Attacchi DDoS nel terzo trimestre del 2016

Contenuti

I principali eventi del trimestre

“Cybercrime as Service”

Negli ultimi mesi è emersa, in tutta la sua vastità, un’infrastruttura globale riconducibile alla tipologia “Cybercrime as Service”, un modello pienamente commercializzato, nell’ambito degli attacchi DDoS, come uno dei servizi più diffusi, in grado di lanciare attacchi senza precedenti in termini di volume e complessità tecnologica degli stessi.

In un simile contesto, nel documento 2016 Internet Organized Crime Threat Assessment (IOCTA), pubblicato da Europol lo scorso 28 settembre, e basato sull’esperienza acquisita in materia dalle forze dell’ordine operanti all’interno degli Stati Membri dell’Unione Europea, si afferma chiaramente che i DDoS occupano in assoluto la prima posizione, in qualità di minaccia chiave, per ogni “entità che deve necessariamente confrontarsi con il mondo di Internet, indipendentemente dallo scopo perseguito o dal tipo di business da essa condotto; ognuna di tali entità deve quindi considerare se stessa e le proprie risorse come un potenziale bersaglio a cui possono mirare i criminali informatici”.

All’inizio del mese di settembre, Brian Krebs, un esperto di sicurezza IT, ha pubblicato un dettagliato report riguardo ai risultati di un’indagine che si è prefissa di analizzare lo schema di business adottato da uno dei principali servizi a livello di botnet DDoS, operante su scala globale, e denominato vDOS; i proprietari di maggior rilievo del servizio in questione sono risultati essere due giovani israeliani. I responsabili sono stati arrestati; la relativa inchiesta giudiziaria, tuttavia, è ancora in corso. L’effettiva portata del business illecitamente condotto da questi ultimi è a dir poco stupefacente.

Sulla base di uno schema di abbonamento con prezzi a partire da19,99 dollari USD al mese, diverse decine di migliaia di clienti hanno complessivamente pagato oltre 600.000 dollari, nel corso degli ultimi due anni, per “beneficiare” del servizio vDOS, il quale, in soli quattro mesi, tra aprile e luglio, ha lanciato più di 277 milioni di secondi di tempo di attacco DDoS, corrispondenti, all’incirca, a 8,81 anni di traffico di attacco.

Non costituisce quindi motivo di particolare sorpresa il fatto che, poco dopo, un violento attacco DDoS abbia reso non disponibile il sito web di Brian Krebs, con un volume di traffico vicino ai 620 Gbit/sec; una simile potenza ha reso tale assalto uno degli attacchi più imponenti mai registrati, sinora, su Internet, anche se lo stesso è stato superato, dopo alcuni giorni, da un altro attacco DDoS record, prossimo ad 1 Tbit/sec, il quale ha colpito OVH, noto hosting provider francese. Il vettore di attacco, come ha riferito Octave Klaba, Chief Technical Officer di OVH, è sembrato essere costituito da una botnet composta, in totale, da ben 152.464 dispositivi IoT (Internet of Things), principalmente webcam, router e termostati; tale botnet ha reso di fatto inaccessibile il sito Internet del giornalista Brian Krebs.

Per rendere la situazione ancora peggiore, gli hacker avevano appena rilasciato il codice sorgente di “Mirai”, responsabile, secondo gli esperti di sicurezza informatica, degli attacchi DDoS sopra menzionati. Tale codice dannoso include uno scanner incorporato, preposto a ricercare i dispositivi IoT vulnerabili, per poi inserire gli stessi nella composizione di una pericolosa botnet pericolosa. In ragione di tutto questo, è lecito attendersi, per i prossimi mesi, una nuova ondata di servizi “commerciali” quali vDOS, specializzati, come abbiamo visto, in attacchi DDoS.

L'”Internet delle Cose” sta involontariamente divenendo, sempre di più, un potente strumento nelle mani dei malintenzionati; favorisce indubbiamente tale circostanza la mancata osservazione delle indispensabili regole di sicurezza informatica sia da parte dei vendor che da parte degli utenti.

