DDoS-Landschaft 2017

Mirai und die Zukunft

| Autor / Redakteur: Michael Marriott* / Peter Schmitz

Ist der Source Code einer Malware einmal offengelegt, sind neue Varianten unvermeidbar. Auch für Mirai ist das eine wahrscheinliche Zukunft.
Ist der Source Code einer Malware einmal offengelegt, sind neue Varianten unvermeidbar. Auch für Mirai ist das eine wahrscheinliche Zukunft. (Bild: markusspiske - Pixabay / CC0)

Die Offenlegung des Source Codes von Mirai schlug Ende 2016 große Wellen und hat die DDoS Landschaft nachhaltig geprägt. Von einem „digitalen Atomangriff” und einer “Zombie Apokalypse” war sogar die Rede. Die Wahrheit ist wie so oft weit weniger dramatisch. Was in Sachen DDoS 2017 tatsächlich zu erwarten ist, zeigt eine Analyse der bisherigen Vorfälle und den Akteuren, die dahinter stecken.

Grundsätzlich lassen sich hinter DDoS-Attacken drei Motive erkennen: Hacktivismus, Erpressung durch Cyberkriminelle und staatlich gesteuerte Angriffe.

Hacktivists - DDoS als Mittel des Protests: Hinter den DDoS-Attacken des letzten Jahres steckten nicht immer nur finanzielle Absichten und Lösegeldforderungen. Oft wurden die Angriffe als Protestmittel verstanden und zeigten einen ideologischen, politischen oder umweltpolitischen Hintergrund. Wirft man einen Blick auf die Akteure im Umfeld dieser Angriffe und zieht aktuelle Trends mit ein, lässt sich für 2017 folgende Annahmen treffen:

  • Verfügbarkeit von Tools – Die wenigsten Hacktivisten besitzen tatsächlich das nötige Know-how um erfolgreiche DDoS Attacken auf eigene Faust durchzuführen. Auch Mirai stellt Akteure vor technische Herausforderungen. Wie sehr sich die Malware in den nächsten Monaten verbreitet, hängt also auch von dem Angebot an DDoS-as-a-Service Lösungen ab.
  • Strafverfolgung – Die Bekämpfung von Cyberkriminellen konnte 2016 einige Erfolge verbuchen. Ein Grund für das schärfere Durchgreifen lag wohl auch darin, dass Behörden und staatliche Stellen stärker ins Visier der Angreifer rückte. Bei Angriffen auf private Unternehmen ist ein ähnlich schnelles Vorgehen jedoch kaum zu erwarten.
  • DDoS-Schutz – Sicherheitslösungen für DDoS hatten insbesondere mit “High Impact”-Attacken schwer zu kämpfen, wie Krebs on Security, OVH und Dyn.com zeigten.
  • Zweifelhafter Ruhm – Aufmerksamkeit der Medien und Respekt innerhalb der Peer-Group treibt eine Vielzahl der Hacktivisten an. Zu den beliebtesten Protestmittel wird 2017 neben DDoS daher auch Website Defacement – die Verunstaltung von Internetseiten zählen.

Angesichts dieser Trends ist dieses Jahr mit einer Reihe erfolgreicher DDoS Attacken zu rechnen. Insbesondere Finanzdienstleister, Medien und der öffentlichen Sektor stehen im Visier der Hacktivisten.

Zudem erlaubt der wachsende Markt an DDoS-as-a-Service auch Anfängern “High-Impact”-Attacken durchzuführen. Das einzige Mittel gegen diese Art der Bedrohung sind Sicherheitsvorkehrungen an den Geräten selbst – egal ob Smartphone, Connected Car oder in der Smart Factory. Wächst der Markt an verfügbaren Tools, könnte sich jedoch auch folgendes Szenario abzeichnen: Mehr und mehr Angreifer richten immer mehr Schäden an und verursachen lange Ausfallzeiten.

Cyberkriminelle - DDoS als Erpressungsmittel: Erpressung ist das Hauptmotiv von DDoS: Angreifer kontaktieren Unternehmen und drohen deren IT-Infrastruktur lahmzulegen, wenn nicht in kurzer Zeit ein Lösegeld gezahlt wird. Manchmal bleibt es bei einer Drohung, in vielen Fällen kommt es jedoch auch zum Ernstfall – so auch im vergangenen Jahr. Auch hier lassen sich einige Trends beobachten:

  • Profitable Geschäftsidee – Viele Unternehmen fürchten Negativ-Schlagzeilen eines DDoS-Angriffs und bevorzugen es, das Lösegeld zu zahlen. Das hat dazu beigetragen, dass DDoS sich als erfolgreiches Geschäftsmodell für Cyberkriminelle hat. Die hohe Dunkelziffer erschwert es zudem, die Täter ausfindig zu machen.
  • Vorreiter und Nachahmer – Obwohl Cyberkriminelle sich selten mit erfolgreichen DDoS-Attacken brüsten, sind die Täter nicht gänzlich unbekannt. Ein „schlechter Ruf“ ist für viele sogar ein Vorteil, da Erpressungsversuche so tatsächlich ernst genommen werden. Kadyrovtsy, Lizard Squad und Armada Collective zählten 2016 zu den bekanntesten Erpressergruppen, wobei sich eine ganze Reihe von Trittbrettfahrern ihrer Bekanntheit bediente.
  • Teilerfolg – Mit der Festnahme mehrerer Verdächtiger der Erpressergruppe DD4BC gelang Europol im Januar 2016 ein wichtiger Schlag gegen Cyberkriminelle. Zwar rückten bald schon neue Akteure nach, der Erfolg gegen DD4BC setzte jedoch ein klares Zeichen, dass DDoS strafrechtlich verfolgt wird.
Massive DDoS-Attacke mit IoT-Botnetz

