Sicurezza

Gli attacchi DDoS a livello globale aumentano (ma sono meno intensi)

Il numero di attacchi alle applicazioni web è cresciuto del 28% e quello degli attacchi DDoS del 40% rispetto allo stesso periodo dell’anno precedente. Gli hacker colpiscono senza sosta, secondo i dati dell’ultimo report State of the Internet – Security redatto da Akamai

Pubblicato il 18 Mag 2016

man-1187170-640-160303094838

Gli attacchi Distributed Denial-of-Service rappresentano per il settore IT una delle minacce più temute degli ultimi anni. Queste minacche, così come  quelle DoS – Denial-of-Service,  hanno come obiettivo la saturazione delle risorse di un sistema informatico fornitore di un determinato servizio ai relativi client connessi.

Tra le due tipologie, però, i DDoS rappresentano il pericolo maggiore: causati da più botnet coordinate su più livelli e dall’invio simultaneo di una grande mole di richieste d’accesso verso la stessa risorsa online, agiscono su una scala molto più estesa. Akamai ha pubblicato il rapporto State of the Internet – Security relativo a questo tipo di attacchi avvenuti a livello globale durante quarto trimestre del 2015: nel periodo preso in esame gli attacchi DDoS ripetuti sono stati la norma, con una media di 24 attacchi per ognuno dei clienti presi di mira. Tre aziende sono stato colpite da oltre 100 attacchi (un cliente addirittura ha subito 188 violazioni), più di due al giorno di media.

Aumenta il numero di attacchi, diminuisce la durata

Negli ultimi tre mesi del 2015 gli attacchi DDoS sono stati 3.600, più del doppio rispetto a quelli contrastati nello stesso periodo dell’anno precedente. Se la quantità di attacchi è nettamente aumentata, la loro durata media è però sensibilmente diminuita, attestandosi a 14.95 ore (quasi il 50% in meno rispetto alle 29,3 ore registrate nel quarto trimestre del 2014).Questa diminuzione è data dalle modalità con cui gli attacchi sono stati lanciati: la maggior parte di queste minacce è stata creata da botnet a noleggio, basate su siti stresser/booter che presentano tipicamente limiti temporali al loro uso. Questi attacchi DDoS “in affitto”, inoltre, si basano su tecniche di riflessione per alimentare il traffico ma non sono in grado di generare attacchi massivi. La Cina è stata la fonte principale di queste minacche, con il 27,6%, seguita dalla Turchia (22%) e dagli Stati Uniti (15%).

Gli attacchi al livello infrastruttura

Gli attacchi al livello infrastruttura, dopo aver dominato la scena anche nei mesi precedenti, hanno rappresentato il 97% degli attacchi totali rilevati nel quarto trimestre 2015. In questo periodo il 21% degli attacchi DDoS conteneva frammenti UDP e, secondo gli esperti di Akamai, ciò può essere considerata diretta conseguenza del fattore di amplificazione presente negli attacchi di tipo reflection, principalmente derivante dall’abuso di protocolli CHARGEN, DNS e SNMP caratterizzati da payload potenzialmente molto elevati.

Rispetto agli ultimi tre mesi del 2014, inoltre, sono aumentati sensibilmente gli attacchi sia NTP che DNS: i primi, sono aumenti di quasi 57% (guadagnando popolarità rispetto al 2014 nonostante le risorse di riflessione NTP siano state esaurite nel tempo) mentre gli attacchi DNS reflection hanno addirittura registrato un aumento del 92%. Questo ultimo aspetto, secondo gli esperti, è dovuto al fatto che gli hacker cercano di abusare di domini con sicurezza incorporata (NSSEC) poiché questi offrono in genere una risposta più forte. Un altro trend è l’aumento di attacchi DDoS multivettore, passati dal 42% del Q4 2014 al 56% del quarto trimestre 2015. La maggioranza degli attacchi usava due soli vettori (35%) ma il 3% degli attacchi osservati nel Q4 2015 ne utilizzava da ciqnue a otto.

I settori più colpiti e l’attacco DDoS più imponente

Il 54% degli attacchi DDoS verificatisi nel periodo in esame ha colpito aziende del settore gaming, mentre il 23% era indirizzato ad aziende del settore software e tecnologia. L’attacco più imponente del trimestre è stato indirizzato a un’azienda del settore software e tecnologia utilizzando una singolare combinazione di attacchi SYN, UDP e NTP originati dalle botnet XOR e BillGates e ha fatto registrare ben 209 Gigabit per secondo e 202 milioni di pacchetti per secondo. La violazione faceva parte di una imponente campagna in cui la vittima è stata colpita diciannove volte nel giro di otto giorni, con un seguito di attacco continuato anche durante il mese di gennaio.

Attacchi alle applicazioni web

Il 59% degli attacchi a applicazioni web nel trimestre era indirizzato a retailer, contro il 55% del trimestre precedente. Al secondo e terzo posto si trovano media&intrattenimento e hotel&turismo, ciascuno col 10% degli attacchi. Nel trimestre precedente, invece, il secondo posto era occupato dal settore dei servizi finanziari, con il 15% delle azioni minacciose (sceso al 7% nell’ultimo trimestre).Proseguendo una tendenza già manifestata nel trimestre precedente, gli Stati Uniti sono stati sia l’origine principale di azioni di hacking ad applicazioni web (56%) sia il target più colpito (77%).

Al secondo posto, sia come origine (6%) sia come obiettivo (7%), si trova il Brasile: secondo gli esperti ciò è dovuto al fatto che un grande fornitore di Infrastructure as a Service (IaaS) ha aperto nuovi data center in quel Paese.  Nel corso del trimestre, gli attacchi alle applicazioni web sono aumentati del 28%, mentre il rapporto tra attacchi veicolati via HTTP e via HTTPS è rimasto relativamente costante: 89% nel quarto trimestre e 88% nel terzo. I vettori di attacco più frequentemente osservati negli ultimi tre mesi dell’anno scorso sono stati LFI (41%), SQLi (28%) e PHPi (22%), seguiti da XSS (5%) e Shellshock (2%). Il rimanente 2% era costituito da attacchi RFI, MFU, CMDi, e JAVAi. La distribuzione relativa dei vettori di attacco via HTTP e HTTPS è stata sostanzialmente simile, con l’eccezione di PHPi, presente solo nell’1% delle azioni di hacking via HTTPS.

Come gli hacker riconoscono i propri target

Gli hacker, prima di lanciare gli attacchi, si affidano a tecniche di scansione e indagine per effettuare il riconoscimento dei target. L’analisi di Akamai ha dimostrato che le porte più diffuse per il riconoscimento sono Telnet (24%), NetBIOS (5%), MS-DS (7%), SSH (6%), e SIP (4%).  In base all’ASN, le tre principali origini dell’attività di scansione si trovavano in Asia. Osservando le principali origini di scansione in base all’ASN, gli esperti hanno verificato che i riflettori più pesantemente abusati si trovavano in Cina e in altre nazioni asiatiche. La maggior parte degli attacchi SSDP tende a provenire da connessioni domestiche, gli attacchi NTP, CHARGEN, and QOTD provengono in genere da fornitori di hosting presso i quali questi servizi risiedono. I riflettori SSDP e NTP sono risultati i più usati a 41% ciascuno, seguiti da CHARGEN (6%), RPC (5%), SENTINEL E QUOTD (4%).

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati