Threat Intelligence Report: Angreifer setzen Cyberattacken mit größerer Präzision und innovativen Angriffsmethoden fort

TCP-basierte, DNS-Water-Torture- und Carpet-Bombing-Angriffe dominieren die DDoS-Bedrohungslandschaft + Irland, Indien, Taiwan und Finnland durch DDoS-Angriffe geschädigt infolge des Angriffskrieges auf die Ukraine

NETSCOUT SYSTEMS gab heute die Ergebnisse seines Threat Intelligence Reports für das erste Halbjahr 2022 bekannt. Die Ergebnisse zeigen, wie raffiniert und erfolgreich Cyberkriminelle bei der Umgehung von Abwehrmaßnahmen mit neuen DDoS-Angriffsvektoren und weiteren Methoden geworden sind.

Das Active Level Threat Analysis System (ATLAS) von NETSCOUT sammelt DDoS-Angriffsstatistiken von den meisten ISPs, großen Rechenzentren sowie Regierungs- und Unternehmensnetzwerken weltweit. Diese Daten geben Aufschluss über Angriffe, die in über 190 Ländern, 550 Branchen und 50.000 autonomen Systemnummern (ASNs) stattfinden. Das ATLAS Security Engineering and Response Team (ASERT) von NETSCOUT analysiert und kuratiert diese Daten, um in seinem halbjährlichen Bericht einzigartige Einblicke zu geben.

Zu den wichtigsten Ergebnissen des NETSCOUT DDoS Threat Intelligence Report 1H2022 gehören:

• Im ersten Halbjahr 2022 gab es weltweit 6.019.888 DDoS-Angriffe.
• TCP-basierte Flood-Angriffe (SYN, ACK, RST) sind nach wie vor der am häufigsten genutzte Angriffsvektor, wobei etwa 46 % aller Angriffe einen Trend fortsetzen, der Anfang 2021 begann.
• DNS-Water-Torture-Angriffe beschleunigten sich im Jahr 2022 mit einem Anstieg von 46 %, wobei hauptsächlich UDP-Query-Floods verwendet wurden, während Carpet-Bombing-Angriffe gegen Ende des zweiten Quartals ein großes Comeback erlebten; insgesamt gingen DNS-Amplifikationsangriffe von 2H2021 bis 1H2022 um 31 % zurück.
• Der neue DDoS-Vektor TP240 PhoneHome Reflection/Amplifications wurde Anfang 2022 mit einem rekordverdächtigen Amplifikationsverhältnis von 4.293.967.296:1 entdeckt; durch rasche Maßnahmen wurde die missbräuchliche Nutzung dieses Dienstes beseitigt.
• Die Verbreitung von Malware-Botnets nahm mit alarmierender Geschwindigkeit zu: von 21.226 Knoten im ersten Quartal auf 488.381 Knoten im zweiten Quartal, was zu mehr Angriffen auf direkter Anwendungsebene führte.

Geopolitische Unruhen führen zu vermehrten DDoS-Angriffen

Wie bereits dokumentiert, kam es mit dem Einmarsch russischer Bodentruppen Ende Februar in die Ukraine zu einem deutlichen Anstieg von DDoS-Angriffen auf Regierungsstellen, Online-Medienorganisationen, Finanzunternehmen, Hosting-Provider und Firmen, die mit Kryptowährungen zu tun haben. Dies hatte dramatische Auswirkungen auf DDoS-Angriffe in anderen Ländern:

• Irland erlebte einen Anstieg der Angriffe, nachdem es Dienste für ukrainische Organisationen bereitgestellt hatte.
• Indien verzeichnete einen messbaren Anstieg von DDoS-Angriffen, nachdem es sich bei den Abstimmungen im UN-Sicherheitsrat und in der Generalversammlung zur Verurteilung des russischen Vorgehens in der Ukraine enthalten hatte.
• Am selben Tag verzeichnete Taiwan die höchste Anzahl von DDoS-Angriffen, nachdem es öffentliche Erklärungen zur Unterstützung der Ukraine abgegeben hatte, ebenso wie Belize.
• Finnland verzeichnete einen Anstieg der DDoS-Angriffe um 258 % im Vergleich zum Vorjahr, zeitgleich mit der Ankündigung des Landes, die NATO-Mitgliedschaft zu beantragen.
• Polen, Rumänien, Litauen und Norwegen waren Ziel von DDoS-Angriffen im Zusammenhang mit Killnet – einer Gruppe von Online-Angreifern, die mit Russland verbündet ist.
• Während die Häufigkeit und der Schweregrad von DDoS-Angriffen in Nordamerika relativ konstant blieben, erlebten Anbieter von Satellitentelekommunikation einen Anstieg von sehr wirkungsvollen DDoS-Angriffen, insbesondere nachdem sie die Kommunikationsinfrastruktur der Ukraine unterstützt hatten.
• In Russland hat sich die Zahl der täglichen DDoS-Angriffe seit Beginn des Konflikts mit der Ukraine fast verdreifacht und hielt bis zum Ende des Berichtszeitraums an.

Als die Spannungen zwischen Taiwan, China und Hongkong im ersten Halbjahr 2022 eskalierten, traten DDoS-Angriffe gegen Taiwan regelmäßig in Verbindung mit entsprechenden öffentlichen Veranstaltungen auf.

Kuratierte Echtzeitdaten auf einen Blick

NETSCOUT veröffentlicht nicht nur den DDoS Threat Intelligence Report, sondern stellt auch seine sorgfältig kuratierten Echtzeitdaten zu DDoS-Angriffen auf seinem Omnis Threat Horizon Portal zur Verfügung, um Kunden einen Einblick in die globale Bedrohungslandschaft zu geben und die Auswirkungen auf ihre Unternehmen zu verstehen.  Diese Daten fließen auch in den ATLAS Intelligence Feed (AIF) von NETSCOUT ein, der das Omnis- und Arbor-Sicherheitsportfolio von NETSCOUT kontinuierlich aktualisiert. Zusammen mit AIF erkennen und blockieren die Omnis- und Arbor-Produkte automatisch Bedrohungsaktivitäten für Unternehmen und Service Provider weltweit.