Security-Blog attackiert

Massive DDoS-Attacke mit IoT-Botnetz

28.09.16 - Das Sicherheitsblog KrebsOnSecurity wurde Opfer eines massiven DDoS-Angriffs. Bis zu 620 GBit/s an Datenmüll prasselten auf die Seite ein, der Großteil wurde scheinbar durch schlecht gesicherte IoT-Geräte erzeugt. lesen

Auch Mirai wird 2017 viele Trittbrettfahrer auf den Plan rufen, die die öffentliche Aufmerksamkeit rund um die Botnet-Malware nutzen wollen. Gelingt den öffentlichen Behörden ein ähnlicher Schlag gegen Hackergruppen wie DD4BC, könnte dies als Abschreckung dienen. Ein anderes Szenario zeichnet sich ab, wenn DDoS-Akteure neue Varianten des Mirai-Source-Codes entwickeln. Ins Visier der Hacker könnten dann auch Social Media-Plattformen und Gaming-Netzwerken rücken, deren Anwender aufgefordert werden per Crowdsourcing Lösegeld zu sammeln.

Massive DDoS-Angriffe im Terabit-Bereich drohen

IoT-Geräte als DDoS-Generatoren

Massive DDoS-Angriffe im Terabit-Bereich drohen

17.10.16 - Denial of Service-Angriffe plagen Betreiber von Webseiten und Online-Diensten. Ein aktueller Trend gibt eine düstere Zukunftsaussicht: Ungesicherte IoT-Geräte wie Netzwerkkameras, digitale Videorekorder oder Hausautomatisierungssysteme dienen Kriminellen als willige Botnet-Clients, die DDoS-Attacken in bislang nicht gekanntem Volumen ausführen. Tendenz: Steigend. lesen

Staatliche Akteure - DDoS als politisches Mittel: DDoS-Attacken gehören seit Jahren zum Waffenarsenal in der internationalen Politik. Die staatlich gesteuerten Angriffe laufen dabei mit allergrößter Vorsicht ab und sind nur schwer zurückzuverfolgen. Generell können hier drei wesentliche Motive ausgemacht werden:

  • Geopolitische Lage – Das letzte Jahr zeigte wie nie zuvor einen Trend zu staatlich getriebenen Cyberattacken, die sich explizit gegen einen anderen Staat wenden. Neben DDoS-Angriffen zählten dazu auch Hackerangriffe auf Wählerdatenbanken, Netzwerk-Kompromittierung von Behörden und Parteien sowie gezielte Datenleaks.
  • Leichtes Ziel – Die fortschreitende Digitalisierung und Vernetzung innerhalb eines Staates sorgt für eine immer größere Angriffsfläche – nicht nur in den Industrieländern. Vor allem Medien- und Rundfunkanstalten bieten hier ein attraktives Ziel für Angreifer.
  • Sicherheit im IoT – Die Rolle von politisch motivierten DDoS-Attacken hängt stark von der Zahl der Geräte im Internet of Things ab. Das Wettrennen um immer größere Botnets mag zu einem Nullsummenspiel führen, bei dem es nur einen Gewinner gibt. Auf der anderen Seite führt die rasche Zunahme an IoT-Geräten zu einem nie endenden Pool an angreifbaren Geräten, so dass ein Ende nicht in Aussicht ist.
Mirai-Botnet attackiert DNS-Anbieter Dyn.com

DDoS verursacht DNS-Probleme

Mirai-Botnet attackiert DNS-Anbieter Dyn.com

24.10.16 - Der DNS-Anbieter Dyn.com wurde Opfer eine weitreichenden DDoS-Attacke, der teilweise zu Problemen bei der Auflösungen von Web-Adressen führte. Die Attacken werden dem Mirai-Botnet zugeordnet, das in den letzten Wochen bereits mehrfach zugeschlagen hat und sich vor allem durch hohen Datenverkehr auszeichnet. lesen

Momentan sind keine tiefgreifenden Veränderungen bezüglich DDoS-Attacken abzusehen. Staaten sind sich der Bedrohung zunehmend bewusst und setzen Sicherheitsmaßnahmen ein. Meist erfolgen Angriffe im Zusammenhang mit einschlägigen Ereignissen, z. B. bei Rücktritten, Korruptionsskandalen. In einem Extremfall könnte DDoS von Staatsakteuren genutzt werden, um Medienanstalten, Zeitungsverlage und Social Media Kanäle anzugreifen und so regierungsfeindliche Stimmen zum Schweigen zu bringen. Die Mehrheit von internetfähigen Geräten und Webdiensten ist für diese Art von Angriff nur unzureichend vorbereitet.

Welche Annahmen sich in 2017 tatsächlich erfüllen ist abzuwarten. Eines jedoch hat die Vergangenheit klar gezeigt: Ist der Source Code einer Malware einmal offengelegt, sind neue, angepasste Varianten unvermeidbar. Ein Blick auf Mirai und die derzeitigen Trends im Umfeld von IoT und DDoS gibt Unternehmen hier die Chance, kommende Bedrohungen im Auge zu behalten und sich frühzeitig zu wappnen.

* Michael Marriott ist Research Analyst bei Digital Shadows.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44472996 / DDoS und Spam)