Secondo una recente ricerca di OVH, basata sull’analisi degli indirizzi IP più attaccati durante il 2017 e dei profili dei rispettivi utenti, le piattaforme di gaming e e-commerce sono gli ambiti più colpiti dagli attacchi DDoS. La ricerca ha infatti rilevato che i servizi di gaming online sono stati i più colpiti, con i server di Minecraft al primo posto, seguiti da piattaforme di commercio elettronico di ogni dimensione.
Le altre organizzazioni che hanno ricevuto attacchi appartengono a settori eterogenei: tra i principali vi sono startup innovative, pubblica amministrazione e siti di informazione. Le motivazioni sono le più varie, dalla rivalità tra concorrenti alle dispute tra utenti fino alla censura verso i media.
Le minacce DDoS non si rivolgono esclusivamente ai grandi hosting provider. Tutti gli operatori di Internet sono potenzialmente esposti a questi cyberattacchi. Per questo, la capacità di anticiparli rappresenta un elemento chiave, assieme all’analisi della loro evoluzione e all’indicazione degli strumenti da utilizzare per proteggere i propri utenti.
Nel maggior parte dei casi, le motivazioni dei cybercriminali sono di carattere economico: gli attacchi vengono realizzati per ottenere denaro tramite l’estorsione. In altri seguono una strategia più sottile: causano danni ai concorrenti per attirare i loro clienti. Nonostante i siti di gioco online siano stati il settore che ha registrato il maggior numero di attacchi DDoS, a causa della competizione tra amministratori, questa pratica non è una loro esclusiva. Ad esempio, sono stati registrati casi di produttori di soluzioni di protezione da DDoS che hanno lanciato attacchi proprio per promuovere poi i loro prodotti di sicurezza.
Aumento del volume degli attacchi
Lo studio mostra anche che gli attacchi DDoS sono una grande preoccupazione per i professionisti del web. Lo scorso anno, 60.000 diversi indirizzi IP di OVH hanno subito almeno un attacco DDoS. VAC, il sistema di protezione da DDoS di OVH, ha rilevato una media di 1.800 DDoS al giorno, quindi circa 50.000 al mese, con il mese di giugno che si è rivelato quello con il numero più alto di segnalazioni.
L’analisi rivela anche come la maggior parte degli attacchi si siano svolti in serata, tra le ore 19:00 e le 21:00. Questa finestra di tempo coincide con il picco di maggiore attività delle piattaforme di gaming e di e-commerce, quando la richiesta di banda è più elevata. Nel momento in cui si deve ospitare traffico legittimo e traffico illecito (generato dagli attacchi), anche la più piccola congestione potrebbe compromettere la qualità del servizio e venire percepita da tutti gli utenti.
“Per questo motivo, in OVH stiamo investendo nelle capacità del nostro VAC e del backbone, per poter gestire questo tipo di attacchi, purtroppo inevitabili,” sottolinea Clément Sciacia, responsbile del progetto VAC di OVH. “Grazie a questo impegno siamo riusciti a mitigare gli attacchi più intensi, fino a 1,3 Tbit/s, senza interruzioni di servizio.”
Evoluzione della tipologia degli attacchi
Nonostante in primo piano ci siano vettori di attacco conosciuti, come UDP (User Datagram Protocol) con il 27% del totale, SYN Flood con il 21% e attacchi di amplificazione (20%), un’analisi più approfondita ha rivelato un’evoluzione della strategia: i cybercriminali hanno preferito massimizzare il numero di pacchetti al secondo, tramite l’invio di pacchetti più piccoli, di una dimensione inferiore a 100 byte, invece di saturare la banda.
Inoltre, gli attacchi diretti a livello applicativo (L7) sono aumentati in modo considerevole e le botnet IoT sono state ripristinate; questo dimostra che i cybercriminali cercano di sfruttare le vulnerabilità dell’IoT per ottenere ritorni economici. Queste tendenze riflettono il costante adattamento delle tecniche utilizzate ed è per questo che aziende come OVH devono continuare a investire per mantenere sempre più elevata la protezione dei propri utenti.
