DDoS-aanvallers brutaler: nu ook losgeld gevraagd

Door: Tjarko Kwee, Sales Director Internedservices

We worden als ondernemer tegenwoordig geconfronteerd met een scala aan online bedreigingen en de meesten van ons weten dat het landschap voortdurend verandert; nieuwe uitdagingen en technieken waar rekening mee moet worden gehouden en nieuwe problemen die moeten worden voorkomen of opgelost. Een van de snelst groeiende bedreigingen, met grote impact op de online bedrijfsvoering is de Distributed Denial of Service (DDoS) aanval.

DDoS-aanval? Een website of online dienst wordt overspoeld met grote hoeveelheden dataverkeer uit verschillende bronnen, waardoor de dienst onbereikbaar wordt of offline gaat. In een nieuwe poging geld te verdienen met deze malafide praktijken zetten criminelen een nieuw middel in: losgeld eisen of dreigen met een aanval.

DDoS attack ransom

Het slachtoffer worden van een DDoS-aanval is al erg genoeg, de financiële gevolgen van een niet-beschikbare dienst kunnen enorm zijn. De extra dimensie is dat criminelen in toenemende mate losgeld eisen van hun doelwit: als u niet betaalt, zullen ze uw website aanvallen en offline houden totdat u betaalt.

DDoS-aanval uitgelegd

Dat het aantal DDoS-aanvallen blijft stijgen is goed verklaarbaar. Het vereist over het algemeen weinig vaardigheden, enkel een grote hoeveelheid verkeer dat vaak door botnets of geïnfecteerde pc’s wordt gegenereerd; tegenwoordig worden hiervoor ook slecht-beveiligde internet routers gehackt en misbruikt. Deze botnets, pc’s en routers sturen tegelijk een bepaald type verkeer dat tijd en computerkracht vereist om te verwerken.

Er bestaan verschillende technieken. Bij de meestvoorkomende techniek wordt één bepaald type dataverkeer verzonden, waarmee een verbinding wordt geïnitieerd maar vervolgens nooit afgemaakt. Al deze verzoeken moeten worden geregistreerd door de ontvanger en de verbinding wordt opengehouden in afwachting van afhandeling van het verzoek. Omdat het laatste datapakket nooit wordt verzonden, lopen de beschikbare verbindingen vol waardoor legitiem verkeer geen verbinding meer kan maken. Een geavanceerder type aanval wordt een Amplification attack genoemd. Het versturen van een klein datapakket naar een DNS-server zorgt voor het veroorzaken van een respons die vele malen groter is, tot een factor 50. Met relatief weinig verkeer kan zo een omgeving omver worden geworpen.

Nieuwe fase: betalen of DDoS ontvangen

Mede omdat het uitvoeren van een DDoS-aanval steeds eenvoudiger wordt, ontstaan criminele organisaties die als voornaamste doel hebben om geld te verdienen met deze vorm van online terreur. Hoe gaat zoiets in zijn werk?

Een kwaadwillende groep voert doorgaans een aanval uit op een website of dienst als test en voert de hoeveelheid verkeer op om na te gaan of te zien of deze kwetsbaar is. Wanneer duidelijk is dat dit inderdaad het geval is en de website of dienst offline gehaald kan worden, zal een eis voor geld worden gestuurd. Om de ernst van de situatie duidelijk te maken wordt gekozen voor een tijdstip waarop sowieso al veel verkeer is.

De eisen worden vaak via e-mail verstuurd; er schuilt direct een gevaar dat dit bericht niet gelezen wordt omdat de mail als spam wordt gemarkeerd of simpelweg in slecht Engels geschreven is. Recente voorbeelden laten zien dat losgeld in de vorm van Bitcoins moet worden voldaan. Op deze manier is de ontvanger van het geld niet te traceren.

Ik word bedreigd met een DDoS-aanval, wat te doen?

Ook wij krijgen steeds vaker berichten van klanten doorgestuurd waarin om losgeld wordt gevraagd en gedreigd wordt met een DDoS-aanval. Het kan plausibel klinken om op een gegeven moment te betalen. Als het betalen van losgeld voordeliger is dan het verlies dat u heeft met het niet kunnen aanbieden van uw dienst, lijkt een overweging op zijn plaats.

Ik raad onze klanten aan: betaal ze niet. Het probleem is namelijk dat het betalen van één groep, anderen niet tegenhoudt om hetzelfde te doen. Ook komen aanvallers op een later moment terug om nogmaals dezelfde truc uit te halen. Als eenmaal bekend is dat u vatbaar bent voor betaling, is het hek van de dam en kunt u de digitale portemonnee blijven trekken.

Wat dan? Voorkomen is beter dan genezen, of in dit geval: beveiligen is beter dan de aanvallers betalen. Er zijn zogeheten DDoS-mitigation oplossingen beschikbaar. Deze filteren schadelijk verkeer van legitiem verkeer, zodat uw gebruikers geen last hebben van een aanval.

Samenwerken met een provider die de ervaring en capaciteiten heeft om DDoS-aanvallen te identificeren en tegen te houden is belangrijk. Neem contact op wanneer u een e-mail ontvangt waarin gedreigd wordt en losgeld geëist wordt. Afwachten en hopen dat er niets gebeurt is onverstandig. De gevolgen van een niet-beschikbare dienst kunnen groot zijn; waarschijnlijk heeft u hier al een kostenanalyse van gemaakt en anders helpen we u daar graag bij.