Link11, im Bereich Cyber-Resilienz spezialisierter europäischer IT-Sicherheitsanbieter, hat den alljährlichen Link11 DDoS-Report zur Jahresmitte veröffentlicht. Der Bericht zeigt, dass DDoS-Kriminelle im ersten Halbjahr erneut sehr aktiv waren. Sie starteten eine rekordverdächtige Anzahl von Angriffen. Das Link11 Security Operations Center (LSOC) verzeichnete ein Drittel (33 %) mehr Angriffe als im Vorjahreszeitraum des DDoS-Rekordjahres 2020. Die Angriffe waren bereits im Jahr 2020 auf hohem Niveau und sind noch einmal deutlich gegenüber dem Vorjahr gestiegen. Dieser Trend hält unvermittelt an. Innerhalb des Halbjahres haben die Anzahl und die Wucht von DDoS-Angriffen noch einmal spürbar zugenommen. So registrierte das LSOC im 2. Quartal 19 % mehr Angriffe auf als im Vorquartal. Gleichwohl war dieses bereits geprägt durch eine Vielzahl von Angriffen u.a. auf Impfzentren und Home-Schooling-Plattformen.
Hohe Angriffsvolumen in Kombination mit langer Dauer
Aus dem Report geht auch hervor, dass zahlreiche Angriffe im Angriffsvolumen über 100 Gbps lagen. Ihre Zahl ist im Vergleich zum Vorjahr gestiegen: von 30 auf 40 Angriffe. Dazu kamen hunderte Angriffe mit Bandbreitenspitzen zwischen 20 und 100 Gbps. Ob mittels gekaperter Cloud-Konten oder Botnetze - diese Angriffsbandbreiten werden immer mehr zur Normalität. Zudem zogen sich viele dieser Hochvolumen-Angriffe über Stunden hin. Meist enden bandbreitenstarke Angriffe nach wenigen Minuten, um die Ressourcen der Angreifer zu schonen. Die größte Attacke des ersten Halbjahres stoppte bei 555 Gbps und überstieg die maximale Angriffsbandbreite des Vorjahreszeitraums um knapp 38 %.
Wichtigste Herkunftsländer für Angriffe waren die USA und Deutschland
Die Geräte und Server, die Angreifer für DDoS-Attacken missbrauchten, waren weltweit verteilt. Im 1. Halbjahr kamen die meisten Anfragen von DDoS-Angriffen aus den USA. Am zweithäufigsten ließen sich die Angriffe nach Deutschland zurückverfolgen. DDoS-Traffic aus Russland und China, der in den vergangenen Jahren einen Großteil des Datenverkehrs ausgemacht hat, ist deutlich zurückgegangen.
Ransom DDoS-Erpressungen auf dem Vormarsch
Besonders hervorzuheben ist das steigende Aufkommen von DDoS-Erpressungen. Seit Anfang des Jahres 2021 richteten sich mehrere dieser Wellen (RDDoS – Ransom Distributed Denial of Service) gegen Unternehmen aus den Branchen Finanzen, E-Commerce, Medien und Logistik, Industrie, Konsumgüter, Telekommunikation und Hosting Provider/ISP. Die Höhepunkte der Erpresseraktivitäten lagen im Januar und im Juni, welche eine Vielzahl von Notfallintegrationen erforderte. Die Täte gaben sich jüngst als „Fancy Lazarus Gruppe“ aus. Das Vorgehen des oder der Täter war in weiten Teilen identisch mit den kriminellen Aktivitäten der DDoS-Erpresser, die unter den Namen Armada Collective, Fancy Bear und Lazarus-Group seit dem Sommer 2020 agierten.
Ein Ende der aktuellen Welle von Lösegeldforderungen im laufenden dritten Quartal ist nicht abzusehen, warnt das LSOC. Vielmehr müssen sich Unternehmen darauf einstellen, dass Cyber-Erpressungen mit DDoS-Attacken zum festen Bestandteil der Bedrohungslandschaft werden und immer häufiger auch mit anderen Angriffstechniken – insbesondere Ransomware – kombiniert werden.
