Securityjournalist Brian Krebs meldt dat diverse beveiligers hebben gezien hoe bedrijven worden afgeperst met het inmiddels bekende recept: 'betaal ons of ervaar grote DDoS'. Opvallend is dat de criminelen het exacte bedrag dat ze eisen in de pakketjes gebruiken die via memcached worden versterkt om een site te overspoelen met requests.

Aanvallers stoppen de losgeldeis van 50 Monero in een bestand van 1 megabyte groot en plaatsen deze in een kwetsbare server die memcached draait, legt Krebs uit. Dat bestand wordt dan duizenden keren aangesproken en de antwoorden van de server worden op het gespoofte IP-adres afgevuurd. Er worden momenteel dagelijks duizenden memchached-DDoS-aanvallen uitgevoerd.

Lees ook: Hoe werkt die nieuwe DDoS-aanval via memcached?

Er zijn niet zoveel openstaande memcached-servers nodig om zo'n UDP-aanval uit te voeren. Daarbij is de versterkingsfactor veel groter, tot op een factor van 50. Eén request genereert daarmee een respons die duizenden keren groter is dan het originele pakketje. GitHub kreeg vorige week al te maken met een 1,35 Tbps-aanval, tot op dat moment de grootste DDoS-capaciteit ooit.

Beveiligers dringen er momenteel bij ISP's en webhosters op aan om verkeer naar UDP-poort 11211 te blokkeren.