Een paar jaar geleden begonnen onderzoeksbureaus en aanbieders van informatiebeveiligingsdiensten te rapporteren aantal DDoS-aanvallen. Maar tegen het eerste kwartaal van 1 rapporteerden dezelfde onderzoekers hun verbluffende resultaten met 84%. En toen ging alles van kracht tot kracht. Zelfs de pandemie droeg niet bij aan de sfeer van vrede – integendeel, cybercriminelen en spammers beschouwden dit als een uitstekend signaal om aan te vallen, en het volume van DDoS nam toe .
Wij zijn van mening dat de tijd voor eenvoudige, gemakkelijk te detecteren DDoS-aanvallen (en eenvoudige tools die deze kunnen voorkomen) voorbij is. Cybercriminelen zijn steeds beter geworden in het verbergen van deze aanvallen en het steeds geavanceerder uitvoeren ervan. De duistere industrie is overgestapt van brute kracht naar aanvallen op applicatieniveau. Ze krijgt serieuze orders om bedrijfsprocessen te vernietigen, ook offline.
Inbreken in de realiteit
In 2017 leidde een reeks DDoS-aanvallen gericht op Zweedse transportdiensten tot langdurige aanvallen . In 2019 de nationale spoorwegmaatschappij van Denemarken Verkoopsystemen vielen uit. Als gevolg hiervan werkten kaartautomaten en automatische poorten op de stations niet en konden ruim 15 duizend passagiers niet vertrekken. Ook in 2019 veroorzaakte een krachtige cyberaanval een stroomstoring in .
De gevolgen van DDoS-aanvallen worden nu niet alleen ervaren door online gebruikers, maar ook door mensen, zoals ze zeggen, IRL (in het echte leven). Hoewel aanvallers zich van oudsher alleen op online services hebben gericht, is hun doel nu vaak het verstoren van bedrijfsactiviteiten. We schatten dat tegenwoordig meer dan 60% van de aanvallen een dergelijk doel hebben: afpersing of oneerlijke concurrentie. Vooral transacties en logistiek zijn kwetsbaar.
Slimmer en duurder
DDoS wordt nog steeds beschouwd als een van de meest voorkomende en snelst groeiende vormen van cybercriminaliteit. Volgens deskundigen zal hun aantal vanaf 2020 alleen maar toenemen. Dit houdt verschillende redenen in: met een nog grotere transitie van online zakendoen als gevolg van de pandemie, en met de ontwikkeling van de schaduwindustrie van cybercriminaliteit, en zelfs met .
DDoS-aanvallen werden ooit ‘populair’ vanwege hun eenvoudige implementatie en lage kosten: nog maar een paar jaar geleden konden ze worden gelanceerd voor $ 50 per dag. Tegenwoordig zijn zowel de aanvalsdoelen als de aanvalsmethoden veranderd, waardoor de complexiteit en daarmee de kosten zijn toegenomen. Nee, prijzen vanaf $ 5 per uur staan nog steeds in de prijslijsten (ja, cybercriminelen hebben prijslijsten en tariefschema's), maar voor een website met bescherming vragen ze al vanaf $ 400 per dag, en de kosten van “individuele” bestellingen voor grote bedrijven bereikt enkele duizenden dollars.
Er zijn momenteel twee hoofdtypen DDoS-aanvallen. Het eerste doel is om een online bron voor een bepaalde periode onbeschikbaar te maken. Aanvallers vragen hiervoor tijdens de aanval zelf. In dit geval maakt de DDoS-operator zich geen zorgen over een specifieke uitkomst en betaalt de klant feitelijk vooraf om de aanval uit te voeren. Dergelijke methoden zijn vrij goedkoop.
