Uit het Kaspersky Lab DDoS Q4 report blijkt dat het aantal DDoS-aanvallen in 2018 is gedaald met 13 procent ten opzichte van 2017. De duur neemt echter toe. Dat wekt de indruk dat cybercriminelen overschakelen op geavanceerdere DDoS-aanvalstechnieken en dan vooral vanuit China.

Het aantal DDoS-aanvallen, bedoeld om websites door overbelasting uit de lucht te halen, is in 2018 afgenomen. Tegelijkertijd constateert Kaspersky Lab dat de ernst van DDoS-aanvallen toeneemt. Cyberaanvallers spijkeren hun expertise bij nu steeds meer organisaties effectieve oplossingen in stelling brengen om zichzelf tegen eenvoudige DDoS-aanvallen te beschermen. Het gevolg is dat de algehele complexiteit van aanvallen toeneemt. De gemiddelde aanvalsduur is in vergelijking met het begin van 2018 meer dan verdubbeld: van 95 minuten in het eerste kwartaal naar 218 minuten in het vierde kwartaal.
Wat opvalt, is dat UDP flood attacks (de aanvaller verstuurt een dusdanig groot aantal UDP-pakketten naar de serverpoorten van het doelwit dat servers niet meer toegankelijk zijn), die in 2018 bijna de helft (49 procent) van de DDoS-aanvallen uitmaakten, juist erg kort zijn: ze duren zelden langer dan vijf minuten. De langste DDoS-aanval in het laatste kwartaal van 2018 duurde 329 uur (bijna 14 dagen). Zo’n langdurige aanval werd eind 2015 voor het laatst geregistreerd.

Duur en tijdrovend
Volgens Kaspersky Lab experts toont de kortere duur van UDP flood aanvallen aan dat de markt voor eenvoudiger te organiseren dreigingsacties krimpt. De onderzoekers denken dat aanvallers talloze UDP flood attacks hebben gelanceerd om te testen of een doelwit wordt beschermd. Als pogingen niet direct succesvol zijn, wordt de aanval gelijk gestaakt. Tegelijkertijd zullen complexere aanvallen als HTTP-misbruik, die duur en tijdrovend zijn, lang blijven duren. Het Kaspersky Lab rapport stelt dat HTTP flood attacks en gemengde aanvallen met HTTP-componenten ongeveer 80 procent van de DDoS-aanvalstijd voor hun rekening hebben genomen in 2018. In frequentie betreft dit een betrekkelijk klein aandeel in het totale aantal aanvallen met respectievelijk 17 en 14 procent.

De Top-3 regio’s met de meeste DDoS-aanvallen is ongewijzigd in vergelijking met 2017. China staat weer op de eerste plaats, maar het aandeel van dit land is aanzienlijk gedaald, van 77,67 naar 50,43 procent. De Verenigde Staten staan nog steeds op twee en de derde plaats wordt nog altijd bezet door Australië.

Cyberwapens
DDoS-aanvallen behoren tot de meest betaalbare cyberwapens dankzij de lage kosten van DDoS-for-hire. Daarmee kan elke willekeurige organisatie van iedere omvang te maken krijgen met deze dreiging. Zo lopen bedrijven en instellingen risico op verlies van inkomsten, reputatieschade en het blokkeren van de toegang van legitieme gebruikers tot websites.
“Als de eenvoudigste DDoS-aanvallen hun doel niet bereiken, dan hebben de mensen die hier hun geld mee verdienen twee opties”, aldus Alexey Kiselev, Business Development Manager bij het Kaspersky DDoS Protection team. “Óf ze gebruiken de voor DDoS-aanvallen benodigde capaciteiten voor andere inkomstenbronnen, zoals cryptomining, óf ze verbeteren hun technische vaardigheden, omdat hun klanten op zoek zullen gaan naar geavanceerdere aanvallers. De verwachting is dus dat DDoS-aanvallen dit jaar verder zullen evolueren. Daarmee wordt het voor organisaties moeilijker wordt om ze te detecteren en te stoppen.”