Tema: det ryska cyberhotet, Sverige och Nato - Del 3 - Överbelastningsattacker

Henrik Petterson 2 juni, 2022

Introduktion

Sänker system genom massiv dataöverföring

Överbelastningsattacker, på engelska DoS (Denial of Service) eller DDoS (Distributed Denial of Service), är en attackmetod som används primärt för att göra ett system oåtkomligt. En överbelastningsattack sker genom att en angripare antingen skickar ett högt antal förfrågningar eller en stor mängd data över internet till ett mål som vanligtvis är någon typ av server eller system. Målet blir överbelastat och kraschar eller förhindrar vanliga, helt genuina förfrågningar från att genomföras.

Det här är tredje delen i temat ”Det ryska cyberhotet”.

Del 1 – Undersökningen
Del 2 – Sårbarheter i system
Del 3 – Överbelastningsattacker
Del 4 – Riktade phishingattacker

Hur går det till?

Attacken sker genom att antingen skicka data ifrån en källa (DoS) eller ifrån ett nätverk av källor (DDoS). På senare tid har DDoS-attacker stått för merparten av attackerna via ett så kallat ”Zombie” eller ”Botnet”-nätverk vilket oftast består av en stor mängd helt vanliga infekterade persondatorer. Enkelt förklarat skickar angriparen ett kommando till botnätverkets kontrollserver som i sin tur antingen skickar vidare kommandot direkt till målet (persondatorn), eller beroende på uppsättning, distribuerar kommandot vidare till ett ombud som i sin tur skickar instruktionen till persondatorn att skicka förfrågningar.

50% av DDoS attackerna leder till allvarliga störningar och runt 24% slår ut systemet helt under en viss tid, visar en undersökning som gjorts av Kaspersky. Skadorna som kommer till följd av en överbelastningsattack varierar beroende på vilket system och funktionalitet det angripna systemet har.

Här är några exempel på hur överbelastningsattacker kan påverka system med olika huvudfunktioner.

Produktionssystem (industri/tillverkning)
Produktionen stoppas eller begränsas och personal tvingas avbryta arbetet
Uppkopplade system (flygplatser, kollektivtrafik, betalningssystem)
Attacken påverkar privatlivet och förhindrar transporter, inköp av mat och medicin
Informationssystem (webbsidor, webbshoppar, nyhetsmedia, myndighetswebbsidor)
Systemen blir helt eller delvis oåtkomliga för användare

I vår undersökning står överbelastningsattacker för 22% av alla ryska cyberattacker. Någon data över hur den fördelningen ser ut globalt har vi inte. Däremot vet vi att Ryssland står för en stor del av en global ökning i antal DDoS attacker. För Q1 2022 rapporterar CDN företaget Cloudflare en volymetrisk ökning av DDoS attacker med 645%. Ökningen kommer ifrån de cyberattacker som Ryssland gjort primärt mot Ukrainas nyhetsmedia före och under invasionen i början på Q1 2022.

Bilden är tagen ifrån en handelsplats för DDoS-attacker på Darkweb

Uppsåt

Varför DDoS?

Innan vi går vidare med att undersöka hur du skyddar dig mot överbelastningsattacker så är det viktigt att förstå varför man blir attackerad, vad som motiverar en angripare att genomföra en överbelastningsattack och hur organisationen blir ett mål.

När det gäller Ryssland och invasionen av Ukraina är svaret ganska enkelt. Statsstödda ryska hackare med botnätkapacitet använder nätverken som verktyg för att stötta Ryssland, i utbyte mot ekonomisk kompensation samt löften om amnesti för angriparnas framtida attacker mot övriga världen. För övriga angripare världen över är motiven blandade. Här är tre ytterligare anledningar till varför man kan utsättas för en överbelastningsattack.

Konkurrens

Har man en verksamhet som gör vinster inom en marknad med konkurrens så finns det en risk att man råkar ut för en attack.