Marc Wilczek, Geschäftsführer von Link11: „Im ersten Halbjahr haben wir eine unglaublich große Anzahl an DDoS-Angriffen und -Erpressungen registriert. Für die Firmen, die unzureichend geschützt waren, stellte das oft eine große Herausforderung dar, wie wir an der hohen Zahl an Notfall-Einsätzen gemerkt haben. Auch bereits vorhandene Tools und Systeme kamen regelmäßig an ihre Grenzen, was einige Unternehmen erst im Ernstfall realisiert haben. Wenn die akute Bedrohung überstanden ist, bietet so ein Vorfall den Sicherheitsverantwortlichen aber die Möglichkeit, die eigenen Strategien zu überdenken und die Lücken der eigenen IT-Sicherheit Verteidigungs-Systeme zu schließen. Denn Prävention ist besser als Notfallmanagement.“
Der ganze Report steht auf der Link11-Webseite zum Download bereit.
Hohe Angriffsvolumen in Kombination mit langer Dauer
Aus dem Report geht auch hervor, dass zahlreiche Angriffe im Angriffsvolumen über 100 Gbps lagen. Ihre Zahl ist im Vergleich zum Vorjahr gestiegen: von 30 auf 40 Angriffe. Dazu kamen hunderte Angriffe mit Bandbreitenspitzen zwischen 20 und 100 Gbps. Ob mittels gekaperter Cloud-Konten oder Botnetze - diese Angriffsbandbreiten werden immer mehr zur Normalität. Zudem zogen sich viele dieser Hochvolumen-Angriffe über Stunden hin. Meist enden bandbreitenstarke Angriffe nach wenigen Minuten, um die Ressourcen der Angreifer zu schonen. Die größte Attacke des ersten Halbjahres stoppte bei 555 Gbps und überstieg die maximale Angriffsbandbreite des Vorjahreszeitraums um knapp 38 %.
Wichtigste Herkunftsländer für Angriffe waren die USA und Deutschland
Die Geräte und Server, die Angreifer für DDoS-Attacken missbrauchten, waren weltweit verteilt. Im 1. Halbjahr kamen die meisten Anfragen von DDoS-Angriffen aus den USA. Am zweithäufigsten ließen sich die Angriffe nach Deutschland zurückverfolgen. DDoS-Traffic aus Russland und China, der in den vergangenen Jahren einen Großteil des Datenverkehrs ausgemacht hat, ist deutlich zurückgegangen.
Ransom DDoS-Erpressungen auf dem Vormarsch
Besonders hervorzuheben ist das steigende Aufkommen von DDoS-Erpressungen. Seit Anfang des Jahres 2021 richteten sich mehrere dieser Wellen (RDDoS – Ransom Distributed Denial of Service) gegen Unternehmen aus den Branchen Finanzen, E-Commerce, Medien und Logistik, Industrie, Konsumgüter, Telekommunikation und Hosting Provider/ISP. Die Höhepunkte der Erpresseraktivitäten lagen im Januar und im Juni, welche eine Vielzahl von Notfallintegrationen erforderte. Die Täte gaben sich jüngst als „Fancy Lazarus Gruppe“ aus. Das Vorgehen des oder der Täter war in weiten Teilen identisch mit den kriminellen Aktivitäten der DDoS-Erpresser, die unter den Namen Armada Collective, Fancy Bear und Lazarus-Group seit dem Sommer 2020 agierten.
Ein Ende der aktuellen Welle von Lösegeldforderungen im laufenden dritten Quartal ist nicht abzusehen, warnt das LSOC. Vielmehr müssen sich Unternehmen darauf einstellen, dass Cyber-Erpressungen mit DDoS-Attacken zum festen Bestandteil der Bedrohungslandschaft werden und immer häufiger auch mit anderen Angriffstechniken – insbesondere Ransomware – kombiniert werden.
Marc Wilczek, Geschäftsführer von Link11: „Im ersten Halbjahr haben wir eine unglaublich große Anzahl an DDoS-Angriffen und -Erpressungen registriert. Für die Firmen, die unzureichend geschützt waren, stellte das oft eine große Herausforderung dar, wie wir an der hohen Zahl an Notfall-Einsätzen gemerkt haben. Auch bereits vorhandene Tools und Systeme kamen regelmäßig an ihre Grenzen, was einige Unternehmen erst im Ernstfall realisiert haben. Wenn die akute Bedrohung überstanden ist, bietet so ein Vorfall den Sicherheitsverantwortlichen aber die Möglichkeit, die eigenen Strategien zu überdenken und die Lücken der eigenen IT-Sicherheit Verteidigungs-Systeme zu schließen. Denn Prävention ist besser als Notfallmanagement.“
Der ganze Report steht auf der Link11-Webseite zum Download bereit.