Verificate subito, pertanto, che i vostri dispositivi connessi ad Internet siano provvisti di una solida configurazione in termini di sicurezza IT.

Attacchi DDoS di natura “politica”

Gli attacchi DDoS, come è noto, vengono ampiamente utilizzati, nella lotta politica. Dopo che, nello scorso mese di luglio, un tribunale internazionale ha giudicato infondate le rivendicazioni territoriali avanzate dalla Cina sull’arcipelago Spratly, situato nel Mar Cinese Meridionale, hanno subito potenti attacchi DDoS almeno 68 siti web appartenenti a varie istituzioni governative delle Filippine. La stampa internazionale ha classificato tali incidenti informatici come parte di una lunga campagna di cyber-spionaggio, già protrattasi per anni, lanciata dalla Repubblica Popolare Cinese nel quadro della lotta intrapresa per esercitare la propria sovranità sull’arcipelago Spratly.

Attacco nei confronti di una società di brokeraggio

I cyber criminali, nel corso del trimestre qui esaminato, hanno preso di mira gli obiettivi più vulnerabili, in termini di possibili estorsioni legate agli attacchi DDoS. I target prediletti si sono rivelati essere le società di brokeraggio, il cui business si caratterizza per gli elevati volumi di affari e, al tempo stesso, dipende fortemente dai servizi web. La società taiwanese First Securities, ad esempio, ha ricevuto, da parte di sconosciuti, la pressante richiesta relativa all’effettuazione di un pagamento di 50 bitcoin in favore di questi ultimi (circa 32.000 dollari USD). Una volta incassato il rifiuto della compagnia di Taiwan, i malintenzionati hanno riversato sul sito web di tale società un attacco DDoS che ha reso di fatto impossibili le operazioni normalmente eseguite online dai clienti di First Securities. Nella circostanza, il presidente della compagnia di brokeraggio situata nell’Estremo Oriente insulare ha rilasciato una dichiarazione alla stampa, affermando che era stato rilevato un “rallentamento delle operazioni commerciali” riguardante, tuttavia, solo una parte degli investitori.

Stima del danno derivante dagli attacchi DDoS

La società B2B International, su incarico di Kaspersky Lab, ha condotto, anche nel 2016, la consueta approfondita indagine annuale denominata “Corporate IT Security Risks”. I risultati ottenuti grazie a tale studio hanno permesso di stabilire che le società subiscono danni sempre maggiori a seguito della conduzione di attacchi DDoS nei loro confronti: un singolo attacco DDoS può addirittura provocare perdite superiori ad 1,6 milioni di dollari USD. Un altro dato di particolare rilevanza è poi rappresentato dal fatto che, nel corso di un anno, ben 8 aziende su 10 risultano sottoposte a molteplici attacchi DDoS.

La tendenza emergente del trimestre: attacchi DDoS con utilizzo del protocollo SSL

Secondo i dati raccolti grazie alla soluzione di sicurezza Kaspersky DDoS Protection, nel terzo trimestre del 2016 è ulteriormente cresciuto il numero degli attacchi DDoS “intelligenti” eseguiti a livello di applicazioni web, con utilizzo del protocollo HTTPS. Attacchi informatici del genere presentano tutta una serie di importanti vantaggi, per gli hacker, in termini di probabilità di successo.

Per stabilire una connessione protetta occorrono, di fatto, notevoli risorse, nonostante venga costantemente innalzata la velocità operativa che contraddistingue gli algoritmi crittografici (l’algoritmo Diffie-Hellman su curva ellittica, ad esempio, ha permesso di migliorare la “produttività” del processo di cifratura, pur mantenendo su livelli elevati le specifiche caratteristiche di solidità e resistenza dello stesso). Per fare un debito confronto: un server web correttamente configurato è in grado di gestire decine di migliaia di nuove connessioni HTTP al secondo, mentre nel caso in cui si rivela necessario elaborare connessioni crittografate, tale capacità viene misurata soltanto in termini di centinaia di connessioni al secondo.

