Opnieuw meer aanvallen op webapplicaties

Het aantal webap­pli­catie-aanvallen is in het derde kwartaal van 2017 met 69% toege­nomen ten opzichte van dezelfde periode vorig jaar. Verge­leken met het tweede kwartaal van 2017 was er sprake van een stijging van 30%. De meeste webap­pli­catie-aanvallen afkomstig uit Nederland, VS en Rusland.

Dit blijkt uit het Third Quarter, 2017 State of the Internet /​ Security Report van Akamai Tech­no­lo­gies. Nederland is na de VS en Rusland het derde land ter wereld is waar de meeste webap­pli­catie-aanvallen vandaan komen. Het aantal aanvallen afkomstig uit de Verenigde Staten steeg in een jaar tijd met maar liefst 217%. Ten opzichte van het voor­gaande kwartaal bedroeg deze stijging in het derde kwartaal van 2017 48%.

85% meer DDoS-aanvallen

Nader onderzoek van het Mirai botnet en de WireX malware-aanvallen door Akamai sugge­reert dat met name IoT- en Android devices gebruikt worden voor toekom­stige botnet-legers. Ook blijkt uit het rapport dat het aantal DDoS-aanvallen in het derde kwartaal is toege­nomen met 85% ten opzichte van het tweede kwartaal van 2017.

SQL injectie-aanvallen (SQLi) blijven populair en dragen bij aan de signi­fi­cante toename van webap­pli­catie-aanvallen. Het aantal SQLi-aanvallen steeg in het derde kwartaal van 2017 met 62% ten opzichte van het derde kwartaal van 2016 en met 19% ten opzichte van het voor­gaande kwartaal. Akamai noemt de stijging van webap­pli­catie-aanvallen en injectie-aanvallen zoals SQLi in het bijzonder geen verras­sing. De recent gepu­bli­ceerde OWASP Top 10 2017 bestem­pelde ‘injection’ al als belang­rijkste kwets­baar­heid. Het was de eerste grote update van de OWASP Top 10 sinds 2013, ook toen prijkte ‘injectie’ op de eerste plaats.

Grootste aanval had capaciteit van 109 Gbps

Alar­me­rend zijn de uitkom­sten van het nadere onderzoek naar het Mirai botnet en de ontdek­king van het ontstaan van WireX-malware. Hoewel kleiner van omvang dan zijn voor­gan­gers, was Mirai malware verant­woor­de­lijk voor de grootste aanval in het derde kwartaal. De snelheid van deze aanval lag op 109 Gbps. De voort­du­rende Mirai-acti­vi­teit, gekoppeld met de komst van WireX dat de controle over Android devices overneemt, laat het poten­tiële aanbod voor botnet-legers zien.

“De verlei­ding van eenvou­dige toegang tot slecht bevei­ligde eind­punten en de algemene beschik­baar­heid van broncodes, wekken de verwach­ting dat Mirai-geba­seerde aanvallen voorlopig aan blijven houden,” zegt Martin McKeay, senior security advocate en senior editor van het rapport. “Onze erva­ringen sugge­reren dat er iedere dag een nieuw leger van poten­tiële aanval­lers online komt. Gecom­bi­neerd met de popu­la­ri­teit van Android-software en de groei van Internet of Things, versterkt dit in grote mate de risk/​reward uitdaging van bedrijven.”

Andere resultaten

Andere belang­rijke uitkom­sten uit het rapport zijn:

• Het gebruik van Fast Flux DNS door botnets is onder­zocht en toont aan hoe aanval­lers snel veran­de­rende DNS-infor­matie gebruiken waardoor het lastiger wordt om botnets en malware te achter­halen en te stoppen.
• Het aantal DDoS-aanvallen nam in het derde kwartaal met 85% toe ten opzichte van het tweede kwartaal van 2017, het gemiddeld aantal aanvallen per doel steeg met 13% tot 36.
• Hoewel Duitsland het vorige kwartaal niet tot de top vijf van landen met de meeste bronnen van DDoS-aanvallen behoorde, kent dit land in het derde kwartaal het hoogste aantal IP-adressen dat betrokken is bij een aanval: 58.746 (22% van het totaal wereldwijd).
• Egypte, vorig kwartaal met 44.198 nog leider als het gaat om het aantal DDoS-aanvallen, valt in het derde kwartaal buiten de top vijf.
• Australië staat op een derde plek als het gaat om het aantal te verwerken webap­pli­catie-aanvallen (19.115.151), terwijl het land in het tweede kwartaal niet eens in de top tien stond.
• Met de feest­dagen in aantocht verwacht Akamai dat finan­ciële en emoti­o­nele aspecten een grote rol zullen gaan spelen in de aanvals­dy­na­miek in het vierde kwartaal. Crimi­nelen zullen gebruik­maken van het feit dat het laatste kwartaal van het jaar cruciaal is voor winke­liers, waardoor ze sneller geneigd zullen zijn om toe te geven aan afper­sings­prak­tijken dan op andere momenten in het jaar, bijvoor­beeld wanneer er gedreigd wordt met een aanval tijdens Black Friday of Cyber Monday.

‘Basiscode van Mirai wordt verder ontwikkeld’

“Zoals ook wordt opgemerkt in de Attack Spotlight, wordt de basiscode van Mirai nog steeds gebruikt en verder ontwik­keld,” zegt McKeay. “Bovendien worden aanval­lers door het gebruik van tech­nieken zoals Fast Flux DNS steeds beter in het verbergen van hun command and control-struc­turen. Het zal geen verras­sing zijn wanneer we tijdens de feest­dagen nieuwe aanvallen zien die IoT-devices en mobiele platforms als basis gebruiken.”