Il più grande attacco DDoS in Europa di sempre

Nuovo record per gli attacchi DDoS. La scorsa settimana si è verificato il più grande attacco DDoS (Distributed Denial of Service) mai registrato in Europa da Akamai, società specializzata proprio nel blocco e nella mitigazione di questo genere di offensiva, che punta a inondare di richieste i server di una piattaforma o servizio Web per metterli fuori uso per il maggior tempo possibile, e magari suscitando il giusto clamore mediatico.

L’attacco record è stato rilevato lo scorso 21 luglio, quando la piattaforma Prolexic di Akamai ha osservato un incremento anomalo di traffico verso diversi indirizzi IP di un’azienda con un picco di 853,7 Gbps e 659,6 Mpps per quattordici ore. Si è trattato del più grande attacco orizzontale globale mai mitigato sulla piattaforma Prolexic. E anche di un attacco prolungato, con 75 assalti realizzati nel corso di trenta giorni (fra cui quello della giornata clou del 21 luglio, a cinque giorni dall’inizio) con tecniche che hanno spaziato tra UDP, frammentazione UDP, flood ICMP, RESET flood, SYN flood, anomalia TCP, frammento TCP, PSH ACK flood, FIN push flood, PUSH flood e altre.

Sembra ragionevole affermare che tutto questo, considerando il traffico distribuito degli attacchi, sia stato orchestrato attraverso una botnet (“altamente sofisticata”, sottolinea AkamaI) fatta di dispositivi compromessi. Nessun singolo centro di scrubbing ha gestito più di 100 Gbps dell'attacco complessivo.

Picco nel traffico degli attacchi PPS (Fonte: Akamai)

Chi è la vittima? Un’azienda dell’Europa dell’Est, cliente di Akamai, la cui identità non è stata svelata. Da osservatori possiamo ipotizzare un collegamento con il conflitto russo-ucraino, ma non abbiamo dati per dirlo.

Per contrastare l'attacco e salvaguardare il cliente, evitando almeno i danni collaterali al DDoS, Akamai Prolexic ha sfruttato “una combinazione di tecnologia, persone e processi” e ha adottato una strategia di difesa proattiva, cioè ha messo in campo una soluzione che potenzialmente può raggiungere dimensioni molto superiori a quelle dei più grandi attacchi DDoS resi pubblici.

Questi i consigli di Akamai per mitigare il rischio di attacchi DDoS:

Esaminare e attuare immediatamente le indicazioni della Cybersecurity and Infrastructure Security Agency (CISA).
Rivedere le sottoreti e gli spazi IP critici e assicurarsi che siano disponibili controlli di mitigazione.
Implementare controlli di sicurezza DDoS in modalità "always-on" come primo livello di difesa, per evitare una situazione di emergenza e ridurre l'onere per i responsabili degli incidenti. Se non si dispone di un provider affidabile e collaudato che opera in cloud, è opportuno trovarlo subito.

Riunire in modo proattivo un team di risposta alle crisi e assicuratevi che i runbook e i piani di risposta agli incidenti siano aggiornati. Ad esempio, avete un runbook per gestire gli eventi disastrosi? I contatti all'interno dei playbook sono aggiornati? Un playbook che fa riferimento a risorse tecnologiche obsolete o a persone che hanno lasciato l'azienda da tempo non è utile.

Tag: ddos, akamai, attacchi, cyberattacco