Vor einigen Tagen hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausdrücklich vor DDoS-Entwicklungen rund um die Rabattschlacht am “Black Friday” und “Cyber Monday” gewarnt (Warnstufe 2/gelb).
Das BSI im Wortlaut:
“Der Jahreszeit entsprechend, beobachtet das BSI auch dieses Jahr einen Anstieg der Aktivitäten im DDoS-Bereich vor denanstehenden umsatzstarken Onlineaktivitäten im E-Commerce-Bereich (Black Friday, Cyber Monday,Vorweihnachtsgeschäft, Weihnachtsgeschäft). Hierbei wurden in zwei Bereichen herausragende Entwicklungen beobachtet:
1. Entwicklung von DDoS-Angriffsinfrastrukturen: Bereits Ende August / Anfang September 2021 kamen DDoS-Angriffsinfrastrukturen zum Einsatz, mit denen seit mehrerenMonaten bestehende Rekordwerte von DDoS-Parametern übertroffen wurden. (…)
2. Entwicklung von DDoS-Schutzgelderpressungen: Die Anzahl der Vorfälle im Zusammenhang mit DDoS-Schutzgelderpressung erfahren weiterhin einen stetigen Zuwachs. SeitOktober 2019 stehen sie verstärkt in der öffentlichen Wahrnehmung, als Erpressergruppen begannen, im Namen von bekannten APT-Gruppierungen DDoS-Angriffe mit Lösegeldforderungen auszuführen. Im Laufe der Zeit verlagerten sich die Aktivitäten derAngreifer auf unterschiedliche Branchen. Aktuelle Kampagnen richten sich vornehmlich gegen Telekommunikationsanbieter / VoIP-Provider und E-Mail-Provider im nationalen und internationalen Raum. (…)
Bewertung
(…) Es kann davon ausgegangen werden, dass die aktuell entwickelten DDoS-Angriffsinfrastrukturen sowohl im nationalen als auch iminternationalen Umfeld bei den genannten umsatzstarken Onlineaktivitäten im E-Commerce-Bereich so oder in ähnlicher Form zumEinsatz kommen werden.
Im Vorfeld von Black Friday und Cyber Monday sowie des Vorweihnachtsgeschäfts könnten die neuen Varianten des XorDDoS-Botnetzden Angreifern insbesondere dazu dienen, das Botnetz weiter zu vergrößern, d.h. mehr Systeme zu infizieren und damit mehrRessourcen für DDoS-Angriffe verfügbar zu machen. In diesem Jahr wird besonders bei den DDoS-Schutzgelderpressungen ein signifikanter Zuwachs erwartet.”
Dazu Kommentare von George Papamargaritis, MSS Director bei Obrela Security Industries, und Sebastian Schulz, Product Manager, GlobalSign:
George Papamargaritis, MSS Director, Obrela Security Industries:
“Der kommerzielle Erfolg eines Online-Händlers beruht auf digitalen Plattformen, deren Inhalte über unterschiedliche Kanäle (Web, mobile Endgeräte) verbreitet werden und Kunden Zugang zu einem E-Shop mit personalisierten Inhalten wie Kaufhistorie, Angeboten und Empfehlungslisten bereitstellen.
Kunden können sich zusätzlich über soziale Medien, E-Mail oder die Registrierung eines neuen Kontos auf dem Portal identifizieren. Dabei werden E-Commerce-Dienste häufig über eine dynamisch skalierte Microservices-Architektur in der Cloud optimiert. Angesichts von DDoS- oder speziellen Bot- oder Ransomware-Angriffen sollten Inhalte eines E-Shops nur mit WAF-, DDoS-Schutz- und Threat-Intelligence-Services an den Endkunden gelangen.
Denn der Online-gestützte Einzelhandel sowie der gesamte E-Commerce werden gerade in der Hauptsaison, wie etwa die bevorstehenden Black Friday, Cyber Monday und die laufende Grey Week, zum Ziel von DDoS-Angriffen und anderen sich stetig wandelnden Angriffsvektoren. Grund genug, Marke, Services und Kunden umfassend zu schützen.
