Zeer zware DDoS-aanval uitgevoerd met ‘Leet botnet’

hacker

Recentelijk zijn regelmatig zeer zware DDoS-aanvallen die zijn uitgevoerd met behulp van het Mirai-botnet in het nieuws geweest. Enkele dagen voor kerst is opnieuw een zeer zware DDoS-aanval geregistreerd. Deze is echter niet uitgevoerd met het Mirai-botnet, maar met een botnet dat is gebouwd met behulp van de malware ‘Leet’.

Dit melden onderzoekers van beveiligingsbedrijf Imperva. De onderzoekers stellen dat het Imperva Incapsula netwerk enkele dagen voor kerst een DDoS-aanval met een capaciteit van maar liefst 650 Gbps heeft gemitigeerd. Dit is één van de zwaardere cyberaanvallen die in 2016 is geregistreerd. Het botnet maakt gebruik van zowel grote als kleine SYN-pakketjes. Hierbij werden kleinere pakketjes ingezet om meer dan 150 miljoen pakketjes per seconde te kunnen versturen, terwijl de grote pakketjes zijn ingezet om de totale capaciteit van de aanval op te schroeven.

Leet botnet

Het botnet wordt door onderzoekers van Imperva het ‘Leet botnet’ genoemd. Deze naam verwijst naar een handtekening die de aanvallers hebben achtergelaten in de TCP Options headers van kleinere pakketjes die tijdens de aanval zijn ingezet. Deze handtekening luidt ‘1337’. Het is onduidelijk wat voor apparaten zijn opgenomen in het Leet botnet, aangezien gebruik wordt gemaakt van gespoofte IP-adressen.

Opvallend is ook de data die tijdens de aanval door het botnet is verstuurd. “De volledige aanval bestond uit een wirwar van verpluverde systeembestanden van duizenden en duizenden gecomprommiteerde apparaten”, melden Avishay Zawoznik en Dima Bekerman van Imperva. “Dit is een effectieve obfuscatietechniek die kan worden gebruikt om een onbeperkt aantal extreem gerandomiseerde payloads te creëren. Met behulp van deze payloads kan een aanvallen signature-gebaseerde beveiligingssystemen omzeilen die aanvallen mitigeren door overeenkomsten in de inhoud van netwerkpakketjes te detecteren.”

Lees ook
Drie trends voor cyberaanvallen in 2024

Drie trends voor cyberaanvallen in 2024

Allianz: in België blijven Cyberincidenten (bijv. cybercriminaliteit, verstoringen van IT-netwerken en -diensten, malware/ransomware, datalekken, boetes en straffen) het nummer één risico sinds 2018. In Nederland klommen Cyberincidenten vier posities naar de tweede plaats.

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt overname Avian Digital Forensics aan

DataExpert kondigt de overname aan van Avian Digital Forensics, een Deens bedrijf gespecialiseerd in digitale recherche- en eDiscovery-technologieën. Met de overname van Avian versterkt DataExpert zijn aanwezigheid in de Scandinavische landen.

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Ongebruikelijke aanvalsketen TA577 veroorzaakt NTLM-datadiefstal

Proofpoint identificeerde vorige week een nieuwe aanvalsketen van TA577 die NT LAN Manager authenticatie-informatie steelt. Het cybersecurity bedrijf identificeerde minstens twee campagnes die dezelfde techniek gebruikten voor het stelen van NTLM hashes op 26 en 27 februari 2024.