Cloudflare DDoS-rapport over tweede kwartaal 2024

  1. 10 jul 2024
  2. 0 reacties

Cloudflare_DDoS_Q2stats

 

Cloudflare heeft een rapport uitgebracht over de wereldwijde DDoS-aanvallen in het tweede kwartaal van 2024. De belangrijkste constateringen zijn: 
  • Cloudflare registreerde een stijging van 20% op jaarbasis in DDoS-aanvallen.
  • Eén op de 25 respondenten in de enquête zei dat DDoS-aanvallen tegen hen werden uitgevoerd door kwaadwillenden op staatsniveau, of door een staat gesponsord.
  • De capaciteiten van aanvallers bereikten een recordhoogte toen de geautomatiseerde verdediging tien keer meer vingerafdrukken genereerde om de steeds geavanceerdere DDoS-aanvallen tegen te houden en te beperken.

DDoS-aanvallen blijven toenemen en worden geavanceerder

In de eerste helft van 2024 heeft Cloudflare 8,5 miljoen DDoS-aanvallen tegengehouden: 4,5 miljoen in het eerste kwartaal en 4 miljoen in het tweede kwartaal. Over het geheel genomen daalde het aantal DDoS-aanvallen in het tweede kwartaal met 11% op kwartaalbasis, maar steeg het met 20% op jaarbasis. Ter vergelijking: In 2023 zijn er 14 miljoen DDoS-aanvallen afgeweerd, dus halverwege 2024 is al 60% van het aantal van vorig jaar tegengehouden.

Cloudflare heeft succesvol 57 petabytes aan DDoS-aanvalsverkeer op de netwerklaag weten te beperken, zodat het de servers van klanten niet kon bereiken. Om dit in perspectief te plaatsen: de volledige catalogus van Netflix, die naar schatting tussen de 100 en 360 terabytes groot is, past zo’n 162 keer binnen de 57 petabytes aan netwerkverkeer dat is tegengehouden.

Verder uitgesplitst bestonden de 4 miljoen DDoS-aanvallen uit 2,2 miljoen DDoS-aanvallen op de netwerklaag en 1,8 miljoen HTTP DDoS-aanvallen. Het aantal HTTP DDoS-aanvallen is genormaliseerd om de explosie aan geavanceerde en willekeurige HTTP DDoS-aanvallen te compenseren. Cloudflare’s geautomatiseerde mitigatiesystemen genereren realtime vingerafdrukken voor DDoS-aanvallen, en vanwege de willekeurige aard daarvan heeft men waargenomen dat er veel vingerafdrukken worden gegenereerd voor afzonderlijke aanvallen. 
Het werkelijke aantal vingerafdrukken dat werd gegenereerd lag dicht bij de 19 miljoen, dus ruim tien keer groter dan het genormaliseerde aantal van 1,8 miljoen. De miljoenen vingerafdrukken die werden gegenereerd om met de randomisatie om te gaan, kwamen voort uit slechts enkele mitigatieregels. Deze regels deden hun werk om aanvallen te stoppen, maar ze dreven de cijfers op, dus zijn ze uitgesloten van de berekening.

Het tienvoudige verschil benadrukt de dramatische verandering in het cyberdreigingslandschap. De tools en capaciteiten die aanvallers in staat stelden zoveel geavanceerde gerandomiseerde aanvallen uit te voeren, werden voorheen geassocieerd met capaciteiten die voorbehouden waren aan actoren op staatsniveau, of door staten gesponsorde aanvallers. Door de opkomst van generatieve AI en automatische systemen die kwaadwillenden kunnen helpen sneller betere code te schrijven, hebben die mogelijkheden hun weg gevonden naar gewone cybercriminelen.

 

Ransom DDoS-aanvallen

In mei 2024 bereikte het percentage aangevallen Cloudflare-klanten dat rapporteerde te worden bedreigd door een DDoS-aanval, of onderworpen aan een ransom DDoS-aanval, 16%. Dat is het hoogste percentage in de afgelopen twaalf maanden. Het kwartaal begon relatief laag: 7% van de klanten rapporteerde een aanval voor losgeld. Dat steeg snel naar 16% in mei en daalde in juni lichtjes naar 14%. Over het geheel genomen zijn de DDoS-aanvallen met losgeld het afgelopen jaar kwartaal op kwartaal toegenomen. In het tweede kwartaal van 2024 bedroeg het percentage 12,3%, iets hoger dan het kwartaal ervoor (10,2%) maar vergelijkbaar met het percentage in 2023 (12,0%).

