Radware blickt auf die Cyberaktivitäten 2021 zurück

14. März 2022, 14:11
  • security
  • Radware
  • ddos
  • cyberangriff
image
Pascal Geenens, Director of Threat Intelligence bei Radware. Foto: Radware

Neben DDoS-Attacken haben letztes Jahr auch Angriffe auf Web-Applikationen zugenommen. Zudem scheinen die Cyberkriminellen neu gezielter anzugreifen.

Der amerikanisch-israelische Cyber­security-Spezialist Radware hat seinen Global Threat Analysis Report für das Jahr 2021 veröffentlicht. Ein besonderes Augenmerk wurde im Bericht auf DDoS-Attacken gelegt. Verglichen mit dem Vorjahr seien 2021 37% mehr solche Angriffe blockiert worden. Im Durchschnitt seien pro Tag 1'591 Angriffe entdeckt worden. Ein Spitzenwert sei am 10. Juli 2021 mit 9'824 DDoS-Attacken an einem einzigen Tag erreicht worden, so das Unternehmen.
Gemäss Pascal Geenens, Director of Threat Intelligence bei Radware, werden die Cyberkriminellen "immer schlauer, organisierter und gezielter bei der Ver­folgung ihrer Ziele". Darüber hinaus verlagern sie ihre Angriffsmuster von einzelnen Angriffsvektoren hin zu einer Kombination von mehreren Vektoren in komplexen Angriffen, erklärte er. "Ransomware-Betreiber und ihre Partner, zu denen zunehmend auch DDoS-for-Hire-Akteure gehören, arbeiten mit einem ganz neuen Mass an Professionalität und Disziplin – etwas, das wir bisher noch nicht gesehen haben", so Geenens.
Während die Anzahl der Attacken insbesondere in der ersten Jahreshälfte zuge­nommen habe, sei es in der zweiten zu einem rückläufigen Trend gekommen, so der Report. Die Gesamtzahl der abgewehrten Angriffe sei dabei in der ersten Hälfte fast genauso hoch wie in der zweiten Hälfte gewesen. Verändert habe sich unter anderen das Volumen der Angriffe, dieses sei verglichen mit 2020 um 26% auf durchschnittlich 6,49 Terabyte pro Nutzenden gestiegen. Die grösste vom Security-Unternehmen festgestellte DDoS-Attacke hätte dabei ein Volumen von 520 Gbp/s (Gigabyte pro Sekunde) erreicht.

Grosse Attacke ≠ Grosse Folgen

Andere Unternehmen – und insbesondere die grossen Cloud Provider – hätten noch grössere Attacken gemeldet. So hat Microsoft Azure laut dem Bericht im 4. Quartal 2021 eine DDoS-Attacke mit einem Volumen von 3.47 Tbp/s (Terabyte pro Sekunde) abgewehrt und im gleichen Quartal gleich zwei weitere mit Volumen über 2.5 Tbp/s bewältigen müssen. Gemäss Radware sind solche Multi­terabit-Angriffe aber nicht unbedingt effektiver oder gefährlicher als solche mit 100 Gbp/s.
In den ersten Wochen des Jahres 2022 unterbrach ein DDoS-Angriff, der nicht grösser als 100 Gbp/s war, die Internetverbindung von ganz Andorra. Dies weil Konkurrenten in einem Videospielturnier die Infrastruktur des Kleinstaats mit DDoS-Attacken angriffen, um die Teilnehmenden aus dem Land an einem Sieg zu hindern. Der Angriff wurde von einer Einzelperson oder einer Gruppe durch­geführt, die es eigentlich nur auf die Veranstaltung abgesehen hatte, indem sie ein bezahltes Abonnement bei einem DDoS-as-a-Service-Dienst in Anspruch nahm, damit aber die gesamte Internetversorgung eines Landes lahm legte.

