FERM heeft op dinsdag 6 juni jl. dreigingsinformatie ontvangen waaruit duidelijk werd dat er op dat moment lopende DDoS-aanvallen uitgevoerd werden op havens. De aanvallen werden (en worden) actief in de gaten gehouden, waarbij onze participanten via het portal door elkaar en door FERM op de hoogte worden gehouden. Inmiddels zijn deze aanvallen per vandaag ook in de landelijke media belicht, waardoor we er nu op onze openbare website ook aandacht aan besteden.
Cyberaanvallen
De aanvallen worden uitgevoerd door Threat Actor “NoName057(16)”. Dit is hoogstwaarschijnlijk een aan Rusland gelieerde threat actor, welke bekend staat om het DDoS’en van overheidsdoelwitten en kritieke infrastructuur in West-Europa. Dit is dezelfde partij die eerder dit jaar onder andere de Nederlandse luchthavens en op 4 mei de Rechtspraak (tijdens het bezoek van Zelensky in Den Haag) platgelegd hebben. Daarbij zijn deze keer verschillende havens het doelwit waaronder Den Helder, Groningen, Amsterdam en Rotterdam, en de bijbehorende websites;
Door de aanvallen waren de websites van de havenbedrijven in Rotterdam, Amsterdam en Den Helder vorige week dinsdag enkele uren onbereikbaar. De schade bleef beperkt tot deze tijdelijke onbereikbaarheid. Dat is desalniettemin vervelend, want een website is belangrijk voor de informatievoorziening. Tegelijkertijd zijn de systemen voor scheepvaartafhandeling niet in gevaar geweest.
Achtergrond
We hebben op het portal vanuit FERM eerder over de hackersgroep NoName057(16) geschreven, nadat aanvallen eerder Nederlandse organisaties raakten. Deze groep staat er wel bekend om dat ze hun aanvalsmethodes aanpassen als de aangevallen partij goed weet te mitigeren.
We deelden op het portal een rapport van het NCSC waarbij dieper ingegaan wordt op actuele cyberdreigingen. De belangrijkste aanleiding en bevindingen uit dat rapport zijn voor onze participanten te vinden op het portal. Op de website van het NCSC staan bovendien meerdere kennisdocumenten met handelingsperspectief ten aanzien van DDoS-aanvallen.
Advies
Omdat het een DDoS-aanval betreft, is het standaard advies om gebruik te maken van anti-DDoS-software, of dienstverlening zoals Cloudflare. Om direct te handelen, kan bovenstaande user-agent, URI of POST payload gebruikt worden voor filtering.
Om het risico op DDoS-aanvallen structureel te verlagen, heeft FERM op het portal voor onze participanten een artikel geplaatst met een stappenplan voor het tegengaan van dergelijke aanvallen. Voor meer informatie over DDoS-aanvallen zelf, kun je onderstaande duiding raadplegen.
Aansluitend vind je ook enkele handvatten uit het stappenplan.
Wat zijn DoS- en DDoS-aanvallen?
Een denial-of-service (DoS)-aanval vindt plaats wanneer legitieme gebruikers geen toegang kunnen krijgen tot informatiesystemen, apparaten of andere netwerkbronnen vanwege de acties van een kwaadwillende cyberbedreigingsactor. De getroffen services kunnen bijvoorbeeld e-mail, websites, online accounts (bijv. bankieren) of andere services zijn die afhankelijk zijn van de getroffen computer of het getroffen netwerk. Een bekend voorbeeld is dat een bepaalde website niet te bereiken is voor bezoekers. Een denial-of-service aanval wordt uitgevoerd door een server te overspoelen met verkeer totdat het doelwit niet kan reageren of simpelweg vastloopt. DoS-aanvallen kunnen een organisatie zowel tijd als geld kosten, terwijl hun middelen en diensten ontoegankelijk zijn.
Wat zijn veelvoorkomende denial-of-service-aanvallen?
Er zijn veel verschillende methoden om een DoS-aanval uit te voeren. De meest voorkomende aanvalsmethode vindt plaats wanneer een aanvaller een netwerkserver overspoelt met verkeer. Bij dit type DoS-aanval stuurt de aanvaller enorme hoeveelheden verzoeken naar de doelserver. Hierdoor loopt de server vast en wordt deze traag of laadt simpelweg niet.
Individuele netwerken, bijvoorbeeld het interne netwerk van uw organisatie, kunnen ook worden beïnvloed door DoS-aanvallen zonder direct het doelwit te zijn. Als bijvoorbeeld uw internetserviceprovider (ISP) of cloudserviceprovider wordt aangevallen, is er een grote kans dat uw netwerk ook problemen ondervindt.
Wat is een gedistribueerde denial-of-service-aanval?
Een gedistribueerde denial-of-service (DDoS)-aanval vindt plaats wanneer meerdere machines samen werken om één doelwit aan te vallen. DDoS-aanvallers maken vaak gebruik van een botnet, een groep gekaapte apparaten met internetverbinding om grootschalige aanvallen uit te voeren. Aanvallers maken vaak misbruik van beveiligingsproblemen om meerdere apparaten te besturen. Eenmaal onder controle kan een aanvaller zijn botnet opdracht geven om DDoS op een doelwit uit te voeren. In dit geval zijn de geïnfecteerde apparaten ook het slachtoffer van de aanval.
