Akamai: DDoS-aanvallen in omvang en volume verviervoudigd

Akamai heeft zijn Q3 2014 ‘State of the Internet’- Security Report gepubliceerd. Het rapport is opgesteld door Akamai’s Prolexic Security Engineering and Research Team (PLXsert), bestaande uit experts op het gebied van beveiliging tegen Distributed Denial of Service (DDoS) aanvallen. Het kwartaalrapport biedt inzicht in het wereldwijde dreigingslandschap, waaronder DDoS-aanvallen.

“De omvang en het volume van DDoS-aanvallen is het afgelopen jaar sterk toegenomen,” zegt Hans Nipshagen, Regional Manager Benelux bij Akamai. “Alleen al in het derde kwartaal heeft Akamai 17 aanvallen tegengehouden  die groter waren dan 100 gigabits per seconde en waarvan de grootste 321 Gbps was. Een jaar geleden kwam een dergelijke omvang nog niet voor en in het voorgaande kwartaal hebben we er slechts zes met die omvang gezien. Deze mega-aanvallen maakten allemaal gebruik van meerdere aanvalswegen om met een extreem hoge snelheid datapakketten te verzenden die enorme hoeveelheden bandbreedte gebruiken.”

De meest significante aanvalscampagnes in het derde kwartaal werden gekenmerkt door een ‘brute force’ aanpak. Aanvallers zijn overgestapt op nieuwe methoden om meer bandbreedte te bezetten. De piek-bandbreedte van deze record-aanvallen laat een toename zien van 80% ten opzichte van het voorgaande kwartaal en een verviervoudiging ten opzichte van dezelfde periode een jaar geleden. Daarnaast groeide de gemiddelde piek van het aantal pakketten per seconde (average peak packets per second): met 10% ten opzichte van het voorgaande kwartaal en een verviervoudiging ten opzichte van dezelfde periode een jaar geleden.

Criminelen hebben manieren gevonden om meer devices in te zetten om hun DDoS-botnetten uit te breiden en zo grotere DDoS-aanvallen uit te voeren. PLXsert heeft botnet-bouwactiviteiten geobserveerd, waarbij criminelen probeerden systemen te besturen door toegang te krijgen via kwetsbare webapplicaties op Linux-systemen. Aanvallers hebben ook nieuwe soorten devices ingezet, zoals smartphones, kabelmodems, mobiele apparatuur, wearables en een breed scala aan internetapparatuur die deel uitmaakt van het Internet of Things.

Aanvallen met zowel een hoge bandbreedte als een groot volume werden mogelijk door verschillende aanvalsmethoden toe te passen. Geavanceerdere, ‘multi-vector’-aanvallen werden de norm in het derde kwartaal: meer dan de helft van de aanvallen (53%) maakte gebruik van meerdere aanvalswegen (‘multi-vector’). Dit is een toename van 11% ten opzichte van het voorgaande kwartaal en een toename van 9% ten opzichte van het derde kwartaal van 2013. ‘Multi-vector aanvallen namen toe door de grote beschikbaarheid van aanvalsgereedschappen met een gemakkelijk te gebruiken interface en een groeiende ‘DDoS as a Service’-industrie.

Belangrijkste bevindingen uit het Akamai PLXsert Q3 2014 State of the Internet – Security rapport

In vergelijking  met het derde kwartaal van 2013:

  • Totale aantal DDoS-aanvallen: toename van 22%
  • Gemiddelde aanvalsbandbreedte: toename van 389%
  • Gemiddelde piek van aantal pakketten per seconde: toename van 366%
  • Aanvallen op de applicatielaag: afname van 44%
  • Aanvallen op de infrastructuurlaag: toename van 43%
  • Gemiddelde duur van de aanvallen:  toename van 5%
  • Multi-vector aanvallen: toename van 9%

In vergelijking met het tweede kwartaal van 2014:

  • Totale aantal DDoS-aanvallen: toename van 2%
  • Gemiddelde aanvalsbandbreedte: toename van 80%
  • Piekgemiddelde aantal pakketten per seconde: toename van 10%
  • Aanvallen op de applicatielaag: toename van 2%
  • Aanvallen op de infrastructuurlaag: toename van 2%
  • Gemiddelde duur van de aanvallen:  toename van 29%
  • Multi-vector aanvallen: toename van 11%
  • Aanvallen met bandbreedte > 100Gbps: 183% (17 versus 6)

Phishing-aanvallen tasten websites van media aan

In het derde kwartaal kwam nog een ander soort aanval vaak voor: phishing. Gebruikers van Google Enterprise kregen te maken met meerdere phishing aanvallen die uit waren op gebruikersgegevens en vertrouwelijke informatie. Met deze informatie hebben hacktivisten op populaire media-websites, waaronder CNN en Associated Press, content feeds van derde partijen met succes onderschept.

De meest in het oog lopende groep hacktivisten die het op deze content providers heeft voorzien, is het Syrian Electronic Army (SEA). Deze groep stuurt  e-mails met een valse link naar een groot aantal werknemers van het mediabedrijf of een van zijn content providers. Gebruikers die op deze  link klikken krijgen een login-scherm te zien, bedoeld om de login-gegevens van de gebruiker te verkrijgen – een vorm van identiteitsdiefstal.

Introductie stateoftheinternet.com

Tegelijk met de beschikbaarheid van het Q3 2014 State of the Internet – Security Report, lanceert Akamai stateoftheinternet.com. Op deze nieuwe portal is content en informatie te vinden waarmee organisaties zich een goed beeld kunnen vormen van actuele trends op het gebied van online connectiviteit en cybersecurity. Ook zijn meetgegevens beschikbaar, zoals internet-connectiesnelheden, adoptie van breedband, mobiel gebruik, uitval en cyberaanvallen en -dreigingen. Bezoekers kunnen er tevens de huidige en voorgaande versies vinden van Akamai’s State of the Internet (Connectivity and Security) rapporten, datavisualisaties en andere informatiebronnen om het voortdurend veranderende internetlandschap in context te plaatsen. Tegelijk met de lancering van de nieuwe portal is ook de ‘State of the Internet’ mobiele app voor Android beschikbaar. Op stateoftheinternet.comis meer informatie over deze app te vinden en de app kan hier ook worden gedownload.