Redactie - 21 mei 2021

Nederland domineert in actieve DDoS Command and Control-aanvallen

Nederland domineert in actieve DDoS Command and Control-aanvallen image

Distributed Denial of Service (DDoS)-aanvallen blijven zich ontwikkelen in complexiteit, frequentie en schaal. Lumen Technologies volgt deze bedreigingen en houdt deze tegen – waaronder de Gafgyt- en Mirai-botnetfamilies. In het Q1 2021-onderzoek van Lumen wordt het DDoS-landschap onderzocht en worden de belangrijkste trends gepresenteerd.

Belangrijkste bevindingen
In het DDoS-rapport is gekeken naar de grootste aanvallen die door de wereldwijde DDoS-scrub-infrastructuur van Lumen zijn verwijderd en niet de grootste aanvallen die door het netwerk van Lumen zijn waargenomen.

IoT Botnets

  • Bekende IoT-botnets – netwerk van apparaten die zijn aangesloten op het Internet of Things (IoT) en die zijn geïnfecteerd met malware – zoals Gafgyt en Mirai, blijven ernstige DDoS-dreigingen. Het rapport toont 700 actieve Command and Control-servers (C2's) die samen 28.000 unieke slachtoffers aanvallen.
  • Lumen heeft in het eerste kwartaal bijna 3.000 DDoS C2's wereldwijd getraceerd. De meeste werden gehost in Servië (1.260), gevolgd door de Verenigde Staten (380) en China (373).
  • Van de meest actieve wereldwijde C2's die Lumen waarnam en die aanvalscommando's gaven, hadden de Verenigde Staten de meeste (163), gevolgd door Nederland (73) en Duitsland (70).
  • Lumen heeft wereldwijd meer dan 160.000 DDoS-botnet-hosts getraceerd. Bijna 42.000 daarvan bevonden zich in de Verenigde Staten – de meeste van alle landen.

Trends DDoS-aanvallen

  • De grootste aanval gemeten door bandbreedte te scrubben was 268 Gbps (gigabit per seconde); de grootste aanval gemeten door packet rate te scrubben was 26 Mpps (million packets per seconde).
  • De langste DDoS-aanvalsperiode die Lumen voor een klant onder controle hield, duurde bijna twee weken.
  • Multi-vector bestrijdingen vertegenwoordigden 41 procent van alle DDoS bestrijdingen, waarbij een DNS query flood gecombineerd met een TCP SYN flood het meest voorkwam.
  • De top drie sectoren die het doelwit vormden van de 500 grootste aanvallen in het eerste kwartaal van 2021 waren: Financiën, Software en Technologie en Overheid.

Traceren van User Diagram Protocol (UDP) Reflectors

  • Een van de belangrijkste hulpmiddelen gebruikt door cybercriminelen die de bandbreedte van hun aanvallen willen vergroten, is UDP-gebaseerde reflectie waarbij gebruik wordt gemaakt van diensten als Memcached, CLDAP en DNS.
  • Hierbij vervalst een aanvaller een bron-IP en gebruikt vervolgens een tussenliggende server, een reflector, om antwoordmogelijkheden naar het IP-adres van het slachtoffer te sturen in plaats van terug naar de aanvaller.
  • Black Lotus Labs, de onderzoeksafdeling voor bedreigingen van Lumen, maakt gebruik van de zichtbaarheid van zijn uitgebreide wereldwijde netwerk om diensten te identificeren die mogelijk worden gebruikt om dit soort aanvallen uit te voeren.
  • Op basis van gegevens over het eerste kwartaal van 2021 ziet Black Lotus Labs dat Memcached-, CLDAP- en DNS-services momenteel actief worden misbruikt.

"Nu organisaties steeds afhankelijker worden van applicaties om inkomsten te genereren, realiseren velen zich dat ze niet langer het risico kunnen lopen om af te zien van essentiële DDoS-beveiliging. De informatie in dit rapport bewijst dat nog maar eens", zegt Mike Benjamin, Vice President Security van Lumen en Black Lotus Labs. "Aangezien IoT DDoS-botnets zich blijven ontwikkelen, richt Lumen zich op het opsporen en bestrijden van kwaadaardige infrastructuur.

Voor het opstellen van het rapport heeft het beveiligingsteam van Lumen gekeken naar informatie van Black Lotus Labs en aanvalstrends van het Lumen DDoS Mitigation Service-platform, dat tegenmaatregelen direct integreert in het uitgebreide en diep onderzochte wereldwijde netwerk van het bedrijf.

Extra bronnen

Lenovo Channel Campagne vierkant Algosec 14/11/2024 t/m 28/11/2024 BW
Gamma Benelux 19/11/2024 t/m 29/11/2024 BW + BN

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!