Im Vergleich zum vierten Quartal 2014 stieg die Zahl der DDoS-Angriffe laut Akamai um nahezu 150 Prozent. Wiederholte Angriffe auf das gleiche Ziel werden zur Norm. [...]
Mehr als die Hälfte der Angriffe im vierten Quartal (54 Prozent) richtete sich gegen Unternehmen aus der Gaming-Branche und knapp ein Viertel (23 Prozent) gegen Unternehmen aus der Software- und Technologiebranche.
ANGRIFFE AUF WEB-APPLIKATIONEN
Zwar nahm die Zahl von Angriffen auf Webanwendungen im vierten Quartal 2015 um 28 Prozent zu, der Prozentsatz der über HTTP und HTTPS gesendeten Angriffe über zwei Quartale blieb jedoch ungefähr gleich: 89 Prozent entfielen im vierten Quartal auf HTTP gegenüber 88 Prozent im dritten Quartal.
Die am häufigsten verwendeten Angriffsvektoren im vierten Quartal waren Akamai zufolge LFI (41 Prozent), SQLi (28 Prozent) und PHPi (22 Prozent), gefolgt von Cross-Site-Scripting (5 Prozent) und Shellshock (2 Prozent). RFI-, MFU-, CMDi- und JAVAi-Attacken machten die verbleibenden zwei Prozent aus. Die Verteilung der Angriffsvektoren auf HTTP und HTTPS war hierbei ähnlich – mit Ausnahme von PHP, das nur in einem Prozent der Angriffe über HTTPS eingesetzt wurde.
59 Prozent der Angriffe auf Web-Applikationen im vierten Quartal richteten sich gegen Retailer; im dritten Quartal waren es noch 55 Prozent. Unmittelbar danach folgten die Branchen „Medien und Unterhaltung“ und „Hotels und Reisen“ mit jeweils 10 Prozent der Angriffe. Hier lässt sich eine Änderung gegenüber dem dritten Quartal erkennen, als der Finanzsektor mit 15 Prozent noch den zweiten Platz bei der Häufigkeit der Angriffe belegte. In diesem Quartal sank dieser Wert jedoch auf 7 Prozent.
Ebenso wie im letzten Quartal waren die USA sowohl Hauptquelle aller Attacken auf Web-Applikationen (56 Prozent) als auch das häufigste Ziel (mit 77 Prozent). Die nächstgrößte Angriffsquelle (6 Prozent) und gleichzeitig auch das am zweithäufigsten angegriffene Land (7 Prozent) stellte Brasilien dar. Dies liegt laut Akamai wahrscheinlich daran, dass ein großer IaaS-Anbieter dort neue Rechenzentren eröffnet hatte. Seit deren Inbetriebnahme stellt Akamai eine deutliche Steigerung des bösartigen Datenverkehrs aus Brasilien fest – insbesondere aus diesen Rechenzentren. Die meisten dieser Angriffe richteten sich gegen brasilianische Retailer.
AUFKLÄRUNG IM VORFELD
Cyber-Kriminelle betreiben vor dem Start ihrer Angriffe umfassende Aufklärung, indem sie ihre Ziele scannen und untersuchen. Mithilfe von Firewall-Daten der Akamai Intelligent Platform konnten die Analysten die beliebtesten Ports für die Erkundungen von Cyberkriminellen ermitteln: Telnet (24 Prozent), NetBIOS (5 Prozent), MS-DS (7 Prozent), SSH (6 Prozent) und SIP (4 Prozent). Anhand der ASN war zu erkennen, dass sich die drei beliebtesten Quellen von Scan-Aktivitäten in Asien befanden. Darüber hinaus ließen sich aktive Scans bezüglich ausnutzbarer Reflektoren feststellen, darunter NTP, SNMP und SSDP.
Durch einen Blick auf die Top-Reflection-Quellen nach ASN ließ sich ermitteln, dass sich die am häufigsten ausgenutzten Netzwerkreflektoren in China und anderen asiatischen Ländern befanden. Während die meisten SSDP-Angriffe für gewöhnlich von Heimverbindungen stammen, erfolgen NTP-, CHARGEN- und QOTD-Attacken im Normalfall über Cloud-Hosting-Anbieter, über deren Server diese Dienste ausgeführt werden. SSDP- und NTP-Reflektoren stellten mit 41 Prozent die am häufigsten ausgenutzten Reflektoren dar, gefolgt von CHARGEN mit 6 Prozent und RPC mit 5 Prozent. SENTINEL und QOTD machen jeweils 4 Prozent aus. (pi)
Be the first to comment