Europol ontmantelt 27 DDoS-aanvalplatforms in 15 landen; Beheerders gearresteerd

Een wereldwijde wetshandhavingsoperatie heeft 27 stressdiensten die werden gebruikt om DDoS-aanvallen (distributed denial-of-service) uit te voeren, gefaald en offline gehaald als onderdeel van een meerjarige internationale oefening genaamd PowerOFF.

De inspanning, gecoördineerd door Europol en waarbij 15 landen betrokken waren, ontmantelde verschillende booter- en stresser-websites, waaronder zdstresser.net, orbitalstress.net en starkstresser.net. Deze services maken doorgaans gebruik van botnet-malware die op besmette apparaten wordt geïnstalleerd om namens betalende klanten aanvallen uit te voeren op doelen van hun voorkeur.

Daarnaast zijn in Frankrijk en Duitsland drie beheerders die betrokken zijn bij de illegale platforms gearresteerd, waarbij meer dan 300 gebruikers zijn geïdentificeerd voor geplande operationele activiteiten.

“Deze platforms staan ​​bekend als ‘booter’- en ‘stresser’-websites en stelden cybercriminelen en hacktivisten in staat hun doelen te overspoelen met illegaal verkeer, waardoor websites en andere webgebaseerde diensten ontoegankelijk werden”, aldus Europol in een verklaring.

“De motivaties voor het lanceren van dergelijke aanvallen variëren, van economische sabotage en financieel gewin tot ideologische redenen, zoals aangetoond door hacktivistische collectieven zoals KillNet of Anonymous Sudan.”

In een gecoördineerde verklaring zegt de Nederlandse Politie vervolging te zijn gestart tegen vier verdachten tussen de 22 en 26 jaar oud, afkomstig uit Rijen, Voorhout, Lelystad en Barneveld, voor het uitvoeren van honderden DDoS-aanvallen.

Deelnemende landen aan PowerOFF zijn onder meer Australië, Brazilië, Canada, Finland, Frankrijk, Duitsland, Japan, Letland, Nederland, Polen, Portugal, Zweden, Roemenië, het Verenigd Koninkrijk en de Verenigde Staten.

De ontwikkeling komt iets meer dan een maand nadat de Duitse wetshandhavingsautoriteiten de verstoring aankondigden van een criminele dienst genaamd dstat(.)cc die het voor andere bedreigingsactoren mogelijk maakte om gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren.

Eerder deze maand zei webinfrastructuur- en beveiligingsbedrijf Cloudflare dat winkel- en winkelsites in de Verenigde Staten die door Cloudflare worden beschermd, een aanzienlijke stijging van de DDoS-activiteit ervaarden die samenviel met het Black Friday/Cyber ​​Monday-winkelseizoen.

Het bedrijf onthulde ook dat 6,5% van het wereldwijde verkeer in 2024 door zijn systemen werd beperkt als potentieel kwaadaardig of om door de klant gedefinieerde redenen. Bedrijven in de gok- en gamesindustrie werden in deze periode het meest aangevallen, gevolgd door de sectoren Financiën, Digital Native, Maatschappij en Telecom.

De bevindingen volgen ook op de ontdekking van een “alomtegenwoordige” fout in de configuratie die aanwezig is in bedrijfsomgevingen die een CDN-gebaseerde webapplicatie-firewall (WAF)-service implementeren, waardoor bedreigingsactoren de beveiligingsrails kunnen omzeilen die vóór webbronnen zijn geplaatst en DDoS-aanvallen kunnen uitvoeren. De techniek heeft de codenaam Breaking WAF gekregen.

“De verkeerde configuratie komt voort uit het feit dat moderne WAF-providers ook optreden als CDN-providers (content delivery network), ontworpen om netwerkbetrouwbaarheid en caching voor webapplicaties te bieden”, aldus Zafran-onderzoekers. “Deze dubbele functionaliteit vormt de kern van deze wijdverbreide architecturale blinde vlek van CDN/WAF-providers.”

Om het risico van de aanval te beperken, wordt organisaties aangeraden de toegang tot hun webapplicaties te beperken door het gebruik van IP-toelatingslijsten, op HTTP-headers gebaseerde authenticatie en wederzijds geauthenticeerde TLS (mTLS).

Thijs Van der Does