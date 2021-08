Gisslanattacker har under en längre tid stått i rampljuset i det cyberkriminella ekosystemet med kostnader på över en miljard dollar förra året och med hundratals miljoner dollar i vinst till förövarna. Men samtidigt har ddos-attackerna, som även de traditionellt använts som medel för utpressning, fått se en återkomst. De grupper som använder gisslanattacker använder även ddos-attacker för att sätta press på sina offer.

Enligt ett antal årsrapporter från innehållsnätverk och tjänster mot ddos-attacker var 2020 ett rekordår, både räknat i antal attacker och i attackernas magnitud, och i antalet attackvektorer. Att ddos-utpressningarna kommit tillbaka har troligen drivits fram av covid-pandemin eftersom arbetsgivare har tillåtit fler att arbeta på distans, vilket gjort dem mer sårbara för störningar i verksamheten och sannolikt, i alla fall som angriparna ser på saken, mer benägna att betala lösensummor.

Trenden har fortsatt under 2021 där Akamai rapporterar att tre av de sex största attackerna någonsin kom under februari månad, och fler attacker med en styrka på över 50 gigabit per sekund under de första tre månaderna av 2021, än under hela 2019. Företaget anser att attacker större än 50 gigabit per sekund har kapacitet att slå ut de flesta onlinetjänster som inte implementerat ett ddos-skydd.

Ddos-utpressarnas återkomst

Motiven bakom ddos-attacker kan variera från skrupelfria företagare som attackerar sina konkurrenter till hacktivister som vill skicka ett meddelande till företeelser de inte gillar och till simpel vandalism på grund av rivalitet mellan olika cyberkriminella grupper.

Men det är utpressning som är det vanligaste motivet bakom attackerna, och det mest lönsamma, inte minst för att det är relativt billigt att utföra attackerna. En ddos-attack som tjänst kan kosta så lite som sju dollar, vilket gör att i princip vem som helst har råd.

Enligt Netscout Systems, ett företag som övervakar prestanda i nätverk, är faktiskt attacker där cyberkriminella demonstrerar sina förmågor den vanligaste typen av attack följt av motiv relaterade till onlinespel – en sysselsättning som ökat under pandemin – och förstås utpressning.

Cyberkriminella kan också använda ddos-attacker för att distrahera it-avdelningn från andra skadliga aktiviteter i nätverket som intrång och datastöld.

Antalet fall av ddos-attacker med utpressningssyfte hade en topp i början av augusti 2020 på grund av att flera aktörer användeddos-attacker som ett komplement för påtryckning, men också för att en viss grupp startade kampanjer i syfte att utge sig för att vara andra grupper som ryska Fancy Bear och nordkoreanska Lazarus Group.

Den här gruppen, som tilldelats namnet Lazarus Bear Armada (LBA), börjar med att avfyra en attack med en magnitud på mellan 50 och 300 gigabit per sekund mot utvalda måltavlor. Sen följs attackerna upp med utpressningsmejl där de utger sig för att kunna släppa loss en attack på två terabit per sekund, och kräver lösensumma i bitcoin.

I dessa mejl försöker gruppen lyfta sin egen trovärdighet genom att påstå sig vara kopplade till någon av de ovan nämnda statssponsrade grupperna som gjort sig kända i medierna. I många fall kommer ingen uppföljande attack även om offret inte betalat, men ibland kommer den. Efter ett tag kan gruppen attackera sina offer igen.

Denna grupp angriper först och främst organisationer inom finans, detaljhandeln, resor och e-handel över hela världen, och det verkar som att gruppen både rekognoserar och planerar attackerna noga. De tar reda på icke-generiska e-postadresser som den attackerade organisationen antagligen håller ett öga på, och de riktar sina attacker mot kritiska men inte uppenbara applikationer och tjänster, likväl som mot vpn-koncentratorer. Detta pekar på en avancerad planering. Gruppens aktiviteter har givit upphov till varningar från både it-säkerhetsföretag och FBI.

Ett slags trippelattacker

Utöver grupper som LBA, som endast förlitar sig på rddos-attacker (ransom-ddos), använder andra grupper, som främst använder gisslanattacker, även ddos-attacker för att utöva ytterligare påtryckningar, ungefär på samma sätt som de också använder dataläckage som ett andra påtryckningsmedel. Med andra ord kan vissa gisslanattacker vara en slags trippelattacker som kombinerar filkryptering, datastöld och ddos-attacker. Exempel på grupper som använder, eller påstår sig använda, ddos-attacker som ett andra påtryckningsmedel är Avaddon, Suncrypt, Ragnar Locker och Revil.

Precis som i fallet gisslanattacker är det svårt att veta hur många offer som faktiskt betalar, men trenden att attackerna ökar i antal, styrka och frekvens pekar på att attackerna är tillräckligt lönsamma. Detta kan bero på att ddos-attacker inte kräver sin expertis på grund av de ovan nämnda ddos-tjänsterna och för att de är så tillgängliga.