L’utilizzo di acceleratori crittografici in veste di dispositivi hardware consente di aumentare tale valore di circa un ordine di grandezza. Questo, tuttavia, non aiuta molto, nell’ambito delle attuali realtà operative, che prevedono stretti criteri di convenienza economica e, al contempo, l’effettiva disponibilità di server presi in affitto, così come di canali di comunicazione ad alta capacità; occorre poi tenere in debita considerazione la presenza di note vulnerabilità, le quali possono consentire, di fatto, la creazione di estese botnet. Per realizzare un attacco DDoS “di successo”, i malintenzionati possono creare ed applicare un carico che supera, comunque, le effettive capacità di soluzioni hardware particolarmente costose.

Un tipico esempio di attacco “intelligente” può essere rappresentato dalla creazione di un flusso di richieste relativamente contenuto, in termini di volume, diretto alla parte più “pesante” dei siti web (vengono in genere scelti, in qualità di bersaglio, i form utilizzati per le ricerche), nell’ambito di una quantità limitata, per non dire esigua, di connessioni crittografate. Query del genere passano in pratica inosservate, nel flusso di traffico complessivo e, spesso, anche in presenza di una bassa intensità raggiungono un significativo livello di efficacia. Allo stesso tempo, la decodifica e l’analisi del traffico risultano possibili esclusivamente sul lato web server.

La cifratura complica anche il funzionamento dei sistemi specializzati adibiti alla protezione nei confronti degli attacchi DDoS (e soprattutto delle soluzioni che vengono utilizzate dagli operatori di telecomunicazioni). Nel corso di tali attacchi, la decodifica del traffico “on-the-fly”, per analizzare il contenuto dei pacchetti di rete, risulta spesso impossibile per motivi tecnici, e per ovvie “security reasons” (non si può, ad esempio, trasmettere la chiave privata del server ad organizzazioni di terze parti; le limitazioni matematiche, inoltre, non consentono di ottenere l’accesso alle informazioni custodite all’interno dei pacchetti crittografati che “scorrono” nel flusso del traffico in transito). Questo diminuisce considerevolmente l’efficacia della protezione nei confronti di simili attacchi.

Non per ultimo, l’aumento della quota percentuale ascrivibile agli attacchi DDoS “intelligenti” è ugualmente dovuto al fatto che la realizzazione degli attacchi di tipo “Amplification” (attacchi in cui viene fatto uso di un coefficiente di amplificazione) più “popolari” in questi ultimi tempi, diviene sempre più complessa. Su Internet, poi, si sta sistematicamente riducendo il numero dei server vulnerabili, attraverso i quali risulterebbe in pratica possibile allestire attacchi del genere. Inoltre, la maggior parte di questo tipo di attacchi presenta caratteristiche e segni di distinzione simili, grazie ai quali tali attacchi informatici possono essere neutralizzati e respinti con notevole facilità, e con il 100% di efficacia; ciò significa, di riflesso, che l’efficacia degli stessi si riduce, inevitabilmente, con il trascorrere del tempo.

Il comprensibile desiderio, da parte dei proprietari dei siti web, di proteggere adeguatamente le informazioni, e di innalzare il livello della privacy, così come i minori costi delle potenze di calcolo attualmente impiegate, hanno generato il manifestarsi di un’evidente e stabile tendenza: il “classico” HTTP viene ormai progressivamente sostituito dal più sicuro protocollo HTTPS; questo fa sì che aumenti in maniera sensibile la quota relativa alle risorse web che ricorrono a metodi di cifratura. Al contempo, lo sviluppo delle tecnologie web favorisce un’attiva e rapida introduzione del nuovo protocollo HTTP/2, in base al quale la specifica modalità di funzionamento che non prevede alcun tipo di codifica, non viene più supportata dagli attuali browser.

