Distributed Denial of Service (DDoS)-Angriffe waren früher ganz einfach: Ein Cyberkrimineller überschwemmte eine Website mit einem Tsunami gefälschter Seitenanfragen und lachte dann wie ein Comic-Bösewicht, als die Website abstürzte. Doch mit der Weiterentwicklung der Netzwerkarchitektur haben sich auch die DDoS-Angriffe weiterentwickelt - und machen nicht nur öffentlich zugängliche Websites angreifbar.
Auch kritische Anwendungen und Geschäftsprozesse, die von Kommunikationsnetzwerken abhängen, sind anfällig für Unterbrechungen. Viele Cyberkriminelle fordern eine Lösegeldzahlung, um ihre DDoS-Attacken zu stoppen - eine neue Variante einer alten Angriffsmethode, wahrscheinlich inspiriert durch den Erfolg der jüngsten Ransomware-Angriffe.
DDoS ist eine anhaltende Bedrohung
Die Verschmelzung von DDoS-Angriffen und Lösegeldforderungen sollte nicht überraschen, meint Alex Pinto, der das Forscherteam leitet, das den jährlichen Verizon Data Breach Investigations Report (DBIR) erstellt. Laut Pinto zeigt der DBIR 2021, dass DDoS-Attacken die häufigste Art von Sicherheitsvorfällen unter den fast 60.000 globalen Vorfällen waren, die für den Bericht untersucht wurden.
Die Häufigkeit von DDoS-Attacken hat in den 14 Jahren, in denen Verizon den Bericht veröffentlicht, stetig zugenommen. Auch die Häufigkeit von Ransomware-Angriffen - bei denen Daten böswillig verschlüsselt werden, um IT-Systeme als Geiseln zu nehmen - ist laut Verizon im vergangenen Jahr deutlich gestiegen. Ransomware-Angriffe, bei denen Daten verschlüsselt und gestohlen werden, sind mittlerweile die dritthäufigste Ursache für Datenverletzungen.
Offensichtlich haben Cyberkriminelle die potenziellen Vorteile einer Kombination dieser beiden Angriffsmethoden erkannt. Billige „DDoS-as-a-Service“-Tools - die im Dark Web erhältlich sind - beschleunigen das Tempo und die Größe solcher Angriffe.
„DDoS-Angriffe sind schwer vorherzusagen“, erklärt Pinto. „Deshalb ist es für Unternehmen wichtig, sie so schnell wie möglich zu erkennen und zu beheben. Und wenn der Angriff ein erpresserisches Element enthält, wird die Aufgabe noch schwieriger. Diese Situation erfordert spezielle technische Fähigkeiten - und einen starken Incident-Response-Plan.“
Die Größe ist bei DDoS-Angriffen nicht das primäre Problem
Eine langanhaltende und unkontrollierte DDoS-Attacke kann zu Umsatzeinbußen, Reputationsschäden und - wenn sie auf kritische Infrastrukturen abzielt - zu potenziellen Schäden für die öffentliche Sicherheit führen. Einige DDoS-Attacken, die in den letzten Jahren für Schlagzeilen sorgten, waren durch massive Mengen an störendem Datenverkehr gekennzeichnet, der auf die Opfer gerichtet war.
Die Untersuchungen von Verizon zeigen, dass die meisten DDoS-Attacken eine Größe haben, die die Bandbreite des Kunden oder die Geräte vor Ort leicht überfordern können, aber fast immer mit einem Cloud-basierten DDoS-Mitigationsservice zu bewältigen sind. Im vergangenen Oktober meldete beispielsweise ein bekanntes Technologieunternehmen, dass es einen Angriff mit 2,54 Terabyte mitigieren konnte.
Laut Verizons DBIR-Forschung war das eine der größten DDoS-Attacken, die jemals aufgezeichnet wurden. Dennoch lagen fünfundneunzig Prozent der DDoS-Vorfälle zwischen 13 Mbit/s und 99 Gbit/s. Diese Art von Angriffen kann ohne den Einsatz eines Cloud-basierten, Carrier-agnostischen DDoS-Mitigation-Services nur sehr schwer abgewehrt werden.
Ein effektiver DDoS-Mitigation-Service ist in der Lage, schlechten von gutem Datenverkehr zu unterscheiden und kann diesen Datenverkehr von kritischen Systemen weg umleiten. Da DDoS-Angriffe sowohl auf die Netzwerk- als auch auf die Anwendungsebene abzielen, benötigen viele Unternehmen nicht nur eine starke DDoS-Lösung, sondern können auch von einem Cloud-basierten Web Application Firewall (WAF)-Service profitieren, um ihren Schutz zu erweitern.
