Kuartal ketiga melihat volume serangan distributed denial-of-service (DDoS) melonjak menjadi beberapa ribu hit per hari, menandakan redistribusi taktik oleh aktor jahat menjauh dari cryptomining dan menuju penggunaan DDoS sebagai alat intimidasi , disinformasi, dan pemerasan langsung.
Laporan DDoS terbaru untuk Q3 dari Kaspersky merinci hiruk-pikuk aktivitas terbaru oleh aktor ancaman.
“Juli dimulai dengan relatif tenang, tetapi menjelang pertengahan bulan, jumlah harian rata-rata DDoS serangan melebihi 1.000, dengan 8.825 kekalahan pada 18 Agustus,” kata laporan itu. “Selama dua hari lagi, 21 dan 22 Agustus, hitungan harian lima ribu terlampaui dan lebih dari tiga ribu serangan terdeteksi pada 2 dan 6 Agustus, 16, 18, 19 dan 22 September.”
Dan sementara volume serangan DDoS melonjak , durasinya menurun, para peneliti menemukan.
Ini mungkin karena penurunan jumlah serangan yang berlangsung selama 50 jam atau lebih dan peningkatan serangan yang relatif singkat, tambah laporan itu.
Middlebox dan Port Tidak Tersedia
Kuartal ketiga juga mengantarkan dua vektor serangan DDoS baru, para analis menemukan.
Selama Q3, tim dari University of Maryland dan University of Colorado di Boulder menemukan cara untuk mengeksploitasi protokol TCP untuk menyerang perangkat keamanan seperti firewall, alat inspeksi paket dalam (DPI) dan alamat jaringan penerjemah (NAT); sering disebut "kotak tengah" karena posisinya antara klien dan server.
"Jika permintaan akses ke sumber daya yang dilarang dikirim dengan kedok korban, respons dari kotak tengah bisa jauh lebih besar," kata laporan Kaspersky. . “Dengan demikian, para peneliti menemukan lebih dari 386.000 perangkat memberikan faktor amplifikasi lebih dari 100, dengan lebih dari 97.000 di antaranya lebih dari 500, dan 192 di antaranya lebih dari 51.000.”
Serangan baru lain yang pertama kali diidentifikasi oleh Nexusguard bernama Black Storm membombardir penyedia layanan komunikasi (CSP) jaringan dengan permintaan untuk mengakses port tertutup.
“Memproses pesan ini menghabiskan banyak sumber daya, yang membebani perangkat korban dan mencegah mereka menerima permintaan yang sah,” kata laporan Kaspersky. “Para peneliti mencatat bahwa metode ini memungkinkan penyerang untuk menjatuhkan tidak hanya server individu, tetapi seluruh jaringan penyedia, termasuk yang besar.”
Mēris Botnet
Pertama kali ditemukan oleh Yandex dan Qrator Labs, Mēris mampu mengirim sejumlah besar permintaan per kedua, dan mengklaim korban termasuk situs media cybersecurity Krebs on Security and Infosecurity, ditambah bank Selandia Baru, layanan pos dan layanan cuaca MetService negara tersebut.
Peristiwa DDoS penting lainnya selama kuartal tersebut termasuk serangan terhadap penyedia VoIP di Inggris, Kanada, dan AS ; serangan ransomware di Bitcoin.org; penargetan surat kabar Rusia Vedomosti; penutupan server game di Eropa untuk Final Fantasy XIVl; dan banyak lagi.
Lebih dari 40 persen serangan DDoS selama kuartal ketiga menargetkan operasi di AS, diikuti oleh Hong Kong (15 persen) dan China (7,74 persen), menurut laporan tersebut.
Stefano De Blasi mengatakan kepada Threatpost bahwa peneliti dari Digital Shadows telah melihat peningkatan dalam aktor ancaman yang menggabungkan serangan DDoS dengan tuntutan pemerasan selama dua tahun terakhir, yang bisa menjadi pertanda lebih banyak lagi yang akan datang, kata De Blasi.
“Motivasi yang berbeda dapat berada di balik serangan DDoS,” kata De Blasi kepada Threatpost. “Penjahat dunia maya biasanya melakukan operasi DDoS untuk mengganggu sementara infrastruktur target atau bertindak sebagai umpan untuk aktivitas yang lebih berbahaya, tetapi perusahaan yang terkena serangan DDoS intensitas tinggi dapat mengalami gangguan bisnis dalam waktu lama, yang pada gilirannya dapat menyebabkan kerugian finansial, merek atau kerusakan reputasi, dan memengaruhi kepercayaan pelanggan.”
DDoS vs. Alokasi Daya Komputasi Cryptomining
Tim Kaspersky menjelaskan dalam laporan bahwa ekosistem daya komputasi botnet ditarik antara penambangan cryptocurrency dan memberi daya pada botnet DDoS. Secara berlawanan, kuartal ini melihat pertumbuhan serangan DDoS bahkan ketika harga cryptocurrency masih tinggi.
“Sekarang, dilihat dari pasar DDoS yang berkembang dengan latar belakang harga cryptocurrency yang tinggi secara konsisten, penyerang telah mulai mengalokasikan sumber daya mereka secara berbeda,” kata laporan itu. “Dan ini cukup logis: layanan DDoS sangat diminati, dan kekurangan pasokan yang berkepanjangan kemungkinan telah menyebabkan kenaikan harga di pasar ini, sehingga menguntungkan bagi operator botnet untuk melanjutkan serangan. Dengan demikian, pasar DDoS tampaknya akan kembali ke tingkat pertumbuhan yang kita lihat pada akhir 2019.”
Dengan prediksi yang menunjukkan lebih banyak serangan DDoS, terserah organisasi untuk memasang pertahanan dan melindungi perangkat internet of things (IoT) yang terhubung ke jaringan publik agar tidak dibajak dan diubah menjadi botnet, Ben Pick, seorang konsultan dan nVisum mengatakan kepada Threatpost.
“Organisasi dapat melindungi diri mereka sendiri dengan menerapkan alat perantara pada batas jaringan, kata Pick. “Sebagian besar layanan cloud menyertakan alat keamanan untuk mengurangi atau langsung mencegah serangan DDoS. Memanfaatkan alat tertentu adalah alat perlindungan yang lebih baik daripada memutar sumber daya untuk mengakomodasi bandwidth jaringan tambahan, karena hal itu dapat menyebabkan dampak besar pada biaya infrastruktur secara keseluruhan.”
Cybersecurity untuk lingkungan multi-cloud terkenal menantang. OSquery dan CloudQuery adalah jawaban yang solid. Bergabunglah dengan Uptycs dan Threatpost pada Selasa, 16 November pukul 2 siang. ET untuk “Pengantar OSquery dan CloudQuery”, percakapan interaktif LIVE dengan Eric Kaiser, teknisi keamanan senior Uptycs, tentang bagaimana alat sumber terbuka ini dapat membantu menjinakkan keamanan di seluruh kampus organisasi Anda.
Daftar SEKARANG untuk acara LIVE dan kirim pertanyaan sebelumnya ke Becky Bracken dari Threatpost di becky.bracken@threatpost.com.
Tulis komentar
Bagikan artikel ini:
