Gebruik van DDoS als chantagemiddel

0

Verschillende grote techbedrijven hebben onlangs samengewerkt om een Android-botnet offline te krijgen. Via kwaardaardige software waren tienduizenden Android-apparaten tegelijk betrokken bij DDoS-cyberaanvallen.

Ook steeds meer ziekenhuizen worden getroffen door ransomware. In het afgelopen half jaar waren er bij zes Duitse ziekenhuizen patiëntengegevens geblokkeerd, waardoor de medische dossiers niet meer konden worden ingezien. Een Amerikaans ziekenhuis heeft besloten om de hackers te betalen zodat de data weer snel beschikbaar zou zijn. Echter hebben de hackers na de betaling de data niet vrijgegeven en willen meer geld zien.

Je data of je geld

De laatste tijd worden er veel ransomware- en DDoS-aanvallen gericht op financiële instellingen. Data binnen deze organisaties is van hoge waarde en daarnaast beschikken de bedrijven zelf over veel geld. Hackers chanteren de bedrijven met een DDoS-aanval, wanneer zij geen geldsom zullen overmaken. Deze bedragen kunnen variëren van 500 euro per computer tot wel een paar ton voor het hele bedrijf.

Vaak is het lastig om te achterhalen wie achter zo’n aanval zit. Echter, in sommige gevallen is het vrij duidelijk in welke hoek de hacker zich bevindt. Afgelopen jaren waren er enkele DDoS-aanvallen tijdens de schoolexamenperiodes. Hierbij is de kans groot dat de aanvallen worden georganiseerd door leerlingen. Toch zal je vrijwel nooit de persoon direct kunnen aanwijzen die achter een aanval zit. Maar hoe kan het dat een DDoS-aanval zo gemakkelijk als chantagemiddel wordt ingezet?

“DDoS as a service”

Het aantal DDoS-aanvallen neemt snel toe en het wordt alsmaar eenvoudiger. Dit komt door een toename in de diensten voor het uitvoeren van DDoS-aanvallen. Er bestaan tegenwoordig al zo’n duizend speciale websites, ‘marktplaatsen’, waarop DDoS-aanvallen worden verkocht. Voor een bepaald bedrag, te betalen met creditcard of anoniem met bitcoins, is het mogelijk om een DDoS-aanval te laten uitvoeren op het opgegeven IP-adres. Dit betekent dat je als leek al een DDoS-aanval kan (laten) uitvoeren. Dit maakt het dan ook laagdrempelig; wraakgevoelens of negatieve ervaringen kunnen al een aanleiding zijn om een server plat te (laten) leggen.

Toch zijn deze DDoS-aanvallen verborgen voor de gemiddelde internetter. Aan de achterkant van het internet ontwikkelen zich de gevaarlijke en ook creatieve subculturen, zonder dat hier ook maar iets van zichtbaar is voor de reguliere internetgebruiker. Op een gegeven moment komt er verbinding tot stand tussen de onder- en bovenwereld van het internet en kunnen de DDoS-aanvallen besteld worden. De opdracht zelf vindt dan weer aan de achterkant van het internet plaats.

Wat te doen bij een DDoS-afpersing?

De bescherming tegen DDoS-aanvallen is lastiger dan het bestellen ervan. Echter, het Nationaal Cyber Security Centrum (NCSC) geeft enkele adviezen en maatregelen tegen DDoS-aanvallen. Deze maatregelen dienen te worden getroffen op zowel technisch als organisatorisch niveau. Welke technische maatregelen u zelf kunt toepassen, hangt af van welk deel van uw netwerk in eigen beheer is. Beheert u bijvoorbeeld een applicatie, maar niet de onderliggende server, dan kunt u alleen maatregelen treffen voor die applicatie. Op organisatorisch niveau is het van belang om een vijftal maatregelen te treffen. Deze lichten we hieronder toe:

1. Infrastructuur in kaart brengen
Maak een duidelijk overzicht van je infrastructuur en monitor het inkomende en uitgaande verkeer van het netwerk. Stel een baseline op waarin ‘normaal’ gedrag wordt beschreven. Wanneer er van dit ‘normale’ gedrag wordt afgeweken, kan dit duiden op een DDoS-aanval.

