DDoS-ATTACKEN im zweiten Quartal 2016

Inhalt

Die Ereignisse des Quartals

  • DDoS-Attacken auf E-Wallet-Dienste von Kryptowährungen spielen im Alltag dieser Services eine wichtige Rolle. So erklärten im zweiten Quartal 2016 gleich zwei Unternehmen – CoinWallet und Coinkite –, dass sie ihre Arbeit infolge von andauernden DDoS-Attacken einstellen würden. Gemäß einer im offiziellen Blog des Unternehmens Coinkite veröffentlichten Mitteilung wird der Web-Wallet-Service geschlossen und mit ihm auch seine API. Bei Coinkite räumt man ein, dass diese Entscheidung in vieler Hinsicht aufgrund der andauernden Attacken und dem Druck seitens verschiedener Staaten gefallen sei, die Kryptowährungen regulieren wollen.
  • Es wurde eine Schadsoftware gefunden, die über die Funktionalität eines Wurms verfügt und ein Botnetz aus Routern aufbaut (inklusive Wi-Fi-Zugriffspunkt). Der Schädling verbreitet sich via Telnet. Eine Analyse des Wurmcodes hat ergeben, dass er in DDoS-Attacken verschiedener Typen eingesetzt werden kann.
  • Experten weisen auf einen Anstieg der Zahl von Botnetz-Steuerungsservern hin, die als Tools zur Durchführung von DDoS-Attacken funktionieren – die Rede ist von dem Dienst LizardStresser. Der Quellcode von LizardStresser stammt von der Hackergruppe Lizard Squad und wurde Ende 2015 öffentlich verfügbar, was eine Zunahme der Botnetze nach sich zog, die auf neuen Versionen dieses Tools basieren.
  • Forscher haben ein Botnetz entdeckt, das aus 25.000 Geräten besteht, von denen die meisten Überwachungskameras sind. Spezialisten weisen darauf hin, dass es sich bei 46 Prozent der infizierten Geräte um CCTV-Systeme des TypsH.264 DVR handelt. Außerdem wurden auch Produkte der folgenden Hersteller kompromittiert: ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus und MagTec CCTV.
  • Es wurde ein neues Botnetz entdeckt, das den Namen Jaku erhielt und sich überwiegend in Japan und Südkorea befindet. Forscher merken an, dass es die Betreiber des Botnetzes in erster Linie auf große Ziele abgesehen haben: Maschinenbauunternehmen, internationale gemeinnützige Organisationen und Bildungseinrichtungen.
  • Entdeckt wurde auch eine Modifikation der Erpressersoftware Cerber, die infizierte Geräte für DDoS-Attacken verwendet. Der Verschlüsselungstrojaner versendet UDP-Pakete, bei denen die Absenderadresse in die Adresse des Opfers umgewandelt wird. So sendet der Host, der dieses Paket erhält, die Antwort an die Adresse des Opfers. Diese Technik wird für die Organisation von UDP-Floods verwendet, so dass dieser Trojaner neben seiner Funktionalität als Erpresser auch über die Funktionalität eines DDoS-Bots verfügt.

Statistik zu Botnetz-basierten DDoS-Attacken

Methodologie

Kaspersky Lab verfügt über langjährige Erfahrung in der Abwehr von Cyberbedrohungen, darunter auch DDoS-Attacken unterschiedlicher Art und Komplexität. Die Experten des Unternehmens verfolgen die Aktivität von Botnetzen mit Hilfe des Systems DDoS Intelligence.

Das System DDoS Intelligence (als Teil der Lösung Kaspersky DDoS Protection) basiert auf einer Analyse von Befehlen, die von den Steuerungsservern der Cyberkriminellen an das Netz der Bots gesendet werden. Dabei ist es nicht erforderlich, dass auf dem Gerät des Anwenders ein Bot vorhanden ist oder dass die vom Server gesendeten Befehle ausgeführt werden.

