Bedrohungsanalyse : DDoS-Angriffe erreichen neue Rekordwerte : Massive Botnetze greifen weltweit an

In diesem Jahr gab es bereits mehrere größere Distributed-Denial-of-Service-(DDoS)-Angriffe mit mehr als fünf Millionen Anfragen pro Sekunde (RPS). Das ist ein besorgniserregender Trend für Unternehmen weltweit. Die Angriffe werden immer größer und immer schneller. Dieses Wachstum unterstreicht noch einmal die Bedeutung erhöhter Wachsamkeit und proaktiver Maßnahmen zum Schutz vor einer anhaltenden Welle hochintensiver Cyber-Störungen. Eine Analyse der größten registrierten Angriffe zeigt deren Methoden:

Angriff auf einen französischen Haushaltswarenhändler

Der erste große Angriff am 9. Januar 2025 traf einen französischen Haushaltswarenhändler. Innerhalb von etwas mehr als zwei Stunden erreichte er fast sechs Millionen Anfragen pro Sekunde (RPS) und kombinierte die HTTP/2-Rapid-Reset-Technik mit klassischen DDoS-Verfahren. Diese Kombination erhöhte die Zahl gleichzeitiger Anfragen pro Client und damit die Schlagkraft. Der bösartige Datenverkehr wurde über mehrere geografische Standorte verteilt, was geobasierte Filterstrategien noch komplexer macht. Das Ziel war eine Einzelhandelswebsite mit umfangreichen Produktinformationen und Bildern. Die Angreifer zielten darauf ab, die Ursprungsserver zu überlasten – nicht nur mit dem reinen Datenverkehr, sondern auch mit einer großen Anzahl von Anfragen zum Abrufen verschiedener Produktdetails und Bilder. Mit dieser Taktik sollten die Serverressourcen erschöpft, die Reaktionszeiten verlangsamt und das Einkaufserlebnis für legitime Benutzer gestört werden. Letztlich wirkte sich diese Strategie auf die Geschäftstätigkeit des Einzelhändlers und das Vertrauen der Kunden aus.

Was diesen Angriff noch alarmierender macht, ist das Ausmaß des dahinterstehenden Botnetzes. Insgesamt wurden 32.381 eindeutige IP-Adressen als Teil des Angriffs identifiziert. Die Verwendung einer so großen Anzahl kompromittierter Geräte lässt auf ein gut koordiniertes und hochgradig verteiltes Botnet schließen. Dies ist ein deutlicher Hinweis auf die zunehmende Raffinesse und Reichweite moderner DDoS-Kampagnen, die nicht mehr auf kleine Botnetze oder kurze Angriffe beschränkt sind.

In Fällen wie diesem steigert die Größe des Botnetzes das Ausmaß des Angriffs, überwältigt die Verteidigung und verursacht längere Ausfallzeiten, finanzielle Verluste und Rufschädigung. Außerdem können diese Angriffe ein Test für die Widerstandsfähigkeit sein, bei dem die Bedrohungsakteure die Stärke der Infrastruktur eines Unternehmens testen, bevor sie noch größere Angriffe starten.

Die Verteidigung gegen solche massive Botnetze erfordert einen mehrschichtigen Ansatz. Dazu gehören der Einsatz fortschrittlicher DDoS-Abwehrdienste, die sich an große Traffic-Spikes anpassen können, die Verwendung von Web Application Firewalls (WAFs) zum Filtern bösartiger Anfragen und die Priorisierung legitimer Benutzer. Darüber hinaus ist es für Unternehmen unerlässlich, einen Plan für die Reaktion auf Vorfälle zu haben, um diese Arten von Angriffen schnell zu erkennen, zu entschärfen und wiederherzustellen, während der Netzwerkverkehr kontinuierlich auf frühe Anzeichen von ungewöhnlichem Verhalten überwacht wird.

Indonesische Regierungsbehörde unter Dauerbeschuss

Der zweite Angriff, der nur einen Tag nach dem ersten stattfand, richtete sich gegen eine große Regierungseinrichtung in Indonesien. Dieser Angriff eskalierte schnell, mit fast zehn Millionen Anfragen pro Sekunde (RPS), die die Infrastruktur der Organisation überlasteten. Im Gegensatz zum ersten Angriff, der nur etwas mehr als zwei Stunden dauerte, war dieser Angriff langwieriger und dauerte knapp 14 Stunden.

Die Angreifer erkundeten zunächst ihr Ziel und testeten es mit einem kurzen Spike, gefolgt von einem größeren Spike und schließlich dem eigentlichen Angriff, der mit zehn Millionen RPS seinen Höhepunkt erreichte. Durch diesen stufenweisen Ansatz konnten die Angreifer die Abwehrmaßnahmen testen, bevor sie den Angriff in vollem Umfang starteten. Der Angriff nutzte den HTTP/2 Rapid-Reset-Vektor, der die Anzahl der gleichzeitigen Anfragen, die ein einzelner Client senden kann, vergrößert und so die Auswirkungen deutlich erhöht, ohne dass eine große Anzahl von IPs benötigt wird.

