Introduktion
Sänker system genom massiv dataöverföring
Överbelastningsattacker, på engelska DoS (Denial of Service) eller DDoS (Distributed Denial of Service), är en attackmetod som används primärt för att göra ett system oåtkomligt. En överbelastningsattack sker genom att en angripare antingen skickar ett högt antal förfrågningar eller en stor mängd data över internet till ett mål som vanligtvis är någon typ av server eller system. Målet blir överbelastat och kraschar eller förhindrar vanliga, helt genuina förfrågningar från att genomföras.
Hur går det till?
Attacken sker genom att antingen skicka data ifrån en källa (DoS) eller ifrån ett nätverk av källor (DDoS). På senare tid har DDoS-attacker stått för merparten av attackerna via ett så kallat ”Zombie” eller ”Botnet”-nätverk vilket oftast består av en stor mängd helt vanliga infekterade persondatorer. Enkelt förklarat skickar angriparen ett kommando till botnätverkets kontrollserver som i sin tur antingen skickar vidare kommandot direkt till målet (persondatorn), eller beroende på uppsättning, distribuerar kommandot vidare till ett ombud som i sin tur skickar instruktionen till persondatorn att skicka förfrågningar.
50% av DDoS attackerna leder till allvarliga störningar och runt 24% slår ut systemet helt under en viss tid, visar en undersökning som gjorts av Kaspersky. Skadorna som kommer till följd av en överbelastningsattack varierar beroende på vilket system och funktionalitet det angripna systemet har.
Här är några exempel på hur överbelastningsattacker kan påverka system med olika huvudfunktioner.
- Produktionssystem (industri/tillverkning)
Produktionen stoppas eller begränsas och personal tvingas avbryta arbetet - Uppkopplade system (flygplatser, kollektivtrafik, betalningssystem)
Attacken påverkar privatlivet och förhindrar transporter, inköp av mat och medicin - Informationssystem (webbsidor, webbshoppar, nyhetsmedia, myndighetswebbsidor)
Systemen blir helt eller delvis oåtkomliga för användare
I vår undersökning står överbelastningsattacker för 22% av alla ryska cyberattacker. Någon data över hur den fördelningen ser ut globalt har vi inte. Däremot vet vi att Ryssland står för en stor del av en global ökning i antal DDoS attacker. För Q1 2022 rapporterar CDN företaget Cloudflare en volymetrisk ökning av DDoS attacker med 645%. Ökningen kommer ifrån de cyberattacker som Ryssland gjort primärt mot Ukrainas nyhetsmedia före och under invasionen i början på Q1 2022.
Bilden är tagen ifrån en handelsplats för DDoS-attacker på Darkweb
Uppsåt
Varför DDoS?
Innan vi går vidare med att undersöka hur du skyddar dig mot överbelastningsattacker så är det viktigt att förstå varför man blir attackerad, vad som motiverar en angripare att genomföra en överbelastningsattack och hur organisationen blir ett mål.
När det gäller Ryssland och invasionen av Ukraina är svaret ganska enkelt. Statsstödda ryska hackare med botnätkapacitet använder nätverken som verktyg för att stötta Ryssland, i utbyte mot ekonomisk kompensation samt löften om amnesti för angriparnas framtida attacker mot övriga världen. För övriga angripare världen över är motiven blandade. Här är tre ytterligare anledningar till varför man kan utsättas för en överbelastningsattack.
Bilden är tagen ifrån en handelsplats för DDoS-attacker på Darkweb
Så här skyddar du dig mot överbelastningsattacker
Skyddet mot överbelastningsattacken skiljer sig beroende på vilken typ av verksamhet man har. Ofta består skyddet av en kombination av åtgärder som i regel alltid är tekniska. Här kommer en sammanställning på åtgärder som du kan göra för att skydda din organisation.
Som vid de flesta andra typer av cyberattacker hittar man skyddet någonstans i en kombination av åtgärder. Fokusera på det som är enklast först. En CDN lösning är ett bra första steg om man vill öka sin IT-säkerhet.
I del tre kommer vi att ta upp riktat nätfiske (spear phishing) som attackmetod. Det är den vanligaste typen av attackmetod för att komma in i en organisation och används både globalt och vid statsstödda ryska cyberattacker.