Der vorliegende Bericht enthält die Statistik des Systems DDoS Intelligence für das zweite Quartal 2016.

Eine DDoS-Attacke gilt in diesem Bericht immer dann als einzelner Angriff, wenn die Pausen zwischen den Aktivitätsperioden des Botnetzes 24 Stunden nicht überschreiten. Falls beispielsweise ein und dieselbe Ressource von ein und demselben Botnet nach einer Pause von 24 Stunden erneut angegriffen wird, werten die Kaspersky-Experten das als zwei Attacken. Als einzelne Attacken werden ebenfalls diejenigen Anfragen an eine Ressource gewertet, die von Bots aus unterschiedlichen Botnetzen stammen.

Der geografische Standort der Opfer der DDoS-Attacken und der Server, von denen die Befehle verschickt werden, wird nach ihren IP-Adressen definiert. Die Anzahl der individuellen Ziele der DDoS-Attacken berechnet Kaspersky Lab in diesem Bericht nach der Zahl der individuellen IP-Adressen in der Quartalsstatistik.

Wir weisen ausdrücklich darauf hin, dass die Statistik von DDoS Intelligence nur auf diejenigen Botnetze beschränkt ist, die Kaspersky Lab entdeckt und analysiert hat. Man sollte zudem bedenken, dass Botnetze nur eines von vielen Werkzeugen zur Umsetzung von DDoS-Attacken sind, und dass die hier aufgeführten Daten nicht ausnahmslos alle DDoS-Attacken umfassen, die in dem entsprechenden Zeitraum durchgeführt wurden.

Quartalsergebnisse

  • DDoS-Attacken unter Verwendung von Botnetzen richteten sich im zweiten Quartal 2016 gegen Ziele in 70 Ländern.
  • Im zweiten Quartal 2016 entfielen 77,4 Prozent der DDoS-Attacken auf Ziele, die sich in China befinden.
  • China, Südkorea und die USA sind nach wie vor Spitzenreiter, sowohl nach Zahl der registrierten Attacken als auch nach Anzahl der von DDoS-Attacken betroffenen Opfer.
  • Die längste DDoS-Attacke im zweiten Quartal 2016 dauerte 291 Stunden (12,1 Tage), was den Spitzenwert des vergangenen Quartals (8,2 Tage) deutlich übersteigt.
  • SYN-DDoS, TCP-DDoS und HTTP-DDoS sind nach wie vor die populärsten Angriffsmethoden, wobei der Anteil von SYN-DDoS in der Verteilung der Angriffsmethoden um das 1,4-Fache gestiegen ist.
  • Im zweiten Quartal 2016 wurden 70,2 Prozent aller erkannten Attacken von Linux-Botnetzen aus durchgeführt, das ist ein beinahe doppelt so hoher Wert wie im vergangenen Quartal.

Geografie der Attacken

Im zweiten Quartal 2016 wurden in 70 Ländern der Welt DDoS-Attacken registriert, von denen sich 77,4 Prozent gegen Ziele in China richteten. Insgesamt entfielen 97,3 Prozent der Attacken auf Ressourcen, die sich in zehn Ländern der Welt befinden. Das Führungstrio dieses Ratings wird nach wie vor von China, Südkorea und den USA gebildet.

pic_ddos_de

Verteilung der DDoS-Attacken nach Ländern, erstes und zweites Quartal 2016

Die Statistik nach Anzahl der Attacken zeigt, dass 94,3 Prozent aller Attacken auf Ziele in den Ländern aus den Top 10 entfallen.

DDoS-ATTACKEN im zweiten Quartal 2016

Verteilung der individuellen Ziele von DDoS-Attacken nach Ländern, erstes und zweites Quartal 2016

In dieser Statistik sticht China hervor. Auf die Ziele in diesem Land entfielen 71,3 Prozent aller DDoS-Attacken, wobei dieser Wert im vorangegangenen Quartal 49,7 Prozent betrug.

