In den letzten 24 Stunden wurden von Cloudflare HTTP-DDoS-Angriffe auf Websites von Universitäten in Australien registriert. Dabei handelte es sich aber nur um die ersten Ziele, die öffentlich in das Visier des prorussischen Hackerkollektivs Killnet und der mit diesem in Verbindung stehenden Gruppe AnonymousSudan geraten sind, wie ein aktueller Beitrag bei Telegram verriet. Die Kriminellen riefen zu weiteren Angriffen auf die Websites von acht Universitäten, zehn Flughäfen und acht Krankenhäusern in Australien ab dem 28. März auf.
Killnet ist ein lose Gruppe aus einzelnen Hackern, die Telegram zur Zusammenarbeit nutzen. Über ihre Telegram-Kanäle können Sympathisanten Russlands ihre Expertise bereitstellen und sich an Cyberangriffen auf Ziele beteiligen, die für den Westen von Bedeutung sind.
Cloudflare berichtet nicht zum ersten Mal über Aktivitäten von Killnet: Am 2. Februar 2023 haben wir in einem Blog-Beitrag festgestellt, dass eine Gruppe prorussischer Hacktivisten, die von sich behauptet, zu Killnet zu gehören, mehrere Unternehmen aus dem US-Gesundheitswesen ins Visier genommen hat. Im Oktober 2022 hatte Killnet zu Attacken auf Websites von Flughäfen in den Vereinigten Staaten aufgerufen und einen Monat darauf das US-Finanzministerium angegriffen.
Wie schon bei früheren Angriffe dieser Gruppe festzustellen war, scheinen auch die jüngsten Attacken nicht von einem einzelnen Botnetz auszugehen. Außerdem variieren offenbar die Methoden und Ursprünge der Attacken. Das legt nahe, dass diverse Akteure mit unterschiedlich hoher Kompetenz daran beteiligt sind.
Distributed Denial of Service (DDoS)-Angriffe sind oft in den Schlagzeilen, weil damit kritische Dienste gestört werden können. Cloudflare hat unlängst die Abwehr des größten bislang verzeichneten Angriffs bekannt gegeben, der bei 71 Mio. Anfragen pro Sekunde seinen Höhepunkt erreicht und damit den vorherigen Rekord, der bei einer Attacke im Juni 2022 aufgestellt worden war, um 54 % übertroffen hat.
DDoS-Attacken haben das Ziel, Netzwerke durch riesige Mengen an bösartigem Traffic außer Gefecht zu setzen. Wenn sie richtig ausgeführt werden, können sie dafür sorgen, dass ein Dienst nicht mehr richtig funktioniert oder das Netzwerk über das Internet nicht mehr erreichbar ist. Der Umfang, die Raffinesse und die Frequenz von Angriffen hat in den letzten Monaten zugenommen.
Was sind Killnet und AnonymousSudan?
Killnet ist keine herkömmliche Hackergruppe: Sie verfügt weder über Mitglieder im klassischen Sinn noch über Tools oder Infrastruktur. Außerdem verfolgt sie keine finanziellen Zwecke. Vielmehr bietet Killnet sogenannten Hacktivisten, die mit der Sache Russlands sympathisieren, die Möglichkeit, durch die Teilnahme an Angriffen auf für den Westen bedeutsame Ziele ihre Expertise einzubringen. Die Zusammenarbeit wird dabei ausschließlich über Telegram organisiert, wo jeder teilnehmen kann.
Killnet wurde kurz nach (und wahrscheinlich als Reaktion auf) der IT-Armee der Ukraine gegründet und ahmt deren Taktiken nach. An den meisten Tagen geben die Administratoren des Telegram-Kanals von Killnet ein bestimmtes Ziel bekannt, das Gegenstand eines Angriffs werden soll, und fordern Freiwillige dazu auf, sich der Kampagne anzuschließen. Die Beteiligten tauschen untereinander verschiedene Werkzeuge und Verfahren für erfolgreiche Attacken aus. Häufig werden weniger erfahrene Akteure bei der Durchführung von Cyberangriffen von erfahreneren angeleitet.
