I nuovi dati degli F5 Labs rivelano una crescita del 64% del numero di attacchi e una maggiore diversità tattica da parte dei cybercriminali. Nel 2017 l’area EMEA ha subito oltre il 51% degli attacchi a livello globale

ddos-attacks

Gli F5 Labs hanno diffuso nuovi dati sulla continua crescita ed evoluzione degli attacchi DDoS in EMEA. Secondo i dati relativi ai clienti raccolti dal Security Operations Center (SOC) di F5 in Polonia, il 2017 ha visto una crescita del 64% degli incidenti neutralizzati. L’area EMEA è saldamente in prima linea per numero di attacchi subiti, registrando oltre il 51% degli attacchi DDoS segnalati a livello globale.

Nel corso dell’anno, F5 ha riportato una crescita del 100% della tecnologia Web Application Firewall (WAF) implementata dai clienti in EMEA; nel contempo, l’adozione di soluzioni anti-frode è cresciuta del 76% e gli attacchi DDoS del 58%.
Una scoperta chiave è stata il relativo calo di potenza dei singoli attacchi. Nel 2016, il SOC aveva registrato attacchi multipli di oltre 100 Gbps, alcuni dei quali superavano i 400 Gbps.

Nel 2017 l’attacco più potente ha raggiunto i 62 Gbps. Questo suggerisce uno spostamento verso attacchi DDoS di Layer 7 più sofisticati che sono potenzialmente meno efficaci e richiedono una larghezza di banda più ridotta. Il 66% dei DDoS segnalati ha sfruttato più vettori di attacco rendendo necessari strumenti di contenimento e conoscenze sofisticate.

“Le minacce DDoS sono in aumento nell’area EMEA in confronto al resto del mondo, e osserviamo notevoli cambiamenti nella loro portata e sofisticazione rispetto al 2016”, commenta Kamil Wozniak, Manager del SOC di F5. “Le aziende devono essere consapevoli del cambiamento e assicurarsi, a titolo prioritario, che le giuste soluzioni siano state implementate per fermare gli attacchi DDoS prima che raggiungano le applicazioni e impattino negativamente sul funzionamento aziendale. L’area EMEA è chiaramente una zona nevralgica per gli attacchi su scala globale, perciò per i decisori c’è poca possibilità di perdere di vista l’obiettivo”.

Le quattro stagioni della threat intelligence

I primi 4 mesi del 2017 sono iniziati col botto, con i clienti di F5 posti di fronte alla più vasta gamma di attacchi distruttivi registrata a oggi.  Gli UDP flood (User Diagram Protocol) si sono distinti, rappresentando il 25% di tutti gli attacchi. Gli aggressori generalmente inviano grandi pacchetti UDP a un’unica destinazione o a porte casuali, mascherandosi da entità affidabili prima di rubare dati sensibili. I secondi attacchi più comuni sono stati i DNS Reflection (18%) e gli attacchi SYN Flood (16%).

Il Q1 ha segnato anche il picco per quando riguarda gli attacchi ICMP (Internet Control Message Protocol), tramite i quali i cybercriminali sopraffanno le aziende con pacchetti di rapidi “echo request” (ping) senza attendere risposta. In forte contrasto, gli attacchi nel Q1 2016 si dividevano al 50% tra UDP e SSDP (Simple Service Discover Protocol floods).

Il secondo quarter si è dimostrato altrettanto impegnativo, con i SYN Floods alla guida degli attacchi (25%), seguiti dai Network Time Protocol e dagli UDP Floods (entrambi 20%).

Lo slancio degli assalitori è continuato nel Q3 con gli UDP Floods in prima linea (26%). Gli NTP floods sono risultati altrettanto diffusi (crescendo dall’8% dello stesso periodo nel 2016 al 22%), seguiti dai DNS reflection (17%).

L’anno è terminato con un maggior predominio degli UDP floods (25% di tutti gli attacchi). Si è trattato anche del periodo più impegnato per i DNS reflection, che hanno rappresentato il 20% di tutti gli attacchi (rispetto all’8% registrato nello stesso periodo del 2016).

Un’altra scoperta fondamentale durante il Q4, che sottolinea chiaramente la capacità dei cybercriminali di reinventarsi, è stata la drammatica estensione di portata del trojan Ramnit. Inizialmente creato per colpire le banche, gli F5 Labs hanno scoperto che il 64% dei suoi obiettivi durante le festività natalizie è consistito in siti di e-commerce con sede negli USA. Altri nuovi obiettivi hanno incluso siti legati a viaggi, entertainment, food, incontri e pornografia. Altri trojan bancari per cui è stata osservata un’estensione di copertura sono i Trickbot, che infettano le proprie vittime con attacchi di social engineering, quali phishing o malvertising, per indurre gli utenti inconsapevoli a cliccare link malware o scaricare file malware.

“I vettori e le tattiche di attacco continueranno ad evolvere nell’area EMEA”, aggiunge Wozniak. “È vitale che le aziende adottino le giuste soluzioni e servizi operativi per proteggere le app ovunque esse risiedano. Nel 2017 c’è stato un ulteriore aumento del traffico internet criptato con SSL/TLS, quindi è essenziale che le soluzioni di contenimento dei DDoS possano esaminare la natura di questi attacchi sempre più sofisticati. Piena visibilità e maggior controllo a ogni livello sono fondamentali perché le aziende restino rilevanti e credibili agli occhi dei consumatori. Questo sarà particolarmente importante nel 2018 con l’entrata in gioco del GDPR (General Data Protection Regulation).”