Der bösartige Datenverkehr stammte in erster Linie aus Indonesien, war aber geografisch weit verteilt, was die Eindämmungsbemühungen weiter erschwerte. Die meisten Clients versuchten, sich der Erkennung zu entziehen, indem sie sich als legitime Chrome-Clients ausgaben. Der Imperva-Client-Klassifizierungsdienst konnte diese Täuschungsversuche jedoch erfolgreich identifizieren und blockieren.

Im Gegensatz zum ersten Angriff war bei diesem eine relativ geringe Anzahl von IPs beteiligt – nur 5343 eindeutige Adressen. Dies deutet darauf hin, dass sich die Angreifer auf ein konzentrierteres, aber hocheffizientes Botnetz stützten. Obwohl die Anzahl der IPs im Vergleich zum ersten Angriff geringer war, zeigt das schiere Ausmaß des RPS die zunehmende Raffinesse der DDoS-Strategien. Diese Angriffe sind nicht mehr durch die Größe des Botnetzes begrenzt, sondern vielmehr dadurch, wie effektiv die Angreifer einen kleineren Pool kompromittierter Geräte nutzen können, um extreme Datenmengen zu erzeugen – eine Tatsache, die durch die von den Angreifern zur Maximierung der Datenverkehrskapazitäten verwendete HTTP/2-Rapid-Reset-Technik nur noch verstärkt wird. Die lange Dauer dieses Angriffs unterstreicht die zunehmende Fähigkeit der Angreifer, lang anhaltende Störungen aufrechtzuerhalten und selbst robuste Verteidigungssysteme zu überwältigen.

Wenn ein DDoS-Angriff mehrere Stunden andauert, ist das Motiv oft, die Störung über einen längeren Zeitraum aufrechtzuerhalten. Die Ressourcen sollen möglicherweise erschöpft werden und zu einem längeren Ausfall führen. Die anhaltende Dauer des Angriffs kann das Netzwerk eines Unternehmens erheblich belasten, was zu Verlangsamungen, Serviceausfällen und negativen Kundenerfahrungen führt. Das Ziel des Angreifers besteht in der Regel darin, die Abwehrkräfte zu zermürben und das Ziel in einen Zustand ständiger Schadensbegrenzung oder Wiederherstellung zu zwingen. Um sich gegen diese Art von Angriffen zu schützen, müssen sich Unternehmen auf Ausfallsicherheitsstrategien konzentrieren, die längere Zeiträume mit hohem Datenverkehr berücksichtigen. Dazu gehören die Ratenbegrenzung zur Verwaltung eingehender Anfragen, der Einsatz von Tools zur Analyse des Datenverkehrs, um bösartige Muster zu erkennen und zu blockieren, und die Zusammenarbeit mit DDoS-Schutzdiensten, die auf die Abwehr von Angriffen mit langer Dauer spezialisiert sind. Darüber hinaus können die Einrichtung von Warnsystemen und die Sicherstellung einer angemessenen Bandbreitenskalierung dazu beitragen, dass der Angriff die Netzwerkinfrastruktur nicht überwältigt.

Rekordangriff auf US-Getränkehersteller

Der jüngste – und bei weitem größte – Angriff fand am 25. Januar 2025 statt und richtete sich gegen ein großes US-Getränkeunternehmen. Dieser Angriff war besonders bemerkenswert, da er in einem unglaublich kurzen Zeitfenster von nur acht Minuten erstaunliche 13,5 Millionen Anfragen pro Sekunde (Requests per Second, RPS) erreichte.

An diesem Angriff ist die schiere Intensität des RPS innerhalb eines so kurzen Zeitraums bemerkenswert. Der Angriff wurde von 7640 eindeutigen IP-Adressen aus gestartet, was nicht nur beachtlich ist, sondern auch die Effizienz unterstreicht, mit der die Angreifer in der Lage waren, in einem sehr kurzen Zeitraum massive Mengen an Datenverkehr zu generieren. Dies stellt eine neue Stufe der DDoS-Raffinesse dar, bei der der Schwerpunkt nicht nur auf dem Volumen der Anfragen liegt, sondern auch darauf, wie schnell sie ausgelöst werden können, um die Störung zu maximieren. Die Kombination aus schnellen Anfragen und der Beteiligung von Botnetzen in großem Maßstab ist ein deutlicher Hinweis auf die sich entwickelnde Taktik hinter diesen zunehmend verheerenden DDoS-Kampagnen.

