Windows-apparaten zijn steeds vaker het doelwit van DDoS (Distributed Denial of Service)-aanvallen, volgens een rapport van cybersecurityspecialist Nexusguard. Vorig jaar was 87 procent van dergelijke aanvallen afkomstig van Windows-machines, tegenover slechts 15 procent het jaar daarvoor. De verschuiving wijst op veranderende aanvalstactieken, mogelijk door nieuwe kwetsbaarheden in Windows of slimmere malware.
Een andere belangrijke bevinding in het nieuwste DDoS-rapport van het Singaporese Nexusguard is dat computers en servers steeds vaker de spil zijn in deze aanvallen, goed voor 92 procent van de DDoS-pogingen. Dit in plaats van mobiele of IoT-apparaten. Het rapport noemt dit een opmerkelijke sprong ten opzichte van de 68 procent van vorig jaar.
Tip: Microsoft maakt een potje van eigen security
Hoewel de frequentie van DDoS-aanvallen in 2023 met 55 procent daalde, steeg de omvang van aanvallen met 233 procent. Met andere woorden: er waren minder aanvallen, maar die waren wél ernstiger. Aanvallen worden ook korter maar krachtiger. Zo duurt 81 procent van alle DDoS-aanvallen maximaal anderhalf uur. Ter vergelijking laat het rapport een sterke daling van 95 procent zien in langdurige aanvallen die meer dan 1200 minuten (20 uur) duren.
Toename van HTTP/HTTPS-aanvallen
Applicatiemisbruik, zoals HTTP/HTTPS-aanvallen waarbij webservers of apps worden overspoeld met een grote hoeveelheid verzoeken, kende een aanzienlijke stijging van 79 procent op jaarbasis. Deze vormen een kwart van alle aanvallen. Volumetrische aanvallen om netwerken rechtstreeks te overspoelen, zijn daarentegen met 30 procent gedaald ten opzichte van vorig jaar. Dat kan duiden op verbeterde netwerkinfrastructuren of aanvallers die overstappen op geavanceerdere methoden.
DNS Amplification is de snelst groeiende aanvalsvector, van 2 procent in 2022 tot 14 procent in 2023. HTTPS Flood en NTP Amplification zijn echter nog steeds de populairste methoden en maken bijna de helft uit van alle DDoS-aanvallen. De meeste aanvallen zijn single-vector, bijna 93 procent van alle DDoS-aanvallen.
Een single-vector aanval maakt gebruik van een enkele kwetsbaarheid of methode om een doelsysteem of netwerk te verstoren. Bij multi-vectoraanvallen daarentegen gebruiken aanvallers meerdere technieken tegelijk om een doelwit te compromitteren, zoals het combineren van traffic floods met application-layer-aanvallen die gericht zijn op specifieke toepassingen.
Maximale verstoring met minimale inspanning
Het Nexusguard-rapport geeft aan dat kwaadwillenden de voorkeur geven aan eenvoudiger uit te voeren technieken die minder middelen en minder expertise vereisen. Donny Chong, product director van Nexusguard, stelt dat cybercriminelen maximale verstoring nastreven met minimale inspanning.
Dit is duidelijk zichtbaar in het stijgende aantal politiek gemotiveerde DDoS-aanvallen gericht op vitale sectoren zoals overheden en de financiële sector. Het rapport meldt dat een aanval op de infrastructuur van deze sectoren niet ingewikkeld hoeft te zijn om behoorlijk veel schade aan te richten.
Bit-and-Piece aanvallen in opmars
Aanvallers maken echter ook steeds vaker gebruik van Bit-and-Piece (BNP)-aanvallen, waarbij kleine gegevenspakketjes van verschillende bronnen worden gebruikt om systemen te overspoelen en detectie en mitigatie te omzeilen.
Ondanks pogingen van aanvallers om met beperkte middelen hun impact te maximaliseren, stelt Nexusguard dat zowel verbetere netwerkconfiguraties als bewuster securitybeleid hebben bijgedragen aan een daling van 17 procent in NTP Amplification Attacks, een prominente aanvalsvector. Andere vectoren zoals HTTPS Flood en DNS Amplification worden nu echter wel steeds vaker gebruikt.
Het volledige Distributed Denial of Service (DDoS) Trendrapport 2024 van Nexusguard is nu te downloaden.
Lees ook: Wat is ‘credential stuffing’ en hoe verdedig je je ertegen?