2018-03-12 08:07:56

Q3 DDoS-Report: Bitcoin-Industrie im Fokus

Igal Zeifmann

Igal Zeifmann

Imperva stellt seinen DDoS-Report (Global DDoS Threat Landscape Report) für das 3. Quartal vor. Insgesamt wurden weltweit 5.765 DDoS-Angriffe auf der Netzwerk- und Anwendungsebene analysiert, die von den Imperva Incapsula-Diensten entschärft wurden. Viele Attacken zielten vor allem auf die Bitcoin-Industrie ab. Drei von vier abgewehrten Angriffen zielten auf solche Services.

Igal Zeifman, Senior Manager bei Imperva zuständig für Incapsula, sagt: „Warum werden vor allem Bitcoin Tauschbörsen angegriffen? Das ist ein klares Zeichen dafür, dass DDoS-Angreifer dem Geld folgen. Cyberkriminelle suchen sich vor allem neue erfolgreiche Branchen, in denen Unternehmen und Organisationen eher schwächer vor Cyberangriffen geschützt sind. Speziell bei den Angriffen auf Bitcoin könnte es sich um Manipulationsversuche gehandelt haben, um den Preis zu beeinflussen.“

Die wichtigsten Erkenntnisse aus der Studie:

  • Die Zahl der Netzwerkangriffe mit sehr hohen Paketübermittlungsraten – das heißt mehr als 50 Mpps – stieg im 3. Quartal 2017 erneut und erreichte fünf Prozent.
  • 144 Angriffe erreichten 100 Mpps, und die schwerwiegendste Attacke in diesem Quartal kam sogar auf einen Spitzenwert von 238 Mpps, verglichen mit 190 Mpps im Q2 2017. Im Q1 2017 hatten wir dagegen nur sechs DDoS-Angriffe entschärfen müssen, die die 100-Mpps-Marke sprengten.
  • Dagegen sank die Zahl der wiederholten Angriffe auf der Anwendungsebene im Quartalsvergleich von 75,8 Prozent auf 46,7 Prozent, was großenteils darauf zurückzuführen ist, dass wir einzelne DDoS-Ereignisse jetzt nach einer anderen Methode messen. Trotz dieser Änderungen kommt man im Q3 2017 jedoch bei fast 16 Prozent der Ziele immer noch auf sechs oder mehr Angriffe. 
  • Nachdem der Botnet-Traffic aus Indien und der Türkei bereits im Q2 2017 angestiegen war, legte er in diesem Quartal erneut zu. Der Traffic aus Indien stieg um mehr als das Doppelte, von 1,8 Prozent im vorigen Quartal auf 4,0 Prozent im Q3 2017. Und im Fall der Türkei war die Zunahme noch stärker: Im Lauf des Quartals erhöhten sich die Botnet-Aktivitäten gegenüber dem letzten Quartal um mehr als das Dreifache, von 2,1 Prozent auf 7,2 Prozent.
  • In Deutschland wurden 1,5 Prozent der verfolgten Geräte von Botnets aus anderen Ländern angegriffen (S. 18). Unter den Ländern, die am meisten Angriffe auf der Anwendungsebene erlitten, liegt Deutschland mit 3,9 Prozent auf Platz 6. Nach Anzahl der Ziele gerechnet, belegt Deutschland mit 3,1 Prozent angegriffenen Geräten sogar auf Platz 5 (S. 13). Unter den Ländern mit den meisten Angriffen auf der Netzwerkebene belegt Deutschland Platz 3 (12,8 Prozent der Angriffe) bzw. Platz 8 nach Anzahl der Ziele (3,2 Prozent) (S. 6).

Sicherheitsforscher wenden unterschiedliche Methoden an, um zu definieren, wann ein DDoS-Angriff stattgefunden hat. Bei manchen wird jeder Angriff einzeln gezählt, während bei anderen eine Reihe von Attacken als ein einziges Ereignis aufgefasst wird. Die Unterschiede bestehen somit hauptsächlich in der Frage, wann ein Angriff begonnen und wann er aufgehört hat.

In früheren Berichten haben wir eine Methodik angewandt, die auf das Jahr 2015 zurückgeht. Dabei wurde ein ruhiger (angriffsfreier) Zeitraum von mindestens zehn Minuten als Zeichen für das Ende einer Attacke gewertet. Im Lauf des vergangenen Jahres hatten wir jedoch immer mehr Fälle zu verzeichnen (z.B. Pulse-Wave-Attacken), bei denen die Täter DDoS-Bursts in sehr schneller Abfolge feuerten. Dies machte die bisherige Art der Messung einzelner Angriffe weniger zuverlässig: Bisweilen wurden auf diese Weise mehrere DDoS-Bursts, die in Abständen von nur wenig mehr als 10 Minuten erfolgten, als separate Angriffsereignisse gewertet.