Botnets, bestaande uit overgenomen apparaten, kunnen ook worden verhuurd aan andere potentiële aanvallers. Vaak wordt het botnet beschikbaar gesteld voor ‘attack-for-hire’-services, waarmee ongeschoolde gebruikers DDoS-aanvallen kunnen uitvoeren. Op het darkweb kan men redelijk eenvoudig en zonder technische kennis tools aanschaffen om zelf DDoS-aanvallen uit te voeren.
Met DDoS kunnen exponentieel meer verzoeken naar het doelwit worden gestuurd, waardoor de aanvalskracht toeneemt. DDoS-aanvallen zijn in omvang toegenomen naarmate meer en meer apparaten online komen via het Internet of Things (IoT). IoT-apparaten gebruiken vaak standaardwachtwoorden en hebben vaak geen goede beveiliging, waardoor ze kwetsbaar zijn om overgenomen te worden. Infectie van IoT-apparaten wordt vaak onopgemerkt door gebruikers en een aanvaller kan gemakkelijk honderdduizenden van deze apparaten binnendringen om een grootschalige aanval uit te voeren zonder medeweten van de apparaateigenaren.
Hoe voorkom je dat je deel uitmaakt van het probleem?
Hoewel er geen manier is om volledig te voorkomen dat u het doelwit wordt van een DoS- of DDoS-aanval, zijn er stappen die beheerders kunnen nemen om de effecten van een aanval op hun netwerk te verminderen.
- Schrijf u in voor een DoS-beveiligingsservice die abnormale verkeersstromen detecteert en verkeer wegleidt van uw netwerk. Het DoS-verkeer wordt eruit gefilterd en schoon verkeer wordt doorgegeven aan uw netwerk. Cloudfare is één van de bekendste aanbieders van dergelijke services;
- Maak een noodherstelplan om te zorgen voor succesvolle en efficiënte communicatie, beperking en herstel in het geval van een aanval.
Het is ook belangrijk om stappen te ondernemen om de beveiligingsstatus van al uw apparaten met internetverbinding te versterken om te voorkomen dat ze worden gecompromitteerd.
- Installeer antivirussoftware en zorg dat deze altijd bijgewerkt wordt;
- Installeer een firewall en configureer deze om het verkeer dat uw computer binnenkomt en verlaat, te beperken;
- Evalueer beveiligingsinstellingen en volg goede beveiligingspraktijken om de toegang die andere mensen tot uw informatie hebben te minimaliseren, en om ongewenst verkeer te beheren.
Stappenplan
DDoS-aanvallen kunnen grote gevolgen hebben voor organisaties wat betreft tijd, geld en reputatieschade, aldus de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De Amerikaanse overheidsinstanties hebben daarom een stappenplan gepresenteerd dat organisaties kunnen gebruiken om ddos-aanvallen te voorkomen of de impact daarvan te beperken.
DDoS-aanvallen zijn erop gericht een netwerkserver te overladen met verzoeken om te verbinden met de server, zodat de server crasht en gebruikers geen toegang meer hebben. Dit kan grote verstoringen veroorzaken voor organisaties en bedrijven. Dergelijke aanvallen kunnen enkele minuten of zelfs enkele dagen duren. Dit houdt bijvoorbeeld in dat een website niet geladen kan worden door bezoekers.
Volgens de FBI en het CISA moeten als eerste de essentiële diensten en systemen in kaart worden gebracht en hoe gebruikers daarmee verbinding maken. Verder wordt het implementeren van een anti-ddos-dienst aangeraden en moet bekend zijn welke maatregelen de gebruikte internetprovider en cloudproviders hebben genomen. Een ander onderdeel van het plan van aanpak is het opstellen van een ddos-responsplan en een ddos-bedrijfscontinuïteitplan.
Wanneer organisaties denken met een ddos-aanval te maken hebben, adviseren FBI en CISA om dit eerst te bevestigen en de eigen provider te benaderen. Vervolgens moeten mitigerende maatregelen worden uitgerold en moet het netwerk actief gemonitord worden. Daarbij doen de FBI en het CISA ook aanbevelingen voor het instellen van de firewall. Zodra de aanval voorbij is, vraagt de FBI dit te melden en kunnen organisaties hun responsplan aanpassen om de reactie op toekomstige aanvallen te verbeteren.
Sluit je aan bij FERM
Blijf alert. Installeer updates en let op phishing mails. Gebruik MFA. En – voor alle bedrijven in de Rotterdamse haven – sluit je aan bij FERM. Zodat je daarnaast ook acute dreigingsinformatie kunt ontvangen, vragen kunt stellen aan de vertrouwde community om je heen, en ondersteund kunt worden in de stappen richting NIS2.
Kijk voor meer informatie op ferm-rotterdam.nl/lid-worden
Aan deelname is altijd een kosteloze proefperiode van 3 maanden verbonden.
Ook krijg je direct en zonder voorwaarden een voucher van 500 euro voor diensten uit ons portfolio.
Besluit je na 3 maanden om participant te blijven, dan krijg je 1/3 van de fee ook direct als voucher retour.
Vind FERM ook op LinkedIn