Se c’è un settore che non conosce crisi nel campo della sicurezza informatica, è sicuramente quello degli attacchi di tipo Ddos (Distributed Denial of Service). Nell’ultimo trimestre del 2015, infatti, le incursioni di questo genere sono state 3.600 e sono aumentate del 148,8% rispetto allo stesso periodo del 2014, con le operazioni al livello dell’infrastruttura (layer 3 e 4) che hanno rappresentato il 97% del totale. Ma, se il numero globale è salito, a cambiare è stata la fisionomia dei raid condotti dalle botnet: la durata media degli attacchi si è infatti quasi dimezzata, così come la portata. Le incursioni superiori ai 100 Gbps di traffico generato sono calate del 44,4%, passando dalle nove del quarto trimestre del 2014 alle cinque degli ultimi tre mesi dell’anno scorso. I numeri li ha raccolti Akamai nel report “State of the Internet – Security”, monitorando la propria soluzione Intelligent Platform messa a disposizione delle aziende clienti.
La maggior parte di questi attacchi era creata da botnet a noleggio, basate su siti stresser/booter. Queste tipologie di incursioni “in affitto” si basano su tecniche di riflessione per alimentare il traffico, ma non sono in grado di generare raid massivi. Ecco spiegato perché i “mega attacchi” sono risultati inferiori in numero rispetto al 2014, così come minore è stata la durata media delle singole operazioni (meno di 15 ore).
Nel Q4 del 2015 il 21% degli attacchi DdoS conteneva frammenti Udp (User Datagram Protocol). Secondo Akamai, questo dettaglio può essere considerato come una conseguenza diretta del fattore di amplificazione presente negli attacchi di tipo reflection, principalmente derivante dall’abuso di protocolli Chargen, Dns e Snmp caratterizzati da payload potenzialmente molto elevati. Il numero di attacchi Ntp e Dns è cresciuto sensibilmente rispetto allo stesso trimestre del 2014.
Le operazioni di tipo Dns reflection sono aumentate del 92%, perché gli hacker cercano di abusare di domini con sicurezza incorporata (Nssec): questi offrono in genere una risposta più forte. Ntp, con un aumento di quasi 57 punti, ha guadagnato popolarità rispetto al 2014 nonostante le risorse di riflessione Ntp siano state esaurite nel tempo. Un altro trend significativo è l’aumento di attacchi DdoS multivettore, passati dal 42% del Q4 2014 al 56% del quarto trimestre 2015.
Oltre alle operazioni Ddos, non conoscono tregua però nemmeno le incursioni dirette alle applicazioni Web. L’incremento anno su anno è stato del 28,1%, anche se è rimasto costante per due trimestri il rapporto tra attacchi veicolati via Http (89% nel Q4 e 88% nel Q3) e Https. I vettori osservati più di frequente nel trimestre sono stati Local file inclusion (Lfi, 41%), Sqli (28%) e Phpi (22%), seguiti da Xss (5%) e Shellshock (2%).
Diversi i target degli hacker. Per gli attacchi Ddos, il comparto più colpito è stato quello del gaming, che ha assorbito il 54% delle incursioni. A seguire le aziende del mercato software e tecnologia (23%). Per gli attacchi diretti alle applicazioni Web, invece, il 59% era indirizzato a retailer, contro il 55% del trimestre precedente. Al secondo e terzo posto si trovano siti di media e intrattenimento e hotel e turismo, ciascuno col 10% dei raid. Scende invece il settore finanziario, passato dal 15 al 7%.
Dal punto di vista della geografia dei raid diretti alle applicazioni Web, è proseguita una tendenza già comparsa nel trimestre precedente: gli Stati Uniti sono stati sia l’origine principale di attacchi ad applicazioni Web (56%) sia l’obiettivo prediletto (77%). Al secondo posto, sia come origine (6%) sia come obiettivo (7%), ma molto distante, si è classificato il Brasile. Secondo Akamai, il fatto è collegato all’apertura di nuovi data center in quel Paese da parte di un importante fornitore di Infrastructure-as-a-Service (IaaS).
Gli attacchi Ddos hanno infine visto come principale Paese di origina la Cina (28%), seguito da Turchia (22%) e Stati Uniti (15%). L’Italia, nel primo trimestre del 2015, si classificava al quarto posto, ma la Penisola è poi scomparsa dalla graduatoria ed è stata sostituita negli ultimi tre mesi dell’anno dalla Corea del Sud (8,5%). Chiudeva il quintetto di testa il Messico (8,4%).