Assisteremo, a nostro avviso, ad un significativo aumento del numero degli attacchi in cui si ricorre all’utilizzo della crittografia. Tutto questo richiede, già adesso, da parte di coloro che sviluppano gli strumenti di protezione, di riconsiderare radicalmente gli approcci da adottare riguardo alla soluzione del problema relativo alla difesa nei confronti degli attacchi Distributed Denial of Service, visto che le soluzioni esistenti possono rivelarsi inefficaci già nell’immediato futuro.

Statistiche relative agli attacchi DDoS condotti mediante l’utilizzo di botnet

Metodologia

Kaspersky Lab vanta un’esperienza pluriennale nella lotta contro le minacce informatiche di ogni genere, incluso gli attacchi DDoS riconducibili a varie tipologie e gradi diversi di complessità. I nostri esperti monitorano attentamente l’attività delle botnet, avvalendosi, tra l’altro, di un apposito sistema di DDoS Intelligence.

Il sistema Kaspersky DDoS Intelligence costituisce, di per se stesso, una parte della soluzione di sicurezza Kaspersky DDoS Prevention. Esso risulta preposto ad intercettare ed analizzare i comandi che giungono ai bot dai server di comando e controllo; tale sistema non si basa quindi, né sulle eventuali infezioni generate sui dispositivi degli utenti, né sull’effettiva esecuzione dei comandi impartiti dai cybercriminali.

Il presente report contiene i dati statistici ottenuti grazie all’operato del nostro sistema di DDoS Intelligence nel corso del terzo trimestre del 2016.

Nel report si considera come singolo attacco DDoS un attacco nel corso del quale l’intervallo tra i periodi di attività della botnet non supera le 24 ore effettive. Così, ad esempio, nel caso in cui lo stesso identico sito web venga attaccato attraverso la stessa identica botnet con un intervallo di almeno 24 ore, saranno considerati, a livello di statistica, due attacchi DDoS separati. Vengono ugualmente ritenuti singoli attacchi DDoS quelli lanciati nei confronti della medesima risorsa web, ma eseguiti mediante bot riconducibili a botnet diverse.

L’ubicazione geografica delle vittime degli attacchi DDoS e dei server dai quali vengono inviati i comandi dannosi viene determinata in base ai relativi indirizzi IP. In questo report, inoltre, il numero degli obiettivi unici degli attacchi DDoS viene calcolato in base al numero di indirizzi IP unici presenti nell’ambito dei dati statistici trimestrali.

È ugualmente importante sottolineare come le statistiche ottenute grazie al sistema DDoS Intelligence si riferiscano esclusivamente alle botnet individuate ed analizzate dagli esperti di Kaspersky Lab. Occorre infine tenere presente il fatto che le botnet costituiscono soltanto uno dei possibili strumenti per mezzo dei quali possono essere realizzati gli attacchi DDoS; i dati presentati nel nostro report trimestrale non comprendono quindi, indistintamente, tutti gli attacchi DDoS compiuti nel periodo oggetto della nostra analisi.

Il trimestre in cifre

  • Nel terzo trimestre del 2016 si sono registrati attacchi DDoS, condotti mediante l’utilizzo di botnet, nei confronti di “obiettivi” situati in 67 diversi Paesi (nel secondo trimestre del 2016 erano stati presi di mira target ubicati in 70 Paesi diversi).
  • Il 62,6% degli attacchi DDoS eseguiti ha bersagliato obiettivi situati in Cina.
  • Cina, Stati Uniti e Corea del Sud conservano la leadership sia riguardo al numero di attacchi rilevati, sia relativamente al numero di target che hanno subito attacchi DDoS nel corso del trimestre qui esaminato. In entrambe le graduatorie ha fatto la sua comparsa, per la prima volta, l’Italia.
  • Nel periodo oggetto del presente report, l’attacco DDoS più esteso in termini temporali si è protratto per 184 ore (7,6 giorni), una durata notevolmente inferiore al valore massimo riscontrato riguardo al trimestre precedente (291 ore, ovvero 12,1 giorni).
  • Il maggior numero di attacchi DDoS (19) è stato subito, nel corso del terzo trimestre del 2016, da un popolare motore di ricerca cinese.
  • Così come in precedenza, SYN-DDoS, TCP-DDoS e HTTP-DDoS rappresentano gli scenari più diffusi nel quadro degli attacchi DDoS eseguiti tramite botnet. Per quel che riguarda l’effettiva ripartizione delle metodologie più frequentemente utilizzate dai cyber criminali per la conduzione degli attacchi Distributed Denial of Service, ha continuato a crescere sensibilmente la quota relativa allo scenario SYN-DDoS (+ 5 punti percentuali), mentre gli indici ascrivibili ai metodi ICMP-DDoS e TCP-DDoS si sono confermati in progressiva flessione.
  • Nel terzo trimestre del 2016, è ulteriormente aumentata la quota relativa agli attacchi eseguiti ricorrendo alle botnet Linux; essa si è in effetti attestata su un valore pari al 78,9% del volume complessivo di attacchi DDoS individuati.