Verizons Web Security, das eine WAF-Funktion bietet, hilft Unternehmen, ihre Website, Benutzeranwendungen und Daten zu schützen, indem es schlechten HTTP-Verkehr nahezu in Echtzeit filtert, überwacht und blockiert.
„Wenn Unternehmen eine DDoS-Angriffsdrohung mit Lösegeldforderung erhalten, sollten sie nicht zahlen. Stattdessen sollten Unternehmen sofort sicherstellen, dass ihre DDoS-Abwehr- und Cyber-Resiliency-Pläne getestet werden und ihren Internet Service Provider (ISP) benachrichtigen“, empfiehlt Wes Sobbott, Vice President, Network Security bei Verizon.
„Angreifer haben es auch immer noch auf autoritative DNS-Dienste abgesehen, da diese Art von Angriffen einfach zu starten ist und die Abwehr sehr viel schwieriger ist. Wir empfehlen Unternehmen, keine öffentlich zugänglichen autoritativen DNS-Dienste in ihrer Umgebung zu hosten, sondern sich stattdessen auf Cloud-Anbieter von Drittanbietern zu verlassen, die diesen Service bereitstellen.“
Bereit für einen Ransomware-Angriff?
Anhand von Daten, die vom FBI Internet Criminal Complaint Center (IC3) zur Verfügung gestellt wurden, berichtete das Verizon DBIR-Team, dass bei Ransomware-Angriffen der durchschnittliche Geldbetrag, den das Opfer durch den Angriff verlor, 11.150 US-Dollar betrug. Die Spanne der Verluste in 95 Prozent der Ransomware-Fälle lag zwischen 69 US-Dollar und 1,2 Millionen US-Dollar.
Um eine Organisation gegen die wachsende Bedrohung durch Ransomware zu verteidigen, muss man wissen, wie die Ransomware überhaupt eindringen kann und welche Kontrollen - von der Technologie über die Verfeinerung der Geschäftsprozesse bis hin zur Schulung der Mitarbeiter - erforderlich sind.
Der DBIR 2021 erklärt, dass Ransomware-Angriffe eine gewisse Vielfalt in Bezug auf die Art und Weise aufweisen, wie die Ransomware in das System gelangt, wobei die Bedrohungsakteure gestohlene Anmeldedaten oder Brute-Force-Taktiken verwenden. Fast 60 Prozent der Ransomware-Fälle, die das Verizon-Team untersuchte, beinhalten die direkte Installation von Ransomware oder die Installation über Desktop-Sharing-Apps.
Dem Bericht zufolge verteilten sich die restlichen Vektoren auf E-Mail, Netzwerkverbreitung und den Download durch andere Malware. „Bei dieser Art von Vorfällen und Sicherheitsverletzungen werden hauptsächlich Server angegriffen, was auch Sinn macht, da sich die Daten dort befinden“, heißt es im DBIR 2021.
Die Verhinderung von Ransomware-Angriffen mag sehr schwierig sein, aber es gibt dennoch Möglichkeiten, Systeme zu schützen und das Risiko zu reduzieren. Um Unternehmen bei der Bekämpfung von Ransomware zu helfen, verbindet der DBIR 2021 seine Ergebnisse mit einer Reihe von Sicherheitskontrollen des Center for Internet Security, die von Unternehmen umgesetzt werden können und als Industriestandard für den Aufbau eines effektiven Sicherheitsprogramms gelten.
Die Planung von Vorfällen kann die Auswirkungen eines Angriffs vermindern
Wenn Ransomware zuschlägt, sollten Unternehmen besser einen Plan haben, um die Krise zu bewältigen, sagen die Experten. „Ein Ransomware-Angriff zwingt Unternehmen dazu, einige sehr schwierige Entscheidungen zu treffen“, sagt Jim Meehan, Senior Investigations Manager in der Cybersicherheitsabteilung von Verizon.
Meehan, der als Mitglied des United States Secret Service mehr als zwei Jahrzehnte lang Verbrechen und Cyberkriminalität bekämpft hat, erklärt: „Sollten wir zahlen? Wie viel ist zu viel? Wer genehmigt die Zahlung, und woher bekommen wir das Geld? Und was ist, wenn der Hacker die Zahlung annimmt, aber unsere Daten trotzdem durchsickern lässt?
"Unternehmen müssen einen speziellen Ransomware-Notfallplan und eine entsprechende Richtlinie haben, und zwar lange vor einem solchen Angriff, denn sie wollen diese Entscheidungen nicht in Echtzeit treffen. Je länger ein Vorfall andauert, desto größer ist der Schaden, den er im Unternehmen anrichtet.“