Attacchi DDoS: diminuiscono gli attacchi di base, ma aumentano quelli più sofisticati

Il “Kaspersky Lab DDoS Q4 Report”, dedicato alle statistiche degli attacchi DDoS nell’ultimo trimestre del 2018 e dell’intero anno, mette in evidenza un calo del 13% nel numero complessivo di attacchi DDoS rispetto a quanto registrato nell’anno precedente. La durata degli attacchi misti e di tipo “HTTP flood”, però, è in crescita: questo suggerisce che i cybercriminali si stanno evolvendo verso tecniche di attacco DDoS più sofisticate.

Il basso costo del “DDoS-as-hire” rende questo tipo di attacco una delle armi informatiche più accessibili per competitor scorretti o per troll su Internet. Le aziende, indipendentemente dalle loro dimensioni o dal loro settore, possono trovarsi ad affrontare questo tipo di minaccia e andare incontro a danni economici o reputazionali nel caso in cui gli utenti legittimi o i clienti non possano accedere alle risorse web dell’azienda. Nel 2018 il numero di attacchi DDoS sembra essere diminuito; nonostante questo, è troppo presto per rallegrarsi perché una diminuzione nel numero degli attacchi non corrisponde necessariamente ad una riduzione della loro gravità. Secondo i ricercatori di Kaspersky Lab, dal momento che sempre più organizzazioni adottano soluzioni per proteggersi da attacchi DDoS di tipo semplice, è probabile che nel 2019 gli attaccanti miglioreranno le loro competenze per superare le misure di protezione standard per questo tipo di attacchi e portare così la complessità generale di questa cyberminaccia ad un livello superiore.

Sebbene il numero di attacchi stia diminuendo, l’analisi degli esperti di Kaspersky Lab ha rilevato che la durata media degli stessi attacchi è in crescita. Rispetto all’inizio dell’anno, la durata media di questo tipo di attacchi è più che raddoppiata, passando dai 95 minuti registrati nel corso del primo trimestre ai 218 minuti del quarto trimestre. È importante notare che gli attacchi di tipo “UDP flood” (quando un attaccante invia un gran numero di pacchetti UDP alle porte del server di destinazione per sovraccaricarlo e fare in modo che non risponda agli utenti), che rappresentano quasi la metà (il 49%) degli attacchi DDoS del 2018, sono stati di breve durata e raramente sono durati più di 5 minuti.

Gli esperti di Kaspersky Lab ipotizzano che la diminuzione della durata degli attacchi di tipo “UDP flood” dimostri che il mercato degli attacchi più facili da organizzare sia in fase di contrazione. La protezione da questo tipo di attacchi DDoS si sta diffondendo ampiamente, rendendoli inefficaci nella maggior parte dei casi. I ricercatori pensano che gli attaccanti abbiano lanciato numerosi attacchi di tipo “UDP flood” per verificare se una risorsa presa di mira sia effettivamente protetta oppure no. Se è subito chiaro che i tentativi non riscontrano alcun successo, i cybercriminali fermano l’attacco.

Allo stesso tempo, gli attacchi più complessi (come quelli che implicano l’”HTTP misuse”), che richiedono tempo e denaro, continueranno a lungo. Come ha rivelato il report di Kaspersky Lab, il metodo “HTTP flood” e gli attacchi misti, con componente HTTP, le cui percentuali erano prima relativamente basse (17% e 14%), rappresentano circa l’80% del tempo di attacco DDoS dell’intero 2018.

“Quando la maggior parte dei semplici attacchi DDoS non raggiunge lo scopo prefissato, le persone che guadagnano denaro lanciando questo tipo di attacchi hanno due possibilità. Possono, ad esempio, riconfigurare le capacità necessarie per gli attacchi DDoS verso altre fonti di guadagno, come il cryptomining, oppure devono migliorare le loro competenze tecniche, poiché, in alternativa, i loro “clienti” cercheranno degli attaccanti più esperti. Alla luce di tutto questo, possiamo prevedere che gli attacchi DDoS si evolveranno nel 2019 e che diventerà sempre più difficile per le aziende rilevarli e proteggersi”, commenta Alexey Kiselev, Business Development Manager del Kaspersky DDoS Protection team.

Per quanto riguarda i risultati dell’ultimo trimestre, l’attacco DDoS più lungo rilevato nel quarto trimestre è durato 329 ore (quasi 14 giorni); un attacco così lungo era stato registrato l’ultima volta solo alla fine del 2015.

I tre stati che hanno subito il maggior numero di attacchi DDoS restano gli stessi. La Cina è di nuovo al primo posto, ma la percentuale relativa è scesa in modo netto, passando dal 77,67% al 50,43%. Gli Stati Uniti rimangono secondi nella classifica, mentre il terzo posto è ancora occupato dall’Australia.

Per quanto riguarda la distribuzione degli obiettivi, la Cina è ancora in cima alla lista, ma la percentuale relativa è scesa al 43,26% (contro il 70,58% del terzo trimestre del 2018).

Nel quarto trimestre, inoltre, ci sono stati dei cambiamenti anche nei paesi che ospitano la maggior parte dei server C&C. Come nel trimestre precedente, gli Stati Uniti sono rimasti i leader, ma il Regno Unito e l’Olanda si sono posizionati al secondo e terzo posto, sostituendo rispettivamente Russia e Grecia. Ciò è probabilmente dovuto al significativo aumento del numero di server C&C Mirai attivi in questi paesi.