I en nyligen publicerad rapport skriver cdn-leverantören Cloudflare att 13 procent av de kunder som drabbats av ddos-attacker under första kvartalet 2021, också drabbats av någon form av utpressning, eller att de hotats i förväg. Akamai har sett en ökning på 57 procent på årsbasis vad gäller antalet attackerade organisationer, och Netscout rapporterar att antalet attacker per år nu för första gången överstiger 10 miljoner.

Akamai skrev nyligen i en rapport att ”cyberkriminella med förhoppningen att få en större summa i bitcoin har börjat att öka sina ansträngningar och bandbredden i attackerna, vilket innebär att vi kan. begrava tanken att utpressning genom ddos-attacker hör till det förflutna”.

Akamai skriver vidare att “den senaste attacken med en magnitud på över 800 gigabit per sekund, som riktades mot ett europeiskt spelbolag, var den största och mest komplexa attacken vi sett sedan denna typ av attacker började i mitten av augusti 2020. Sedan början av denna kampanj har attacker där cyberkriminella visar sina styrkor ökat från över 200 gigabit per sekund i augusti, till över 500 gigabit per sekund i mitten av september, till över 800 gigabit per sekund i februari 2021”.

Komplexiteten i attackerna ökar

Enligt Akamai inkluderade nästan två tredjedelar av attackerna förra året mer än en attackvektor – vissa hade så många som 14 olika vektorer. Även Netscout rapporterar en skarp ökning av multi-vektor-attacker, speciellt mot slutet av 2020 och attacker med över 15 olika vektorer. Företaget har sett så många som 25 olika vektorer.

Så kallad ddos-reflektion och förstärkningstekniker som utnyttjar flera udp-baserade protokoll fortsätter också att vara populära. Med denna teknik använder angriparna illa skyddade servrar på nätet och spoofade ip-adresser för att trigga servern att skicka paket mot ett offer istället för tillbaka till angriparna.

Detta gör att angriparna kan uppnå två mål: ur offrets synvinkel ser attacken ut att komma från en legitim server och inte från angriparens botar, och det ger också en förstärkning för att vissa protokoll kan utnyttjas för att generera större svarspaket från mindre frågepaket, vilket förstärker storleken eller frekvensen på de paket som angriparen triggar. Storleken på ddos-attackerna beräknas som trafikvolym per sekund, vilket överflödar bandbredden, och paket per sekund, vilket överflödar den attackerade serverns processorkraft.

Den mest populära attackvektorn sedan flera år är så kallad dns amplification, dns-förstärkning. Andra protokoll som ofta utntyttjas för detta syfte inkuderar ntp, cldap, ssdp, wds eller ws-dd, rdp över udp, och dtls.

De cyberkriminella är också ständigt på jakt efter nya attackvektorer som kan utnyttjas och som kan kringgå de skydd och strategier som finns idag. Akamai började se en ny vektor i mars som förlitar sig på Datagram Congestion Control Protocol, dccp, också känt som protokoll 33.

Detta är ett dataöverföringsprotokoll liknande udp, men med extra kontroller för trängsel och flödeskontroll som udp saknar. De attacker som Akamai sett hittills har varit typiska överflöden i syfte att runda skyddstekniker för udp och tcp. Protokollet kan tekniskt sett även använda reflektion och förstärkning, men det finns inte tillräckligt med servrar på internet som använder detta protokoll och som skulle kunna användas för att reflektera trafik.

Analytiker på Netscout sammanfattade i sin rapport att ”användbara öppen källkods- och kommersiella applikationer och tjänster baserade på udp fortsätter att vara en värdefull tillgång för angripare, som undersöker dem för att upptäcka nya vektorer för reflektion och/eller förstärkning i ddos-attacker, för att i sin tur använda dessa för att skapa nya vågor av attacker”.

Som exempel på detta finns implementationer av sddp i Plex Media Server och det udp-baserade protokollet för upptäckt i nätverk som används av Jenkins – en server för automatiserad utrullning av mjukvara. Enligt Netscout var andra vanliga ddos-vektorer förra året tcp ack, tcp syn, icmp, tcp reset, tcp ack/syn-förstärkning och dns-floods.

Botnät för ddos-attacker snärjer IoT-enheter

Den drivande tekniken bakom ddos-attacker är botnät av enheter och servrar som övertagits av cyberkriminella. Olika varianter av den skadliga koden Mirai som infekterat IoT-enheter har fortsatt att dominera i botnäten under 2020. Dessa enheter har ofta övertagits genom svaga eller fabriksinställda inloggningsuppgifter, och Netscout har observerat en 42-procentig ökning i lösenordsattacker mot telnet och ssh jämfört med 2019.

Även infekterade Androidmobiler används för att starta ddos-attacker. I februari rapporterade analytiker på Netlab om ett nytt botnät som går under namnet Matryosh, och som består av infekterade android-enheter som infekterats genom att gränssnittet ADB (Android Debug Bridge) exponerats mot internet. I en undersökning bland moln- och internetoperatörer från Netscout, framgår att nästan en fjärdedel av dessa ser ddos-attacker som startats från mobiler.