,24% auf 2,68% respektive).

Verteilung der Botnetz-Steuerungsserver nach Ländern, zweites Quartal 2017

Die Verteilung nach Betriebssystemen ist im zweiten Quartal fast ausgeglichen: Der Anteil von Linux-Botnets betrug 51,23%, der Anteil der Windows-Botnetze dementsprechend 48,77%.

Verhältnis der von Windows- und Linux-Botnetzen ausgehenden Attacken

Fazit

In der Statistik für das zweite Quartal 2017 gab es gegenüber dem vorangegangenen Quartal keine bedeutenden Veränderungen: Etwa die Hälfte der DDoS-Attacken haben ihren Ursprung nach wie vor in China, wo sich auch die Hälfte der identifizierten Angriffsziele befindet.

Im zweiten Quartal wurde offensichtlich, dass die Bedrohung durch DDoS-Attacken mittlerweile so ernst genommen wird, dass einige Unternehmen bereit sind, bereits nach der ersten Drohung das Lösegeld zu zahlen, ohne den Angriff überhaupt abzuwarten. Das hat zu einer ganzen Welle von Betrügereien geführt, die mit der Erpressung von Lösegeld unter Androhung von DDoS zusammenhängen — Ransom DDoS. Dass die Situation ernst ist, zeigt auch die Tatsache, dass Cyberkriminelle häufig sogar auf eine Demonstration ihrer Möglichkeiten verzichten und einfach Nachrichten mit Lösegeldforderungen an eine lange Liste von Adressen verschicken. Die „Eintrittsschwelle“ ist im Fall von Ransom-DDoS äußerst niedrig, denn die potentiellen Betrüger benötigen weder umfangreiche Ressourcen noch technische Fähigkeiten und Kenntnisse.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.