Nel primo trimestre del 2015 sono più raddoppiati rispetto allo stesso periodo dello scorso anno. I criminali utilizzano nuove strategie per colpire le vittime

Secondo l’ultimo Rapporto Akamai sulla sicurezza informatica, il primo trimestre del 2015 ha fatto registrare un nuovo record nel numero di attacchi DDoS, più che raddoppiati rispetto al primo trimestre dello scorso anno e in crescita del 35% rispetto all’ultimo trimestre 2014.

Appare cambiato però il profilo degli attacchi. Lo scorso anno erano infatti di breve durata con alto consumo di banda; ora invece il tipico attacco DDoS usava meno di 10 gigabit per secondo ma durava più di 24 ore. Nel periodo si sono registrati 8 mega attacchi, ognuno da oltre 100 Gbps; uno in meno rispetto al Q4 2014, ma un anno fa attacchi di questa entità erano molto rari. Il più grosso attacco DDoS osservato nel Q1 2015 ha raggiunto un picco di 170 Gbps.

Nel corso dell’anno passato sono mutati anche i vettori degli attacchi DDoS. Nel trimestre in esame, gli attacchi Simple Service Discovery Protocol (SSDP) hanno rappresentato oltre il 20% dei vettori di attacco, mentre erano del tutto assenti nei primi due trimestri 2014. Gli attacchi SSDP sono resi possibili da una “vulnerabilità” di milioni di dispositivi domestici e da ufficio (router, media server, webcam, smart TC e stampanti) presente affinché essi possano riconoscersi su una rete, stabilire la connessione e coordinare le attività. Se lasciati non protetti e/o malamente configurati, tutti questi dispositivi connessi a Internet possono essere usati come “riflettori”.

Ancora una volta nel Q1 2015 il settore del gaming è stato il più colpito da attacchi DDoS. Al primo posto dal secondo trimestre 2014, questo comparto è stato oggetto dl 35% degli attacchi DDoS. Il settore del software e tecnologia è risultato il secondo più colpito, con il 25% degli attacchi.

Rispetto al Q1 2014

  • + 116,5% di attacchi DDoS
  • + 58,93% di attacchi DDoS al livello applicativo (Layer 7)
  • + 124,69% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
  • + 42,8% della durata media degli attacchi: 24,82 contro 17,38 ore

Rispetto al Q4 2014

  • +35,24% di attacchi DDoS
  • +22,22% di attacchi DDoS allivello applicativo (Layer 7)
  • +36,74% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
  • – 15,37% nella durata media degli attacchi: 24,82 contro 29,33 ore

Uno sguardo ai sette più comuni vettori di attacco alle applicazioni web

Per il rapporto Q1 2015 Akamai ha concentrato la sua analisi su sette comuni vettori di attacchi DDoS che rappresentano da soli 178,85 milioni di attacchi osservati nel periodo sulla rete Akamai Edge. Questi sono: SQL injection (SQLi), local file inclusion (LFI), remote file inclusion (EFL), PHP injection (PHPi), command injection (CMDi), Java injection (JAVAi) e malicious file upload  (MFU). 1

Nel corso del trimestre in esame, oltre il 66% degli attacchi a applicazioni web è stato attribuito a attacchi LFI. In particolare ciò è dovuto agli imponenti attacchi a due siti di ecommerce avvenuti in marzo e indirizzati al plugin RevSlider di WordPress.

Molto comuni anche gli attacchi SQLi, pari al 29% del totale. Una parte consistente di questi attacchi è riferito agli attacchi lanciati a due aziende operanti nel settore viaggi e hospitality. Gli altri cinque vettori hanno costituito il 5% rimanente di attacchi. Il settore retail è dunque risultato quello più colpito dagli attacchi a applicazioni web, seguito da media e intrattenimento e da alberghiero e viaggi.

La minaccia dei siti booter/stresser

Un anno fa, un picco di traffico generato da attacchi tramite utilizzo dei vettori da siti booter/stresser si aggirava tipicamente sui 10-20 Gbps. Questi siti ora sono diventati più pericolosi e capaci di lanciare attacchi da oltre 100 Gbps. Con nuovi metodi di attacco che compaiono ogni giorno, come quello di tipo SSDP, il danno potenziale rischia di aumentare nel tempo.

L’adozione di IPv6 comporta nuovi rischi di sicurezza

L’attacco DDoS IPv6 non è ancora un evento comune ma vi sono segnali che attori malevoli abbiano iniziato a sperimentare metodi di attacco DDoS IPv6. Una nuova serie di rischi associati al passaggio a IPv6 sta già impensierendo i fornitori di servizi cloud nonché i proprietari di reti aziendali e domestiche.  Molti attacchi DDoS IPv6 possono essere replicati usando protocolli IPv6 mentre alcuni nuovi vettori sono legati direttamente all’architettura IPv6. Molte delle caratteristiche di IPv6 possono permettere agli attaccanti di aggirare le protezioni basate su IPv4, creando una superficie di attacco DDoS più ampia ed efficace. Il rapporto delinea rischi e sfide che si prospettano nell’immediato futuro.

Gli attacchi SQL injection non si limitano al furto di dati

I primi attacchi SQL risalgono al 1998. Gli effetti di queste query possono andare oltre il semplice furto di dati e causare danni potenzialmente più gravi di quelli riconducibili alla sottrazione di dati. Questi attacchi possono infatti essere usati per modificare privilegi, eseguire comandi, infettare o corrompere dati. I ricercatori di Akamai hanno analizzato oltre 8 milioni di attacchi di questo tipo nel corso del trimestre, identificando i metodi e gli obiettivi più comuni.

Violazioni di siti web e furti di dominio

Centinaia di aziende che si occupano di web hosting forniscono questo servizio per pochi euro al mese. In questi casi è probabile che il provider ospiti più account sullo stesso server. In pratica può accadere che centinaia di siti e domini si trovino sotto lo stesso indirizzo IP, permettendo a un malintenzionato di sequestrare molti siti in una volta sola. Una volta che anche un solo sito è stato compromesso, l’hacker può potenzialmente intercettare le directory del server, leggere gli elenchi di username e password e accedere file di altri account, ad esempio le credenziali dei database. Con queste informazioni l’hacker può modificare file in ogni sito su quel server. Il rapporto comprende anche una spiegazione delle vulnerabilità e raccomanda quali misure difensive adottare.