Gli attacchi DDoS (Distributed Denial-of-service) sono un vecchio e conosciuto nemico per qualsiasi azienda sia presente sul Web, per gli Internet Service Provider e per i consumatori. Ma su di loro c’è sempre molto da dire perché continuano a fare danni, a crescere numericamente e a diventare sempre più sofisticati. Una nuova analisi dei laboratori di ricerca di F5, gli F5 Labs, basata su dati dell’F5 Silverline Security Operations Center e dal team F5 Security Incident Response, evidenzia che questo genere di minaccia è aumentato del 55% tra gennaio 2020 e marzo 2021. In oltre la metà dei casi, il 54%, gli aggressori hanno utilizzato più vettori per realizzare attacchi sofisticati.
Sebbene a dominare le cronache oggi siano altri tipi di minaccia, come il ransomware e il phishing, è ancora il DDoS il genere di attacco informatico più diffuso. Una delle motivazioni, ha spiegato David Warburton, principal threat research evangelist degli F5 Labs, “è che la barriera di ingresso è sempre più bassa: anche aspiranti hacker possono riuscire ad accedere facilmente sfruttando i tutorial su YouTube o utilizzando un servizio DDoS-for-hire a buon mercato”.
Questo non significa, però, che tutti gli attacchi DDoS siano alla portata di chiunque: il grado di complessità e i risultati dell’assalto hacker possono variare anche di molto. “Se da una parte gli attacchi DDoS sono oggi una commodity”, ha proseguito Warburton, “allo stesso tempo si evolvono e diventano sempre più complessi e sofisticati, mettendo a dura prova le difese delle potenziali vittime, attraverso diversi tipi di attacchi condotti simultaneamente con più vettori. Inoltre, abbiamo notato anche che i cybercriminali stanno iniziando a sfruttare gli attacchi DDoS per spingere le vittime a pagare dei riscatti".
Diversi tipi di attacco DDoS
L’attacco più grande registrato da F5 tra l’inizio del 2020 e fine marzo 2021 ha raggiunto un picco di 500 Gbps. Il più sofisticato implicava ben otto diversi vettori di attacco. Nei primi tre mesi del 2021, si è visto un aumento del 135% (rispetto al primo trimestre 2020) degli attacchi DDoS di protocollo, mentre quelli volumetrici sono cresciuti del 59%. Quest’ultima tipologia, in cui chi attacca cerca di consumare tutta la banda disponibile iniettando grandi quantità di traffico, resta in ogni caso la più popolare, rappresentando il 73% degli episodi DDoS registrati tra gennaio 2020 e marzo 2021.
Nel Protocol DDoS, invece, vengono presi di mira firewall e router, riempiendo le tabelle di connessione per impedire ai prodotti di rete di gestire i pacchetti dati ricevuti. Gli attacchi DDoS applicativi, invece, hanno l’obiettivo di consumare le risorse del server di origine, costringendo l’applicazione a gestire le richieste illegittime dell’assalitore. Quest’ultima categoria rappresenta solo il 16% del totale degli episodi DDoS rilevati da F5, ma è la causa di circa la metà degli interventi di supporto legati al DDoS gestiti dal team di Security Incident Response di F5.
A proposito della crescente complessità delle operazioni d’assalto, F5 fa notare che nei primi tre mesi di quest’anno il numero di attacchi multi-vettore (cioè lanciati simultaneamente con tecniche diverse) è aumentato dell’80% anno su anno. Al contrario, per gli attacchi a vettore singolo l’andamento è sostanzialmente piatto. Mediamente, ogni attacco multivettoriale ha impiegato 2,7 metodi diversi, ma quelli particolarmente sofisticati arrivano a utilizzare otto vettori in contemporanea.
“Gli hacker”, ha commentato Warburton, “sono oggi in grado di schierare più vettori di attacco diversi, prendendo di mira allo stesso tempo la larghezza di banda Internet, lo stack di rete o i server delle applicazioni della vittima; un vero tentativo di sopraffazione che vede coinvolto un fronte di attacco decisamente ampio", "Oltre al livello di sofisticazione molto elevato, abbiamo registrato anche attacchi di grandissime dimensioni, tra cui quello contro una società tecnologica che ha raggiunto un picco di 500Gbps cioè mezzo terabit al secondo".
I settori più colpiti dal DDoS
Dall’inizio del 2020 a fine marzo di quest’anno, quattro settori hanno attratto in particolare l’interesse degli assalitori: l’ambito tecnologico (25%), delle telecomunicazioni (22%), della finanza (18%) e dell’istruzione (11%). Sono queste le sfere più colpite per frequenza di attacco, ma non quelle che hanno subìto i danni più gravi. Questo ingrato primato spetta, infatti, alle organizzazioni del settore sanitario. F5 sottolinea un altro fatto, cioè che il contesto e il modo di lavorare per molti settori siano profondamente mutati in seguito alla pandemia, e di conseguenza anche le modalità di attacco si sono trasformate. Quando, nei primi tre mesi del 2021, molte scuole e università hanno dovuto riavviare la didattica a distanza o scegliere modalità ibride, si è registrato un picco nel numero di attacchi DDoS rivolti al mondo dell’istruzione.
Come proteggersi dagli attacchi DDoS
Un primo consiglio che F5 rivolge alle aziende è quello di rimanere costantemente vigili, utilizzando misure di sicurezza come i Web Application Firewall (Waf), le soluzioni di bot-detection (capaci di identificare il traffico dati anomalo in ingresso) o i servizi di hosted scrubbing (che rimuovono il traffico dannoso prima che raggiunga un Web server). "Con un aumento così ingente degli attacchi DDoS, è chiaro che si debba rafforzare sempre di più le proprie difese", commenta Warburton. "Oltre a considerare come limitare e mitigare gli attacchi una volta in corso, è di vitale importanza essere in grado di rilevarli accuratamente il prima possibile. Un numero sempre maggiore di attacchi DDoS prende di mira le applicazioni ed è quindi indispensabile capire se ci si trova di fronte a un semplice e innocuo aumento del traffico utente oppure, nella peggiore delle ipotesi, a un attacco mirato ad opera di una botnet. Per questo, come sempre, visibilità e contesto sono cruciali".
A volte i server applicativi vulnerabili o poco sicuri vengono usati come trampolino di lancio per far partire i veri e propri attacchi DDoS. "Questo significa che anche se un’organizzazione non è propriamente l'obiettivo di un attacco DDoS, i suoi sistemi possono essere utilizzati come base per scagliarne altri", ha concluso Warburton. "Per questo servizi come DNS, NTP, memcached e LDAP, solo per citarne alcuni, devono essere protetti dalle vulnerabilità e dall'accesso non autenticato, in particolare se esposti su Internet".