Cyberkriminelle zielen mit DDoS-Angriffen im 2. Quartal auf eine Rekordzahl an Opfern ab
Dieser Beitrag wurde von Max Gebhardt mitverfasst.
Das Jahr 2022 begann als ein Jahr des Wandels: Regierungswechsel in mehreren Ländern, der erste große Landkrieg auf europäischem Boden seit dem Zweiten Weltkrieg, die große Kündigungswelle, eine potenzielle Rezession und eine Inflation, die so hoch ist wie seit 40 Jahren nicht mehr. Mit Veränderung ergeben sich auch Gelegenheiten, manchmal für die falschen Leute.
Wir haben kürzlich auf bemerkenswerte Zunahmen in der Komplexität von DDoS-Angriffen (Distributed Denial of Service) im letzten Jahrzehnt und einen Rekordangriff in Osteuropa hingewiesen,doch die oben genannten globalen Ereignisse hatten einen ebenso großen Einfluss auf die Bedrohungslandschaft. Während sich die Technologie und die Art der Angriffe nicht so schnell verändern, kann sich das Ziel von Angriffen abhängig von der Geopolitik abrupt verschieben, wie wir jetzt sehen werden.
Gefährliche Zunahme der Angriffsziele
Im 2. Quartal zielten Cyberkriminelle mit DDoS-Angriffen auf eine Rekordzahl von Kundenstandorten (Asset-Gruppierungen basierend auf einer Cloud-Präsenz oder einem physischen Rechenzentrum) ab, die höchste Anzahl in der Geschichte von Akamai Prolexic (Abbildung 1).
Fig. 1: Record number of customer locations targeted with DDoS attacks in Q2 2022
Wir haben außerdem ein Fünf-Jahres-Hoch bei den Angriffen auf einzigartige IP-Adressen in einem Quartal und nahezu Rekordhöhen bei der Anzahl der angegriffenen Kunden beobachtet (Abbildung 2).
Fig. 2: Five-year high in unique IPs targeted with DDoS attacks
Die Bedeutung eines umfassenden Managed Service
Auf der Prolexic-Plattform gibt es im Allgemeinen zwei Kategorien von Kunden, die nach Angriffshäufigkeit beurteilt werden: Kunden mit extrem hohem Risiko und unregelmäßig anvisierte Kunden (nur wenige dazwischen):
Kunden mit extrem hohem Risiko werden ständig angegriffen und bedroht. Für die meisten kommt es selten vor, dass kein einziger Angriff am Tag erkannt wird. Um das zu verdeutlichen: Kunden mit extrem hohem Risiko wurden im vergangenen Jahr durchschnittlich 3,1 Mal am Tag angegriffen.
Umgekehrt zielen auf unregelmäßig anvisierte Kunden in der Regel vierteljährlich oder halbjährlich große DDoS-Angriffe ab. Für unregelmäßig anvisierte Kundenstandorte waren im 2. Quartal 2022 durchschnittlich 106 Tage seit ihrem letzten großen DDoS-Angriff vergangen. Nur 10 % der unregelmäßig anvisierten Kundenstandorte, die im 2. Quartal 2022 angegriffen wurden, hatten im Vorjahr keine DDoS-Aktivitäten erlebt.
Die Unregelmäßigkeit von Angriffen ist einer der vielen Gründe, warum Unternehmen eine umfassend verwaltete Lösung in Betracht ziehen sollten. DDoS-Angriffe sind ein seltenes Ereignis mit großen Auswirkungen, das für schlecht vorbereitete Unternehmen extreme Folgen nach sich zieht – einschließlich nicht wiederherstellbarer Reputationsschäden.
Es ist praktisch unmöglich, sich auf interne Teams zu verlassen, um die neuesten Bedrohungen abzuwehren und auf dem neuesten Stand zu bleiben, wenn diese Teams nicht routinemäßig Angriffe bekämpfen und ihren Prozess zur Reaktion auf Vorfälle perfektionieren.
Prolexic löst dies mit einem umfassenden Managed Service mit mehr als 225 hochqualifizierten Sicherheitsexperten an sechs globalen Standorten, die rund um die Uhr für die Überprüfung und Analyse von Angriffen vor, während und nach der Risikominderung zur Optimierung der DDoS-Abwehr und zum Schutz der Kundeninfrastruktur zur Verfügung stehen.
Aufkommende Angriffstrends
Da sich die Angriffsziele in unserem Kundenstamm immer weiter ausweiten, wollten wir sehen, ob dieser Trend messbar war. Dafür haben wir die 10 % der am häufigsten angegriffenen Kundenstandorte als extrem risikoreiche Standorte und den Rest als unregelmäßig anvisierte Standorte definiert.
Was wir entdeckten, war faszinierend: Im Jahr 2017 waren nur 10 % aller Angriffe auf unregelmäßig anvisierte Kundenstandorte verteilt, diese Zahl hat sich 2022 jedoch mehr als verdoppelt – auf 26,1 % (Abb. 3). Das deutet darauf hin, dass Angreifer ein breiteres Netz auswerfen und nach Schwachstellen und anfälligen Opfern ohne angemessenen Schutz suchen – sie zielen nicht nur auf die offensichtlichsten extern zugänglichen Ressourcen ab, sondern auch häufig auf wichtige Infrastruktur, die aber nur bei tiefgreifender Untersuchung erkannt werden kann.
Fig. 3: Percent of attacks on irregularly targeted locations
Empfehlungen
Ist Ihr Unternehmen angesichts zunehmender DDoS-Angriffe bereit, sich selbst zu schützen und Angriffe abzuwehren oder müssen Sie sich in letzter Minute darum bemühen, Verteidigungsmechanismen aufzubauen? Eine bewährte DDoS-Abwehrstrategie ist für Onlineunternehmen unerlässlich, um erfolgreich zu sein. Um den neuesten Bedrohungen immer einen Schritt voraus zu sein, empfehlen wir folgende Maßnahmen:
Prüfen und implementieren Sie Empfehlungen der Cybersecurity and Infrastructure Security Agency (CISA) sofort.
Überprüfen Sie kritische Subnetze und IP-Bereiche, und stellen Sie sicher, dass sie über Abwehrmechanismen verfügen.
Implementieren Sie DDoS-Sicherheitskontrollen mit einer Always-on-Abwehr als erste Verteidigungsebene, um eine Notfallintegration zu vermeiden und die Belastung für das Krisenteam zu reduzieren. Wenn Sie keinen vertrauenswürdigen und bewährten cloudbasierten Anbieter haben, suchen Sie sich jetzt einen.
Stellen Sie proaktiv ein Krisenteam zusammen und stellen Sie sicher, dass die Runbooks und Vorfallreaktionspläne auf dem neuesten Stand sind. Verfügen Sie beispielsweise über ein Runbook für Katastrophenereignisse? Werden die Kontakte in den Playbooks regelmäßig aktualisiert? Ein Playbook, das veraltete Tech-Assets oder ehemalige Mitarbeiter referenziert, wird Ihnen im Notfall nicht helfen.
Sie werden angegriffen?
Wenn Sie angegriffen werden oder Opfer einer DDoS-Erpressung sind, rufen Sie bei Notfällen rund um die Uhr Bedrohungsabwehr und -schutz anoder registrieren Sie sich für ein individuelles Threat Briefing.
Weitere DDoS-bezogene Ressourcen
Auf unserer Website erfahren Sie mehr zu den DDoS-Lösungen von Akamai. Weitere technische Details und zusätzliche DDoS-Ressourcen finden Sie in den folgenden Blogbeiträgen und Materialien:
