DDoS-angreb er blevet kraftigere

Helt ny analyse af DDoS-angreb i Norden viser, at angrebene mod virksomheder i 2014 er vokset kraftigt i styrke. Samtidig fremgår det, at angrebene er simple at udføre, og at alle typer virksomheder kan blive ramt.
Malene Amini

Malene Amini

24. marts 2015

En helt ny rapport om it-angrebstypen ”DDoS” (Distributed Denial of Service) gennemgår tendenser for de teknikker og angreb, som udføres mod nordiske virksomheder. Det er TDC Security Operation Center der står bag ”DDoS trusselrapporten for 2014” som er baseret på en analyse af angrebsforsøg, der er rettet mod de TDC kunder, som er beskyttet af teleselskabets DDoS-sikkerhedsløsning.

Kraftigere angreb i 2014
Den nye rapport for 2014 fremhæver især, at DDoS-angreb er tiltaget meget i styrke. I 2013 var kun 21% af angrebene på 1 Gbit/s eller derover. I 2014 er dette tal vokset til hele 56%. Ligeledes ses det, at mens der i 2013 ikke var nogen angreb på 5 Gbit/s eller over, var mere end hvert fjerde angreb (26%) i 2014 på minimum 5 Gbit/s. Forklaringen skal ifølge TDC findes i, at de netværk, som anvendes til angrebene, får mere og mere kapacitet i takt med at internetforbindelser generelt bliver hurtigere, samt at der nu i udstrakt grad anvendes en teknik, som forstærker angrebene.

”Når angrebet er større end virksomhedens båndbreddekapacitet, vil det betyde, at der vil være udefrakommende trafik til virksomhedens netværk, der ikke kan komme igennem. Konsekvensen er fx, at internetbrugere ikke kan tilgå virksomhedens webserver, som de plejer, eller at medarbejderne ikke kan modtage mails. Derved forstyrres driften i de fleste virksomheder væsentligt,” forklarer Lars Højberg, teknisk sikkerhedschef i TDC.

Hvis kritiske systemer sætte ud af drift, kan det have store konsekvenser. Såfremt en virksomhed har ordrebehandling eller handel over internettet, kan driftsforstyrrelser af denne art betyde store økonomiske tab.

”Der er i 84% af tilfældene tale om såkaldte ”oversvømmelsesangreb”. Denne angrebstype fik kraftig vind i sejlene i 2014, fordi de cyberkriminelle her begyndte at udvikle særlige angrebsværktøjer og DDoS-tjenester, baseret på en effektiv teknik til at forstærke angreb.” uddyber Lars Højberg.
Alle kan blive ramt
I DDoS-rapporten kan man læse, at DDoS-angreb kan bestilles og aktiveres på særlige hjemmesider, der tager betaling for angrebene. For bare ca. 30 kr. kan enhver bestille et angreb, der varer en time. Man skal blot kende de ip-adresser, som man gerne vil rette et angreb imod.

Typisk vil det være ”botnets”, som udfører DDoS-angreb. Et ”botnet” er et netværk af helt almindelige computere, der er blevet inficeret med virus, og som derfor kan fjernstyres. De vil indgå i et særligt netværk af flere hundrede eller tusinder af computere, som samtidig sender forespørgsler mod målet. Herved opnås den ønskede effekt: at overbelaste en virksomheds server eller ”oversvømme” dens internetforbindelse og derved få det til at ”brænde sammen”, så det ikke fungerer.

Der kan være en lang række grunde til, at virksomheder kan opleve DDoS angreb. Lars Højberg peger på, at angrebene kan benyttes til pengeafpresning, som del af en politisk drevet agenda eller som afledningsmanøvre. Sidstnævnte var tilfældet, da et DDoS-angreb blev anvendt som afledning, i et angreb på elektronikgiganten Sony, da det egentlige mål var, at kompromittere 101 million brugeraccounts i 2011.

”Det er tydeligt, at alle kan blive udsat, uanset om der er tale om store eller små virksomheder og på tværs af alle markedssegmenter. De kriminelle kan sætte gang i et angreb for ganske få penge og uden at have teknisk indsigt,” siger Lars Højberg.

Våbenkapløbet
Ifølge TDC’s rapport må det forventes, at der fortsat sker en vækst i angrebsstørrelsen i DDoS-angreb. Der forventes dog også at være en udvikling i antallet af målrettede, avancerede DDoS-angreb mod særlige applikationer hos virksomhederne. Virksomhederne er dermed med i et ”våbenkapløb”, hvor de cyberkriminelle bliver mere avancerede i angrebsformerne, samtidig med at virksomhederne opgraderer deres forsvar.

Hos TDC anbefaler man et kombineret forsvar. ”Et godt råd er at arbejde med netværkssegmentering, så et angreb mod en højt profileret web-server ikke får konsekvenser for eksempelvis virksomhedens mails,” siger Lars Højberg. ”Store oversvømmelsesangreb skal dog bekæmpes uden for virksomhedens eget netværk og her kommer virksomhedens internetudbyder på banen,” konkluderer han.