Eine andere unkonventionelle Hackergruppe ist AnonymousSudan. Sie ähnelt Killnet und besteht offenbar aus sudanesischen Hacktivisten. Die beiden Gruppen haben vor Kurzem begonnen, für Angriffe auf westliche Ziele zusammenzuarbeiten.
Was die Größe und den Umfang der ins Visier genommenen Unternehmen und Organisationen angeht, werden die Angreifer allgemein wagemutiger. Für Firmen, insbesondere solchen mit begrenzten Ressourcen für die Cyberabwehr, bedeutet dies ein erhöhte Bedrohung anfälliger Netzwerke.
Unternehmen gleich welcher Größe müssen sich auf die Möglichkeit vorbereiten, dass ihre Netzwerke einem größeren DDoS-Angriff ausgesetzt sind. Die Erkennung und Abwehr solcher Attacken sollte soweit wie möglich automatisiert werden, denn wenn man dafür ausschließlich auf Echtzeit-Maßnahmen von Menschen setzt, sitzen die Angreifer am längeren Hebel.
Wie kann ich mein Unternehmen vor DDoS-Attacken schützen?
Cloudflare-Kunden sind vor DDoS-Angriffen geschützt, denn diese Attacken werden von unseren Systemen automatisch erkannt und neutralisiert. Unsere Mitarbeitenden beobachten die Situation kontinuierlich und leiten bei Bedarf erforderliche Gegenmaßnahmen ein.
Als zusätzliche Vorsichtsvorkehrung sollten Kunden aus dem Bildungswesen, der Reisebranche und dem Gesundheitssektor die folgenden Ratschläge befolgen.
- Vergewissern Sie sich, das für alle anderen verwalteten Regeln zur Abwehr von DDoS-Angriffen die Voreinstellungen ausgewählt wurden (hohe Sensibilität und robuste Abwehrmaßnahmen).
- Enterprise-Kunden mit erweiterter DDoS-Abwehr sollten die Aktivierung des lernfähigen DDoS-Schutzes in Betracht ziehen.
- Wenden Sie Firewall-Regeln und Regeln zur Durchsatzbegrenzung an, damit eine Kombination aus positivem und negativem Sicherheitsmodell durchgesetzt wird. Sie sollten zudem das für Ihre Website zugelassene Traffic-Volumen auf Grundlage Ihrer eigenen Nutzung begrenzen.
- Aktivieren Sie den Bot Fight-Modus oder den Ihnen zur Verfügung stehenden entsprechenden Abwehrmechanismus (SBFM, Enterprise-Bot-Management).
- Achten Sie darauf, dass Ihr Ursprungsserver nicht dem öffentlichen Internet ausgesetzt ist – aktivieren Sie also nur den Zugang zu den IP-Adressen von Cloudflare.
- Aktivieren Sie die Zwischenspeicherung so oft wie möglich, um Ihre Ursprungsserver zu entlasten. Wenn Sie Workers verwenden, sollten Sie es vermeiden, Ihren Ursprungsserver mit mehr Unteranfragen als nötig zu beanspruchen.
- Aktivieren Sie DDoS-Angriffs-Benachrichtigungen.
Inzwischen ist es ein Kinderspiel, DDoS-Angriffe zu starten. Deshalb wollen wir dafür sorgen, dass diejenigen, die für den Schutz von Unternehmen gleich welcher Größe verantwortlich sind, diese noch leichter gegen DDoS-Angriffe aller Art abschirmen können – und das kostenlos. Seit 2017 bieten wir allen unseren Kunden uneingeschränkten Gratis-Schutz vor DDoS-Angriffen ohne Volumenbegrenzung. Cloudflare hat das Ziel, ein besseres Internet zu schaffen: eines, das für alle sicherer ist und nicht nur schneller, sondern auch zuverlässiger funktioniert – selbst im Kontext von DDoS-Angriffen.
Wenn Sie gern mehr über wichtige Trends bei DDoS-Attacken erfahren möchten, laden Sie sich den aktuellen, vierteljährlich erscheinenden Cloudflare-Bericht zur DDoS-Bedrohungslandschaft herunter.