Änderung der Taktik

Am stärksten betroffen von DDoS-Attacken seien Europa, der Nahe Osten und Afrika (EMEA) sowie Nord- und Südamerika, auf welche jeweils 40% aller blockierten Angriffe kämen, so der Report. Die restlichen 20% fallen auf die Region Asien-Pazifik. Zu den am häufigsten angegriffenen Zielen zählten im Jahr 2021 gemäss Radware die Branchen Gaming, Einzelhandel, Gesundheitswesen, Technologie und Finanzen.
Kunden in den Bereichen Online-Handel, Glücksspiel und Technologie hätten dabei den grössten Anstieg an DDoS-Ereignissen registriert. Kunden aus Regier­ungs­kreisen, dem Gesundheitswesen sowie der Forschung und der Bildung hätten hingegen den grössten Anstieg des Angriffsvolumens verzeichnet. Insbesondere das Volumen pro DDoS-Ereignis für Forschung und Bildung, Behörden und Einzelhandel sei zwischen 2020 und 2021 um ein Vielfaches gestiegen, so Radware.
Der Security-Spezialist mutmasst, dass dieser Anstieg ein Hinweis darauf sein könnte, dass die Angreifenden ihre Taktik geändert haben. Während die Angriffe früher eher wahllos erfolgt seien, werden diese gemäss dem Unternehmen neu auch als Teil von gezielteren und organisierten Kampagnen eingesetzt.

Angriffe auf Web-Applikationen

Besorgniserregend sei auch die Anzahl der blockierten Angriffe auf Web-Applikationen. Diese hätten von 2020 bis 2021 um 88% zugenommen, wobei Angriffe auf den Standort von Ressourcen fast die Hälfte aller Angriffe aus­ge­macht hätten, so der Bericht. Die meisten dieser Angriffe hätten ihren Ursprung in den USA und Russland gehabt, gefolgt von Indien, Grossbritannien und Deutschland.
Laut Radware entspricht das Ursprungsland in der Regel allerdings nicht der Nationalität des Bedrohungsakteurs. Um ihre Angriffe durchzuführen, kapern Cyberkriminelle meist Computer in einemwillkürlich ausgewählten Drittstaat. Die Angriffsaktivitäten im Jahr 2021 hätten sich dabei auf eine Vielzahl von Branchen verteilt, ohne dass eine besonders herausgestochen sei.

Unerwünschte Besucher in Netzwerken

Neben den DDoS-Attacken und den Angriffen auf Webapplikationen warnt das Security-Unternehmen aber auch von unerlaubten Zugriffen auf Netzwerke. Insgesamt 2,9 Milliarden Netzwerkereignisse seien durch das Global Deception Network registriert worden. An Spitzentagen seien bis zu 10 Millionen Angriffsversuche protokolliert worden.
Gemäss Radware wurden 2021 insgesamt 5,7 Millionen eindeutige IPs regi­striert. Dies entspricht lediglich 0,15 % der verfügbaren öffentlichen IPv4-Adressen im Internet. Die Anzahl der eindeutigen IPs sei ein guter Index für die Anzahl bösartiger Hosts und Geräte, die an Scans und böswilligen Aktivitäten im Internet beteiligt sind.
Als Eingangstor hätten den Cyberkriminellen dabei vielfach schwache oder voreingestellte Passwörter gedient, um sich einen ersten Zugang zu verschaffen, zu spionieren und sich seitlich in die Netzwerke von Unternehmen zu verteilen, so das Unternehmen weiter. 8 der 10 am häufigsten missbrauchten Anmelde­informationen, die für Kontoübernahmeversuche bei Online-Diensten genutzt wurden, hatten demnach typische Standardpasswörter wie "admin", "password", einen einfachen Zahlencode oder gar ein leeres Passwort, kombiniert mit den Benutzernamen "admin" oder "root".

Loading

Mehr zum Thema

image

NCSC warnt vor neuer Office-365-Phishing-Variante

Der neue Trick scheint noch ausgeklügelter zu sein als bisherige Phishing-Tricks.

publiziert am 29.11.2022
image

Bei Infopro laufen erste Systeme nach Cyber­angriff wieder

Der Berner IT-Dienstleister kann erste Systeme wieder hochfahren und hofft, im Verlauf dieser Woche zum Normal­betrieb zurückkehren zu können.

publiziert am 28.11.2022
image

Cyberangriff auf Infopro trifft auch Gemeinde Messen

Die Solothurner Gemeinde musste ihre Services nach einem Angriff herunterfahren. Derzeit kommuniziert sie über eine provisorische GMX-E-Mail-Adresse.

publiziert am 25.11.2022
image

Whatsapp-Leck: Millionen Schweizer Handynummern landen im Netz

Durch einen Hack haben Unbekannte fast 500 Millionen Whatsapp-Telefonnummern ergaunert und verkaufen diese nun im Web. Auch Schweizer Userinnen und User sind davon betroffen.

publiziert am 25.11.2022 3