DDoS-attacker till salu för 15 Euro från företag som Webstresser

Häromdagen gick det att läsa om nedstängningen av företaget Webstresser som för bara 15 Euro per månad sålde DDoS-attacker som kunde slå ut hela Internet.

Men vad är det för webbplats och hur kan man skydda sig mot den här typen av kommersiella bot-fabriker? Erik Henriksson, kundansvarig på Akamai rätar ut frågetecknen.

Här om veckan kunde vi läsa om hur administratörerna av Webstresser.org arresterades som ett resultat av Operation Power Off – ett samarbete mellan brittisk och nederländsk polis.

Webstresser.org räknas som världens största marknadsplats för den som vill köpa DDoS-attacker, en webbplats med mer än 136 000 registrerade användare och 4 miljoner attacker bara under april 2018. De välorganiserade attackerna har framförallt riktat sig mot onlinetjänster som erbjuds av banker, myndigheter och spelbranschen.

Det handlar alltså om en webbplats som säljer förödelse.

Och det hela fungerar ganska enkelt. I en DDoS-attack som aktiveras av en sådan här tjänst, kontrollerar angriparen fjärrstyrda enheter som kan styra en stor mängd trafik på en webbplats eller en online-plattform. Om den nu uppkomna trafiken ökar webbplatsens bandbredd för mycket så kan det till slut leda till att hela webbplatsen ställs off-line, eller upphör att fungera. Priset för att åstadkomma detta är alltså så låg som 15 euro per månad – och du behöver ingen som helst teknisk kunskap för att åstadkomma den här typen av förödande DDoS-attacker.

I just det här specifika fallet med Webstresser leddes arbetet av Europols europeiska cyberkriminalitetscenter (EC3) och den gemensamma handlingsgruppen för brottsbekämpning (J-CAT), via en kommando- och samordningsstation som inrättats vid Europols huvudkontor i Haag. Och i takt med att den här typen av attacker och tillhörande tjänster ökar, så ökar också behovet av att inrätta en internationell brottsbekämpning.

Dessa så kallade Stresser-webbplatser kan snabbt och relativt enkelt åsamka stor skada och verkar tyvärr vara här för att stanna. Och även om polisen blir allt skickligare på att samordnat kunna bekämpa dessa cyberattacker, så finns det några saker som du kan göra för att bättre skydda dig och din organisation.

  1. Dokumentera din DDoS “recovery plan”

Se till att ha en övergripande plan för hur du kan bedriva din verksamhet “offline”. Vilka är nyckelpersonerna inom och utanför organisationen osv. Se över kommunikationsplanen. När man väl får en attack och blir blockerad från internet går det oftast väldigt fort och många interna tjänster slås ofta ut, så räkna inte med att det exempelvis går att skicka e-post internt då dessa system idag levereras från just internet.

  1. Ha koll på din internet-trafik

Många tänker på stora attacker, och att de är den typen av attacker som är “otäcka”. Det är oftast de man läser om i media, men det är minst lika viktigt att fånga upp de mindre attackerna som hackare använder för att identifiera sårbarheter. De flyger oftast under radarn likt ickemänsklig trafik, så kallade bot-ar som blir mer och mer “smarta”. Ofta är dessa bot:ar framgångsrika, då företag sällan har kontroll över sin egen internet-aktivitet och de flesta DDoS-skydd fångar inte ens upp den här typen av attacker då den “flyger under radarn”.

  1. Lita inte på din brandvägg

Att förlita sig på sitt skalskydd gjorde man framgångsrikt på 1500-talet men i dagens cloud/internet- era kan man inte lita på någon. Det är Zero Trust som gäller om du vill säkra din verksamhet och utveckla den. Att förlita sig på en brandvägg är som att lita på tjuven bara för att tjuven är i ditt hem.

  1. Samarbeta

Blir du utpressad, dela med dig av informationen, skicka in den till din säkerhetspartner. En SOC kan i vissa fall identifiera om det är ett tomt hot eller om det är skarpt läge. Dagens attacker är ofta mer avancerade och svårare att upptäcka.

  1. Genomför regelbundna “brandövningar”

Hur väl förberedd man än är, så behöver man öva regelbundet. Gå igenom rutinerna, se till att de är aktuella och att processen verkligen fungerar i praktiken i händelse av attack och utifrån den typen av risker som man anser finnas. Att förlita sig på egen hårdvara i ett datacenter eller överlåta säkerhet till sin ISP räcker inte långt. Dagens hackare tar med enkla medel sig förbi den typen av äldre säkerhetsmekanismer, så se till att arbeta med en partner som har god erfarenhet av att mitigera attacker, och har verktyg för att skydda mot moderna angripare.

Erik Henriksson är kundansvarig på Akamai Sverige