È stato recentemente pubblicato un report sugli attacchi DDoS tramite botnet per il primo trimestre del 2018, che evidenzia un aumento delle attività mediante botnet già utilizzate e nuove, la crescita della popolarità degli “amplification attack” e il ritorno di attacchi DDoS di lunga durata (multi-day).
Nel primo trimestre del 2018, gli attacchi DDoS tramite botnet hanno colpito le risorse online di 79 paesi. Di questi, quelli che hanno registrato il maggior numero di attacchi sono stati, ancora una volta, Cina, Stati Uniti e Corea del Sud, che continuano a guidare la classifica per numero di server a disposizione degli aggressori e, di conseguenza, per numero di siti e servizi ospitati su di essi. Hong Kong e il Giappone, nel frattempo, hanno sostituito Paesi Bassi e Vietnam nell’elenco dei primi 10 paesi più colpiti.
I cambiamenti alla lista dei 10 paesi con il maggior numero di server Command-and-Control sono ancora più significativi e vedono Italia, Hong Kong, Germania e Regno Unito fare il loro ingresso al posto di Canada, Turchia, Lituania e Danimarca. Queste modifiche sono probabilmente dovute al drammatico aumento di attività di server Camp;C di Darkai, un clone di Mirai, e del numero di bot AESDDoS; inoltre anche le vecchie botnet Xor e YoYo hanno ripreso la loro attività. Anche se la maggior parte di queste botnet utilizza Linux, la percentuale di quelle effettivamente basate su Linux ha subito un lieve calo nel primo trimestre, se messa a confronto con quella dello scorso anno, registrando un 66% contro il 71% del 2017.
Inoltre, dopo un breve periodo di tregua, sembra che siano ritornati gli attacchi di lunga durata: il più lungo attacco DDoS registrato nel trimestre è durato 297 ore (più di 12 giorni). Un attacco più lungo di questo è stato segnalato l’ultima volta a fine 2015.
L’ultima parte del periodo analizzato è stata contraddistinta da Memcached flood senza precedenti in termini di portata, in alcuni casi superiori a 1 TB. Tuttavia, gli esperti credono che la loro popolarità avrà vita breve, perché gli attacchi Memcached flood non colpiscono solo i loro obiettivi, ma anche le società involontariamente coinvolte nella realizzazione degli attacchi stessi.
I server delle azienda con il vulnerabile servizio Memcached vengono utilizzati dai cybercriminali per attaccare altri servizi e generare così un volume di traffico in uscita tanto grande da mandare in crash le risorse web dell’azienda. Ecco perché questi attacchi sono destinati ad avere vita breve: i complici inconsapevoli degli attacchi Memcached si accorgono presto del carico maggiore e correggono rapidamente le vulnerabilità per evitare perdite, riducendo così il numero di server a disposizione degli aggressori.
In generale la popolarità degli “amplification attack”, in precedenza in fase di diminuzione, ha guadagnato nuovo slancio nel primo trimestre del 2018. Ad esempio, è stato registrato un tipo di attacco, raro nonostante la sua efficacia, nel quale il servizio LDAP era stato usato come amplificatore. Insieme a Memcached, NTP e DNS, questo servizio è uno di quelli con il maggiore fattore di amplificazione. Tuttavia, a differenza di Memcached, il traffico-spazzatura da LDAP è a malapena in grado di ostruire il canale in uscita, rendendo più difficile l’identificazione e la risoluzione del problema da parte del proprietario del server vulnerabile. Nonostante il numero relativamente basso di server LDAP disponibili, è possibile che questo tipo di attacco diventerà una hit su Darknet nei prossimi mesi.
“Sfruttare le vulnerabilità è il mezzo preferito dei criminali informatici la cui attività è la creazione di botnet per attacchi DDoS. Tuttavia, come hanno dimostrato i risultati relativi ai primi mesi dell’anno, non sono solo le vittime degli attacchi DDoS ad essere colpite, ma anche quelle aziende con un’infrastruttura che include canali vulnerabili. Gli eventi del primo trimestre riaffermano una semplice verità: le piattaforme utilizzate da qualsiasi azienda per implementare la sicurezza online multilivello devono includere regolari patch per le vulnerabilità e protezione permanente contro gli attacchi DDoS”, ha commentato Alexey Kiselev, Project Manager del Kaspersky DDoS Protection team.