Geografia degli attacchi

Nel terzo trimestre del 2016 si sono registrati attacchi DDoS nei confronti di target ubicati in 67 diversi Paesi; il 72,6% di tali attacchi informatici ha riguardato, tuttavia, risorse web situate in Cina (- 4,8% rispetto al trimestre precedente). I dati statistici relativi al numero complessivo di attacchi DDoS individuati evidenziano come il 97,4% del volume totale degli attacchi sia stato condotto verso il territorio di soli 10 Paesi. Rileviamo, inoltre, per quel che riguarda la composizione della “trojka” dei Paesi leader della graduatoria, come nel periodo qui preso in esame gli Stati Uniti (12,8%) abbiano sopravanzato la Corea del Sud (6,3%), andando in tal modo ad occupare la seconda piazza del rating.

Attacchi DDoS nel terzo trimestre del 2016

Ripartizione per Paesi degli attacchi DDoS –
2° trimestre 2016 e 3° trimestre 2016 a confronto

Desideriamo evidenziare come, nel terzo trimestre del 2016, sia entrata a far parte, per la prima volta, dello specifico rating da noi stilato anche l’Italia (0,6%). Complessivamente, la TOP-10 relativa al trimestre analizzato nel presente report annovera la presenza di tre Paesi dell’Europa Occidentale (Italia, Francia e Germania).

Le statistiche riguardanti la ripartizione geografica dei target unici presi di mira dagli attacchi evidenziano come il 96,9% del volume totale degli attacchi DDoS eseguiti dai malintenzionati nel terzo trimestre dell’anno in corso, sia stato condotto a danno di obiettivi unici ubicati in una ristretta cerchia di dieci Paesi, facenti parte della composizione della TOP-10 qui di seguito riportata.

Attacchi DDoS nel terzo trimestre del 2016

Ripartizione per Paesi degli obiettivi unici bersagliati dagli attacchi DDoS –
2° trimestre 2016 e 3° trimestre 2016 a confronto

Come evidenzia il grafico qui sopra inserito, la Cina detiene ugualmente la leadership di questa seconda importante graduatoria; occorre tuttavia sottolineare come, nel terzo trimestre dell’anno corrente, la quota relativa ai target unici degli attacchi DDoS condotti in territorio cinese (62,6%) abbia fatto registrare una marcata diminuzione (- 8,7 punti percentuali) rispetto all’analogo valore riscontrato nel trimestre precedente. Per contro, hanno suscitato le attenzioni dei cybercriminali in misura maggiore, rispetto al secondo trimestre dell’anno, le risorse web uniche situate negli USA: la quota inerente agli Stati Uniti è in effetti risultata pari al 18,7%, contro l’8,9% fatto registrare tre mesi fa dal Paese nordamericano. Il terzo gradino del podio “virtuale” è andato ad appannaggio della Corea del Sud, il cui indice ha evidenziato una flessione del 2,4%, attestandosi così su un valore pari all’8,7%.

