Der Tsunami rollt: Web-DDoS-Angriffe steigen massiv an

Check Point: Weiterentwicklung von HTTP-DDoS-Flood ist ausgeklügelt, aggressiv und lässt sich nur schwer ohne Nebenwirkungen entschärfen.

Check Point hat in der ersten Jahreshälfte 2023 einen massiven Anstieg von DDoS-Angriffen beobachtet. Die Attacken haben dabei ein neues Niveau an Raffinesse, Häufigkeit und Umfang erreicht. Diese steigende Bedrohung wird insbesondere durch die Beliebtheit von Web-DDoS-Angriffen verdeutlicht, die sich branchen- und länderübergreifend zu einer gewaltigen Gefahr entwickelt haben. Ein Web-DDoS-Tsunami-Angriff ist eine Weiterentwicklung des HTTP-DDoS-Flood-Cyberangriffs, der ausgeklügelt und aggressiv ist und sich nur sehr schwer erkennen und entschärfen lässt, ohne den legitimen Datenverkehr zu blockieren.

Die sich entwickelnde Bedrohungslandschaft

Die Daten des Threat Hub von Radware zeigen einen bemerkenswerten Anstieg der blockierten DDoS-Ereignisse im Jahr 2022 um 152 Prozent im Vergleich zu 2021, verbunden mit einem Anstieg des gesamten blockierten Angriffsvolumens um 32 Prozent im Vergleich zum Vorjahr. Der größte DDoS-Angriff im Jahr 2022 erreichte unglaubliche 1,46 Tbps – ein 2,8-facher Anstieg gegenüber dem Vorjahresrekord.

Darüber hinaus haben die Angreifer nicht nur finanzielle Motive, sondern auch politische Motive, die einen Großteil der DDoS-Angriffe ausmachen. Die Verschiebung begann zeitgleich mit dem Einmarsch Russlands in der Ukraine, der eine noch nie dagewesene Synchronisation zwischen Cyberangriffen und realen Ereignissen zeigte. Dieser Trend hat zu einem Anstieg der staatlich geförderten Hacktivistengruppen geführt, die Organisationen in verschiedenen Sektoren angreifen, was weitreichende Auswirkungen hat.

Drei wichtige Trends bei DDoS-Angriffen

Nr. 1: Aufkommen von staatlichen Akteuren.
Die Verlagerung von finanziell motivierten Hackern zu staatlich unterstützten Hacktivistengruppen hat die Gesamtlandschaft erheblich verändert. Staatlich geförderte Gruppen verfügen über weitaus mehr Ressourcen und eine bessere Organisation, was ihre Möglichkeiten erweitert, ausgeklügelte Angriffstools zu entwickeln, ein breiteres Spektrum von Opfern anzugreifen und relativ ungestraft zu operieren.

Nr. 2: Angriffe nehmen an Umfang und Komplexität zu.
Angreifer setzen neue Tools ein, die größere und kompliziertere Angriffe ermöglichen. Sie mischen Angriffsvektoren innerhalb einzelner Angriffe, was herkömmliche Abwehrtechnologien und -praktiken vor Schwierigkeiten stellt.

Nr. 3: Verlagerung auf Angriffe auf der Anwendungsebene.
DDoS-Angriffe zielen zunehmend auf die Anwendungsebene ab, was die Erkennung und Eindämmung erschwert. Der Einsatz fortschrittlicher Web-DDoS-Angriffstools hat dazu geführt, dass herkömmliche Abwehrmaßnahmen gegen diese ausgefeilten Taktiken weniger wirksam sind.

Warum sind Web-DDoS-Angriffe schwieriger zu entschärfen?

Web-DDoS-Angriffe nutzen die HTTP- oder HTTPS-Protokolle auf der Anwendungsebene aus und richten eine Flut von Anfragen an Webanwendungen, um Server zu überlasten. Da der meiste Webverkehr verschlüsselt ist, wird die Erkennung böswilliger Absichten komplex, was die Abwehr dieser Angriffe besonders schwierig macht.

  • Asymmetrische Verarbeitung
    SSL/TLS-Protokolle beanspruchen mehr Serverressourcen, so dass Angreifer mit relativ wenigen Anfragen massive Angriffe durchführen können.
  • Verschlüsselte Nutzdaten
    Der Großteil des Web-Datenverkehrs ist verschlüsselt, so dass eine Überprüfung durch herkömmliche Verteidigungsmaßnahmen unwirksam ist.
  • Angriffe auf die Anwendungslogik
    Angriffe auf der Anwendungsschicht imitieren legitime Anfragen und erfordern ein tiefes Verständnis, um Anomalien zu erkennen, die auf einen Angriff hindeuten.
  • Fortschrittliche Angriffswerkzeuge
    Angreifer verwenden neue Tools mit zufälligen Angriffsvektoren und Techniken, die herkömmliche Verteidigungsmaßnahmen umgehen.