I en undersökning gjord av Kaspersky trodde över 40% av företagen som blivit utsatta för en överbelastningsattack att en konkurrent låg bakom.

Utpressning

En angripare försöker pressa företaget på pengar och när företaget inte betalar startar DDoS attacken. Företaget tvingas tillslut att antingen betala eller vidta andra åtgärder för att komma runt problemet.

17% av de företag som attackerats säger att de i förväg har pressats på pengar men vägrat betala (Cloudflare).

Hämnd/illvilja

Inte allt för sällan kommer attacken ifrån en tidigare anställd eller samarbetspartners som känner sig illa behandlad. 2021 beställde en 12-åring en överbelastningsattack för 40 dollar mot region Gotland. Det ledde till att regionens IT-system havererade.

Det är med andra ord inte svårt för en vanlig människa att starta en överbelastningsattack. Värt att nämna är att en DDoS attack i vissa fall kan utföras med syftet att krascha ett system för att direkt vid omstarten exponera systemets sårbarheter.

Bilden är tagen ifrån en handelsplats för DDoS-attacker på Darkweb

Så här skyddar du dig mot överbelastningsattacker

Skyddet mot överbelastningsattacken skiljer sig beroende på vilken typ av verksamhet man har. Ofta består skyddet av en kombination av åtgärder som i regel alltid är tekniska. Här kommer en sammanställning på åtgärder som du kan göra för att skydda din organisation.

Flytta kritiska system

Har man en industri eller tillverkning som styrs av ett system som hanterar produktionen bör man ifrågasätta om det verkligen behöver vara uppkopplat och därmed vara ett potentiellt föremål för en överbelastningsattack (och andra former av attacker). Om uppdateringar av systemets mjukvara kan ske off-line bör hela förbindelsen med internet tas bort för det systemet.

CDN lösning

En CDN (Content Delivery Network) används primärt för att avlasta webbservrar. Nästan alla leverantörer av CDN-lösningar erbjuder samtidigt skydd mot en rad olika överbelastningsattacker i olika storlekar och mot olika protokoll. Beroende på konfiguration och val av CDN döljs också din organisations interna IP-adress vilket innebär att överbelastningsattacken träffar CDN-lösningen och inte din organisations server.

Öka bandbredden

Se till så att organisationen har tillräckligt mycket kraft för att klara att hantera topparna vid en DDoS attack. Den här lösningen erbjuder inget direkt skydd men fungerar bra i kombination med de andra åtgärderna som en backuplösning.

Testa

Att testa systemen och nätverket är nyckeln till att uppnå en god nivå av säkerhet. Testa i en säker miljö, lär dig av resultatet, hämta kunskap och därefter inför åtgärder.

Som vid de flesta andra typer av cyberattacker hittar man skyddet någonstans i en kombination av åtgärder. Fokusera på det som är enklast först. En CDN lösning är ett bra första steg om man vill öka sin IT-säkerhet.

I del tre kommer vi att ta upp riktat nätfiske (spear phishing) som attackmetod. Det är den vanligaste typen av attackmetod för att komma in i en organisation och används både globalt och vid statsstödda ryska cyberattacker.

Om
Senaste inläggen

Henrik Petterson

Marknad på Secify

Henrik arbetar med Secifys varumärke och marknadsinsatser och skapar bland annat innehåll, pressmeddelanden och nyheter.

Senaste inläggen av Henrik Petterson

Rapport: Lägesbild vårdsektorn – Hot, utmaningar och risker som berör vårdsektorn - 2 april, 2024
Event: Informationssäkerhet är del av patientsäkerheten – dataskydd för sjukvården - 11 mars, 2024
Event: Informationssäkerhet är del av patientsäkerheten – dataskydd för sjukvården - 7 december, 2023

Cookie	Varaktighet	Beskrivning
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Varaktighet	Beskrivning
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.

Cookie	Varaktighet	Beskrivning
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Varaktighet	Beskrivning
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.