DDoS-Angriffe: Gezielte Multivektor-Attacken auf Unternehmen werden immer komplexer

Der europaweit aktive IT-Sicherheitsanbieter im Bereich Cyber-Resilienz Link11 hat seinen jährlichen DDoS-Report für 2019 veröffentlicht. Der Bericht basiert auf Daten von abgewehrten Attacken auf Webseiten und Server, die durch das von Link11 betriebene Security Operation Center (LSOC) geschützt sind. Dabei zählen eine steigende Komplexität der Angriffe und ein wachsender Missbrauch von Cloud-Servern zu den wichtigsten Entwicklungen.

Eine entscheidende Erkenntnis ist, dass Multivektor-Angriffe häufiger vorkommen und intensiver ausfallen als in der Vergangenheit: Der Anteil der Multivektor-Angriffe, die auf mehrere Protokolle und Schwachstellen abzielen und diese missbrauchen, stieg deutlich von 46 % im 1. Quartal auf 65 % im 4. Quartal. Außerdem war die DNS-Reflection-Amplification der beliebteste Verstärkungs-Vektor bei DDoS-Angreifern. Das bedeutet, dass die Angreifer im vergangenen Jahr am häufigsten DNS-Reflection einsetzten, die in jeder 3. Attacke mit Verstärkungstechniken nachgewiesen wurde. Angreiferseitig wurden dabei unsichere DNS-Server ausgenutzt, von denen es laut Open Resolver Project Ende 2019 weltweit über 2,7 Millionen gab.

Längster DDoS-Angriff über vier Tage

Außerdem steigt die durchschnittliche Angriffsbandbreite weiter an: Die mittlere Bandbreite der Angriffe hat innerhalb von vier Jahren um mehr als 150 % zugenommen und erreichte 2019 über 5 Gbps – gegenüber 2 Gbps im Jahr 2016. Zudem hat sich das maximale Angriffsvolumen im Vergleich zu 2018 fast verdoppelt: von 371 Gbps auf 724 Gbps. Auch Angriffe über missbrauchte Cloud-Server nehmen zu: Der Anteil der DDoS-Angriffe unter Einsatz von Cloud-Ressourcen lag zwischen Januar und Dezember bei 45 %. Das ist ein Anstieg um 16 % gegenüber dem gleichen Zeitraum 2018. In den letzten sechs Monaten des Jahres 2019 stieg der Anteil auf 51 %.

Die Anzahl der Attacken auf die verschiedenen Provider ist etwa proportional zu ihrem relativen Marktanteil. Die meisten missbrauchten Instanzen waren auf Amazon AWS, Microsoft Azure und die Google Cloud registriert. Der längste einzelne DDoS-Angriff dauerte mit 6.459 Minuten über 100 Stunden, also fast viereinhalb Tage.

DDoS-Angriffe werden geclustert und intensiver

Das LSOC hat im letzten Jahr auch eine Reihe neuer Verstärker-Techniken registriert, darunter WSDiscovery, Apple Remote Management Service und TCP Reflection. Das LSOC verzeichnete in der zweiten Hälfte des Jahres zudem eine neue Angriffstaktik, die „Carpet Bombing“ genannt wird. Dahinter steht eine Flut einzelner Angriffe, die zeitgleich gegen ein gesamtes Subnetz mit mehreren 1.000 Hosts gefahren wird.

Angreifer gehen immer mehr zu Methoden über, die auf Netzwerk- und Anwendungsebene zielen. Das bedeutet, dass Unternehmen in Schutzlösungen investieren müssen, die darauf ausgerichtet sind, mehrschichtige Anomalien und komplexe Angriffsstrategien zu erkennen“

Marc Wilczek, Geschäftsführer von Link11

Der Link11 DDoS-Report 2019 steht auf der Link11 Webseite zum Download bereit.tw