DDoS-kwartaalrapport onthult ‘toevallige’ aanvallen en cybercriminelen op zoek naar geld

9 februari 2018 - Onbedoelde DDoS-aanvallen door spammers, politieke sabotage en eigenaren van DDoS-botnets die geld proberen te verdienen met de Bitcoin: dit zijn een paar van de trends die worden geanalyseerd in Kaspersky Lab’s vierde kwartaalrapport van 2017, op basis van data van Kaspersky DDoS Intelligence.

Het aantal landen dat DDoS-botnet-slachtoffers heeft, is in het vierde kwartaal van 2017 gedaald van 98 naar 82. Vietnam is omhooggeschoten in de lijst van meest aangevallen landen en neemt daarmee de plaats in van Hong Kong. Ondanks kleine schommelingen hebben alle andere landen in deze top tien hun positie behouden. Canada, Turkije en Litouwen hebben intussen, ten koste van Italië, Hong Kong en het Verenigd Koninkrijk, een plaats verworven in de top tien van landen waar C&C-servers zijn gevestigd die DDoS-botnets besturen.
 
Linux-bots
Na een sterke opmars in het derde kwartaal is het aandeel van Linux-botnets in de laatste drie maanden van het jaar op hetzelfde niveau gebleven (71 procent, tegenover 29 procent voor Windows-botnets). Het percentage SYN DDoS-aanvallen is echter gedaald van 60 naar 56 procent, als gevolg van afnemende activiteit van de Xor DDoS Linux-bot. Hierdoor is het aandeel van UDP-, TCP- en HTTP-aanvallen gegroeid, hoewel het percentage ICMP-aanvallen blijft dalen en met drie procent een laagterecord voor 2017 heeft gevestigd.
 
Daling DDoS aanvallen
De Kaspersky DDoS Protection-statistieken, die data bevatten over botnet-activiteiten, laten een daling zien in de populariteit van DDoS-aanvallen volgens de HTTP- of HTTPS-floodmethode: van 23 procent in 2016 naar elf procent in 2017. Tegelijkertijd is er een toename in de frequentie van aanvallen waarbij ook verschillende methodes worden toegepast, namelijk van dertien naar 31 procent. Dit zou kunnen komen door de complexiteit en kosten van het organiseren van HTTP(S)-aanvallen, terwijl cybercriminelen met gemengde aanvallen beter slagen tegen lagere kosten.
 
Politieke aanvallen
De langstdurende DDoS-aanval via botnets in de laatste maanden van 2017 heeft 146 uur in beslag genomen. Het doelwit van deze aanval was een site van een Chinees bedrijf dat bezoekers leert traditionele Aziatische gerechten te bereiden. De meest beruchte aanvallen in de onderzochte periode waren echter politiek gekleurd. DDoS-aanvallen op het Tsjechische bureau voor statistiek en de site van het Spaanse Constitutionele Hof. Of pogingen om te profiteren van wijzigingen in de bitcoin-wisselkoers, zoals de aanvallen op BTG-websites en Bitcoinbeurs Bitfinex.

Online commerce
Online commerce en cybercriminaliteit maken ook deel uit van de DDoS-activiteiten in het vierde kwartaal van 2017. In aanloop naar de piekverkoopperiode van Black Friday en Cyber Monday hebben de ‘honeypots’ van Kaspersky Lab een plotselinge toename geregistreerd van het aantal pogingen van Linux-DDoS-bots om speciaal in stelling gebracht lokaas te infecteren. Dit zou de wens van cybercriminelen kunnen onderstrepen om, voorafgaand aan een periode van grote verkopen, de omvang van hun botnets uit te breiden.
 
Toevallige bijwerking
Zoals in het vierde kwartaal is aangetoond, is DDoS niet altijd bedoeld als manier om geld te verdienen of problemen te veroorzaken: het kan ook een toevallige bijwerking zijn. Zo veroorzaakte een modificatie aan de Lethic-spambot in december een uitgebreide 'DDoS-aanval' op de DNS-servers van de nationale RU-domeinzone. Het lijkt erop, dat de Trojan door een fout van een ontwikkelaar een groot aantal verzoeken heeft ingediend naar niet-bestaande domeinen en uiteindelijk het effect van een massale DDoS-aanval heeft geproduceerd.
 

Doorsturen  |  Reageer  |  Nieuwsbrief