10/12/2015 di Redazione

Attacchi Ddos: boom nel terzo trimestre del 2015, cala la durata

Akamai ha registrato 1.510 incursioni nel periodo luglio-settembre di quest’anno, con un aumento del 180% rispetto al Q3 del 2014. Diminuisce però anche il volume di traffico generato, con soli otto ‘mega raid’ da oltre 100 Gbps. Colpiti soprattutto il re

immagine.jpg

Nel mondo selvaggio del Web sembra esserci una cosa che non conosce crisi: l’attacco Ddos. Secondo il nuovo report sulla sicurezza informatica pubblicato da Akamai, nel terzo trimestre del 2015 si sono verificati 1.510 attacchi di questo genere, con un incremento del 180% rispetto allo stesso periodo dell’anno scorso e in crescita di 23 punti sul secondo trimestre. Ma, a un numero maggiore di incursioni, si sono ridotte banda media di picco e durata. Gli attacchi definiti “mega”, equivalenti cioè a oltre 100 Gbps, sono stati solo otto, contro i 12 del trimestre precedente. La botnet che più ha impegnato gli esperti di sicurezza negli ultimi tre mesi è stata Xor, che ha scatenato un volume di traffico pari a 149 Gbps, comunque in calo rispetto ai 250 del periodo aprile-giugno.

Ma il Q3 è stato comunque da record. Un’azienda del settore media e intrattenimento, il mercato più colpito, è stata interessata da un numero record di 222 milioni di pacchetti per secondo (Mpps) con un leggero incremento rispetto ai 214 Mpps registrati nel secondo trimestre. Considerando che il volume di picco medio per tutti gli attacchi osservati dalla rete di Akamai nei tre mesi è stato di 1,57 Mpps, un’operazione di queste proporzioni potrebbe mettere fuori uso un router tier 1 come quelli utilizzati dagli Internet Service Provider.

Oltre al comparto media, un’altra vittima illustre è stata il gaming online, che ha assorbito circa il 50% di tutte le incursioni. Seguono poi il settore software e tecnologico, con il 25%. Secondo i dati rilevati da Akamai, sono cambiate anche le metodologie di exploit, con i pirati informatici che si sono fatti da un lato più “pigri”, ma soltanto per sfruttare le vulnerabilità già esistenti. Invece che investire tempo ed energie per costruire e manutenere botnet Ddos come avveniva in passato, gli hacker hanno iniziato a sfruttare il panorama esistente di dispositivi di rete esposti e di protocolli non sicuri.

 

Fonte: Akamai, Ddos and Web applications attacks

 

Gli attacchi di tipo reflection sono risultati di conseguenza i più popolari rispetto a quelli infection-based. I primi, infatti, rappresentavano solo il 5,9% del traffico Ddos nel terzo trimestre 2014, mentre nel periodo luglio-settembre 2015 sono cresciuti fino a toccare il 33,2%. “Gli attacchi sono resi più semplici dalla disponibilità di siti ‘Ddos-for-hire’ che identificano e sfruttano i servizi Internet esposti come Ssdp, Ntp, Dns, Chargen e anche Quote of the Day”, commenta John Summers, responsabile della business unit Cloud Security di Akamai.

La seconda categoria di incursioni monitorata dal vendor è stata quella relativa alle applicazioni Web. Nel secondo trimestre 2015, la vulnerabilità Shellshock ha dominato la scena degli attacchi tramite Https, fenomeno che non si è poi ripetuto nel Q3. Di conseguenza, la percentuale di raid ad applicazioni Web lanciati su Http (88%) rispetto a quelli Https (12%) è ritornata a livelli più consueti. La seconda metodologia è destinata probabilmente a crescere, perché sempre più siti scelgono di adottare il traffico Tls come livello di sicurezza standard. Gli autori degli attacchi possono anche utilizzare Http nel tentativo di penetrare nei database di backend.

Il settore del retail è stato quello più colpito, con oltre il 55% delle incursioni, seguito a distanza dal settore dei servizi finanziari (15%). Gli attacchi ad applicazioni web si basano in modo importante su botnet che sfruttano router e dispositivi domestici non protetti. Nel terzo trimestre è stato osservato anche un aumento nei tentativi di raid ai plugin WordPress, non solo per i più popolari ma anche per quelli meno conosciuti.

 

Fonte: Akamai, Ddos and Web applications attacks

 

Ma quali sono stati i Paesi più colpiti e quelli da cui è scaturita la maggior parte degli attacchi? Nel terzo trimestre del 2015 le vittime, nel 75% dei casi, sono stati gli Usa. Ma la federazione è stata anche la principale fonte del traffico Ddos, con il 59% del volume generato. I tre principali Autonomous System Number (Asn) da cui sono partite le incursioni sono risultati associati con Virtual Private System (Vps) posseduti da fornitori di servizi cloud molto conosciuti negli Stati Uniti. Molti dei server virtuali che vengono aggiunti ogni giorno alla nuvola mancano infatti dei requisiti minimi di sicurezza e possono essere compromessi abbastanza facilmente per essere utilizzati nelle botnet.

 

ARTICOLI CORRELATI