Heutzutage werden mit Malware infizierte Bots für alles Mögliche eingesetzt, vom Diebstahl von Passwörtern bis hin zur Durchführung einiger der verheerendsten netzwerkbasierten Angriffe der Geschichte. Ein typisches Beispiel sind die Direktangriffe von DDoS-fähigen Botnetzen wie Mirai, die häufig von Gruppen wie Killnet ausgenutzt werden. Da sich die Technologie zur Bedrohungsbeseitigung im Laufe der Zeit verbessert hat, haben sich leider auch die Bedrohungsakteure verbessert und Botnets sowohl hinsichtlich ihrer Größe als auch ihrer Leistungsfähigkeit skaliert. Killnet hat im vergangenen Jahr Angriffe in zahlreichen Sektoren durchgeführt, darunter europäische Regierungen, Flughäfen und den Gesundheitssektor, wobei mehr als ein Dutzend DDoS-Angriffe US-amerikanische Krankenhausnetzwerke wie Cedars-Sinai und Duke University Hospital trafen. Im Endeffekt ist kein Sektor und keine staatliche Stelle vor einem Angriff gefeit. Was kann also getan werden, um den Schaden zu beheben, bevor er entsteht?
In diesem Artikel wird untersucht, wie direkte Angriffe angesichts der Tatsache, dass DDoS-Bedrohungsakteure in den letzten Wochen und Monaten ihre Angriffsmethoden geändert haben, abgeschwächt werden können. Der Artikel befasst sich auch mit aktuellen Datenpunkten zu DDoS-fähigen Botnetzen und der Frage, wie diese aufkommende Bedrohung auf globaler Ebene effektiv und schnell abgewehrt werden kann.
Die Entwicklung von Botnets
Obwohl es Botnets schon seit den 1990er Jahren gibt, sind sie insbesondere im letzten Jahr erstaunlich schnell gewachsen. Allein im Jahr 2022 wurden mehr als 1,35 Millionen Bots von Malware-Familien wie Mirai, Meris und Dvinis beobachtet, die täglich etwa 93 Länder anvisierten – praktisch die Hälfte der Welt.
So wie große Softwareanbieter weiterhin Innovationen vorantreiben, indem sie Lösungen bereitstellen, die schneller, ausgefeilter und benutzerfreundlicher sind, treibt Innovation auch Sicherheitsbedrohungen durch Botnets voran. Beispielsweise machen es neue DDoS-for-Hire-Dienste für jedermann einfacher denn je, koordinierte und komplexe Angriffe auf Zielunternehmen, -organisationen oder -branchen zu starten. Das Ziel dieser Aktivitäten besteht häufig darin, Sicherheitsteams mit DDoS-Angriffen abzulenken, während Kriminelle aktiv daran arbeiten, Daten zu exfiltrieren und diese mithilfe von Ransomware zu sperren und unzugänglich zu machen.
Leider werden die Bedrohungen durch Botnetze im Laufe der Zeit weiter zunehmen und sich weiterentwickeln, ebenso wie die Beweggründe bösartiger Akteure. Im Allgemeinen können Angriffe durch finanzielle Erwägungen, Rache, geopolitische Ziele, Lösegeldchancen oder einfach nur böswillige Absichten motiviert sein. Jeder, von Spielern über Finanzkonzerne bis hin zu geopolitisch gefährdeten Ländern, ist einem größeren Risiko durch immer ausgefeiltere Botnet-Angriffe ausgesetzt. Daher müssen alle Arten von Organisationen proaktiver vorgehen, um sich gegen diese Art von Angriffen zu verteidigen, sonst riskieren sie mögliche Beeinträchtigungen ihres Geschäfts, ihrer Dienstleistungen, ihres Rufs und ihres Geschäftsergebnisses.
-Stoppen von direkten Angriffen und dem hybriden Weg nach vorn
Bei der Untersuchung aktueller statistischer Daten zur Netzwerkbandbreite, zum Durchsatz und zur Angriffshäufigkeit fällt das beunruhigend vorherrschende Thema zunehmender Botnet-Angriffe auf direktem Weg auf. Angriffe dieser Art stellen nach wie vor ein großes Problem für IT-Organisationen weltweit dar. Tatsächlich ist diese Art von Angriffen in den letzten drei Jahren um 18 % gestiegen, während herkömmliche Reflexions-/Verstärkungsangriffe nahezu im gleichen Maße zurückgegangen sind, was die Notwendigkeit eines hybriden Verteidigungsansatzes unterstreicht, um der schwankenden Angriffsmethodik standzuhalten.
-Bei Direktangriffen zielen Bedrohungsakteure auf einzelne Organisationen ab, anstatt wahllos Kunden von Internetdienstanbietern (ISPs) und Mobilfunkanbietern ins Visier zu nehmen. Die Zunahme dieser Art von Angriffen mithilfe von Mechanismen wie SYN-, ACK-, RST- und GRE-Floods führt zu erheblichen Störungen, deren Eindämmung immer schwieriger wird.
Die Zunahme direkter DDoS-Angriffe hängt direkt mit zwei Faktoren zusammen: Anti-Spoofing oder Source-Address-Validierung (SAV) und Botnets der Serverklasse. Vereinfacht ausgedrückt ist bei einem herkömmlichen Reflection/Amplification-DDoS-Angriff eine gefälschte IP-Adresse erforderlich. SAV macht es jedoch unmöglich, dass gefälschter Angriffsverkehr intelligent konstruierte Netzwerke durchquert. Für einen erfolgreichen TCP-basierten Direct-Path-DDoS-Angriff stellt dies kein Problem dar, da sie nicht gefälscht werden müssen, um ernsthaften Schaden anzurichten. Darüber hinaus können Server-Botnetze wie Mirai mehrere direkte DDoS-Angriffe gleichzeitig starten und behalten dabei die Fähigkeit, bei Bedarf große Mengen an Angriffsverkehr auf Ziele zu leiten.
Da sich die Methoden der Angreifer ständig weiterentwickeln und traditionelle Abwehrmaßnahmen umgehen, ist ein adaptiver, hybrider Ansatz zur DDoS-Abwehr noch wichtiger als je zuvor. In einer modernen DDoS-Abwehrstrategie sollten Unternehmen speziell entwickelte, adaptive und intelligente lokale Erkennungs- und Abwehrsysteme mit bedarfsgesteuerten cloudbasierten Abwehrfunktionen am Netzwerkrand kombinieren. Mit diesem hybriden Ansatz können Unternehmen alle Arten von DDoS-Angriffen klarer und automatischer erkennen und stoppen, bevor böswillige Akteure geschäftskritische Dienste beeinträchtigen – in diesem Fall durch direkte Angriffe von DDoS-fähigen Botnetzen.
Letztlich werden Angreifer weiterhin nach neuen Angriffsmethoden suchen und immer schwerer zu erkennen sein. Daher fordert die UN die Organisationen dazu auf, eine umfassendere, hybride Verteidigungsstrategie einzusetzen, um ihre Netzwerkgrenzen zu sichern. Durch diesen Ansatz werden direkte DDoS-Angriffe gestoppt und außerdem die allgemeine Sicherheitslage eines Unternehmens verbessert, um zu verhindern, dass neue Angriffe und DDoS-fähige Botnetze den Netzwerken jetzt und in Zukunft ernsthaften Schaden zufügen.
