Överbelastningsattacker, på engelska DoS (Denial of Service) eller DDoS (Distributed Denial of Service), är en attackmetod som används primärt för att göra ett system oåtkomligt.

En överbelastningsattack sker genom att en angripare antingen skickar ett högt antal förfrågningar eller en stor mängd data över internet till ett mål som vanligtvis är någon typ av server eller system. Målet blir överbelastat och kraschar eller förhindrar vanliga, helt genuina förfrågningar från att genomföras.

Attacken sker genom att antingen skicka data ifrån en källa (DoS) eller ifrån ett nätverk av källor (DDoS). På senare tid har DDoS-attacker stått för merparten av attackerna via ett så kallat ”Zombie” eller ”Botnet”-nätverk vilket oftast består av en stor mängd helt vanliga infekterade persondatorer. Enkelt förklarat skickar angriparen ett kommando till botnätverkets kontrollserver som i sin tur antingen skickar vidare kommandot direkt till målet (persondatorn), eller beroende på uppsättning, distribuerar kommandot vidare till ett ombud som i sin tur skickar instruktionen till persondatorn att skicka förfrågningar.

50% av DDoS attackerna leder till allvarliga störningar och runt 24% slår ut systemet helt under en viss tid, visar en undersökning som gjorts av Kaspersky. Skadorna som kommer till följd av en överbelastningsattack varierar beroende på vilket system och funktionalitet det angripna systemet har.

Här är några exempel på hur överbelastningsattacker kan påverka system med olika huvudfunktioner.

  • Produktionssystem (industri/tillverkning)
    Produktionen stoppas eller begränsas och personal tvingas avbryta arbetet
  • Uppkopplade system (flygplatser, kollektivtrafik, betalningssystem)
    Attacken påverkar privatlivet och förhindrar transporter, inköp av mat och medicin
  • Informationssystem (webbsidor, webbshoppar, nyhetsmedia, myndighetswebbsidor)
    Systemen blir helt eller delvis oåtkomliga för användare

I vår undersökning står överbelastningsattacker för 22% av alla ryska cyberattacker. Någon data över hur den fördelningen ser ut globalt har vi inte. Däremot vet vi att Ryssland står för en stor del av en global ökning i antal DDoS attacker. För Q1 2022 rapporterar CDN företaget Cloudflare en volymetrisk ökning av DDoS attacker med 645%. Ökningen kommer ifrån de cyberattacker som Ryssland gjort primärt mot Ukrainas nyhetsmedia före och under invasionen i början på Q1 2022.

Bilden är tagen ifrån en handelsplats för DDoS-attacker på Darkweb

Varför DDoS?

Innan vi går vidare med att undersöka hur du skyddar dig mot överbelastningsattacker så är det viktigt att förstå varför man blir attackerad, vad som motiverar en angripare att genomföra en överbelastningsattack och hur organisationen blir ett mål.  

När det gäller Ryssland och invasionen av Ukraina är svaret ganska enkelt. Statsstödda ryska hackare med botnätkapacitet använder nätverken som verktyg för att stötta Ryssland, i utbyte mot ekonomisk kompensation samt löften om amnesti för angriparnas framtida attacker mot övriga världen. För övriga angripare världen över är motiven blandade. Här är tre ytterligare anledningar till varför man kan utsättas för en överbelastningsattack. 

  • Konkurrens
    Har man en verksamhet som gör vinster inom en marknad med konkurrens så finns det en risk att man råkar ut för en attack. I en undersökning gjord av Kaspersky trodde över 40% av företagen som blivit utsatta för en överbelastningsattack att en konkurrent låg bakom.  
  • Utpressning
    En angripare försöker pressa företaget på pengar och när företaget inte betalar startar DDoS attacken. Företaget tvingas tillslut att antingen betala eller vidta andra åtgärder för att komma runt problemet. 17% av de företag som attackerats säger att de i förväg har pressats på pengar men vägrat betala (Cloudflare). 
  • Hämnd/illvilja
    Inte allt för sällan kommer attacken ifrån en tidigare anställd eller samarbetspartners som känner sig illa behandlad. 2021 beställde en 12-åring en överbelastningsattack för 40 dollar mot region Gotland. Det ledde till att regionens IT-system havererade. Det är med andra ord inte svårt för en vanlig människa att starta en överbelastningsattack.

Värt att nämna är att en DDoS attack i vissa fall kan utföras med syftet att krascha ett system för att direkt vid omstarten exponera systemets sårbarheter.

Bilden är tagen ifrån en handelsplats för DDoS-attacker på Darkweb

Så här skyddar du dig mot överbelastningsattacker

Skyddet mot överbelastningsattacken skiljer sig beroende på vilken typ av verksamhet man har. Ofta består skyddet av en kombination av åtgärder som i regel alltid är tekniska. Här kommer en sammanställning på åtgärder som du kan göra för att skydda din organisation.

  1. Flytta kritiska system
    Har man en industri eller tillverkning som styrs av ett system som hanterar produktionen bör man ifrågasätta om det verkligen behöver vara uppkopplat och därmed vara ett potentiellt föremål för en överbelastningsattack (och andra former av attacker). Om uppdateringar av systemets mjukvara kan ske off-line bör hela förbindelsen med internet tas bort för det systemet.
  2. CDN lösning
    En CDN (Content Delivery Network) används primärt för att avlasta webbservrar. Nästan alla leverantörer av CDN-lösningar erbjuder samtidigt skydd mot en rad olika överbelastningsattacker i olika storlekar och mot olika protokoll. Beroende på konfiguration och val av CDN döljs också din organisations interna IP-adress vilket innebär att överbelastningsattacken träffar CDN-lösningen och inte din organisations server.
  3. Öka bandbredden
    Se till så att organisationen har tillräckligt mycket kraft för att klara att hantera topparna vid en DDoS attack. Den här lösningen erbjuder inget direkt skydd men fungerar bra i kombination med de andra åtgärderna som en backuplösning.
  4. Testa
    Att testa systemen och nätverket är nyckeln till att uppnå en god nivå av säkerhet. Testa i en säker miljö, lär dig av resultatet, hämta kunskap och därefter inför åtgärder.

Som vid de flesta andra typer av cyberattacker hittar man skyddet någonstans i en kombination av åtgärder. Fokusera på det som är enklast först. En CDN lösning är ett bra första steg om man vill öka sin IT-säkerhet.

I del tre kommer vi att ta upp riktat nätfiske (spear phishing) som attackmetod. Det är den vanligaste typen av attackmetod för att komma in i en organisation och används både globalt och vid statsstödda ryska cyberattacker.

Ordlista:

Förfrågningar – En förfrågning kan vara allt mellan att skicka data till en server till att besöka en webbplats eller ladda ner en fil.

Sårbarhet – En brist i säkerheten som skulle kunna användas för att få åtkomst till systemet

System – Brandvägg, router, webbserver, webbpubliceringsverktyg, operativsystem, filserver med mera.

Bild: Creative commons

Henrik Petterson