In de eerste helft van 2024 heeft Cloudflare 8,5 miljoen DDoS-aanvallen tegengehouden: 4,5 miljoen in het eerste kwartaal en 4 miljoen in het tweede kwartaal. Over het geheel genomen daalde het aantal DDoS-aanvallen in het tweede kwartaal met 11% op kwartaalbasis, maar steeg het met 20% op jaarbasis. Ter vergelijking: In 2023 zijn er 14 miljoen DDoS-aanvallen afgeweerd, dus halverwege 2024 is al 60% van het aantal van vorig jaar tegengehouden.
Cloudflare heeft succesvol 57 petabytes aan DDoS-aanvalsverkeer op de netwerklaag weten te beperken, zodat het de servers van klanten niet kon bereiken. Om dit in perspectief te plaatsen: de volledige catalogus van Netflix, die naar schatting tussen de 100 en 360 terabytes groot is, past zo’n 162 keer binnen de 57 petabytes aan netwerkverkeer dat is tegengehouden.
Verder uitgesplitst bestonden de 4 miljoen DDoS-aanvallen uit 2,2 miljoen DDoS-aanvallen op de netwerklaag en 1,8 miljoen HTTP DDoS-aanvallen. Het aantal HTTP DDoS-aanvallen is genormaliseerd om de explosie aan geavanceerde en willekeurige HTTP DDoS-aanvallen te compenseren. Cloudflare’s geautomatiseerde mitigatiesystemen genereren realtime vingerafdrukken voor DDoS-aanvallen, en vanwege de willekeurige aard daarvan heeft men waargenomen dat er veel vingerafdrukken worden gegenereerd voor afzonderlijke aanvallen.
Het werkelijke aantal vingerafdrukken dat werd gegenereerd lag dicht bij de 19 miljoen, dus ruim tien keer groter dan het genormaliseerde aantal van 1,8 miljoen. De miljoenen vingerafdrukken die werden gegenereerd om met de randomisatie om te gaan, kwamen voort uit slechts enkele mitigatieregels. Deze regels deden hun werk om aanvallen te stoppen, maar ze dreven de cijfers op, dus zijn ze uitgesloten van de berekening.
Het tienvoudige verschil benadrukt de dramatische verandering in het cyberdreigingslandschap. De tools en capaciteiten die aanvallers in staat stelden zoveel geavanceerde gerandomiseerde aanvallen uit te voeren, werden voorheen geassocieerd met capaciteiten die voorbehouden waren aan actoren op staatsniveau, of door staten gesponsorde aanvallers. Door de opkomst van generatieve AI en automatische systemen die kwaadwillenden kunnen helpen sneller betere code te schrijven, hebben die mogelijkheden hun weg gevonden naar gewone cybercriminelen.
Ransom DDoS-aanvallen
In mei 2024 bereikte het percentage aangevallen Cloudflare-klanten dat rapporteerde te worden bedreigd door een DDoS-aanval, of onderworpen aan een ransom DDoS-aanval, 16%. Dat is het hoogste percentage in de afgelopen twaalf maanden. Het kwartaal begon relatief laag: 7% van de klanten rapporteerde een aanval voor losgeld. Dat steeg snel naar 16% in mei en daalde in juni lichtjes naar 14%. Over het geheel genomen zijn de DDoS-aanvallen met losgeld het afgelopen jaar kwartaal op kwartaal toegenomen. In het tweede kwartaal van 2024 bedroeg het percentage 12,3%, iets hoger dan het kwartaal ervoor (10,2%) maar vergelijkbaar met het percentage in 2023 (12,0%).
Aanvallers
75% van de respondenten meldde dat ze niet wisten wie hen aanviel of waarom. Deze respondenten zijn Cloudflare-klanten die het doelwit waren van HTTP DDoS-aanvallen. Van de respondenten die beweren dat ze het wisten, zei 59% dat ze door een concurrent zijn aangevallen. 21% zei dat de DDoS-aanval werd uitgevoerd door een ontevreden gebruiker of klant en 17% zei dat de aanvallen werden uitgevoerd door dreigingsactoren van staten, of door een staat gesponsord. De overige 3% gaf aan dat het een zelf toegebrachte DDoS-aanval was.
Meest aangevallen landen en regio’s
In het tweede kwartaal van 2024 was China het meest aangevallen land ter wereld. Cloudflare’s rangschikking houdt rekening met HTTP DDoS-aanvallen, DDoS-aanvallen op de netwerklaag, het totale volume en het percentage DDoS-aanvalsverkeer van het totale verkeer. Na China komt Turkije op de tweede plaats, gevolgd door Singapore, Hong Kong, Rusland, Brazilië en Thailand. De overige landen en regio’s die de top 15 van meest aangevallen landen vormen, staan in een grafiek op Cloudflare’s website.
Meest aangevallen marktsectoren
De IT-sector was in het tweede kwartaal van 2024 het meest aangevallen marktsegment. De methoden voor rangschikking die Cloudflare hiervoor gebruikt, volgen dezelfde principes als eerder beschreven om het totale volume en het relatieve aanvalsverkeer voor zowel HTTP- als netwerklaag-DDoS-aanvallen in één enkele rangschikking te destilleren. Op de tweede plaats werd de voedingsmiddelen- en drankensector het meest aangevallen, als derde de sector telecommunicatie, providers en carriers en als vierde bedrijven die actief zijn in de markt voor consumentengoederen.
Belangrijkste leerpunten
Het merendeel van de DDoS-aanvallen is klein en duurt maar kort. Maar zelfs deze aanvallen kunnen online diensten verstoren die niet de best practices voor DDoS-verdediging volgen. De kwaadwillenden gebruiken steeds verfijndere aanvalsmethoden, mogelijk als een gevolg van de beschikbaarheid van generatieve AI en copilots van ontwikkelaars. Dit resulteert in codes voor DDoS-aanvallen waartegen moeilijker te verdedigen is. Zelfs vóór de toenemende verfijning van aanvallen hadden veel organisaties al moeite om zich op eigen kracht tegen deze bedreigingen te verdedigen. Gelukkig is dat niet nodig, omdat Cloudflare er is om bedrijven te helpen en flink investeert in betere geautomatiseerde beveiliging tegen het toenemend aantal DDoS-aanvallen.