Le quote relative agli altri Paesi presenti nella TOP-10 qui sopra riportata sono invece aumentate, ad eccezione della Francia (0,4%), la quale ha visto il proprio indice diminuire di 0,1 punti percentuali. Il Giappone (1,6%) e l’Italia (1,1%), da parte loro, hanno fatto registrare un notevole aumento della propria quota, salita di 1 punto percentuale netto per entrambi i Paesi; ne è conseguito che l’Italia è entrata per la prima volta a far parte di questa speciale TOP-10, collocandosi, peraltro, subito al 6° posto della graduatoria (al contempo, è uscita dalle prime dieci posizioni del rating l’Ucraina). È ugualmente cresciuto in maniera significativa l’indice percentuale ascrivibile ai target unici presi di mira dagli attacchi DDoS lanciati sul territorio della Federazione Russa; tale indice è in effetti passato, nell’arco di tre mesi, dallo 0,8% all’1,1%.

Osserviamo, infine, come facciano complessivamente parte della TOP-10 in questione tre Paesi dell’Europa Occidentale: Italia. Francia, Paesi Bassi.

Dinamiche relative al numero di attacchi DDoS individuati

Nel terzo trimestre del 2016 è stata rilevata una distribuzione giornaliera degli attacchi estremamente irregolare; è stato ad esempio osservato un periodo di elevata attività dal 21 luglio al 7 agosto, con improvvisi picchi il 23 luglio ed il 3 agosto; dal successivo 8 agosto in poi si è invece manifestato un repentino calo del numero degli attacchi DDoS condotti, in seguito tramutatosi, a partire dal 14 agosto, in un periodo di relativa calma, durato fino al 6 settembre. Il minor numero di attacchi DDoS è stato rilevato il 3 settembre scorso (22 attacchi). Il picco assoluto di tali attacchi informatici si è invece verificato, nel corso del trimestre qui preso in esame, il 3 agosto, con 1.746 attacchi. Desideriamo sottolineare come si tratti, nella circostanza, del valore più elevato da noi riscontrato lungo tutto l’arco dei primi tre trimestri del 2016. La maggior parte degli attacchi in questione è risultata diretta a server riconducibili ad uno stesso identico provider, server situati sul territorio degli Stati Uniti.

Attacchi DDoS nel terzo trimestre del 2016

Dinamiche relative al numero di attacchi DDoS – 3° trimestre 2016

*Visto che gli attacchi DDoS possono protrarsi ininterrottamente per alcuni giorni, nella relativa timeline un attacco può essere considerato varie volte (in pratica una volta per ogni singolo giorno).

Nel terzo trimestre dell’anno in corso, il maggior numero di attacchi DDoS ha avuto luogo di venerdì (17,3% del totale complessivo degli attacchi); al secondo posto, per quel che riguarda i vari giorni della settimana, troviamo poi il giovedì (15,2%). Il giorno della settimana in cui si è verificato il livello di attività meno elevato, relativamente ai DDoS, si è rivelato essere il lunedì (12,6%); ricordiamo a tal proposito che, nell’ambito dell’analoga graduatoria inerente al trimestre precedente, tale giorno occupava la seconda posizione del rating, con una quota pari al 15%.

Attacchi DDoS nel terzo trimestre del 2016

Ripartizione degli attacchi DDoS in base ai giorni della settimana –
2° e 3° trimestre del 2016 a confronto

Тipologie e durata degli attacchi DDoS

La speciale TOP-5 relativa alle metodologie più frequentemente utilizzate dai cyber criminali per la conduzione degli attacchi Distributed Denial of Service non presenta sostanziali cambiamenti rispetto all’analoga classifica stilata riguardo al secondo trimestre dell’anno: risulta di nuovo aumentata (dal 76% all’81%) la quota relativa all’utilizzo, da parte dei malintenzionati, dello scenario SYN-DDoS; per contro, gli indici percentuali ascrivibili alle rimanenti tipologie di attacco hanno evidenziato, in genere, lievi flessioni. Il decremento di maggior entità è stato rilevato riguardo al metodo ICMP-DDoS, il cui indice ha presentato una diminuzione complessivamente quantificabile in 2,6 punti percentuali.