Eine so deutliche Zunahme des Anteils der Angriffe auf chinesische Ressourcen hat einen Rückgang der relativen Werte der meisten anderen Länder aus den Top 10 nach sich gezogen. Am stärksten abgebaut hat der Anteil Südkoreas, der Anteil der USA ist um 0,7 Prozentpunkte gesunken.

Russland ist nicht mehr unter den ersten Fünf dieser Hitliste. Der Anteil dieses Landes ging um 1,3 Prozentpunkte zurück. Russlands Platz wird jetzt von Vietnam belegt, dessen Anteil sich nicht geändert hat und nach wie vor 1,1 Prozent beträgt. Nicht mehr in den Top 10 vertreten sind Deutschland und Kanada. Ihre Plätze belegen nun Frankreich und die Niederlande, deren Werte 0,9 respektive 0,5 Prozent betragen.

Veränderungsdynamik der Zahl von DDoS-Attacken

Die Verteilung der DDoS-Attacken nach Tagen war im zweiten Quartal 2016 relativ ungleichmäßig, mit einer Flaute von Ende April fast bis Ende Mai, mit deutlichen Spitzen am 29. Mai und am 2. Juni. Die meisten Attacken entfielen auf den 6. Juni (1.676 Attacken).

DDoS-ATTACKEN im zweiten Quartal 2016

Veränderungsdynamik der Zahl von DDoS-Attacken*, 2. Quartal 2016

* DDoS-Attacken können ununterbrochen mehrere Tage lang andauern. Eine einzelne Attacke könnte daher auf dem Zeitstrahl als mehrere Male zählen, und zwar als jeweils eine Attacke pro Tag.

Eine Analyse der Daten für das erste Halbjahr 2016 zeigt, dass auch bei unregelmäßiger Verteilung der Attackenzahl nach Tagen die Angriffsmenge insgesamt stetig zunimmt.

DDoS-ATTACKEN im zweiten Quartal 2016

Veränderungsdynamik der Zahl von DDoS-Attacken, erstes und zweites Quartal 2016

Im zweiten Quartal entfielen die meisten DDoS-Attacken auf den Dienstag (15,2 % der Attacken). Auf Platz zwei dieser Statistik befindet sich der Montag (15,0 %). Der Donnerstag, der im vergangenen Quartal Rang zwei belegte, rutschte um eine Position ab, sein Anteil ging dabei um 1,4 Prozentpunkte zurück. Die geringste DDoS-Aktivität war im zweiten Quartal an den Sonntagen zu verzeichnen (13,0 %).

DDoS-ATTACKEN im zweiten Quartal 2016

Verteilung der DDoS-Attacken nach Wochentagen

Art und Dauer der DDoS-Attacken

Im Rating der unter Cyberkriminellen beliebtesten Methoden zur Durchführung von DDoS-Attacken bleibt die Besetzung unverändert, nur SYN-DDoS hat seine Führungsposition mit einer Zunahme des Anteils von 54,9 auf 76 Prozent noch einmal gefestigt. Die Werte aller anderen Angriffsarten sind zurückgegangen, nur der Anteil von UDP-DDoS ist ein wenig gestiegen, allerdings nur um 0,7 Prozentpunkte.

DDoS-ATTACKEN im zweiten Quartal 2016

Verteilung der DDoS-Attacken nach Typen

Die gestiegene Popularität von SYN-DDoS hängt in erster Linie damit zusammen, dass im zweiten Quartal 2016 ganze 70,2 Prozent aller aufgedeckten Attacken auf Linux-Botnetze entfielen. Erstmals in den letzten Quartalen ist eine so klare Verschiebung des Gleichgewichts zwischen der Aktivität von Linux- und Windows-DDoS-Bots zu beobachten. Vorher betrug die Differenz nicht mehr als zehn Prozentpunkte. Und gerade Linux-Bots sind für die Durchführung von SYN-Flood-Attacken das am besten geeignete Werkzeug.

