Quanto costa organizzare un attacco DDoS

Contenuti

L’attacco di tipo Distributed Denial of Service (DDoS) rappresenta indubbiamente uno degli strumenti più diffusi nei ricchi “arsenali” di cui dispongono, in genere, i criminali informatici. I motivi che stanno alla base di un attacco DDoS possono essere di qualsiasi genere: si va dal semplice atto di cyber-vandalismo all’estorsione. Sono noti dei casi in cui certi gruppi cybercriminali hanno minacciato le proprie vittime di condurre un attacco DDoS a danno di queste ultime, se le stesse non avessero pagato la somma di 5 bitcoin (ovvero più di 5.000 dollari $). Spesso, poi, l’attacco DDoS viene utilizzato per deviare le attenzioni del personale IT mentre è in corso un altro cyber-assalto, relativo, ad esempio, al furto di dati o alla distribuzione e all’installazione di malware.

Di fatto, chiunque può divenire vittima di un attacco DDoS: l’organizzazione di tale genere di assalto informatico è, in effetti, un processo tutt’altro che costoso, oltre che piuttosto semplice, mentre il livello di efficacia dello stesso, in mancanza di un’adeguata e solida protezione, si rivela decisamente elevato. In base all’analisi dei dati ottenuti attraverso fonti pubblicamente accessibili (ad esempio le offerte, relative all’allestimento di attacchi DDoS, presenti su certi forum situati in Internet o nascosti negli oscuri meandri della rete anonima Tor), abbiamo potuto determinare gli attuali costi, sul mercato nero del cybercrimine, dei servizi inerenti agli attacchi Distributed Denial of Service; allo stesso tempo, siamo riusciti a definire con esattezza tutto ciò che i cybercriminali specializzati in attacchi DDoS offrono ai propri clienti.

Il modello DDoS-as-a-Service

Il processo tramite il quale viene commissionato l’attacco DDoS si compie, in genere, attraverso servizi web veri e propri, che, di fatto, escludono la necessità di un contatto diretto tra l’organizzatore dell’attacco ed il cliente. Nella stragrande maggioranza dei casi, gli autori delle offerte da noi individuate lasciano, al posto dei propri dati di contatto, i link che conducono a simili risorse web. Attraverso tali siti, il potenziale committente può effettuare l’operazione di pagamento, ottenere un resoconto del “lavoro” svolto, ed utilizzare ulteriori servizi. In sostanza, a livello di effettiva funzionalità, queste pagine web si differenziano ben poco dai servizi che operano nell’ambito della legalità.

Quanto costa organizzare un attacco DDoS

Uno dei numerosi esempi di servizio web attraverso il quale viene commissionata l’esecuzione di attacchi DDoS; esso ricorda piuttosto una pagina web relativa a qualche start-up del settore IT, anziché una “risorsa” riconducibile ad un’organizzazione cybercriminale

Servizi web del genere sono, a tutti gli effetti, applicazioni web complete, le quali consentono, ai clienti che si sono registrati, di gestire il proprio credito e di pianificare il budget destinato alla conduzione degli attacchi DDoS. In alcuni casi, gli sviluppatori hanno addirittura previsto un sistema di bonus e crediti, che possono essere calcolati ed assegnati in base ad ogni singolo attacco realizzato mediante l’utilizzo del servizio in questione. In altre parole, i criminali informatici sviluppano dei veri e propri programmi di fidelizzazione della clientela.

Quanto costa organizzare un attacco DDoS

L’offerta presente su un forum pubblico russo: il servizio relativo all’organizzazione di attacchi DDoS viene “erogato” a partire da 50 $ al giorno (nell’arco delle 24 ore)

Alcuni dei servizi da noi individuati contenevano, inoltre, precise informazioni riguardo al numero di utenti registrati, così come dati specifici in relazione al numero di attacchi condotti ogni giorno. Per molti dei servizi web “dedicati” all’allestimento degli attacchi DDoS, l’ordine di grandezza del numero di registrazioni effettuate si misura in decine di migliaia di account. Simili informazioni, tuttavia, possono non corrispondere alla realtà dei fatti, ed essere appositamente fornite, dai proprietari di tali servizi, allo scopo di accrescere, artificiosamente, il livello di popolarità del sito.