Attacchi DDoS nel terzo trimestre del 2016

Ripartizione degli attacchi DDoS in base alle varie tipologie esistenti –
2° e 3° trimestre del 2016 a confronto

La quota relativa agli attacchi DDoS caratterizzati da una durata relativamente breve, non superiore alle 4 ore, è cresciuta, nel terzo trimestre, di ben 9,2 punti percentuali, raggiungendo in tal modo un valore pari al 69%. Osserviamo, inoltre, come sia rimasta invariata, all’interno della speciale graduatoria da noi elaborata, la posizione occupata dagli attacchi con durata compresa tra le 5 e le 9 ore; risulta invece fortemente diminuito il valore dell’indice percentuale riguardante gli attacchi di lunga durata, che si protraggono per un numero di ore (e di giorni) davvero considerevole. La diminuzione in assoluto più marcata è stata rilevata riguardo alla quota ascrivibile agli attacchi la cui durata va dalle 100 alle 149 ore; si è in effetti passati dall’1,7% fatto registrare, per tali attacchi DDoS, nel secondo trimestre dell’anno corrente, all’esiguo 0,1% per essi riscontrato nel terzo trimestre del 2016. Gli attacchi di durata ancora maggiore, infine, sono stati osservati soltanto in casi isolati.

Attacchi DDoS nel terzo trimestre del 2016

Ripartizione degli attacchi DDoS in base alla loro durata in ore –
2° e 3° trimestre del 2016 a confronto

Anche il record relativo alla durata complessiva di un singolo attacco Distributed Denial of Service non è risultato particolarmente rilevante, per quel che riguarda il terzo trimestre dell’anno, visto che tale valore si è attestato su un massimo di 184 ore (tale attacco è stato condotto nei confronti di un provider cinese). Ricordiamo, a questo proposito, che l’assalto DDoS di maggior durata da noi individuato nel corso del secondo trimestre del 2016, si era invece protratto per ben 291 ore. “Recordman” relativamente al maggior numero di attacchi DDoS complessivamente subiti da una sola vittima è divenuto un popolare motore di ricerca cinese, il quale, nel corso del terzo trimestre dell’anno, è stato attaccato ben 19 volte.

Server di comando e controllo; tipologie di botnet

Nel trimestre oggetto della nostra analisi, la leadership della graduatoria relativa al numero di server di comando e controllo delle botnet, individuati sul territorio dei vari Paesi, è andata nuovamente ad appannaggio della Corea del Sud. La quota relativa al Paese dell’Estremo Oriente si è tuttavia attestata su un valore pari al 45,8%, sensibilmente inferiore rispetto all’analogo indice rilevato in relazione al trimestre precedente (69,6%).

Osserviamo, inoltre, come nel terzo trimestre del 2016 sia rimasta invariata la composizione della “trojka” dei Paesi leader della speciale graduatoria – Corea del Sud, Cina, Stati Uniti – la cui quota complessiva è risultata pari al 67,7% del numero totale di server C&C rilevati nei vari Paesi (tale indice, nel secondo trimestre dell’anno in corso, aveva raggiunto un valore ben più elevato, pari all’84,8%). Non sono mutate, peraltro, nemmeno le posizioni rispettivamente occupate dai suddetti tre Paesi nell’ambito della speciale classifica da noi stilata.

È stato di riflesso osservato, tuttavia, un significativo aumento del numero dei server di comando e controllo attivi nei Paesi dell’Europa Occidentale: sono di fatto entrati a far parte delle prime dieci posizioni del rating Paesi Bassi (4,8%), Gran Bretagna (4,4%) e Francia (2%). Ricordiamo come le classifiche “geografiche” inerenti al maggior numero di attacchi rilevati nei vari Paesi, ed al maggior numero di target sottoposti ad attacco in questi ultimi, annoverino, anch’esse, la presenza di 3 Paesi situati sul territorio dell’Europa Occidentale.

