DDoS-aanvallen in 2020: dit moet je weten

Nederland, België en Frankrijk werden in augustus opgeschrikt door een nieuwe golf DDoS-aanvallen. Deze hardnekkige vorm van cybercriminaliteit is al jaren een plaag voor het bedrijfsleven en de overheid. Van een flinke piek in coronatijd tot DDoS-afpersing: in dit artikel bespreken we de laatste ontwikkelingen op het gebied van DDoS-aanvallen.

1. Uitzonderlijk grote DDoS-aanvallen in Nederland

De Distributed Denial of Service (DDoS)-aanval, waarbij cybercriminelen servers bestoken met grote hoeveelheden data om deze te overbelasten, is eigenlijk nooit weggeweest. Ook eerder in 2020 waren er incidenten, bijvoorbeeld bij Thuisbezorgd en MijnOverheid. “Maar een grote golf zoals in 2018, toen meerdere banken en overheidsinstellingen getroffen werden, hadden we al even niet gezien”, zegt Erno Doorenspleet, Vice President Security Strategy bij KPN.

Dat veranderde eind augustus. In korte tijd waren diverse bedrijven slachtoffer van een DDoS-aanval, met overlast voor duizenden mensen als gevolg. De meeste aandacht ging uit naar de Zeeuwse internetprovider DELTA. Een grote DDoS-aanval legde in vrijwel de hele provincie Zeeland het internet plat. Hierdoor werkten ook de pinautomaten in parkeergarages in Middelburg niet: er kon alleen met contant geld worden betaald.

Het was zeker niet het enige incident in augustus. Ook de providers Online, Freedom Internet, Tweak en Caiway en de website Tweakers hadden last van DDoS-aanvallen. Medio augustus waren ook de websites van de Nederlandse Publieke Omroep (NPO) slecht bereikbaar, vermoedelijk door een DDoS-aanval. Het doelwit van deze aanvallen zijn de router- en DNS infrastructuur van deze Internet Service Providers en zijn meestal volumetrische DNS of LDAP geamplificeerde aanvallen.

2. DDoS-afpersers zijn weer volop actief

Criminele bendes proberen bedrijven in verschillende sectoren af te persen door te dreigen met een zware DDoS-aanval. Volgens securitybedrijf Akamai worden de dreigmails uit naam van Armada Collective en Fancy Bear verstuurd. Het slachtoffer moet een betaling voldoen in bitcoins die verder oploopt naarmate de tijd verstrijkt. Het gaat al snel om tienduizenden euro’s.

Ransom DDoS (RDoS) is niet nieuw. De e-mails lijken sterk op die uit eerdere campagnes. Armada Collective waarschuwt de ontvanger om vooral niet naar de media te stappen. “Anders begint de aanval direct en duurt deze heel lang.” Fancy Bear belicht de negatieve gevolgen van een DDoS-aanval. “We maken jullie reputatie kapot en zorgen ervoor dat jullie diensten offline blijven totdat er betaald is.”

Deze dreigende toon zal sommige slachtoffers ongetwijfeld overtuigen om te betalen. Toch raadt Doorenspleet dat met klem af. “U heeft dan geen enkele garantie dat de aanvallen daadwerkelijk ophouden”, benadrukt de Vice President Security Strategy. “Door te betalen houdt u bovendien het verdienmodel van de aanvallers in stand.”

Ook het NCSC heeft meldingen ontvangen over afpersingsmails waarin een statelijke actor dreigt met een DDoS-aanval. Er zou echter geen indicatie zijn dat deze afpersingsmails samenhangen met de nieuwe DDoS-aanvallen.

3. FBI waarschuwt voor nieuwe typen aanvallen

De FBI heeft eind juli een waarschuwing verspreid over vier nieuwe aanvalsvectoren voor DDoS-aanvallen. Voor de aanvallen zetten de criminelen botnets op van apparaten die gebruikmaken van de netwerkprotocollen CoAP, WS-DD en ARMS, of hacken ze Jenkins-servers.

De netwerkprotocollen zijn essentieel voor de Internet of Things-apparaten, smartphones en Macs waarin ze worden gebruikt. Daarom is het volgens de Amerikaanse veiligheidsdienst onwaarschijnlijk dat fabrikanten deze protocollen verwijderen of uitschakelen. Het groeiende aantal devices met deze ingebouwde protocollen zal mogelijk leiden tot enorme botnets waarmee verwoestende DDoS-aanvallen worden gepleegd.

Doorenspleet verwacht dat de nieuwe aanvalsvectoren in de toekomst ook op grote schaal worden toegepast door online aanbieders van DDoS-aanvallen.

4. Piek in DDoS-aanvallen sinds uitbraak corona

Het aantal DDoS-aanvallen is in de eerste helft van 2020 fors gestegen, zo blijkt uit onderzoek van Link11. Volgens het Duitse securitybedrijf ging het in april, mei en juni zelfs om een verdubbeling ten opzichte van dezelfde maanden vorig jaar. De groei van het aantal DDoS-aanvallen zou samenhangen met de wereldwijde uitbraak van het coronavirus begin dit jaar.

Door de pandemie werken veel meer mensen vanuit huis en breiden bedrijven versneld hun digitale diensten uit. Hierdoor is het aanvalsoppervlak groter geworden. De meeste aanvallen vinden plaats in het weekend en ’s avonds. Ze zijn vooral afkomstig uit de Verenigde Staten, China en Rusland. Het gemiddelde aanvalsvolume is stabiel op 4,1 Gbps. De langste DDoS-aanval duurde maar liefst 23 uur.

In 2020 werd overigens ook een DDoS-record neergezet. Amazon Web Services sloeg in februari de grootste DDoS-aanval ooit af. Deze aanval had een capaciteit van 2,3 Tbps aan dataverkeer. “Het zal helaas niet lang duren voordat ook dit record verbroken wordt”, voorspelt Doorenspleet.

5. Politie pakt tieners achter DDoS-aanvallen aan

Politie en justitie gaan de strijd aan met tieners die DDoS-aanvallen uitvoeren. Zo werd in december 2019 bekend dat Jelle S., de man achter de DDoS-aanvallen op een aantal Nederlandse banken en de Belastingdienst in 2018, vervolgd wordt. “De schade door de DDoS-aanvallen was enorm en het gaat om een zwaar feit dat strafbaar is”, aldus een woordvoerder van het Openbaar Ministerie (OM).

Jelle S. was ten tijde van de aanvallen slechts 18 jaar. Dat is zeker geen uitzondering: in april van 2020 hield de politie een 19-jarige man uit Breda aan die verdacht wordt van DDoS-aanvallen op de websites MijnOverheid.nl en Overheid.nl. En in augustus eiste het OM flinke taakstraffen tegen twee 17-jarige verdachten die onder meer DDoS-aanvallen op gameservers hebben uitgevoerd.

Ook doorzocht de politie eind juli de woningen van twee 19-jarige mannen die verdacht worden van betrokkenheid bij een zogeheten ‘booterwebsite’. “De aanbieders van DDoS-aanvallen zijn een belangrijk onderdeel van het probleem”, zegt Doorenspleet. “Het is goed dat de politie daar ook werk van maakt.”

Bron: van onze business partner KPN