2. Maatregelen ISP
Ga bij de ISP na hoe zij omgaan met DDoS-aanvallen en welke DDoS-maatregelen zijn getroffen. Dit is een belangrijk selectiecriterium wanneer het netwerk in beheer is bij een externe partij (ISP). Voordat een DDoS-aanval plaatsvindt, is het van groot belang om te weten wat de ISP voor maatregelen heeft getroffen. Daarnaast is het verstandig om de ISP altijd op de hoogte te stellen van DDoS-dreigementen en -chantages. Zo kunnen zij doeltreffend te werk gaan, wanneer de aanval daadwerkelijk zal worden uitgevoerd.

3. Draaiboek DDoS-aanvallen
Beschrijf in een draaiboek hoe een DDoS-aanval herkend kan worden en wie welke stappen tijdens een aanval moet nemen. Probeer ook altijd zo veel mogelijk gegevens te verzamelen tijden een aanval omtrent de tijdlijn, kenmerken en de essentiële gegevens voor een aangifte.

4. Aangifte doen
Het is belangrijk om altijd aangifte te doen bij de lokale politie van een DDoS-aanval of een dreigement hiervan. Tenslotte is het uitvoeren van DDoS-aanvallen een strafbaar feit waar een boete of zelfs een gevangenisstraf tegenover staat. Vraag altijd of er een digitaal rechercheur aanwezig kan zijn tijdens de aangifteprocedure. Ook voor de lokale politie is het lastig om de dader(s) daadwerkelijk te achterhalen, maar met de aangiftes kan de politie wel monitoren hoe de ontwikkeling van DDoS-aanvallen verloopt.

5. NaWas
BIT is aangesloten bij de stichting Nationale Beheersorganisatie Internet Providers (NBIP) en was nauw betrokken bij de opzet van De Nationale anti-DDoS Wasstraat (NaWas). NaWas biedt on-demand beveiliging tegen DDoS-aanvallen. Wanneer een ISP-netwerk te maken heeft met een DDoS-aanval, kan het verkeer langs de NaWas geleid worden. De NaWas reinigt het verkeer van ‘rotzooi’ en stuurt het schone verkeer over een aparte VLAN van de AMS-IX of NL-IX, waar praktisch alle Nederlandse ISP’s op zijn aangesloten, naar de deelnemende ISP terug.

Tot slot wil ik graag meegeven dat wanneer je wordt gechanteerd door een DDoS-dreiging, hier nooit aan toe te geven en niets te betalen. Als je toegeeft aan deze chantage, zal dit alleen maar een stimulans zijn voor de afpersers om vaker DDoS-dreigingen uit te voeren. Als je niet toegeeft aan de dreigementen en niet betaalt, zal de lol ervan af gaan en zullen de afpersers inzien dat DDoS-dreigingen niet veel meer zullen opleveren.

BIT
BIT beheert een drietal datacenters in Ede en is gespecialiseerd in colocatie, internetverbindingen, managed hosting en outsourcing voor zakelijke gebruikers van het internet. BIT levert aan kwaliteitsbewuste organisaties de ruggengraat voor hun IT- en internet-infrastructuur. Betrouwbaarheid is het uitgangspunt van de dienstverlening, zodat klanten zich zorgeloos met hun kernactiviteiten bezig kunnen houden. BIT onderscheidt zich door een hoog kennisniveau, jarenlange ervaring en een pragmatische aanpak. BIT is ISO 27001 gecertificeerd. Meer informatie over BIT is te vinden op www.bit.nl of volg BIT via twitter.com/bitnl.