Gefährlicher DDoS-Trend: Attacken aus dem Internet der Dinge

Im vierten Quartal des Jahres 2016 haben sich DDoS-Attacken (Distributed Denial of Service) deutlich weiterentwickelt. Die Angriffsmethoden werden immer anspruchsvoller und das Internet of Things (IoT, Internet der Dinge) bietet Cyberkriminellen neue – oft unzureichend geschützte – Geräte, über die sie Botnetz-basierte DDoS-Angriffe durchführen können. Diese Erkenntnisse gehen aus dem aktuellen DDoS-Report von Kaspersky Lab [1] hervor.

Im vierten Quartal des vergangenen Jahres verzeichnete das DDoS Intelligence System von Kaspersky Lab [2] in 80 Ländern weltweit DDoS-Attacken, die über Botnetze durchgeführt wurden – im vorherigen Quartal waren noch 67 Länder betroffen. Deutschland liegt sowohl hinsichtlich der Verteilung der DDoS-Attacken nach Ländern als auch, was die einzelnen Zielobjekte betrifft, im weltweiten Vergleich unter den Top-10. Der größte Anteil der weltweit von Kaspersky Lab gemessenen DDoS-Attacken zielte im vierten Quartal 2016 auf China ab – vor den USA und Südkorea.

Die längste DDoS-Attacke im vierten Quartal dauerte 292 Stunden (12,2 Tage) an und stellte damit den Rekord für die langwierigste DDoS-Attacke im Jahr 2016 dar. Zudem wurde der Negativrekord für die meisten DDoS-Attacken pro Tag mit 1.915 am 5. November 2016 gemessen.

DDoS-Attacken über das Internet der Dinge

DDoS-Angriffe hatten im vierten Quartal 2016 unterschiedlichste und zum Teil sehr prominente Organisationen im Visier, vom Domain-Name-System (DNS) des Unternehmens Dyn [3] über die Deutsche Telekom [4] bis zu einigen der größten Banken Russlands [5]. Ein neuer Trend, dem auch diese Unternehmen zum Opfer fielen, sind DDoS-Attacken, die über Botnetze bestehend aus kompromittierten IoT-Geräten durchgeführt werden – wie beispielsweise das Mirai-Botnetz [6].

Die Experten von Kaspersky Lab gehen davon aus, dass es im Jahr 2017 vermehrt zu DDoS-Attacken über IoT-Botnetze kommen wird. Der Grund: „IoT-Botnetze sind sehr wirksam. Zudem sehen wir immer mehr unzureichend geschützte und somit botanfällige IoT-Geräte. Erfolgreiche Angriffe über ein IoT-Botnetz wie Mirai gelten unter Cyberkriminellen zudem als Vorbild für weitere Botnetze, die aus IoT-Geräten geschaffen werden“, so Kirill Ilganaev, Leiter der Abteilung Kaspersky DDoS Protection bei Kaspersky Lab.

Application-Layer-Attacken und Verschlüsselung erschweren DDoS-Erkennung

Auch gab es im vierten Quartal 2016 vermehrt so genannte Application-Layer-Attacken – beispielsweise des Typs ‚WordPress Pingback‘. Application-Layer-Attacken stellen eine weitaus größere Herausforderung dar, weil sie die Aktivitäten eines realen Nutzers imitieren und weil sie häufiger Verschlüsselungsmethoden [7] einsetzen. Verschlüsselung steigert die Effektivität von DDoS-Angriffen um ein Vielfaches, weil die Erkennung durch die nötige Entschlüsselung erschwert wird.

Detaillierte Informationen zur Lösung Kaspersky DDoS Protection sind unter https://www.kaspersky.de/enterprise-security/ddos-protection verfügbar. 

[1] https://de.securelist.com/analysis/quartalsreport-malware/72359/ddos-attacks-in-q4-2016 

[2] Kaspersky DDoS Intelligence (als Teil von Kaspersky DDoS Protection) wurde dazu entwickelt, um Befehle, die von Command-and-Control-Servern zu Botprogrammen versendet werden, zu unterbrechen und analysieren zu können. Die daraus resultierenden Statistiken beziehen sich daher nur auf Botnetze, die von Kaspersky Lab entdeckt und analysiert wurden. 

[3] https://blog.kaspersky.com/attack-on-dyn-explained/13325/ 

[4] https://securelist.com/blog/incidents/76791/new-wave-of-mirai-attacking-home-routers/ 

[5] https://securelist.com/blog/incidents/76728/ddos-attack-on-the-russian-banks-what-the-traffic-data-showed/ 

[6] https://securelist.com/blog/research/76954/is-mirai-really-as-black-as-its-being-painted/ 

[7] https://de.securelist.com/analysis/quartalsreport-malware/72097/kaspersky-ddos-intelligence-report-for-q3-2016/