Het tweede type zijn aanvallen die alleen worden betaald als een bepaald resultaat wordt bereikt. Met hen is het interessanter. Ze zijn veel moeilijker te implementeren en daarom aanzienlijk duurder, omdat aanvallers de meest effectieve methoden moeten kiezen om hun doelen te bereiken. Bij Variti spelen we soms hele schaakspellen met cybercriminelen, waarbij ze onmiddellijk hun tactieken en hulpmiddelen veranderen en proberen in te breken in meerdere kwetsbaarheden op meerdere niveaus tegelijk. Dit zijn duidelijk teamaanvallen waarbij de hackers perfect weten hoe ze moeten reageren en de acties van de verdedigers moeten tegengaan. Om hiermee om te gaan is niet alleen moeilijk, maar ook zeer kostbaar voor bedrijven. Zo had een van onze klanten, een grote online retailer, bijna drie jaar lang een team van dertig mensen in dienst, dat als taak had DDoS-aanvallen te bestrijden.
Volgens Variti zijn eenvoudige DDoS-aanvallen die puur uit verveling, trollen of ontevredenheid over een bepaald bedrijf worden uitgevoerd momenteel minder dan 10% van alle DDoS-aanvallen (uiteraard kunnen onbeschermde bronnen andere statistieken hebben, we kijken naar onze klantgegevens) . Al het andere is het werk van professionele teams. Driekwart van alle ‘slechte’ bots zijn echter complexe bots die moeilijk te detecteren zijn met de meeste moderne marktoplossingen. Ze imiteren het gedrag van echte gebruikers of browsers en introduceren patronen die het moeilijk maken om onderscheid te maken tussen “goede” en “slechte” verzoeken. Hierdoor vallen aanvallen minder op en dus effectiever.
Gegevens van GlobalDots
Nieuwe DDoS-doelen
Verslag van analisten van GlobalDots zegt dat bots nu 50% van al het webverkeer genereren, en 17,5% daarvan zijn kwaadaardige bots.
Bots weten op verschillende manieren de levens van bedrijven te ruïneren: naast het feit dat ze websites ‘crashen’, houden ze zich nu ook bezig met het verhogen van de advertentiekosten, het klikken op advertenties, het ontleden van prijzen om ze een cent minder te maken en kopers weg te lokken en inhoud te stelen voor verschillende slechte doeleinden (we hebben bijvoorbeeld onlangs over sites met gestolen inhoud die gebruikers dwingen de captcha’s van anderen op te lossen). Bots verstoren verschillende bedrijfsstatistieken aanzienlijk, waardoor beslissingen worden genomen op basis van onjuiste gegevens. Een DDoS-aanval is vaak een rookgordijn voor nog ernstiger misdrijven zoals hacking en datadiefstal. En nu zien we dat er een hele nieuwe klasse cyberdreigingen is toegevoegd: dit is een verstoring van het werk van bepaalde bedrijfsprocessen van het bedrijf, vaak offline (aangezien in onze tijd niets volledig “offline” kan zijn). Vooral vaak zien we dat logistieke processen en de communicatie met klanten mislukken.
"Niet geleverd"
Logistieke bedrijfsprocessen zijn voor de meeste bedrijven van cruciaal belang en worden daarom vaak aangevallen. Hier zijn de mogelijke aanvalsscenario's.
niet beschikbaar
Als u in de online handel werkt, bent u waarschijnlijk al bekend met het probleem van valse bestellingen. Wanneer ze worden aangevallen, overbelasten bots de logistieke middelen, waardoor goederen niet meer beschikbaar zijn voor andere kopers. Om dit te doen, plaatsen ze een groot aantal nepbestellingen, gelijk aan het maximale aantal producten op voorraad. Deze goederen worden vervolgens niet betaald en na enige tijd teruggestuurd naar de locatie. Maar de daad is al verricht: ze werden gemarkeerd als "niet op voorraad" en sommige kopers zijn al naar concurrenten gegaan. Deze tactiek is bekend in de ticketindustrie, waar bots soms alle tickets onmiddellijk ‘uitverkopen’ zodra ze beschikbaar komen. Een van onze klanten, een grote luchtvaartmaatschappij, had bijvoorbeeld te lijden onder een dergelijke aanval, georganiseerd door Chinese concurrenten. In slechts twee uur bestelden hun bots 100% van de tickets naar bepaalde bestemmingen.