DDoS-ATTACKEN im zweiten Quartal 2016

Verhältnis der Attacken, die von Windows- und Linux-Botnetzen aus durchgeführt wurden

Kurzfristige Attacken, die höchstens vier Stunden andauern, sind noch immer am häufigsten, auch wenn ihr Anteil im zweiten Quartal von 67,8 auf 59,8 Prozent zurückging. Deutlich zugenommen haben die Werte der langfristigen Attacken. So lag der Anteil der Angriffe mit einer Dauer zwischen 20 und 49 Stunden bei 8,6 Prozent (gegenüber 3,9 % im ersten Quartal), und der der Attacken, die zwischen 50 und 99 Stunden andauern, betrug 4 Prozent (gegenüber 0,8 % im ersten Quartal).

Die längste im zweiten Quartal registrierte Attacke dauerte 291 Stunden an, was den Spitzenwert des ersten Quartals (197 Stunden) deutlich übersteigt.

DDoS-ATTACKEN im zweiten Quartal 2016

Verteilung der DDoS-Attacken nach Dauer (Stunden)

Steuerungsserver und Botnetztypen

Auch im zweiten Quartal 2016 bleibt Südkorea nach Zahl der Steuerungsserver, die auf dem Territorium des Landes aktiv sind, absolut konkurrenzlos – der Anteil des Landes war mit 69,6 Prozent um zwei Prozentpunkte höher als im vorangegangenen Quartal. Das Führungstrio, auf das 84,8 Prozent der Steuerungsserver entfielen, blieb in der Zusammensetzung unverändert. Neu unter den ersten Zehn sind Brasilien (2,3 %), Italien (1 %) und Israel (1 %).

DDoS-ATTACKEN im zweiten Quartal 2016

Verteilung der Botnetz-Steuerungsserver nach Ländern, zweites Quartal 2016

Wie auch schon in den vorangegangenen Quartalen verwendeten die Cyberkriminellen für Angriffe auf 99,5 Prozent der Ziele Bots aus einer Familie. Nur in 0,5 Prozent der Fälle wurde ein Ziel im Laufe des Quartals von Bots zweier unterschiedlicher Familien angegriffen (von einem oder mehreren Angreifern verwendet). Die beliebtesten Bot-Familien im zweiten Quartal waren Xor, Yoyo und Nitol.

Fazit

Im zweiten Quartal 2016 widmeten die Cyberkriminellen solchen Finanzeinrichtungen ihre geballte Aufmerksamkeit, deren Geschäfte mit Kryptowährungen in Verbindung stehen. Der harte Wettbewerb in dieser Branche führt dazu, dass die Konkurrenten auch zu unlauteren Mitteln greifen, unter anderem zu DDoS-Attacken. Ein anderer Grund für das Interesse seitens der Angreifer ist eine Besonderheit dieses Geschäftszweigs, die mit der Verarbeitung der Kryptowährungen zusammenhängt – nicht alle sind froh über die fehlenden Möglichkeiten, die Verarbeitung von Kryptowährung zu regulieren. Das soll heißen, dass es nicht nur den direkten Konkurrenten in die Hände spielt, wenn ein Service nicht mehr funktionsfähig ist.

Ein weiterer beständiger Trend wird auch durch den vermehrten Einsatz von angreifbaren IoT-Geräten markiert, die als Bots zu Botnetzen zusammengefasst und bei der Durchführung von DDoS-Attacken benutzt werden. In einem unserer früheren Berichte haben wir bereits auf das Erscheinen eines Zombie-Netzwerks hingewiesen, das aus Überwachungskameras besteht, und im zweiten Quartal 2016 war ebenfalls ein gesteigertes Interesse seitens der Organisatoren von Botnetzen an diesen Geräten zu beobachten. Es ist nicht ausgeschlossen, dass die Welt schon zum Ende des laufenden Jahres von noch „exotischeren“ Botnetzen hören wird, die aus angreifbaren IoT-Geräten bestehen.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.