Akamai SOTI-Rapport: gemiddeld 24 DDoS-aanvallen per klant in Q4 2015

“De dreiging van DDoS- en webapplicatie-aanvallen zal niet meer verdwijnen. Het aantal aanvallen tegen Akamai-klanten stijgt nog elk kwartaal. Afgelopen kwartaal is het aantal webapplicatie-aanvallen met 28 procent gestegen terwijl het aantal DDoS-aanvallen toenam met wel 40 procent vergeleken met Q3”, zegt Hans Nipshagen, Regional Manager Benelux van Akamai. “Cybercriminelen zitten zeker niet stil, ze blijven ook steeds dezelfde doelen bestoken en wachten op een moment waarop de verdediging even niet scherp is.”

Tijdens Q4 2015 waren terugkerende DDoS-aanvallen de norm met een gemiddelde van 24 aanvallen per aangevallen klant. Zeker drie doelen kregen te maken met meer dan 100 aanvallen en één klant kreeg zelfs 188 aanvallen te verwerken. Dat zijn er gemiddeld meer dan twee per dag.

Overzicht DDoS-aanvallen
Tijdens Q4 2015, heeft Akamai meer dan 3600 DDoS-aanvallen afgewend via het herrouteren van de inkomende datastroom. Dat zijn meer dan twee keer zoveel aanvallen als een jaar geleden. Het merendeel van deze aanvallen was gebaseerd op ‘stresser/booter’-botnets. Deze ‘Huur een DDoS’-aanvallen leunen zwaar op reflectietechnieken om genoeg verkeer te genereren en zijn niet echt in staat zware aanvallen op te zetten. Daardoor zijn er in totaal minder mega-aanvallen waargenomen dan een jaar geleden. Deze ‘stresser/booter’-sites hebben ook vaak gebruikslimieten, waardoor ook de gemiddelde duur van aanvallen omlaag ging tot iets minder dan 15 uur.

Reflection-based DDoS-aanvallen Q4 2014 – Q4 2015
Aanvallen op de infrastructuurlaag (laag 3 en 4) zijn de afgelopen kwartalen dominant geweest en stonden garant voor 97 procent van het aantal aanvallen tijdens Q4 2015. 21 procent van de DDoS-aanvallen in Q4 2015 bevatte UDP-fragmenten. Deel daarvan was een direct resultaat van de amplificatiefactor die in reflection based-aanvallen zat en voornamelijk misbruik maakte van CHARGEN-, DNS- en SNMP-protocollen.

Het aantal NTP- en DNS- aanvallen is enorm gestegen vergeleken met Q3 2015. DNS reflection-aanvallen namen zelfs toe met 92 procent, omdat cybercriminelen constant op zoek zijn naar mogelijkheden om domeinen met ingebouwde security (DNSSEC) te misbruiken, aangezien deze in de regel meer responsdata genereren. NTP nam toe met wel 57 procent en was populair ondanks dat er steeds minder bruikbare NTP reflection-bronnen zijn.

Een andere trend is de toename van multi vector-aanvallen. In Q2 2014 was ‘slechts’ 42 procent van de DDoS-aanvallen multi vector. In Q4 2015 was dat percentage al 56 procent. De meeste multi vector-aanvallen (35 procent) gebruiken maar twee vectoren, slechts 3 procent van de aanvallen in Q4 2015 maakte gebruik van vijf tot wel acht vectoren.

De zwaarste aanval in Q4 van het afgelopen jaar, piekte op 309 Gigabit per seconde (Gbps) en 202 miljoen packets per seconde (Mpps). Deze aanval was gericht op een klant in de software- en technologiesector en maakte gebruik van een ongebruikelijke combinatie van SYN-, UDP- en NTP-aanvallen die afkomstig waren van de XOR- en BillGates-botnets. Deze aanval was onderdeel van een campagne waarin het doelwit 19 keer werd aangevallen binnen acht dagen. Deze aanval ging nog door in januari 2016.

Meer dan de helft van de aanvallen in Q4 2015 (54 procent) was gericht op gaming-bedrijven, terwijl 23 procent was gericht op bedrijven in de software- en technologiesector.

Enkele DDoS highlights
Vergeleken met Q4 2014

• 148.85% toename in het aantal DDoS-aanvallen
• 168.82% toename in aanvallen op de infrastructuurlaag (laag 3 & 4)
• 49.03% afname in de gemiddelde duur van aanvallen: 14.95 versus 29.33 uur
• 44.44% afname in aanvallen kleiner dan 100 Gbps: 5 versus 9

Vergeleken met Q3 2015

• 39.89% toename in het aantal DDoS-aanvallen
• 42.38% toename in aanvallen op de infrastructuurlaag (laag 3 & 4)
• 20.74% afname in de gemiddelde duur van aanvallen: 14.95 vs. 18.86 uur
• 37.5% afname in aanvallen kleiner dan 100 Gbps: 5 versus 8

Aanvallen op webapplicaties
Terwijl het aantal aanvallen op webapplicaties het afgelopen kwartaal is toegenomen met 28 procent, is het percentage aanvallen op webapplicaties via HTTP versus HTTPS redelijk constant gebleven de afgelopen twee kwartalen, namelijk 89 procent via HTTP in Q4 2014 versus 88% via HTTPS in Q3 2015.

Het soort aanval dat het vaakst is waargenomen in het afgelopen kwartaal was LFI (41 procent), SQLi (28 procent) en PHPi (22 procent) gevolgd door XSS (5 procent) en Shellshock (2 procent). RFI-, MFU-, CMDi- en JAVAi-aanvallen bleven gelijk op 2 procent. PHPi was de enige vector die opviel omdat het maar in 1 procent van de aanvallen werd gebruikt via HTTPS.

95 procent van de webapplicatie-aanvallen in Q4 2015 was gericht op retailers. In Q3 2015 was dat nog 55 procent. De media- & entertainmentindustrie en hotel- & reisindustrie volgde met elk 10 procent aandeel. Dit is een verandering ten opzichte van Q3 2015 toen de financiële industrie nog op nummer twee stond met 15 procent. Die incasseerde in Q4 2015 ‘slechts’ 7 procent. De meeste webapplicatie-aanvallen kwamen uit de VS, die vervolgens ook de meeste aanvallen moest incasseren.

Webapplicatie-aanvallen, de cijfers
Vergeleken met Q3 2015

• 28.10% toename in het totaal aantal aanvallen op webapplicaties
• 28.65% toename in webapplicatie-aanvallen via HTTP
• 24.05% toename in webapplicatie-aanvallen via HTTPS
• 12.19% toename in SQLi-aanvallen

Scanning en probing
Veel cybercriminelen vertrouwen op zogenaamde scanners en ‘probing’ om kennis op te doen over hun doelwitten voordat ze toeslaan. Op basis van data uit de firewalls op de perimeter van het Akamai Intelligent Platform signaleert Akamai dat de populairste poorten voor het verkennen Telnet (24 procent), NetBIOS (5 procent), MS-DOS (7 procent), SSH (6 procent) en SIP (4 procent) zijn.

De meest misbruikte netwerk-reflectors komen uit China (op basis van bronnen bij ASN) en andere Aziatische landen. Terwijl de meeste SSDP-aanvallen voornamelijk komen van consumenten, komen NTP, CHARGEN en QOTD voornamelijk van cloud hosting providers waar dergelijke services draaien. SSDP en NTP reflectors zijn de meest misbruikt met elk 41 procent, gevolgd door CHARGEN (6 procent) en RPC (5 procent). SENTINEL en QOTD volgen op elk 4 procent.