Segnaliamo infine, tra le “new entry” della TOP-10 qui sotto riportata, Hong Kong ed Ucraina, che hanno fatto registrare lo stesso indice percentuale (2%).

Attacchi DDoS nel terzo trimestre del 2016

Ripartizione per Paesi dei server di comando e controllo delle botnet –
Situazione relativa al 3° trimestre del 2016

Rimane assolutamente indiscussa, nel terzo trimestre, la leadership dei bot provvisti di sistema operativo Linux: la quota relativa agli attacchi condotti attraverso botnet operanti con Linux ha peraltro continuato ad aumentare sensibilmente, raggiungendo un valore pari al 78,9%, contro il 70,8% fatto registrare nel trimestre precedente. Tale specifica circostanza è indubbiamente correlata all’evidente crescita del livello di “popolarità”, presso i malintenzionati, del metodo di attacco SYN-DDoS: i bot Linux rappresentano, in sostanza, lo strumento più adatto per la realizzazione di tale scenario. Inoltre, questo può essere spiegato con la crescente popolarità dei dispositivi IoT, basati su Linux, utilizzati nell’ambito degli attacchi DDoS. Tale tendenza continuerà con ogni probabilità a rafforzarsi ulteriormente a seguito della recente pubblicazione del codice sorgente di Mirai.

Attacchi DDoS nel terzo trimestre del 2016

Correlazione tra gli attacchi lanciati attraverso botnet basate sull’OS Windows e gli attacchi eseguiti ricorrendo a botnet operanti con Linux – 2° e 3° trimestre del 2016 a confronto

È di particolare interesse rilevare come questa precisa tendenza, emersa in maniera netta già nello scorso trimestre, stia di fatto consolidandosi ulteriormente; sino a tre mesi fa, la differenza tra le quote attribuibili alle botnet basate sull’OS Windows, e le quote ascrivibili alle botnet operanti con Linux, non aveva mai superato i 10 punti percentuali, e questo per vari trimestri.

Così come nei trimestri precedenti, nella stragrande maggioranza dei casi (99,8%) i malintenzionati hanno fatto ricorso, per la conduzione dei loro attacchi, a bot riconducibili ad un’unica famiglia. Soltanto nello 0,2% dei casi, quindi, i target unici presi di mira sono stati sottoposti ad attacco da parte di bot riconducibili a due diverse famiglie.

Conclusioni

Gli attacchi condotti attraverso le botnet di stampo “classico”, basati sull’utilizzo di strumenti malware ampiamente diffusi, quali Pandora, Drive e similari, vengono attentamente studiati dagli analisti, i quali, in seguito, mettono a punto metodi “semplici” ed efficaci per la neutralizzazione degli attacchi DDoS che prevedono l’utilizzo dei suddetti strumenti. Questo obbliga inevitabilmente i cyber criminali a far uso, sempre più di frequente, di metodi maggiormente sofisticati, per quel che riguarda l’organizzazione degli attacchi DDoS, tra cui i metodi che fanno ricorso alla cifratura dei dati; i cyber criminali si vedono inoltre costretti ad adottare nuovi approcci nello sviluppo dei tool adibiti all’organizzazione degli attacchi e alla successiva creazione delle botnet.

Un’ulteriore interessante tendenza manifestatasi nel corso del trimestre qui preso in esame è rappresentata dall’aumento del livello di attività delle botnet DDoS nell’Europa Occidentale. Per la prima volta, quest’anno, sono entrati a far parte della TOP-10 relativa ai Paesi maggiormente sottoposti ad attacco, tre Paesi situati sul territorio dell’Europa Occidentale: si tratta, come abbiamo visto in precedenza, di Italia, Francia e Germania. Tale dato statistico è di fatto correlato all’incremento del numero di server di comando attivi nella parte occidentale del continente europeo, ed in particolar modo in Francia, Gran Bretagna ed Olanda. Complessivamente, è risultato riconducibile a Paesi situati nell’Europa Occidentale circa il 13% dei server di comando e controllo delle botnet DDoS (C&C in attività).

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *