Ihr Konkurrent nervt und seine Webseite ist erfolgreicher als Ihre? Kein Problem, schalten Sie ihn doch einfach offline. Bereits für 5 Dollar die Stunde offerieren einschlägige Gruppierungen wie "gwapo" den Cyber-Angriff as a Service. Wer eine Lifetime-Lizenz für ein entsprechendes DDoS-Angriffstool benötigt, wird etwa für 500 Dollar in den Weiten des Internets in China fündig. Andere wie "DD4BC" (DDoS for Bitcoin) oder das "Armada Collective" erpressen wiederum Bitcoins mit der Drohung eines DDoS-Angriffs, wenn die Zahlung ausbleibt.

Erpressung als Business-Modell

Insgesamt stellt man bei Akamai, über die rund 200.000 Server des Content-Distributors laufen rund 35 Prozent des globalen Internet-Verkehrs, eine weitere Kommerzialisierung der Szene fest. Gleichzeitig bemerken die Autoren des Security Reports State of the Internet Q3 2015 ein wachsendes Know how der Angreifer, die zu cleveren Angriffsverfahren führen. Parallel dazu seien vermehrt Angriffe mit Erpressungsversuchen festzustellen, bei den gedroht werde die Website eines Herstellers per DDoS unerreichbar zu machen, wenn dieser nicht das geforderte "Lösegeld" zahlt. Gleichzeitig sei aber auch zu sehen, dass sich konkurrierende Unternehmen zunehmend gegenseitig angreifen würden.

Zahl der Angriffe steigt

Im Vergleich zum Vorjahresquartal zählten die Sicherheitsspezialisten 1510 DDoS-Angriffe, was einem Anstieg um 180 Prozent entspricht. Dagegen ging die hierzu verwendete Bandbreite deutlich zurück. Lag der Rekord im zweiten Quartal noch bei 250 Gbit/s. so waren es im letzten Quartal nur noch 149 Gbit/s. Ferner reduzierte sich die Dauer der DDoS-Angriffe, die nun durchschnittlich 20 bis 60 Minuten dauern. Eine Erklärung hierfür könnte sein, dass die DDoS-Services über ein Abo-Modell abgerechnet werden. Zudem geht die klassische DDoS-Variante per Bot-Netz, bei der ein Angriff meist solange dauerte bis der Bot enttarnt war, zurück. Hierfür gibt es wirtschaftliche Gründe: Laut dem Security-Report ist es teurer und zeitaufwändiger ein Bot-Netz zu unterhalten als Boot-Stresser-Tools zu verwenden, um in Protokollen und Netz-Devices Schwachstellen aufzuspüren. Allerdings haben letztere den Nachteil, dass sie sich nicht so gut für große Angriffe eignen. Dementsprechend ging auch die Zahl so genannter Mega-DDoS-Angriffe (Attacken mit einer Bandbreite von 100 Gbit/s und mehr) von 12 im zweiten Quartal auf 8 zurück. Im Vergleich zu 2014 ist das ein Rückgang um 53 Prozent.

Angriffsziele

So erfolgt immer häufiger ein Angriff über UDP Fragments, wohin gegen Attacken auf der Application-Layer-Ebene mit 4,83 Prozent. Ebenso im Trend seien mittlerweile Christmas Tree Packets. In diesen IP-Paketen werden alle Option-Flags gesetzt, so dass sie teilweise widersprüchliche Angaben enthalten. Diese Widersprüche bringen nun eventuell das Device zum Absturz.

Im Visier der Angreifer war dabei besonders die Gaming-Industrie. Ihr galten 50 Prozent der Angriffe. Eine hohe Zahl, die zwei Ursachen haben dürfte: Rache unzufriedener Spiele, Erpressung der Spieleplattformen. Software- und Technologien-Firmen waren in 25 Prozent der Fälle das Ziel. Aufatmen konnten dagegen Telcos und Internet-Unternehmen. Waren sie im zweiten Quartal noch zu 13 Prozent das Ziel, so waren es in Q3 nur noch 5 Prozent.

USA - Heimat der Cybergangster

Eine erfreuliche Entwicklung ist aus deutscher Sicht die Herkunft der DDoS-Attacken: Zählte Deutschland in den letzten Quartalen noch zu den Top-10-Quellen der DDoS-Attacken, so hat das Land diesen unrühmlichen Listenplatz im dritten Quartal verloren. Den ersten Platz, weit vor China und den USA, hat mittlerweile Großbritannien inne. Auf Platz 4 und 5 sind als Ursprungsquelle Spanien und Indien zu finden.

Einen Spitzenplatz nimmt die USA (59 Prozent) dagegen als Herkunftsland für Web-Application-Angriffe ein, gefolgt von China (11 Prozent) sowie Brasilien und Russland mit jeweils sieben Prozent. Das Top-Ziel sind mit 75 Prozent wiederum die USA. Alle anderen Zielländer wie etwa UK (sieben Prozent) oder Deutschland (2 Prozent) folgen mit weitem Abstand. Die Studienautoren vermuten, dass die Sonderrolle der USA darauf basiert, dass ein Großteil der IT-Unternehmen seinen Hauptsitz in den USA hat.

Web Applications

Derzeit sind auf Applikationsebene vor allem die Angriffsverfahren Shellshock, SQLi sowie LFI beliebt. Steigender Beliebtheit als Ziel erfreute sich im dritten Quartal auch Wordpress. Bevorzugte Angriffsopfer sind dabei vor allem Händler. Und diese, so warnen die Autoren, sollten mehrere Angriffsvektoren im Blick haben: So könne ein Angreifer den Verkaufspreis ändern, ein anderer dagegen die Lieferung der Waren boykottieren etc.

Ausblick

Für die nahe Zukunft erwartet man bei Akamai, dass die USA eine der Topquellen für schädlichen Internet-Verkehr bleibt. Des Weiteren glauben die Experten, dass die Cloud Provider ein Sorgenkind bleiben, solange sie ihre internen Prozesse nicht umstellen. Dafür dürften die Angriffe von "DD4BC" nachlassen, während von den Copycats vom Armada Collective mehr Aktionen erwartet werden. Die Spieleindustrie wird wohl weiter im Fadenkreuz der Angreifer stehen und vor allem für Angreifer attraktiv sein, die auf der Suche nach den low hanging fruits sind. Ebenso werden Finanzinstitute weiterhin beliebte Ziele darstellen, da die Erbeutung sensibler Daten hier großen Profit verspricht.