Gli attacchi DDoS si evolvono per dimensioni e strategie. A dirlo è Akamai attraverso un report realizzato da Prolexic, azienda di sua proprietà e specializzata proprio in protezione dagli attacchi di tipo Distributed Denial of Service, cioè mirati a sovraccaricare la banda passante da un server o altre risorse fino a rendere indisponibile quel server, servizio o infrastruttura. A detta di Prolexic, nel secondo trimestre di quest’anno, rispetto al pari periodo del 2013, i picchi di banda generati da attacchi DDoS sono cresciuti del 241%, mentre numericamente il fenomeno è cresciuto ma di misura minore, il 22%.
L’impennata, da un anno all’altro, dei picchi di banda generati si spiega dunque soprattutto con la diversa “qualità”, più che con la quantità degli attacchi DDoS registrati nel trimestre. Rispetto al secondo quarter del 2013, quest’anno nel medesimo trimestre è cresciuta del 72% la media di attacchi mirati all’ampiezza di banda, mentre gli attacchi mirati alle infrastrutture (Livelli 3 e 4) hanno registrato un +46%. La durata media degli attacchi si è invece dimezzata (-54%), passando da 38 a 17 ore.
Il cambiamento di strategia in atto lo ha spiegato bene Stuart Scholly, senior vice president e general manager of Security di Akamai Technologies: “Gli attacchi informatici di tipo DDoS continuano a crescere, rappresentando una grande minaccia alla sicurezza del Web. I criminali informatici responsabili di questi attacchi stanno cambiando tattiche di creazione, implementazione e mascheramento. Le botnet basate su server, ad esempio, sfruttano le vulnerabilità del Web e utilizzano tecniche di reflection e amplificazione per sferrare un maggior numero di attacchi con il minimo sforzo”.
Gli attacchi DDoS del secondo trimestre 2014 divisi per settore di destinazione
Per la creazione di questo tipo di botnet, i criminali informatici sfruttano le piattaforme as-a-service (PaaS) e i software as-a-service (SaaS) delle aziende che utilizzano istanze server con software contententi vulnerabilità conosciute, come per esempio versioni di stack Lamp (Linux, Apache, MySQL, PHP) e sistema operativo Microsoft Windows Server; gli attaccanti, inoltre, prendono di mira versioni vulnerabili dei Content Management System più comuni, come WordPress, Joomla e i loro plugin.
Akamai ha rilevato questa tipologia di botnet solo nelle serie di attacchi Distributed Denial of Service più sofisticati, quelli predisposti per non essere rilevati dalle tecnologie di mitigazione DDoS. Data l’efficacia di questi attacchi e data l’ampia disponibilità di software cloud based vulnerabili, è ragionevole pensare che queste minacce continueranno a colpire, causando seri danni alle imprese, alla Pubblica Amministrazione e ad altre organizzazioni.
Parallelamente all’ascesa di nuove botnet basate su server, continuano a persistere minacce già “datate”, come per esempio Brobot: si tratta anche in questo caso di una botnet basata su server infetto, la quale sembrava essere stata annientata dopo la sua azione nell’Operation Ababil ai danni del settore bancario avvenuta tra il 2011 e il 2013. Gli attacchi analizzati da Prolexic nel secondo trimestre di quest’anno, invece, fanno pensare che questa minaccia sia sopravvissuta e rimasta attiva fino a oggi.
Gli attacchi basati su tecniche di reflection e amplificazione, cui accennava Scholly (e che sfruttano i più comuni protocolli Internet e le configurazioni non corrette dei server), nel confronto fra i secondi trimesti di quest’anno e dello scorso sono aumentati e rappresentano oggi più del 15% di tutte le operazioni sferrate contro l’infrastruttura.