Quanto costa organizzare un attacco DDoS

Statistiche relative ad uno di tali servizi; esse evidenziano l’elevato livello di popolarità raggiunto presso coloro che commissionano i DDoS (479.270 attacchi complessivamente realizzati)

Quanto costa organizzare un attacco DDoS

Statistiche relative ad uno di tali servizi; qui viene posto in risalto il notevole grado di popolarità di alcuni degli scenari previsti per la conduzione degli attacchi DDoS

Quanto costa organizzare un attacco DDoS

Informazioni sulla popolarità, presso gli ambienti cybercriminali, di un determinato servizio preposto all’allestimento di attacchi DDoS

Le tariffe per i DDoS

Le caratteristiche peculiari degli attacchi DDoS, illustrate dai malintenzionati nella descrizione dei propri servizi, possono influire in maniera decisiva, sia in veste di specifico punto di forza – allo scopo di primeggiare, da parte di un determinato servizio DDoS, nei confronti della concorrenza – sia per quel che riguarda la scelta effettuata dal Cliente in favore di un particolare servizio:

  1. Oggetto dell’attacco e sue specifiche caratteristiche. Il cybercriminale che si propone per la realizzazione di attacchi diretti a siti web riconducibili ad autorità statali ed enti governativi può di fatto creare attorno a sé un pubblico di Clienti per i quali tale genere di servizio risulta di particolare interesse. Di conseguenza, per questa tipologia di servizio DDoS il malintenzionato può richiedere una somma di denaro maggiore rispetto all’analoga cifra prevista, ad esempio, per un attacco nei confronti di un negozio online. Un ruolo importante, nella determinazione dei prezzi relativi ai servizi in questione, può essere ugualmente svolto dalla presenza o meno, sul lato vittima, di eventuali strumenti di protezione contro gli attacchi DDoS: se il target dell’attacco utilizza specifici sistemi di filtraggio del traffico, per proteggere le proprie risorse web, i cybercriminali sono allora costretti ad escogitare determinati metodi di elusione degli stessi, per conferire maggiore efficacia al proprio attacco; questo significa che il prezzo, di conseguenza, crescerà in proporzione.

  2. Fonti dell’attacco e loro caratteristiche. Questo specifico fattore può determinare il prezzo che i malintenzionati stabiliscono riguardo all’organizzazione degli attacchi DDoS: quanto più contenuto si rivela, per il malfattore, il costo della struttura della botnet utilizzata (il quale viene ad esempio definito dal costo medio relativo all’infezione di un singolo dispositivo, poi inserito nella composizione della botnet), tanto maggiori saranno le probabilità che il cybercriminale possa ridurre significativamente il prezzo richiesto per i propri servizi. Ad esempio, una rete composta da 1.000 telecamere adibite alla videosorveglianza può risultare meno costosa, sul piano organizzativo, rispetto ad una botnet formata da 100 server: al momento attuale, come è noto, le telecamere e gli altri dispositivi IoT sono meno protetti, ed i proprietari degli stessi, di fatto, ignorano il problema.

  3. Scenario di attacco. La “necessità” di dover organizzare un assalto DDoS “atipico” (nel caso in cui, ad esempio, il committente richieda, al proprietario della botnet, di alternare vari metodi di attacco DDoS per un breve periodo di tempo, oppure di implementare alcuni di tali metodi contemporaneamente) può accrescere il costo dello stesso.

  4. Costo medio del servizio relativo all’organizzazione di un attacco DDoS in un determinato paese. L’effettiva presenza di concorrenti obbliga i cybercriminali ad alzare, o ad abbassare, i prezzi previsti per i loro servizi. I malfattori cercano inoltre di tenere in considerazione le reali capacità di pagamento del proprio pubblico, e forgiano di conseguenza le loro politiche commerciali (ad esempio, l’offerta relativa all’allestimento di un attacco DDoS condotto per clienti statunitensi avrà un costo più elevato rispetto a quello dell’analoga proposta indirizzata a potenziali committenti situati sul territorio della Federazione Russa).

Assieme all’offerta riguardante le caratteristiche della propria botnet, gli organizzatori dei servizi DDoS da noi individuati propongono alla propria clientela vari piani tariffari, in base ai quali l’acquirente paga, in termini di secondi effettivamente utilizzati, l’affitto delle potenzialità offensive della botnet. Così, ad esempio, 300 secondi di attacco DDoS eseguito attraverso una botnet la cui capacità totale, a livello di larghezza di banda del canale, è di 125 Gbyte al secondo, vengono a costare al committente 5 euro. Tutte le ulteriori caratteristiche indicate (potenza e scenari degli attacchi) risultano poi identiche per tutte le tariffe previste.

