Sikkerhedsfirma advarer: Antallet af DDoS-angreb vokser, og de bliver mere avancerede

Illustration: Pixpack | Bigstock
Black Storm-angreb kræver ikke engang et botnet, lyder det.

Mens ransomware længe har været “talk of town” inden for cybersikkerhed, er en ny trussel på vej op igen, lyder det fra it-sikkerhedsselskabet Barracuda Networks i en pressemeddelelse. For de gode, gamle DDoS-angreb er med tiden blevet mere avancerede, og det er især sundheds- og telesektoren, der er udsat.

Hvor DDoS-angreb tidligere handlede om at skade en virksomhed eller organisation ved at overbelaste og dermed lægge for eksempel hjemmesider, mailservere eller routere ned, så kræver hackerne i dag en løsesum for at stoppe angrebet. En anden udbredt metode er at bruge DDoS-angreb som afledningsmanøvre, der holder it-afdelingerne beskæftiget, mens angriberne arbejder med ransomware eller forsøger at stjæle data, skriver Barracuda Networks.

»Virksomheder kan i dag være tilbøjelige til at have et for snævert fokus på en type angreb. Men desværre er virkeligheden langt mere kompleks, og det er nødvendigt at arbejde med flere parallelle trusler - og ‘gamle’ angrebsmetoder kan især komme tilbage i ny forklædning,« siger Peter Gustafsson, nordisk chef i Barracuda Networks, i pressemeddelelsen.

Ny type angreb kræver ikke et stort botnet

De såkaldte Black Storm-angreb er særligt farlige for teleudbydere. Denne type angreb kræver ikke, at angriberen bruger et stort botnet, som klassiske DDoS-angreb ellers ofte beror sig på, og de er derfor relativt lette at udføre. I et Black Storm-angreb sender angriberen UDP-forespørgsler (User Datagram Protocol) til mange enheder og servere i et netværk.

Anmodningen er "spoofed", dvs. forklædt, og den ser ud som om, den kommer fra andre enheder på det samme netværk.

»Black Storm-angreb udløser en slags sneboldeffekt, som med en storm af intern datatrafik hurtigt kan slå en teleudbyder ud. Selv om metoden indtil videre kun er blevet beskrevet i forsøg, bør virksomhederne være forberedt på, at angriberne kan slå til i virkeligheden,« siger Peter Gustafsson i pressemeddelelsen.

Det nyligt opdagede Meris-botnet, der består af ca. 250.000 kompromitterede enheder, er også blevet et redskab til DDoS-angreb. Størstedelen af disse enheder er ikke computere, men routere, switche, Wi-Fi-adgangspunkter og andre enheder, der sælges af en enkelt lettisk virksomhed, MicroTik. Selvom MicroTik opdagede og rettede den aktuelle sårbarhed tilbage i 2018, er brugerne på grund af enhedernes karakter sjældent i kontakt med MicroTik, og de fleste har ikke foretaget de nødvendige opdateringer. Og det har gjort MicroTiks enheder til et redskab i hænderne på cyberkriminelle, skriver Barracuda.

»Selvom DDoS-angrebene minder os om, hvor kompliceret hverdagen er blevet for it-sikkerhedsansvarlige, er der i dag gode muligheder for at stoppe denne type angreb i tide. Det kræver, at virksomhederne arbejder med en moderne applikations- og sikkerhedsstruktur, som aktivt beskytter mod DDoS-angreb,« slutter Peter Gustafsson i pressemddelelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Jørgen Elgaard Larsen

Som Black Storm er beskrevet her, burde det være nemt at stoppe i firewall: Drop alle UDP-pakker, der kommer ind udefra med en source-adresse, der hører til indenfor.

Det lyder som endnu et "sikkerheds"-firma, der forsøger at skræmme kunder ind i butikken.

Eller har jeg overset noget?

  • 4
  • 1
#4 Per Jørgensen

Nu har jeg igennem flere år brugt mikrotik som routere i diverse netværk - og Mikrotik har da absolut gjort noget for at informere omkring dette problem, ligesom de har informeret omkring hvordan det skulle blokeres.

Uanset hvad diverse sikkerhedsfolk gør - vil den største trussel altid være selve brugeren og dennes aktiviteter, tryk og gøren.

  • 0
  • 0
#5 Henrik Kramselund Jereminsen Blogger

Det er vist blot et sikkerhedsfirma der skal pudse brillerne.

Jeg har hentet deres "whitepaper" og det er en ynk. Der er mange unøjagtigheder. Sproget er ret dårligt og selve problemet er langt mindre end de prøver at FUDde det op.

Det er fint at de angiver testmetoden, jeg elsker hping3 - se eksempelvis mit workshop materiale fra BornHack hvor vi brugte samme. https://github.com/kramse/security-courses/tree/master/presentations/pen...

Nå, tangent. Når man sender EEEEEEN UDP pakke bliver der produceret EEEEEEEN ICMP, og udover ICMP Echo giver ICMP SPECIFIKT IKKE anledning til FLERE ICMP pakker.

For at understrege, ping 1.2.3.4 sender ICMP Echo og giver potentielt Echo Reply tilbage. Alle de andre ICMP typer er kun eeen besked.

Så når man sender en UDP til en closed port på en enhed får man ganske rigtigt ICMP retur. Jeg checkede med hping3, tcpdump og Wireshark hjemme. En UDP probe på ialt "42 bytes on the wire" giver anledning til een ICMP Port Unreachable "70 bytes " on the wire.

Dernæst er der mange mange enheder, specielt netværksenheder, men også FreeBSD, Linux m.fl. begrænser antal ICMP beskeder, rate limit. En kilde sagde Linux har default 1.000 since kerne 2.4.

Så vi er i en situation med moderat amplifikation, 42 bliver til 70, men angriberen rammer formentlig hurtigt rate limit.

Så jeg vil fremover tænke dårligt om Nexusguard, og deres "deploy deep learning" loool

  • 1
  • 0
Log ind eller Opret konto for at kommentere