Sneakers-bots
Het volgende populaire scenario: bots kopen onmiddellijk een hele reeks producten, en hun eigenaren verkopen ze later tegen een hoge prijs (gemiddeld een opslag van 200%). Dergelijke bots worden sneakersbots genoemd, omdat dit probleem bekend is in de mode-sneakerindustrie, vooral in beperkte collecties. Bots kochten nieuwe regels op die net binnen enkele minuten waren verschenen, terwijl ze de bron blokkeerden zodat echte gebruikers daar niet doorheen konden komen. Dit is een zeldzaam geval waarin over bots werd geschreven in modieuze glossy magazines. Al hanteren wederverkopers van kaartjes voor toffe evenementen zoals voetbalwedstrijden over het algemeen hetzelfde scenario.
Andere scenario's
Maar dat is niet alles. Er is een nog complexere versie van aanvallen op de logistiek, die ernstige verliezen dreigt. Dit is mogelijk als de dienst de optie “Betaling bij ontvangst van goederen” heeft. Bots laten valse bestellingen achter voor dergelijke goederen en geven valse of zelfs echte adressen van nietsvermoedende mensen aan. En bedrijven maken enorme kosten voor bezorging, opslag en het uitzoeken van details. Op dit moment zijn goederen niet beschikbaar voor andere klanten en nemen ze ook ruimte in beslag in het magazijn.
Wat nog meer? Bots laten enorme nep-slechte beoordelingen achter over producten, blokkeren de functie "betalingsretour", blokkeren transacties, stelen klantgegevens, spammen echte klanten - er zijn veel opties. Een goed voorbeeld is de recente aanval op DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackers , dat ze “DDoS-beveiligingssystemen testen”, maar uiteindelijk hebben ze het zakelijke klantenportaal van het bedrijf en alle API’s neergehaald. Als gevolg hiervan waren er grote onderbrekingen in de levering van goederen aan klanten.
Bel morgen
Vorig jaar meldde de Federal Trade Commission (FTC) een verdubbeling van het aantal klachten van bedrijven en gebruikers over spam en frauduleuze telefoontjes met bots. Volgens sommige schattingen bedragen deze bedragen alle oproepen.
Net als bij DDoS variëren de doelstellingen van TDoS (massale botaanvallen op telefoons) van ‘hoaxes’ tot gewetenloze concurrentie. Bots kunnen contactcenters overbelasten en voorkomen dat echte klanten worden gemist. Deze methode is niet alleen effectief voor callcenters met “live” operators, maar ook waar AVR-systemen worden gebruikt. Bots kunnen ook andere communicatiekanalen met klanten (chat, e-mails) massaal aanvallen, de werking van CRM-systemen verstoren en zelfs, tot op zekere hoogte, een negatief effect hebben op het personeelsbeheer, omdat operators overbelast raken in hun pogingen om de crisis het hoofd te bieden. De aanvallen kunnen ook worden gesynchroniseerd met een traditionele DDoS-aanval op de online bronnen van het slachtoffer.
Onlangs verstoorde een soortgelijke aanval het werk van de reddingsdienst in de VS konden gewone mensen die dringend hulp nodig hadden er eenvoudigweg niet doorheen komen. Rond dezelfde tijd onderging Dublin Zoo hetzelfde lot: minstens 5000 mensen ontvingen spam-sms-berichten waarin hen werd aangemoedigd dringend het telefoonnummer van de dierentuin te bellen en naar een fictief persoon te vragen.