Quanto costa organizzare un attacco DDoS

Listino prezzi di uno dei principali servizi attivi nell’organizzazione di attacchi DDoS

10.800 secondi di attacco DDoS costeranno invece al cliente 60 dollari $; tale cifra equivale, all’incirca, ad un prezzo di 20 dollari $ per ogni ora di attacco, le cui peculiarità (scenario di attacco e potenza di calcolo utilizzata) non sono state tuttavia sempre indicate dai malintenzionati sul proprio sito, a “beneficio” dei clienti più esperti. A quanto pare, non tutti i malfattori ritengono opportuno (o conveniente) svelare i “segreti” della propria botnet (è tuttavia ugualmente possibile che non tutti i proprietari di botnet, a causa della loro specifica incompetenza, comprendano bene le caratteristiche tecniche di queste ultime). I malintenzionati non rivelano, in particolar modo, la tipologia dei bot utilizzati nell’ambito delle botnet di cui essi dispongono.

Per i prezzi indicati, i cybercriminali promettono ai propri clienti di implementare scenari piuttosto ordinari e “banali”:

  • SYN-flood;
  • UDP-flood;
  • NTP-amplification;
  • Multi-vector amplification (alcuni scenari di tipo amplification implementati simultaneamente).

Quanto costa organizzare un attacco DDoS

Listino prezzi relativo ad un servizio che consente, con pochi click, di “ordinare” un attacco DDoS contro una risorsa web arbitraria, e di ottenere un dettagliato resoconto riguardo al servizio fornito

Alcuni servizi, poi, offrono la possibilità di scegliere un determinato scenario di attacco; questo consente ai cybercriminali di poter combinare vari scenari, e di realizzare attacchi che tengano conto delle singole peculiarità della vittima. Ad esempio, se la vittima è in grado di fronteggiare con successo un attacco di tipo SYN-flood, il malfattore, utilizzando il pannello di controllo, può passare ad un altro scenario, e valutare poi la reazione della vittima.

Quanto costa organizzare un attacco DDoS

Piani tariffari relativi ad uno dei servizi disponibili in lingua inglese, il quale suddivide i prezzi da esso offerti in base alla durata, in secondi, dell’attacco DDoS.

Tra le numerose proposte di servizio da noi analizzate, occupano indubbiamente un posto a parte quelle che vedono gli attacker offrire prezzi diversi, per i propri servizi, a seconda della tipologia di vittima.

Quanto costa organizzare un attacco DDoS

Le informazioni reperite su un sito in lingua russa, interamente dedicato ai servizi inerenti all’organizzazione di attacchi DDoS

I malintenzionati offrono, ad esempio, un prezzo a partire da 400 dollari $ al giorno (ventiquattro ore di attacco) per un sito web/server che si avvale di specifici servizi di protezione nei confronti dei DDoS, ovvero un prezzo superiore di ben 4 volte rispetto alla tariffa prevista per un sito Internet sprovvisto di apposita protezione.

È inoltre di particolare interesse sottolineare come non tutti i criminali informatici che si occupano dell’organizzazione di assalti DDoS prendano in carico attacchi rivolti a risorse web appartenenti ad istituzioni statali o enti governativi: tali siti vengono in effetti monitorati e sorvegliati dalle forze dell’ordine; nella circostanza, quindi, coloro che allestiscono gli attacchi non intendono di certo esporre troppo le proprie botnet alla luce dei “riflettori”. Ci siamo ad ogni caso imbattuti in particolari offerte nelle quali gli attacchi DDoS rivolti a siti web governativi erano stati di fatto inclusi nelle tabelle tariffarie, come elemento a parte.

Quanto costa organizzare un attacco DDoS

“Il prezzo è soggetto a variazioni se il sito web riveste carattere politico” — recita il sito dedicato all’organizzazione di attacchi DDoS

È poi davvero curioso il fatto che alcuni criminali non “disdegnino” affatto di fornire, assieme ai propri servizi DDoS, anche la stessa protezione nei confronti degli assalti Distributed Denial of Service.

Quanto costa organizzare un attacco DDoS

Oltre ai servizi specificamente dedicati all’organizzazione di attacchi DDoS, troviamo anche determinati servizi relativi alla protezione contro tali assalti informatici

Esempi di formazione di alcuni prezzi

Esamineremo adesso, in qualità di esempio, uno scenario relativo ad un attacco DDoS di tipo “amplificato” (DNS Amplification). L’essenza di tale genere di attacco si può riassumere nel modo seguente: il malintenzionato invia una richiesta appositamente confezionata (il cui volume è, supponiamo, di 100 byte) ad un server DNS vulnerabile; questo risponde al “mittente” (ovvero alla vittima) con un elevato volume (kilobyte) di dati. La botnet può essere composta da decine, persino da centinaia di tali server, oppure da risorse riconducibili a qualche provider pubblico di servizi cloud. Aggiungiamo, a questo punto, dei servizi web pubblici adibiti a test di carico, attraverso i quali può essere realizzato un attacco di tipo “SaaS Amplification”, ed otterremo così un “martello” già piuttosto pesante.

