Afgelopen maand zijn er veel overheden, banken, luchthavens en bedrijven geraakt door DDoS-aanvallen. Deze aanvallen worden uitgevoerd door hacktivisme groepen die Rusland steunen en die wraak nemen met name voor het leveren van wapens aan Oekraïne. In mei vonden er grote aanvallen plaats op organisaties in Duitsland, Italië en de Verenigde Staten (VS). In Italië werd ook het ministerie van Volksgezondheid geraakt.
Alhoewel zorginstellingen niet direct doelwit waren, is het goed mogelijk dat internetserviceproviders van de aangevallen organisaties ook diensten leveren aan zorginstellingen. Een DDoS-aanval op een bank kan daardoor ook impact hebben op een zorginstelling. Daarnaast lijken sommigen aanvallen minder selectief te zijn, recent werden bijvoorbeeld hostingpartijen en datacenters aangevallen in Polen, zonder dat men direct uit leek te zijn op een bepaalde klant van deze partijen.
Ons advies is om extra aandacht te besteden aan deze DDoS-dreiging in uw contacten met leveranciers. Als u deze DDoS-dreiging bespreekt met uw leveranciers is het goed te weten om wat voor aanvallen het gaat. Het nationale CERT van Italië gaf aan dat er aanvallen waren die ongeveer 10 uur duurden en op sommige momenten een kracht hadden van 40 Gbit/seconde. Het volgende type aanvallen werden waargenomen:
- ICMP Flood
- IP Fragmentation
- TCP SYN Flood
- TCP RST Flood
- TCP SYN / ACK
- NTP Flood
- DNS Amplification
- LDAP Connection less (CLAP)
Voor meer informatie verwijzen we naar de website van het Italiaanse nationale CERT. Voor meer informatie over het mitigeren van DDoS-aanvallen verwijzen we naar een kennisdocument (pdf) van het NCSC.
We blijven het dreigingslandschap monitoren en houden u op de hoogte als er noemenswaardige veranderingen zijn.