Report di Kaspersky Lab sulla DDoS intelligence: “amplification attack” e “vecchie” botnet che tornano in auge

f-secure-sicurezza reti aziendali

Kaspersky Lab ha pubblicato il suo report sugli attacchi DDoS tramite botnet per il primo trimestre del 2018. Gli esperti dell’azienda di sicurezza informatica evidenziano un aumento delle attività mediante botnet già utilizzate e nuove, la crescita della popolarità degli “amplification attack” e il ritorno di attacchi DDoS di lunga durata (multi-day).

Nel primo trimestre del 2018, gli attacchi DDoS tramite botnet hanno colpito le risorse online di 79 paesi. Di questi, quelli che hanno registrato il maggior numero di attacchi sono stati, ancora una volta, Cina, Stati Uniti e Corea del Sud, che continuano a guidare la classifica per numero di server a disposizione degli aggressori e, di conseguenza, per numero di siti e servizi ospitati su di essi. Hong Kong e il Giappone, nel frattempo, hanno sostituito Paesi Bassi e Vietnam nell’elenco dei primi 10 paesi più colpiti.

I cambiamenti alla lista dei 10 paesi con il maggior numero di server Command-and-Control sono ancora più significativi e vedono Italia, Hong Kong, Germania e Regno Unito fare il loro ingresso al posto di Canada, Turchia, Lituania e Danimarca. Queste modifiche sono probabilmente dovute al drammatico aumento di attività di server C&C di Darkai, un clone di Mirai, e del numero di bot AESDDoS; inoltre anche le vecchie botnet Xor e YoYo hanno ripreso la loro attività. Anche se la maggior parte di queste botnet utilizza Linux, la percentuale di quelle effettivamente basate su Linux ha subito un lieve calo nel primo trimestre, se messa a confronto con quella dello scorso anno, registrando un 66% contro il 71% del 2017.

Inoltre, dopo un breve periodo di tregua, sembra che siano ritornati gli attacchi di lunga durata: il più lungo attacco DDoS registrato nel trimestre è durato 297 ore (più di 12 giorni). Un attacco più lungo di questo è stato segnalato l’ultima volta a fine 2015.

Leggi anche:  Dell Technologies migliora la cyber resilienza delle aziende

L’ultima parte del periodo analizzato è stata contraddistinta da Memcached flood senza precedenti in termini di portata, in alcuni casi superiori a 1 TB. Tuttavia, gli esperti di Kaspersky Lab credono che la loro popolarità avrà vita breve, perché gli attacchi Memcached flood non colpiscono solo i loro obiettivi, ma anche le società involontariamente coinvolte nella realizzazione degli attacchi stessi.

Per esempio, nel mese di febbraio il supporto tecnico di Kaspersky DDoS Protection è stato contattato da una società che lamentava il sovraccarico dei suoi canali di comunicazione, portandoli così a sospettare di aver subito un attacco DDoS. Si è scoperto che uno dei server dell’azienda con il vulnerabile servizio Memcached era stato utilizzato dai cybercriminali per attaccare un altro servizio e generare così un volume di traffico in uscita tanto grande da mandare in crash le risorse web dell’azienda. Ecco perché questi attacchi sono destinati ad avere vita breve. I complici inconsapevoli degli attacchi Memcached si accorgono presto del carico maggiore e correggono rapidamente le vulnerabilità per evitare perdite, riducendo così il numero di server a disposizione degli aggressori.

In generale la popolarità degli “amplification attack”, in precedenza in fase di diminuzione, ha guadagnato nuovo slancio nel primo trimestre del 2018. Ad esempio, è stato registrato un tipo di attacco, raro nonostante la sua efficacia, nel quale il servizio LDAP era stato usato come amplificatore. Insieme a Memcached, NTP e DNS, questo servizio è uno di quelli con il maggiore fattore di amplificazione. Tuttavia, a differenza di Memcached, il traffico-spazzatura da LDAP è a malapena in grado di ostruire il canale in uscita, rendendo più difficile l’identificazione e la risoluzione del problema da parte del proprietario del server vulnerabile. Nonostante il numero relativamente basso di server LDAP disponibili, è possibile che questo tipo di attacco diventerà una hit su Darknet nei prossimi mesi.

Leggi anche:  Sicurezza e protezione dei dati ad ampio spettro

“Sfruttare le vulnerabilità è il mezzo preferito dei criminali informatici la cui attività è la creazione di botnet per attacchi DDoS. Tuttavia, come hanno dimostrato i risultati relativi ai primi mesi dell’anno, non sono solo le vittime degli attacchi DDoS ad essere colpite, ma anche quelle aziende con un’infrastruttura che include canali vulnerabili. Gli eventi del primo trimestre riaffermano una semplice verità: le piattaforme utilizzate da qualsiasi azienda per implementare la sicurezza online multilivello devono includere regolari patch per le vulnerabilità e protezione permanente contro gli attacchi DDoS”, ha commentato Alexey Kiselev, Project Manager del Kaspersky DDoS Protection team.

Kaspersky DDoS Protection combina la vasta esperienza di Kaspersky Lab nella lotta contro le minacce informatiche e gli esclusivi sviluppi in-house dell’azienda. La soluzione è in grado di garantire protezione da tutti i tipi di attacchi DDoS, indipendentemente dalla loro complessità, forza o durata. Per ridurre il rischio che le vulnerabilità vengano utilizzate dai criminali informatici per attacchi DDoS, Kaspersky Endpoint Security for Business fornisce un componente per la gestione di vulnerabilità e patch. Permette alle aziende di eliminare automaticamente le vulnerabilità nel software dell’infrastruttura, di correggerle in modo proattivo e di scaricare aggiornamenti.