DDoS-attackerna ökar – nya måltavlor och metoder används

Ransomware har under en längre tid dominerat rapporteringen kring cybersäkerhet. Men det innebär inte att så kallade DDoS-attacker (distributed denial of service) har försvunnit. Däremot har metoderna förändrats och attackerna riktas nu ofta mot företag inom exempelvis VoIP (Voice over IP) och verksamheter inom sjuk- och hälsovården.

Tidigare har de flesta DDoS-attacker handlat om att skada det angripna företaget eller organisationen genom att göra en eller flera webbsidor omöjliga att nå. Nu är det i stället vanligt att angriparen kräver lösen för att avbryta attacken. Ett annat vanligt grepp är att använda DDoS-attacker som en ren distraktion där IT-avdelningarna hålls sysselsatta samtidigt som angriparna skrider till verket med ransomware (gisslanprogram) eller försöker stjäla data.

– Med tanke på rapporteringen från media, myndigheter och säkerhetsbranschen själv kan det i en del fall bli så att företag fokuserar på en typ av cyberhot i taget. Verkligheten är tyvärr mer komplex än så. Företagen måste arbeta med många parallella hot. Det går aldrig att slå sig till ro och gamla angreppssätt kan lätt komma tillbaka i en delvis ny kostym, kommenterar Peter Gustafsson, ansvarig för Barracuda Networks i Norden.

Ny typ av attack kräver inte ett stort botnät
Några av de företag som på senare tid drabbats av DDoS-attacker är Bandwidth, VoIP.ms, Voip Unlimited och Voipfone. Så kallade ”Black Storm-attacker” är särskilt farliga för tjänsteleverantörer inom kommunikation. Den typen av attacker kräver inte att angriparen använder ett stort botnät och blir därför relativt enkla att genomföra. Vid en ”Black Storm-attack” skickar angriparen begäran om User Datagram Protocol (UDP) till många enheter och servrar i ett nätverk. Begäran är ”spoofed”, det vill säga förklädd, i det här fallet till att se ut som den kommer från andra enheter i samma nätverk.

Angreppssättet utlöser sedan en slags snöbollseffekt som snabbt kan slå ut en tjänsteleverantör (communications service provider, CSP) med en storm av intern datatrafik. Även om metoden hittills bara beskrivits i tester bör företag vara beredda på att angripare kan slå till också på riktigt.

När pandemin slog till och fler började arbeta hemifrån blev också hälso- och sjukvården en måltavla. Kombinationen av olika online-tjänster för att boka och svara på tester och den utbredda användningen av otillräckligt skyddade IoT-enheter har bidragit till att ett stort antal verksamheter inom hälso- och sjukvården drabbats av DDoS-attacker.

Enheter som inte uppdateras blir verktyg för cyberkriminella
Det nyligen upptäckta botnätet ”Meris” som omfattar cirka 250 000 angripna enheter har också blivit ett verktyg för DDoS-attacker. Flertalet av dessa enheter är inte datorer utan routrar, switchar, åtkomstpunkter för Wi-Fi och andra enheter sålda av en och samma lettiska företag, MicroTik. Visserligen upptäckte och åtgärdade MicroTik den aktuella sårbarheten redan år 2018 men på grund av enheternas beskaffenhet är användarna sällan i kontakt med MicroTik och flertalet har heller inte gjort de nödvändiga uppdateringarna. Detta har i sin tur gjort att MicroTiks enheter blivit ett verktyg i händerna på cyberkriminella.

– Även om DDoS-attackerna påminner oss om hur komplicerad vardagen blivit för IT-säkerhetsansvariga finns det goda möjligheter att stoppa den här typen av angrepp i tid. Företag som arbetar med en modern infrastruktur inom applikations- och nätverkssäkerhet i kombination med ett aktivt skydd mot DDoS-angrepp har mycket goda möjligheter att hantera attacker av det här slaget, avslutar Barracudas Peter Gustafsson.

Om du bevakar IT-säkerhetsfrågor och vill prata mer om DDoS-angrepp är du välkommen att kontakta Peter Gustafsson, Barracuda Networks, telefon: 0709-17 80 14, e-post: pgustafsson@barracuda.com