Angriffe, die in kurzer Zeit hohe RPS-Werte erreichen, zielen in der Regel auf eine schnelle und großflächige Störung ab. Diese hochintensiven Angriffe werden häufig von ausgefeilten Botnetzen ausgeführt, die zahlreiche kompromittierte Geräte nutzen, um in kurzer Zeit ein extremes Datenverkehrsaufkommen zu erzeugen. Ziel ist es, die Infrastruktur mit einer so starken Last zu überschwemmen, dass es zu sofortigen Dienstunterbrechungen oder sogar zu einem vollständigen Systemausfall kommt. Diese schnellen Angriffe sind besonders gefährlich, weil sie schwerer zu erkennen und zu entschärfen sind, bevor sie bereits erheblichen Schaden angerichtet haben. In vielen Fällen nutzen Angreifer diesen Ansatz, um herkömmliche Verteidigungsmechanismen zu umgehen, die auf der Erkennung längerfristiger Muster bösartiger Aktivitäten beruhen, sodass Unternehmen nur mit Mühe reagieren können. Die Verteidigung gegen diese schnellen Ausbrüche massiver RPS erfordert proaktive Maßnahmen wie die Verwendung fortschrittlicher DDoS-Schutzdienste und die Überwachung des Datenverkehrs in Echtzeit, um verdächtiges Verhalten schnell zu erkennen. Ferner sollte die Infrastruktur mit ausreichender Redundanz und Kapazität ausgestattet sein, um plötzliche Lastspitzen aufzufangen und die Auswirkungen solcher Angriffe zu verringern.

Auffälligkeiten bei den Angriffen

Die Entdeckung von IP-Überschneidungen zwischen all diesen Angriffen ist zwar für sich genommen schon bedeutsam, macht sie aber noch besorgniserregender, da sie auf einen konsolidierten, gut ausgerüsteten Akteur hinweist. Im Durchschnitt waren 20 Prozent der IPs – insgesamt 1670 – bei allen drei Angriffen gleich. Mehr als die Hälfte dieser IPs wies eine hohe Risikobewertung auf, was darauf hindeutet, dass sie häufig an schweren Angriffen beteiligt sind. Bislang konnten die Aktivitäten noch nicht einem Akteur oder Botnetz zugeordnet werden. Dennoch ist es bemerkenswert, dass diese Angriffe hartnäckig und täglich an vielen DDoS-Angriffen beteiligt sind, die auf Websites in vielen Branchen und Ländern abzielen.

Diese Vorfälle sind ein deutlicher Hinweis darauf, dass DDoS-Bedrohungen immer häufiger und schwerwiegender werden. Während herkömmliche Abwehrmaßnahmen wie Ratenbegrenzung, IP-Blockierung und die Bereitstellung von zu viel Bandbreite zum Schutz vor kleineren Angriffen beitragen können, erfordern diese massiven Angriffe einen erweiterten Schutz. Lösungen, die sich auf adaptiven Schutz, Datenverkehrsanalyse und Bedrohungsdaten stützen, werden für die Entschärfung dieser großangelegten Angriffe in Echtzeit immer wichtiger.

Empfehlungen für verstärkte Abwehrmaßnahmen

Diese Vorfälle machen auch deutlich, wie wichtig es für Unternehmen ist, einen mehrschichtigen Sicherheitsansatz zu wählen. Sich auf eine einzige Sicherheitslösung zu verlassen, reicht angesichts der sich ständig weiterentwickelnden DDoS-Landschaft möglicherweise nicht aus. Unternehmen müssen den Angreifern einen Schritt voraus sein, indem sie vielschichtige Verteidigungsstrategien einsetzen, die Bot-Mitigation, Anwendungs-Firewalls und Echtzeit-Überwachung umfassen.

Unternehmen müssen proaktive Maßnahmen zum Schutz ihrer Netzwerke und Anwendungen ergreifen. Hier sind drei Maßnahmen, die es zu berücksichtigen gilt:

• Einsatz von Tools zum DDoS-Schutz: Erwägung von Investitionen in DDoS-Abwehrdienste, die KI und maschinelles Lernen nutzen, um großangelegte Angriffe in Echtzeit zu erkennen und zu entschärfen.
• Überwachen und Analysieren des Datenverkehrs: Durch die Analyse des Datenverkehrs können Anomalien und potenzielle Bedrohungen frühzeitig erkannt werden. So können die Sicherheitsteams schnell eingreifen, bevor ein Angriff eskaliert.
• Erstellung eines Incident-Response-Plans: Entwicklung eines umfassenden Plans für die Reaktion auf DDoS-Angriffe, um sicherzustellen, dass das Team weiß, wie es während eines Angriffs schnell und effektiv handeln kann.

Fazit

Die Häufigkeit und das Ausmaß von DDoS-Angriffen nehmen weiter zu. Für Unternehmen heißt das, dass sie wachsam bleiben und in robuste Verteidigungsmaßnahmen investieren. Die drei untersuchten Angriffe zeigen darüber hinaus auf, mit welchen Methoden und Strategien die Cyberkriminellen vorgehen. Security-Verantwortliche müssen sich darauf vorbereiten und die neuesten Technologien zur DDoS-Abwehr nutzen. In diesem Fall können sie ihre geschäftskritischen Dienste besser schützen und das Vertrauen ihrer Kunden rechtfertigen.

Autor

Julian Iavarone ist Senior Sales Engineer für die DACH-Region bei Thales.