Quanto costa organizzare un attacco DDoS

DDoS = Cloud + DNS Amplification + SaaS Amplification

Il costo di un simile “servizio” dipenderà dall’effettivo costo delle risorse di cui dispone il provider. Possiamo prendere, come esempio, Amazon EC2: il prezzo relativo ad un server virtuale dedicato, provvisto di configurazione minimale (per quel che riguarda gli attacchi DDoS si rivela importante non tanto la configurazione della workstation infetta, quanto la larghezza di banda della connessione di cui essa è dotata), è di circa 0,0065 dollari $ all’ora. Di conseguenza, l’utilizzo di 50 server virtuali per allestire un attacco DDoS di potenza limitata nei confronti di un qualsiasi negozio Internet avrà un costo, per i cybercriminali, di 0,325 dollari $ all’ora. Considerando poi le spese aggiuntive sostenute dai malfattori (ad esempio le spese relative all’acquisto di una SIM card per la registrazione dell’account e all’associazione di una carta di credito), 1 ora di attacco DDoS con utilizzo di un servizio cloud costerà, agli stessi, circa 4 dollari $.

Quanto costa organizzare un attacco DDoS

Quanto costa organizzare un attacco DDoS

Listino prezzi delle istanze relative a popolari provider di servizi cloud

In tal modo, il “costo di produzione” di un attacco con utilizzo di una botnet cloud composta da 1.000 workstation, può risultare pari, per l’esecutore, a circa 7 dollari $ per ogni ora di attacco. Considerando i piani tariffari esposti dai “servizi” da noi individuati, rileviamo che il prezzo medio di un attacco ammonta, per il cliente, a 25 dollari $ all’ora. Questo significa, a sua volta, che il cybercriminale che organizza il DDoS ottiene, in pratica, un profitto di circa 18 dollari $ per ogni ora di attacco realizzato.

Conclusioni

I clienti dei servizi da noi individuati ed analizzati sono ben consapevoli dei “vantaggi” che derivano dalla conduzione di attacchi DDoS, e della particolare efficacia di questi ultimi. Il costo di cinque minuti di attacco rivolto ad un negozio online di considerevoli dimensioni, ammonta a circa 5 dollari. La vittima, invece, può perdere somme di denaro ben superiori, essendo costretta a privarsi degli abituali clienti, i quali, semplicemente, non possono effettuare gli ordini. Si può anche immaginare di quanti clienti sarà complessivamente privato il negozio Internet in causa, se l’attacco si protrae, di fatto, per l’intera giornata.

Allo stesso tempo, i cybercriminali continuano a ricercare attivamente nuovi metodi, meno costosi, per allestire le loro botnet. Da questo punto di vista, l’Internet delle Cose facilita loro notevolmente la vita. Attualmente, una delle tendenze più significative, per quel che riguarda l’evoluzione degli attacchi DDoS, è indubbiamente rappresentata dall’infettare i dispositivi IoT (telecamere adibite alla videosorveglianza, elettrodomestici “intelligenti”, etc.), in seguito utilizzati nell’ambito degli assalti DDoS. E finché esistono dispositivi IoT vulnerabili, i malfattori hanno la concreta possibilità di sfruttare gli stessi non per gli scopi per i quali tali apparecchi sono stati di fatto progettati.

Occorre infine sottolineare come i DDoS, e soprattutto le estorsioni praticate attraverso gli attacchi DDoS, si siano già trasformati in un “business” con elevati margini di profitto: la redditività di un attacco può tranquillamente superare la soglia del 95%. Ed il fatto stesso che i proprietari delle piattaforme online si dimostrino spesso disposti a pagare il riscatto senza nemmeno verificare se i malintenzionati possano effettivamente sferrare un simile attacco (fattore che hanno già ampiamente iniziato a sfruttare cybercriminali di altro genere) getta, indubbiamente, ulteriore benzina sul fuoco. Tutti gli elementi di cui abbiamo riferito qui sopra, fanno presupporre che, nell’immediato futuro, il costo medio degli attacchi DDoS non potrà far altro che diminuire, mentre la frequenza degli stessi sembra invece destinata ad aumentare.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *