Steeds meer cyberaanvallen via Network Time Protocol

De hoeveelheid 'NTP amplification'-aanvallen is in de afgelopen dertig dagen explosief gestegen. Cybercriminelen misbruiken het Network Time Protocol (NTP) waarmee computers hun klok kunnen gelijkstellen om Distributed Denial of Service (DDoS)-aanvallen op te zetten en zo websites of servers onbereikbaar te maken.

Prolexic Technologies waarschuwt dat het aantal 'NTP amplification'-aanvallen met maar liefst 371 procent is toegenomen. Dit heeft het bedrijf kunnen achterhalen door te kijken naar het aantal aanvallen naar eigen klanten. Bij iedere grote aanval die het beveiligingsbedrijf dit jaar tot nu toe heeft gezien was een NTP amplification-aanval. “In februari is het aantal NTP amplification-aanvallen tegen onze klanten met 371 procent toegenomen”, zegt Stuart Scholly, senior VP & general manager security bij Akamai

IP-adres vervalsen
Cybercriminelen vervalsen bij een NTP amplification-aanval het IP-adres van een doelwit en doen net alsof dit IP-adres een verzoek naar de NTP-server heeft gezonden. De NTP-server verstuurt vervolgens een antwoord terug dat maar liefst 200 keer zo groot kan zijn als het verzoek. Door dit verzoek een grote hoeveelheid keer gelijktijdig in te dienen kan een server of website onbereikbaar worden gemaakt.

Het uitvoeren van dergelijke cyberaanvallen wordt steeds eenvoudiger, aangezien de techniek is opgenomen in nieuwe toolkits om DDoS-aanvallen op te zetten. Cybercriminelen zouden slechts enkele servers nodig hebben om een NTP amplification-aanval op te kunnen zetten. Met de huidige generatie NTP amplification aanvalstoolkits zijn aanvallen met een datavolume van 100Gbps of meer mogelijk, via slechts enkele kwetsbare NTP-servers.

WH