 

Aanvallers

75% van de respondenten meldde dat ze niet wisten wie hen aanviel of waarom. Deze respondenten zijn Cloudflare-klanten die het doelwit waren van HTTP DDoS-aanvallen. Van de respondenten die beweren dat ze het wisten, zei 59% dat ze door een concurrent zijn aangevallen. 21% zei dat de DDoS-aanval werd uitgevoerd door een ontevreden gebruiker of klant en 17% zei dat de aanvallen werden uitgevoerd door dreigingsactoren van staten, of door een staat gesponsord. De overige 3% gaf aan dat het een zelf toegebrachte DDoS-aanval was.

 

Meest aangevallen landen en regio’s

In het tweede kwartaal van 2024 was China het meest aangevallen land ter wereld. Cloudflare’s rangschikking houdt rekening met HTTP DDoS-aanvallen, DDoS-aanvallen op de netwerklaag, het totale volume en het percentage DDoS-aanvalsverkeer van het totale verkeer. Na China komt Turkije op de tweede plaats, gevolgd door Singapore, Hong Kong, Rusland, Brazilië en Thailand. De overige landen en regio's die de top 15 van meest aangevallen landen vormen, staan in een grafiek op Cloudflare’s website.

 

Meest aangevallen marktsectoren

De IT-sector was in het tweede kwartaal van 2024 het meest aangevallen marktsegment. De methoden voor rangschikking die Cloudflare hiervoor gebruikt, volgen dezelfde principes als eerder beschreven om het totale volume en het relatieve aanvalsverkeer voor zowel HTTP- als netwerklaag-DDoS-aanvallen in één enkele rangschikking te destilleren. Op de tweede plaats werd de voedingsmiddelen- en drankensector het meest aangevallen, als derde de sector telecommunicatie, providers en carriers en als vierde bedrijven die actief zijn in de markt voor consumentengoederen. 

 

Belangrijkste leerpunten

Het merendeel van de DDoS-aanvallen is klein en duurt maar kort. Maar zelfs deze aanvallen kunnen online diensten verstoren die niet de best practices voor DDoS-verdediging volgen. De kwaadwillenden gebruiken steeds verfijndere aanvalsmethoden, mogelijk als een gevolg van de beschikbaarheid van generatieve AI en copilots van ontwikkelaars. Dit resulteert in codes voor DDoS-aanvallen waartegen moeilijker te verdedigen is. Zelfs vóór de toenemende verfijning van aanvallen hadden veel organisaties al moeite om zich op eigen kracht tegen deze bedreigingen te verdedigen. Gelukkig is dat niet nodig, omdat Cloudflare er is om bedrijven te helpen en flink investeert in betere geautomatiseerde beveiliging tegen het toenemend aantal DDoS-aanvallen.
Lees ook
Juniper en Corero optimaliseren gezamenlijk ontwikkelde oplossing voor bescherming tegen DDoS-aanvallen

Juniper en Corero optimaliseren gezamenlijk ontwikkelde oplossing voor bescherming tegen DDoS-aanvallen

De omvang, regelmaat en geavanceerdheid van DDoS-aanvallen blijven groeien. Hierdoor zijn traditionele blackholing, out-of band scrubbing centers en handmatige tussenkomst niet langer toereikend. Om deze kloof te dichten hebben Juniper Networks en Corero Network Security hun krachten gebundeld voor de ontwikkeling van een revolutionaire geïntegree1

DDoS-clearinghouse aangemerkt als ‘high potential’ innovatie door Europese Commissie

DDoS-clearinghouse aangemerkt als ‘high potential’ innovatie door Europese Commissie

Het DDoS-clearinghouse is door de Europese Commissie geselecteerd voor hun Innovation Radar als een belangrijke innovatie in de categorie 'secure networks and computing’. Het DDoS-clearinghouse is een systeem waarmee organisaties de kenmerken van DDoS-aanvallen waarmee zij geconfronteerd worden, kunnen meten en delen met andere aangesloten organis1

Stichting NBIP: 'DDoS-aanvallen worden niet groter, maar slimmer'

Als het over DDoS-aanvallen gaat, wordt er veel gesproken over grote en complexe aanvallen. Maar in 2017 zijn DDoS-aanvallen juist minder groot geworden. Dat constateert de Stichting Nederlandse Beheersorganisatie Internet Providers in het DDoS data rapport 2017.  Dit rapport laat niet alleen zien dat deze aanvallen juist minder groot worden, maar ook veel doelmatiger en slimmer worden uitgevoerd. DDoS-aanvallen zijn relatief makkelijk uit te voeren en te kopen en de methoden om een aanval uit te voeren zijn in 2017 vernuftiger geworden. “De uitvoerder van een DDoS-aanval gaat niet langer uit1