DDoS – behalten Sie die Bedrohung auf dem Schirm
Distributed-Denial-of-Service-Angriffe (DDoS) erleben gerade eine Art Renaissance in Zusammenhang mit Lösegeldforderungen. Wie der "Internet Organized Crime Threat Assessment" Bericht von Europol verdeutlicht, zählen DDoS-Angriffe zu den größten Bedrohungen für Unternehmen.
Woran liegt das? Digitale Sicherheitsmaßnahmen konnten nicht in allen Unternehmen und Behörden gleichermaßen implementiert werden. Corona hat große Konzerne wie KMUs und Behörden gleichermaßen schnell zum Handeln gezwungen. Zudem gibt es immer mehr miteinander kommunizierende, vernetzte IoT-Geräte, das Internet of Things ist deutlich auf dem Vormarsch und verhilft parallelen Entwicklungen wie 5G und dem Einsatz von Cloud-Technologien zu Aufschwung. DDoS-Angriffe werden immer komplexer und somit mächtiger, weil sie heute auf viele verschiedene Geräte und damit Teile des Netzwerks von Unternehmen abzielen.
Immer mehr Unternehmen und Behörden setzen jetzt, während der Pandemie, auf Cloud-Lösungen
Fertigungs- und Logistikunternehmen statten Lagerstätten und ganze Produktionslinien mit Cloud-Services aus, um über Bestände und Lasten Überblick zu behalten. Und jeder dieser Services benötigt am Ende eine API, um funktionsfähig zu sein. Diese Schnittstellen vereinfachen Prozesse in Unternehmen – sie können aber dramatische Schwachstellen sein, die zum Beispiel geschäftskritische Operationen lahmlegen könnte. Ein einfacher Schutz reicht hier nicht aus; erforderlich wird ein breiter Schutz vor Layer 7-Angriffen.
DDoS als „Aktivität“ professioneller, krimineller Gruppen und Einzelpersonen profitiert zudem von Kryptowährungen und Möglichkeiten, anonym online Transaktionen abzuwickeln. Botnetz-basierte Angriffe erfolgen heute über KI-Systeme und datenzentrierten, organisierten Modellen, für die die Urheber nicht mehr zwingend spezifische IT-Kenntnisse haben müssen.
Ransomware-Operationen als Affiliates
So ist es heute möglich, DDoS-Angreifer zu buchen, die ihre Dienste als Teil einer Angriffswelle anbieten. Für angegriffene Unternehmen bedeutet dies teilweise erhebliche finanzielle Einbußen, die als Folge der Geschäftsausfälle und Reputationsverluste entstehen. Cyberangriffe wie DDoS-Attacken werden als ein Angriffszenario von vielen, oft aber zusammen mit Ransomware als Dienstleistung gehandelt und so monetarisiert.
Wurden in der Vergangenheit vermehrt Kreditinstitute und Banken Ziel von DDoS-Angriffen, trifft es heute immer mehr öffentliche Einrichtungen und Behörden wie Polizeien oder sogar Kommunalverwaltungen. Und Verhaftungen hatten bislang nicht den gewünschten Impact auf den Wachstumsmarkt, der hinter Distributed-Denial-of-Service-Angriffen steckt. Hinzu kommt, dass viele dieser Angriffe nicht gemeldet werden oder schlimmstenfalls über mehrere Stunden unbemerkt bleiben. Eine heftige Attacke traf kürzlich AWS und führte dazu, dass herkömmliche Kundenanfragen als vom System böswillig eingestuft wurden. Zeitgleich traten bei der Google Cloud Plattform sehr ähnliche Probleme auf.
Protokoll- und anwendungsbasierte Angriffe, ausgeführt von Botnets, die aus kompromittierten Computern, Handys oder IoT-Geräten „abgefeuert“ werden, werden wir in der Zukunft häufiger beobachten können. RDDoS, also Ransomware gepaart mit DDoS-Angriffen durch sogenannte Threat-Actor-Gruppen wird vermutlich ebenfalls zunehmen. Lösegeldforderungen erfolgen dann in Bitcoin-Währungen. Und diese Attacken dienen als Ablenkungsmanöver. Denn während Sicherheitsteams mit dem DDoS-Angriff beschäftigt sind, können Angreifer weitere Attacken fahren. Diesen Fall kennen wir aus dem Angriff der Armada Collective auf die Neuseeländische Börse im Sommer 2020, an der der Handel völlig eingestellt werden musste. Ziel waren hier nicht nur die öffentlichen Websites der Börse, sondern Backend-Infrastrukturen, API-Endpunkte, DNS-Server und die Internet-Service-Provider.
Was können Unternehmen tun? Es gilt, Ausfallsicherheit, Integrität und Betriebszeit aller digitalen Dienste und Plattformen zu gewährleisten. Ein DDoS-Angriff auf nationale Infrastrukturnetzwerke hätte dramatische Folgen, Kosten von Ausfallzeiten noch nicht miteinberechnet. Gehen Sie in keinem Fall auf Lösegeldforderungen ein, sondern melden Sie einen RDDoS-Angriff bei den zuständigen Strafverfolgungsbehörden.
Bitte beachten Sie: Wenn wir von Ransomware sprechen, handelt es sich technisch gesehen um Malware, die die Datei eines Opfersystems verschlüsselt und den Zugriff darauf blockiert. Der Begriff "Ransom" ist für den Vorgang an sich gebräuchlich; häufig wird aber Ransomware synonym verwendet.