Cresce l’utilizzo delle botnet per l’abuso di credenziali

Rapporto sulla Sicurezza per il Q4 di Akamai: gli attacchi DDoS restano stabili ma l’aumento delle attività di scansione della botnet Mirai lascia presagire una crescita esplosiva

I dati recentemente pubblicati nello State of the Internet/Security Report per il Q4 2017 di Akamai Technologies, che ha preso in esame oltre 7,3 trilioni di richieste bot al mese, hanno rilevato una netta crescita della minaccia rappresentata dallo sfruttamento di credenziali rubate: oltre il 40% dei tentativi di accesso si è infatti rivelato di natura dannosa. Secondo il Ponemon Institute, gli attacchi di credential stuffing possono costare alle aziende fino a 2,7 milioni di dollari all’anno. Sempre secondo i dati Akamai, inoltre, gli attacchi DDoS restano una minaccia consistente e la botnet Mirai è ancora capace di notevoli picchi di attività.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

[amazon_link asins=’B01FJ125ZM,B01FIZXQIY,1587145022,1587144808,197835178X,B01MQMMBO2′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’595fad5f-17d7-11e8-8f2e-cf6888e1857d’]

I ricercatori di Akamai hanno recentemente riscontrato attività criminali volte a sfruttare le vulnerabilità di esecuzione del codice da remoto presenti nei software aziendali e finalizzate a rendere i sistemi aziendali complici della minaccia botnet. Ad esempio, gli hacker hanno sfruttato le vulnerabilità del server HTTP integrato di GoAhead — che ha un potenziale di 700.000 obiettivi — e di Oracle WebLogic Server. Le vulnerabilità Spectre e Meltdown scoperte all’inizio dell’anno rappresentano una porta di accesso per una nuova ondata di attacchi, inclusa l’installazione furtiva di programmi per il mining di cryptovalute capaci di bloccare le risorse di calcolo.

“Dietro gli attacchi c’è da sempre la ricerca di un profitto finanziario. Negli ultimi anni, abbiamo notato uno spostamento verso metodi più diretti per raggiungere tale obiettivo, come l’uso di ransomware”, ha dichiarato Martin McKeay, Senior Security Advocate e Senior Editor, State of the Internet/Security Report. “Il mining di cryptovalute offre ai cyber criminali uno strumento privilegiato per monetizzare i propri sforzi e accumulare subito denaro nei wallet”.

Leggi anche:  No trust zone. Cybersecurity a logica zero

I risultati dell’indagine di Akamai hanno inoltre confermato che il numero totale di attacchi DDoS nell’ultimo trimestre (Q4 2017) è aumentato del 14% rispetto allo stesso periodo dell’anno precedente (Q4 2016). Se i rapporti precedenti hanno mostrato un calo dell’intensità della botnet Mirai, Akamai ha notato un picco di quasi 1 milione di indirizzi IP univoci nelle attività di analisi di Internet della botnet risalenti allo scorso novembre, aspetto che mostra come questa rete sia ancora capace di una crescita esplosiva.

Alcune cifre:

Altri dati salienti dello State of the Internet/Security Report di Akamai per il Q4 2017 includono:

  • Il settore hospitality è la principale vittima degli attacchi alle credenziali, con l’82% dei tentativi di accesso provenienti da botnet dannose.
  • Il settore finanziario ha registrato un’impennata nel numero di attacchi DDoS, con 298 attacchi sferrati contro 37 organizzazioni diverse nell’ultimo trimestre.
  • Rispetto al Q3, gli attacchi DDoS a livello applicativo, come i flussi GET, PUSH e POST, sono aumentati in volume del 115%.
  • È stata registrata una crescita del 31% negli attacchi DDoS provenienti dagli Stati Uniti nell’ultimo trimestre (Q4 2017), rispetto allo stesso periodo dell’anno precedente (Q4 2016).
  • Akamai ha riscontrato 146 petabyte di solo traffico bot a novembre e 145 petabyte a dicembre, ossia circa 550 Mbps.
  • Nel quarto trimestre del 2017, Akamai ha mitigato 4.364 attacchi sulla propria completa piattaforma. In totale, Akamai ha registrato nel 2017 ben 15.965 attacchi.

L’attività dei bot determina la crescente minaccia del credential stuffing

In una giornata tipo, Akamai monitora più di 2.750 richieste bot al secondo, che rappresentano oltre il 30% di tutto il traffico Web (escluso lo streaming video) che avviene sulla sua piattaforma. Se buona parte dell’attività bot è legittima, è anche vero che i cyber criminali piegano sempre più tale attività ai loro fini illegali. Ad esempio, molte botnet tradizionalmente responsabili degli attacchi DDoS vengono usate per sfruttare credenziali di accesso impropriamente sottratte. Dei 17 miliardi di richieste di accesso registrate tramite la piattaforma Akamai a novembre e dicembre, quasi la metà (43%) è stata usata per l’abuso di credenziali.

Leggi anche:  Imprese italiane e digitale: perché la cyber security diventa un must e non un plus

[amazon_link asins=’B01FJ125ZM,B01FIZXQIY,1587145022,1587144808,197835178X,B01MQMMBO2′ template=’ProductCarousel’ store=’dmo0e-21′ marketplace=’IT’ link_id=’595fad5f-17d7-11e8-8f2e-cf6888e1857d’]

“La crescita dell’automazione e del data mining hanno generato enormi flussi di traffico bot, con un forte impatto su siti web e servizi Internet. Sebbene buona parte del traffico sia utile alle aziende che operano su Internet, i criminali cercano di manipolare l’imponente volume di bot per fini illeciti”, ha dichiarato McKeay. “Le aziende devono controllare chi accede ai loro siti per distinguere il traffico umano reale dai bot, siano essi legittimi o meno. Il traffico web non è tutto uguale e non lo sono nemmeno i bot”.