DDoS in Q2: Crypto-collaps en toename aantal slimme aanvallen
In vergelijking met het voorgaande jaar is de gemiddelde duur van een DDoS-aanval met een factor 100 gestegen tot 3.000 minuten. Het aandeel van slimme aanvallen brak bijna het record van vier jaar geleden en was goed voor bijna 50% van het totaal. Experts verwachten ook een toename van de totale DDoS-activiteit, vooral met de recente ineenstorting van cryptocurrency. Deze en andere bevindingen maken deel uit van een DDoS kwartaalrapport van Kaspersky.
Een DDoS-aanval is bedoeld om de normale werking van een website te belemmeren of volledig te laten crashen. Zulke aanvallen zijn meestal gericht op overheidsinstellingen, retail- of financiële bedrijven, media of andere organisaties. Tijdens zo’n aanval verliest het slachtoffer klanten doordat zijn website niet beschikbaar is en kan het bedrijf reputatieschade oplopen.
Van kwantiteit naar kwaliteit
Kaspersky-oplossingen beschermden gebruikers tegen ongeveer 2,5 keer meer DDoS-aanvallen vergeleken met cijfers van het tweede kwartaal van 2021. Tegelijkertijd daalden de absolute aantallen in Q2 2022, in tegenstelling tot het begin van het jaar met zijn dramatische toename van aanvallen als gevolg van hacktivistische activiteiten. Dit betekent echter niet dat de DDoS-markt is afgekoeld. Integendeel, de kwaliteit van de aanvallen is veranderd en ze zijn langer en ingewikkelder geworden.
Vergelijking van aantal DDoS-aanvallen: Q2 2022 en Q2 2021, alsook Q1 2022. De data van Q2 2021 zijn genomen als 100%.
Gemiddelde DDoS-sessie duurde 100 keer langer
De gemiddelde duur van een aanval in Q2 2022 was 3.000 minuten, ofwel twee dagen. Dat is 100 keer langer dan in Q2 2021, toen een aanval gemiddeld slechts 30 minuten duurde. In vergelijking met het eerste kwartaal van 2022, dat werd gekenmerkt door een ongekende duur van DDoS-sessies als gevolg van hacktivistische activiteiten, laat het cijfer voor Q2 ook een stijging zien - met een factor drie.
Sommige aanvallen in het afgelopen kwartaal duurden dagen of zelfs weken. Een record werd gevestigd door een aanval met een duur van 41.441 minuten, wat net iets minder is dan 29 dagen.
Een vergelijkende duur van DDoS-aanvallen: Q2 2022 en Q2 2021, alsook Q1 2022. De gegevens voor Q2 2021 zijn genomen als 100%.
"Het is extreem duur om een aanval zo lang door te laten gaan, vooral als deze niet effectief is omdat deze wordt gefilterd door security-oplossingen. Wanneer bots constant actief zijn, neemt het risico op botnet-slijtage, node-storing of detectie door controlecentra toe. De extreme duur van deze aanvallen en de groei van het aantal slimme en gerichte DDoS-aanvallen doen ons afvragen wat de capaciteiten, professionele verwantschap en financieringsbronnen van de organisatoren zijn," zegt Alexander Gutnikov, security-expert bij Kaspersky.
Slimme aanvallen streven naar records
Elke tweede aanval die in het tweede kwartaal van 2022 door Kaspersky's producten werd gedetecteerd, was slim, wat betekent dat de organisatoren geavanceerde voorbereidingen hebben getroffen. Bijna 50% van de aanvallen dit kwartaal was een slimme aanval, wat bijna een nieuw record was. Het hoogste aandeel ooit was vier jaar geleden toen de DDoS-markt in een dip zat. Het is onverwacht om zulke hoge cijfers te zien in een "verhit" jaar in termen van DDoS-activiteit.
Het aandeel slimme DDoS-aanvallen: Q2 2022, Q2 2021 en Q1 2022.
Wat heeft de DDoS-markt te maken met cryptocurrency?
Wat het aantal DDoS-aanvallen betreft, was het tweede kwartaal rustiger dan het eerste. Dit is een gebruikelijk fenomeen: de experts zien meestal een daling van de DDoS-activiteit richting de zomer. Volgens het Kaspersky DDoS Intelligence systeem kwam dit jaar de dynamiek van het aantal DDoS-aanvallen binnen het kwartaal niet overeen met dit typische patroon. Na een vertraging aan het einde van het eerste kwartaal, groeide de botnetactiviteit gestaag gedurende het tweede kwartaal, wat resulteerde in meer activiteit in juni dan in april. Dit komt overeen met de daling van cryptocurrency, die gewoonlijk de opwarming van de DDoS-markt stimuleert.
"De ineenstorting van cryptocurrencies begon met de keldering van de Terra (Luna) en is sindsdien alleen maar in een stroomversnelling geraakt. Verschillende factoren wijzen erop dat de tendens zich kan voortzetten: zo verkopen cryptominers bijvoorbeeld farms tegen lage prijzen aan gamers. Dit kan leiden tot een toename van wereldwijde DDoS-activiteit," legt Gutnikov uit.
Om beschermd te blijven tegen DDoS-aanvallen, raden Kaspersky-experts aan om webresources te onderhouden door specialisten aan te wijzen die begrijpen hoe ze op DDoS-aanvallen moeten reageren. Daarnaast is het belangrijk contracten en contactgegevens van derden te valideren, inclusief die van internetproviders. Dit helpt teams snel toegang te krijgen tot contracten in geval van een aanval. Ook is het handig om je bedrijfsverkeer te kennen. Gebruik netwerk- en applicatiemonitoringtools om trends en tendensen in het verkeer te identificeren. Door inzicht te krijgen in de typische verkeerspatronen en -kenmerken van je bedrijf, kun je een basislijn vaststellen om ongebruikelijke activiteit die symptomatisch is voor een DDoS-aanval eenvoudiger te identificeren. Tot slot, zorg dat je klaar bent voor een verdedigingsplan B. Wees in staat om bedrijfskritische diensten snel te herstellen in het geval van een DDoS-aanval.
Lees meer over DDoS-aanvallen in Q2 2022 op Securelist.