Zu den häufigsten Angriffsvarianten gehören sogenannte “Carting”-Bots, die zwar Produkte in den Warenkorb legen, aber keine Einkäufe tätigen, und Angriffe, die es gezielt auf Anmeldeinformationen abgesehen haben. Mit denen lassen sich anschließend Kundenkonten mittels verschiedener automatisierter Techniken kompromittieren (Credential Stuffing, Phishing-E-Mails, DNS-Poisoning usw.) und unterschiedliche Attacken lancieren sowie Malware einschleusen (Denial-of-Service, Ransomware, Cloud-Malware, Code-Injektion sowie Side-Channel-Angriffe).
Einzelhändler sollten also tunlichst in die Überprüfung und Kontrolle der Sicherheit rund um ihre E-Commerce-Infrastruktur investieren. Wer die Identity Services überwacht, über die Authentifizierungsdienste für Endkunden bereitgestellt werden, der kann schon bei verdächtigen Anzeichen Frühwarnungen an seine Kunden ausgeben. Die wiederum können dann bereits vor einem Vorfall aktiv werden (z. B. einem erhöhten Datenverkehrsaufkommen beim Registrierungsdienst für neue Benutzer oder WAF-Indikatoren am Front-End) oder einen Angriffsversuch mit entsprechenden Maßnahmen stoppen (dazu zählen exzessive Brut-Force-Angriffe oder Konten, die bereits einer erfolgreichen Brute-Force-Attacke zum Opfer gefallen sind).
Zusätzlich sollten E-Retailer in eine Bedrohungserkennung investieren, die auf die Überwachung von E-Commerce-Anwendungen spezialisiert ist. Dazu zählen Visualisierungstechniken, die Echtzeittrends bei den Aktivitäten auf geschäftskritischen E-Commerce-APIs ermitteln. Sie dienen als Grundlage für die Überwachung der gesammelten Datenpunkte, wenn diese einen bestimmten Schwellenwert über- oder unterschreiten, und unterstützen betriebliche Teams, Bedrohungen sehr schnell zu analysieren oder zu prognostizieren.“
www.obrela.de
Sebastian Schulz, Product Manager GlobalSign:
“Die umsatzstärkste Zeit des Jahres ist auch für Cyberkriminelle einer der Saisonhöhepunkte. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt deswegen zu Recht deutlich vor einem verstärkten Aufkommen von DDoS-Angriffen, liefert aber gleichzeitig auch empfohlene Massnahmen um diesen vorzubeugen. Was oftmals vergessen wird ist, dass das tückische an DDoS-Angriffen sich nicht nur die auf die Möglichkeit zum “Denial Of Service” (Ausfall der Infrastruktur, meistens durch Überlastung) beschränkt.
Oftmals handelt es sich um “Distributed Denial of Service”-Angriffe. Diese nutzen ein Botnet, bestehend aus einer grossen Anzahl von mit Malware infizierten Geräten, um den DoS-Angriff durchzuführen. Das bedeutet also, dass es nicht reicht, sich vor den typischen DoS-Angriffen selbst zu schützen. Stattdessen sollte man auch die eigene Infrastruktur in Schuss halten. Denn wenn Geräte als Teil eines Botnet agieren, können sie nicht mehr die vorgesehene Leistung garantieren. So ist zum Besipiel weniger Bandbreite verfügbar. Im Extremfall können die Behörden sogar eine Stilllegung der betroffenen Geräte erzwingen, zum Beispiel um Angriffe auf kritische Infrastrukturen abzuwenden oder abzuschwächen.
Die Schwachstellen, die es Angreifern erlauben Geräte zum Teil eines Botnets zu machen, sind zum Teil sehr gerätespezifisch. Aber sie basieren oft auf einer unzureichenden Authentifizierung für Zugriffsprotokolle so wie zum Beispiel SSH (das BSI warnt hier speziell vor dem XorDDoS-Botnet, das sich aus mit einem Linux-Trojaner infizierten Docker-Servern zusammensetzt).
Da aufgrund der COVID-19 Pandemie viele Systeme auf Fernzugriff umgestellt worden sind, ist die von Botnets ausgehende Gefährdung sicherlich grösser als je zuvor. Es sollte also drauf geachtet werden, dass jeglicher Zugriff auf Geräte mit starken Passwörtern und wo immer möglich auch mit 2-Faktorauthentifizierung abgesichert wird. Hierbei ist zertifikats- oder rein schüsselbasierte Authentifizierung eine von mehreren Optionen einen zweiten Faktor zur Authentifizierung einzuführen, und sie wird vom BSI so zum Beispiel für SSH empfohlen.”
www.globalsign.com