Wir haben daraufhin unsere Methodik aktualisiert und die Ruhezeit von 10 auf 60 Minuten verlängert. So können wir aufeinanderfolgende Angriffe gegen dasselbe Ziel besser aggregieren, was die statistische Verzerrung im Hinblick auf wiederholte kurze Angriffe erheblich verringert. Die Änderung unserer Methodik gab uns zugleich Gelegenheit, auch unsere Stichprobenverfahren zu überarbeiten und damit den Umfang und die Qualität der Informationen zu optimieren, die wir bieten.

Das Ergebnis, das wir nach einer substantiellen Investition in Personal- und sonstige Ressourcen vorlegen können, ist ein Bericht, der nicht nur überschaubarer und leichter lesbar ist, sondern auch mehr als doppelt so detailliert wie die früheren. Die Zahl der Datenpunkte beträgt jetzt 19 statt der bisherigen 9.

mat

Druckversion

Zum Thema

  • 2018-04-17

    Kryptominer-Malware

    Check Point hat seinen H2 2017 Global Threat Intelligence Trends Report vorgestellt. Dabei fand das Unternehmen heraus, dass Cyberkriminelle zunehmend zu Kryptominern tendieren, um illegal Einnahmequellen zu generieren. Ransomware und „Malvertising“-Adware betreffen jedoch weiterhin Unternehmen auf der ganzen Welt.  mehr

  • 2018-02-12

    Bitcoin & Umweltfreundlichkeit

    Bitcoins werden durch die Lösung hochkomplexer Rechenaufgaben, und die dadurch bereitgestellte Rechenkapazität, erstellt. Dafür werden spezielle Computer mit teuren, extrem schnellen Prozessoren benötigt, welche eigens für diesen Zweck installiert wurden.  mehr

  • 2018-04-28

    Die dunkle Seite der Kryptowährung

    Das Schürfen von Kryptowährungen erlebt einen Boom an Beliebtheit – legal wie illegal. Man unterscheidet daher zwischen Cryptomining und Cryptojacking. Ganz schön kryptisch alles. Sophos bringt etwas Licht ins Dunkel und erklärt den Unterschied zwischen legalem und schadhaftem Schürfen von Kryptowährungen und zeigt auf, wie man merkt, dass illegale Goldgräber auf den eigenen Geräten schürfen und wie ein Schutz dagegen aussehen kann.  mehr

  • 2018-04-15

    Illegales Crypto Mining ist im Aufwind

    Der jüngste Boom von Kryptowährungen treibt stellenweise bemerkenswerte Blüten. Das jüngste Vorgehen der US-Publikation „Salon“ ist ein aktuelles Beispiel dafür. Salon hat angekündigt, dass Leser, die Ad-Blocker einsetzen, keinen Zugriff auf Inhalte erhalten, es sei denn, sie stimmen zu, Salon ihren Computer für das Crypto Mining von Monero zur Verfügung zu stellen. Allerdings sind nicht alle „Schürfer“ der digitalen Währungen so transparent in ihrem Vorgehen.  mehr

  • 2018-04-09

    Cryptocurrency Mining wächst im Bildungssektor besonders stark

    Den aktuellen Ergebnisse der 2018 RSA Conference Edition zufolge verzeichnet vor allem der Hochschulsektor derzeit einen erstaunlichen Anstieg potenziell schädlicher Vorgänge durch Cryptocurrency Mining.  mehr

  • 2018-03-01

    Warnung vor unautorisiertem Coin Mining

    Der Online-Handel wächst unbeirrt. Die Händlerbund-Studie zum Onlinegeschäft 2017 berichtet, dass sich die Umsätze bei 49% der befragten Händler im vergangenen Jahr (stark) gesteigert haben. Allerdings könnte diese positive Entwicklung eingetrübt werden, denn: Online-Käufer und -Händler müssen sie sich einer neuen Art von Cyberbedrohung bewusst sein. Unautorisiertes Coin-Mining kann das Online-Shopping-Erlebnis beeinträchtigen oder sogar komplett stoppen.  mehr

  • 2018-02-23

    Illegale Cryptomining-Malware unter der Lupe

    Ransoware ist brutal und zerstörerisch und steht aktuell im Rampenlicht. Doch im Schatten dieses aktuellen Malware-Stars hat sich still und leise eine andere Spezies einen Platz im Markt der Cyberkriminalität ergaunert: Cryptomining. Mit der virtuellen Geldschürferei werden sich Security-Sheriffs in 2018 zu beschäftigen haben.  mehr