Het aantal DDoS-aanvallen zijn licht afgenomen. Echter is de omvang van een DDoS-aanval vele malen groter en complexer geworden. Deze hardnekkige vorm van cybercriminaliteit is al jaren een plaag voor het bedrijfsleven en de overheid. Van een flinke piek in coronatijd tot DDoS-afpersing: in dit artikel bespreken we de laatste ontwikkelingen op het gebied van DDoS-aanvallen.
1. Uitzonderlijk grote DDoS-aanvallen in Nederland
De Distributed Denial of Service (DDoS)-aanval, waarbij cybercriminelen servers bestoken met grote hoeveelheden data om deze te overbelasten, is de afgelopen tijd stabiel gebleven. Wel werden de aanvallen steeds groter en complexer.
In 2020 sloeg Amazon Web Services de grootste DDoS-aanval ooit af. Deze aanval had een capaciteit van 2,3 Tbps aan dataverkeer. Toen voorspelde Erno Doorenspleet, Vice President Security Strategy bij KPN, al dat het niet lang zal duren voordat dat record ook verbroken zou worden.
In maart 2022 registreerde Cloudflare de tot nu toe grootste DDoS-aanval ooit via https. De DDos-aanval duurde 15 seconden en is op zijn minst uniek te noemen, omdat er meer rekenkracht vereist is voor versleutelde verbindingen en de aanvallers hier ook hogere bedragen voor moeten betalen.
Maar ook eerder in 2020 waren er grote DDoS-aanvallen in Nederland, bijvoorbeeld bij Thuisbezorgd, MijnOverheid, Tweakers en de Zeeuwse internetprovider Delta. Deze DDoS-aanval legde in vrijwel de hele provincie Zeeland het internet plat. Hierdoor werkten ook de pinautomaten in parkeergarages in Middelburg niet: er kon alleen met contant geld worden betaald.
“Maar een grote golf zoals in 2018, toen meerdere banken en overheidsinstellingen getroffen werden, hadden we al even niet gezien”, zegt Erno Doorenspleet, Vice President Security Strategy bij KPN.
2. Complexiteit DDoS-aanvallen neemt toe
Ten opzichte van 2021 daalde het aantal geregistreerde DDoS-aanvallen licht. Wel zien we een lichte verschuiving in aanvalsmethoden. Zo kwamen DNS-query-aanvallen en Ransom DDoS (RDoS) vaker voor.
Bij RDoS proberen criminele bendes bedrijven in verschillende sectoren af te persen door te dreigen met een zware DDoS-aanval. Volgens securitybedrijf Akamai worden de dreigmails uit naam van Armada Collective en Fancy Bear verstuurd. Het slachtoffer moet een betaling voldoen in bitcoins die verder oploopt naarmate de tijd verstrijkt. Het gaat al snel om tienduizenden euro’s.
Ransom DDoS (RDoS) is niet nieuw. De e-mails lijken sterk op die uit eerdere campagnes. Armada Collective waarschuwt de ontvanger om vooral niet naar de media te stappen. “Anders begint de aanval direct en duurt deze heel lang.” Fancy Bear belicht de negatieve gevolgen van een DDoS-aanval. “We maken jullie reputatie kapot en zorgen ervoor dat jullie diensten offline blijven totdat er betaald is.”
Deze dreigende toon zal sommige slachtoffers ongetwijfeld overtuigen om te betalen. Toch raadt Doorenspleet dat met klem af. “U heeft dan geen enkele garantie dat de aanvallen daadwerkelijk ophouden”, benadrukt de Vice President Security Strategy. “Door te betalen houdt u bovendien het verdienmodel van de aanvallers in stand.”
Ook het NCSC heeft meldingen ontvangen over afpersingsmails waarin een statelijke actor dreigt met een DDoS-aanval. Er zou echter geen indicatie zijn dat deze afpersingsmails samenhangen met de nieuwe DDoS-aanvallen.
3. FBI waarschuwt voor nieuwe typen aanvallen
De FBI heeft eind juli een waarschuwing verspreid over vier nieuwe aanvalsvectoren voor DDoS-aanvallen. Voor de aanvallen zetten de criminelen botnets op van apparaten die gebruikmaken van de netwerkprotocollen CoAP, WS-DD en ARMS, of hacken ze Jenkins-servers.
De netwerkprotocollen zijn essentieel voor de Internet of Things-apparaten, smartphones en Macs waarin ze worden gebruikt. Daarom is het volgens de Amerikaanse veiligheidsdienst onwaarschijnlijk dat fabrikanten deze protocollen verwijderen of uitschakelen. Het groeiende aantal devices met deze ingebouwde protocollen zal mogelijk leiden tot enorme botnets waarmee verwoestende DDoS-aanvallen worden gepleegd.
Doorenspleet verwacht dat de nieuwe aanvalsvectoren in de toekomst ook op grote schaal worden toegepast door online aanbieders van DDoS-aanvallen.
4. Piek in DDoS-aanvallen sinds uitbraak corona stabiel
Het aantal DDoS-aanvallen is sinds de uitbraak van corona flink fors gestegen, zo blijkt uit onderzoek van Link11. Volgens het Duitse securitybedrijf ging het in april, mei en juni 2020 zelfs om een verdubbeling ten opzichte van dezelfde maanden vorig jaar. De groei van het aantal DDoS-aanvallen zou samenhangen met de wereldwijde uitbraak van het coronavirus begin dit jaar.
Door de pandemie werken veel meer mensen vanuit huis en breiden bedrijven versneld hun digitale diensten uit. Hierdoor is het aanvalsoppervlak groter geworden. De meeste aanvallen vinden plaats in het weekend en ’s avonds. Ze zijn vooral afkomstig uit de Verenigde Staten, China en Rusland. Het gemiddelde aanvalsvolume is stabiel op 4,1 Gbps. De langste DDoS-aanval duurde maar liefst 23 uur.
Hoewel het aantal aanvallen licht afnam sinds de piek in corona, blijven DDoS-aanvallen een groot probleem. Met name de omvang en complexiteit van deze DDoS-aanvallen vraagt om meer kennis en kunde om deze aanvallen af te wenden. Omdat de omvang en complexiteit steeds in de toekomst alsmaar groter worden, zullen organisaties zich extra maatregelen moeten nemen om zich hier tegen te beschermen.
5. Politie pakt tieners achter DDoS-aanvallen aan
Politie en justitie gaan de strijd aan met tieners die DDoS-aanvallen uitvoeren. Zo werd in december 2019 bekend dat Jelle S., de man achter de DDoS-aanvallen op een aantal Nederlandse banken en de Belastingdienst in 2018, vervolgd wordt. “De schade door de DDoS-aanvallen was enorm en het gaat om een zwaar feit dat strafbaar is”, aldus een woordvoerder van het Openbaar Ministerie (OM).
Jelle S. was ten tijde van de aanvallen slechts 18 jaar. Dat is zeker geen uitzondering: in april van 2020 hield de politie een 19-jarige man uit Breda aan die verdacht wordt van DDoS-aanvallen op de websites MijnOverheid.nl en Overheid.nl. En in augustus eiste het OM flinke taakstraffen tegen twee 17-jarige verdachten die onder meer DDoS-aanvallen op gameservers hebben uitgevoerd.
Ook doorzocht de politie eind juli de woningen van twee 19-jarige mannen die verdacht worden van betrokkenheid bij een zogeheten ‘booterwebsite’. “De aanbieders van DDoS-aanvallen zijn een belangrijk onderdeel van het probleem”, zegt Doorenspleet. “Het is goed dat de politie daar ook werk van maakt.”
Met Anti-DDoS van KPN bent u optimaal beschermd tegen DDoS-aanvallen en voorkomt u dat u onbereikbaar bent voor uw klanten.