Er zal geen wifi zijn
Cybercriminelen kunnen ook gemakkelijk een heel bedrijfsnetwerk blokkeren. IP-blokkering wordt vaak gebruikt om DDoS-aanvallen tegen te gaan. Maar dit is niet alleen ineffectief, maar ook een zeer gevaarlijke praktijk. Het IP-adres is gemakkelijk te vinden (bijvoorbeeld via resourcemonitoring) en eenvoudig te vervangen (of te vervalsen). Voordat we bij Variti kwamen, hebben we klanten gehad waarbij het blokkeren van een specifiek IP-adres eenvoudigweg de Wi-Fi in hun eigen kantoor uitschakelde. Er was een geval waarin een klant het vereiste IP-adres kreeg "uitgegleden" en hij de toegang tot zijn bron blokkeerde voor gebruikers uit de hele regio, en dit lange tijd niet opmerkte, omdat anders de hele bron perfect functioneerde.
Wat is nieuw?
Nieuwe bedreigingen vereisen nieuwe beveiligingsoplossingen. Deze nieuwe marktniche begint echter nog maar net te ontstaan. Er zijn veel oplossingen om eenvoudige botaanvallen effectief af te weren, maar bij complexe aanvallen is dat niet zo eenvoudig. Veel oplossingen maken nog steeds gebruik van IP-blokkeertechnieken. Anderen hebben tijd nodig om de eerste gegevens te verzamelen voordat ze aan de slag kunnen, en die 10-15 minuten kunnen een kwetsbaarheid worden. Er zijn oplossingen op basis van machine learning waarmee je een bot kunt identificeren aan de hand van zijn gedrag. En tegelijkertijd scheppen teams van de ‘andere’ kant op dat ze al bots hebben die echte patronen kunnen imiteren, die niet van menselijke patronen te onderscheiden zijn. Het is nog niet duidelijk wie er gaat winnen.
Wat moet u doen als u te maken krijgt met professionele botteams en complexe, meerfasige aanvallen op meerdere niveaus tegelijk?
Uit onze ervaring blijkt dat u zich moet concentreren op het filteren van onwettige verzoeken zonder IP-adressen te blokkeren. Complexe DDoS-aanvallen vereisen filtering op meerdere niveaus tegelijk, inclusief het transportniveau, applicatieniveau en API-interfaces. Hierdoor is het mogelijk om zelfs laagfrequente aanvallen af te weren die meestal onzichtbaar zijn en daarom vaak gemist worden. Ten slotte moeten alle echte gebruikers worden toegelaten, ook als de aanval actief is.
Ten tweede hebben bedrijven de mogelijkheid nodig om hun eigen meerfasige beveiligingssystemen te creëren, die, naast tools om DDoS-aanvallen te voorkomen, ingebouwde systemen zullen hebben tegen fraude, gegevensdiefstal, inhoudbescherming, enzovoort.
Ten derde moeten ze vanaf het eerste verzoek in realtime werken: het vermogen om onmiddellijk te reageren op beveiligingsincidenten vergroot de kansen om een aanval te voorkomen of de vernietigende kracht ervan te verminderen aanzienlijk.
Nabije toekomst: reputatiemanagement en big data-verzameling met behulp van bots
De geschiedenis van DDoS is geëvolueerd van eenvoudig naar complex. In eerste instantie was het doel van de aanvallers om de site niet meer te laten werken. Ze vinden het nu efficiënter om zich te richten op de kernprocessen van hun bedrijf.
De verfijning van aanvallen zal blijven toenemen, het is onvermijdelijk. Plus wat slechte bots nu doen - gegevensdiefstal en -vervalsing, afpersing, spam - bots zullen gegevens verzamelen uit een groot aantal bronnen (Big Data) en 'robuuste' nepaccounts creëren voor invloedsbeheer, reputatie of massale phishing.
Momenteel kunnen alleen grote bedrijven het zich veroorloven om te investeren in DDoS- en botbescherming, maar zelfs zij kunnen het door bots gegenereerde verkeer niet altijd volledig monitoren en filteren. Het enige positieve aan het feit dat botaanvallen complexer worden, is dat het de markt stimuleert om slimmere en geavanceerdere beveiligingsoplossingen te creëren.
Wat denk jij: hoe zal de botbeschermingsindustrie zich ontwikkelen en welke oplossingen zijn er momenteel op de markt nodig?
Bron: www.habr.com