In de eerste helft van 2024 heeft Cloud­flare 8,5 miljoen DDoS-aanvallen tegen­ge­houden: 4,5 miljoen in het eerste kwartaal en 4 miljoen in het tweede kwartaal. Over het geheel genomen daalde het aantal DDoS-aanvallen in het tweede kwartaal met 11% op kwartaal­basis, maar steeg het met 20% op jaarbasis. Ter verge­lij­king: In 2023 zijn er 14 miljoen DDoS-aanvallen afgeweerd, dus halver­wege 2024 is al 60% van het aantal van vorig jaar tegengehouden.

Cloud­flare heeft succesvol 57 petabytes aan DDoS-aanvals­ver­keer op de netwerk­laag weten te beperken, zodat het de servers van klanten niet kon bereiken. Om dit in perspec­tief te plaatsen: de volle­dige catalogus van Netflix, die naar schat­ting tussen de 100 en 360 terabytes groot is, past zo’n 162 keer binnen de 57 petabytes aan netwerk­ver­keer dat is tegengehouden.

Verder uitge­splitst bestonden de 4 miljoen DDoS-aanvallen uit 2,2 miljoen DDoS-aanvallen op de netwerk­laag en 1,8 miljoen HTTP DDoS-aanvallen. Het aantal HTTP DDoS-aanvallen is genor­ma­li­seerd om de explosie aan geavan­ceerde en wille­keu­rige HTTP DDoS-aanvallen te compen­seren. Cloudflare’s geauto­ma­ti­seerde mitiga­tie­sys­temen genereren realtime vinger­af­drukken voor DDoS-aanvallen, en vanwege de wille­keu­rige aard daarvan heeft men waarge­nomen dat er veel vinger­af­drukken worden gegene­reerd voor afzon­der­lijke aanvallen. 

Het werke­lijke aantal vinger­af­drukken dat werd gegene­reerd lag dicht bij de 19 miljoen, dus ruim tien keer groter dan het genor­ma­li­seerde aantal van 1,8 miljoen. De miljoenen vinger­af­drukken die werden gegene­reerd om met de rando­mi­satie om te gaan, kwamen voort uit slechts enkele mitiga­tie­re­gels. Deze regels deden hun werk om aanvallen te stoppen, maar ze dreven de cijfers op, dus zijn ze uitge­sloten van de berekening.

Het tienvou­dige verschil benadrukt de drama­ti­sche veran­de­ring in het cyber­drei­gings­land­schap. De tools en capaci­teiten die aanval­lers in staat stelden zoveel geavan­ceerde geran­do­mi­seerde aanvallen uit te voeren, werden voorheen geasso­ci­eerd met capaci­teiten die voorbe­houden waren aan actoren op staats­ni­veau, of door staten gespon­sorde aanval­lers. Door de opkomst van genera­tieve AI en automa­ti­sche systemen die kwaad­wil­lenden kunnen helpen sneller betere code te schrijven, hebben die mogelijk­heden hun weg gevonden naar gewone cybercriminelen.

Ransom DDoS-aanvallen

In mei 2024 bereikte het percen­tage aange­vallen Cloud­flare-klanten dat rappor­teerde te worden bedreigd door een DDoS-aanval, of onder­worpen aan een ransom DDoS-aanval, 16%. Dat is het hoogste percen­tage in de afgelopen twaalf maanden. Het kwartaal begon relatief laag: 7% van de klanten rappor­teerde een aanval voor losgeld. Dat steeg snel naar 16% in mei en daalde in juni lichtjes naar 14%. Over het geheel genomen zijn de DDoS-aanvallen met losgeld het afgelopen jaar kwartaal op kwartaal toege­nomen. In het tweede kwartaal van 2024 bedroeg het percen­tage 12,3%, iets hoger dan het kwartaal ervoor (10,2%) maar verge­lijk­baar met het percen­tage in 2023 (12,0%).

Aanvallers

75% van de respon­denten meldde dat ze niet wisten wie hen aanviel of waarom. Deze respon­denten zijn Cloud­flare-klanten die het doelwit waren van HTTP DDoS-aanvallen. Van de respon­denten die beweren dat ze het wisten, zei 59% dat ze door een concur­rent zijn aange­vallen. 21% zei dat de DDoS-aanval werd uitge­voerd door een ontevreden gebruiker of klant en 17% zei dat de aanvallen werden uitge­voerd door dreigings­ac­toren van staten, of door een staat gespon­sord. De overige 3% gaf aan dat het een zelf toege­brachte DDoS-aanval was.

Meest aangevallen landen en regio’s

In het tweede kwartaal van 2024 was China het meest aange­vallen land ter wereld. Cloudflare’s rangschik­king houdt rekening met HTTP DDoS-aanvallen, DDoS-aanvallen op de netwerk­laag, het totale volume en het percen­tage DDoS-aanvals­ver­keer van het totale verkeer. Na China komt Turkije op de tweede plaats, gevolgd door Singapore, Hong Kong, Rusland, Brazilië en Thailand. De overige landen en regio’s die de top 15 van meest aange­vallen landen vormen, staan in een grafiek op Cloudflare’s website.

Meest aangevallen marktsectoren

De IT-sector was in het tweede kwartaal van 2024 het meest aange­vallen markt­seg­ment. De methoden voor rangschik­king die Cloud­flare hiervoor gebruikt, volgen dezelfde principes als eerder beschreven om het totale volume en het relatieve aanvals­ver­keer voor zowel HTTP- als netwerk­laag-DDoS-aanvallen in één enkele rangschik­king te destil­leren. Op de tweede plaats werd de voedings­mid­delen- en dranken­sector het meest aange­vallen, als derde de sector telecom­mu­ni­catie, provi­ders en carriers en als vierde bedrijven die actief zijn in de markt voor consumentengoederen. 

Belangrijkste leerpunten

Het meren­deel van de DDoS-aanvallen is klein en duurt maar kort. Maar zelfs deze aanvallen kunnen online diensten verstoren die niet de best practices voor DDoS-verde­di­ging volgen. De kwaad­wil­lenden gebruiken steeds verfijn­dere aanvals­me­thoden, mogelijk als een gevolg van de beschik­baar­heid van genera­tieve AI en copilots van ontwik­ke­laars. Dit resul­teert in codes voor DDoS-aanvallen waartegen moeilijker te verde­digen is. Zelfs vóór de toene­mende verfij­ning van aanvallen hadden veel organi­sa­ties al moeite om zich op eigen kracht tegen deze bedrei­gingen te verde­digen. Gelukkig is dat niet nodig, omdat Cloud­flare er is om bedrijven te helpen en flink inves­teert in betere geauto­ma­ti­seerde bevei­li­ging tegen het toene­mend aantal DDoS-aanvallen.