Het aantal webapplicatie-aanvallen is in het derde kwartaal van 2017 met 69% toegenomen ten opzichte van dezelfde periode vorig jaar. Vergeleken met het tweede kwartaal van 2017 was er sprake van een stijging van 30%. De meeste webapplicatie-aanvallen afkomstig uit Nederland, VS en Rusland.
Dit blijkt uit het Third Quarter, 2017 State of the Internet / Security Report van Akamai Technologies. Nederland is na de VS en Rusland het derde land ter wereld is waar de meeste webapplicatie-aanvallen vandaan komen. Het aantal aanvallen afkomstig uit de Verenigde Staten steeg in een jaar tijd met maar liefst 217%. Ten opzichte van het voorgaande kwartaal bedroeg deze stijging in het derde kwartaal van 2017 48%.
85% meer DDoS-aanvallen
Nader onderzoek van het Mirai botnet en de WireX malware-aanvallen door Akamai suggereert dat met name IoT- en Android devices gebruikt worden voor toekomstige botnet-legers. Ook blijkt uit het rapport dat het aantal DDoS-aanvallen in het derde kwartaal is toegenomen met 85% ten opzichte van het tweede kwartaal van 2017.
SQL injectie-aanvallen (SQLi) blijven populair en dragen bij aan de significante toename van webapplicatie-aanvallen. Het aantal SQLi-aanvallen steeg in het derde kwartaal van 2017 met 62% ten opzichte van het derde kwartaal van 2016 en met 19% ten opzichte van het voorgaande kwartaal. Akamai noemt de stijging van webapplicatie-aanvallen en injectie-aanvallen zoals SQLi in het bijzonder geen verrassing. De recent gepubliceerde OWASP Top 10 2017 bestempelde ‘injection’ al als belangrijkste kwetsbaarheid. Het was de eerste grote update van de OWASP Top 10 sinds 2013, ook toen prijkte ‘injectie’ op de eerste plaats.
Grootste aanval had capaciteit van 109 Gbps
Alarmerend zijn de uitkomsten van het nadere onderzoek naar het Mirai botnet en de ontdekking van het ontstaan van WireX-malware. Hoewel kleiner van omvang dan zijn voorgangers, was Mirai malware verantwoordelijk voor de grootste aanval in het derde kwartaal. De snelheid van deze aanval lag op 109 Gbps. De voortdurende Mirai-activiteit, gekoppeld met de komst van WireX dat de controle over Android devices overneemt, laat het potentiële aanbod voor botnet-legers zien.
“De verleiding van eenvoudige toegang tot slecht beveiligde eindpunten en de algemene beschikbaarheid van broncodes, wekken de verwachting dat Mirai-gebaseerde aanvallen voorlopig aan blijven houden,” zegt Martin McKeay, senior security advocate en senior editor van het rapport. “Onze ervaringen suggereren dat er iedere dag een nieuw leger van potentiële aanvallers online komt. Gecombineerd met de populariteit van Android-software en de groei van Internet of Things, versterkt dit in grote mate de risk/reward uitdaging van bedrijven.”
Andere resultaten
Andere belangrijke uitkomsten uit het rapport zijn:
- Het gebruik van Fast Flux DNS door botnets is onderzocht en toont aan hoe aanvallers snel veranderende DNS-informatie gebruiken waardoor het lastiger wordt om botnets en malware te achterhalen en te stoppen.
- Het aantal DDoS-aanvallen nam in het derde kwartaal met 85% toe ten opzichte van het tweede kwartaal van 2017, het gemiddeld aantal aanvallen per doel steeg met 13% tot 36.
- Hoewel Duitsland het vorige kwartaal niet tot de top vijf van landen met de meeste bronnen van DDoS-aanvallen behoorde, kent dit land in het derde kwartaal het hoogste aantal IP-adressen dat betrokken is bij een aanval: 58.746 (22% van het totaal wereldwijd).
- Egypte, vorig kwartaal met 44.198 nog leider als het gaat om het aantal DDoS-aanvallen, valt in het derde kwartaal buiten de top vijf.
- Australië staat op een derde plek als het gaat om het aantal te verwerken webapplicatie-aanvallen (19.115.151), terwijl het land in het tweede kwartaal niet eens in de top tien stond.
- Met de feestdagen in aantocht verwacht Akamai dat financiële en emotionele aspecten een grote rol zullen gaan spelen in de aanvalsdynamiek in het vierde kwartaal. Criminelen zullen gebruikmaken van het feit dat het laatste kwartaal van het jaar cruciaal is voor winkeliers, waardoor ze sneller geneigd zullen zijn om toe te geven aan afpersingspraktijken dan op andere momenten in het jaar, bijvoorbeeld wanneer er gedreigd wordt met een aanval tijdens Black Friday of Cyber Monday.
‘Basiscode van Mirai wordt verder ontwikkeld’
“Zoals ook wordt opgemerkt in de Attack Spotlight, wordt de basiscode van Mirai nog steeds gebruikt en verder ontwikkeld,” zegt McKeay. “Bovendien worden aanvallers door het gebruik van technieken zoals Fast Flux DNS steeds beter in het verbergen van hun command and control-structuren. Het zal geen verrassing zijn wanneer we tijdens de feestdagen nieuwe aanvallen zien die IoT-devices en mobiele platforms als basis gebruiken.”