Attacchi DDoS nel quarto trimestre del 2016

Contenuti

News in sintesi

Il 2016 è stato, senza alcun dubbio, l’anno del Distributed Denial of Service (DDoS) caratterizzato da ripercussioni e sconvolgimenti di notevole entità in termini di tecnologie adottate, portata degli attacchi eseguiti ed impatto prodotto sulla nostra vita quotidiana. Di fatto, l’anno si è concluso con massicci attacchi DDoS mai visti in precedenza, nel corso dei quali è stato fatto uso della tecnologia dispiegata nell’ambito delle botnet Mirai, la cui prima apparizione era stata oggetto di analisi nel nostro ultimo DDoS Intelligence Report.

Da allora, abbiamo pubblicato diversi altri dettagliati report dedicati agli attacchi di vasta portata condotti nei confronti delle infrastrutture DNS (Domain Name System) gestite dalla società Dyn, e di Deutsche Telekom, che nello scorso mese di novembre hanno impedito l’accesso online a 900K utenti tedeschi. Abbiamo inoltre monitorato attacchi simili portati nei confronti di Internet service provider (ISP) ubicati in Irlanda, nel Regno Unito e in Liberia. In tutti gli attacchi appena elencati, i malintenzionati sono ricorsi all’utilizzo di dispositivi IoT controllati attraverso la tecnologia Mirai; una parte di tali assalti ha poi preso di mira i router domestici, nel tentativo di creare nuove botnet.

Sebbene la definizione ‘Rise of the Machines‘ (Le macchine ribelli) – così ha intitolato la propria analisi l’Institute for Critical Infrastructure Technology (ICIT) – suoni già piuttosto palese, l’esteso report in questione indica poi chiaramente come, in tutto il mondo, ed in particolar modo negli Stati Uniti e all’interno dell’Unione Europea, le parti interessate riconoscano l’effettiva mancanza di sicurezza insita nella progettazione funzionale dei dispositivi IoT, così come l’impellente necessità di creare un ecosistema comune per quel che riguarda la sicurezza IoT. Ed era davvero ora, visto che ci attendiamo il sorgere di ulteriori varianti della botnet Mirai, al pari di un generale aumento, nel 2017, delle attività malevole condotte attraverso le botnet IoT.

Nel complesso, gli attacchi DDoS visti sinora sembrano rappresentare un semplice punto di partenza intrapreso da vari attori sia allo scopo di introdurre lo sfruttamento dei dispositivi IoT nell’ambito delle botnet di cui tali attori risultano proprietari, sia con il preciso intento di testare la tecnologia Mirai e sviluppare determinati vettori di attacco. Gli attacchi DDoS realizzati in novembre a danno di cinque banche russe di primaria importanza costituiscono un chiaro esempio di tutto ciò.

In primo luogo, essi dimostrano ancora una volta come determinati servizi finanziari quali, ad esempio, il bitcoin trading e le piattaforme blockchain di CoinSecure, con sede in India, e BTC-e, situata in Bulgaria, oppure William Hill, uno dei più grandi siti di scommesse della Gran Bretagna, che ha impiegato giorni e giorni prima di poter tornare a pieno servizio, siano risultati sottoposti a rischi davvero molto elevati, nel corso del quarto trimestre 2016; e, probabilmente, la situazione rimarrà tale per tutto il 2017.

In secondo luogo, i cybercriminali hanno ormai imparato a gestire e lanciare assalti DDoS multi-vettore particolarmente sofisticati, accuratamente pianificati e in continua evoluzione; si tratta di attacchi tagliati su misura per neutralizzare l’effettiva capacità di mitigazione e le policy di sicurezza implementate dalle organizzazioni via via sottoposte ad attacco. Come indicato nella nostra analisi, in vari altri casi da noi monitorati nel corso del 2016 i cybercriminali hanno avviato le loro operazioni malevole combinando diversi vettori di attacco, esplorando progressivamente le reti informatiche degli istituti bancari presi di mira, o i servizi web bersagliati, con il preciso scopo di individuare i potenziali punti deboli. Poi, una volta che sono sono state intraprese specifiche attività di mitigazione DDoS, e sono state di pari passo implementate ulteriori contromisure di sicurezza, i vettori di attacco, per vari giorni, sono ripetutamente cambiati.

Nel complesso, tali attacchi hanno mostrato in tutta evidenza come, nel 2016, il torbido panorama DDoS sia di fatto entrato nella fase successiva della propria evoluzione, con l’impiego di nuove tecnologie, l’utilizzo di una massiccia potenza di attacco, e la presenza sulla scena di abili cybercriminali professionisti, in possesso di elevate capacità. Purtroppo, tale specifica e preoccupante tendenza non ha ancora trovato un adeguato riscontro, a livello di policy di cyber-sicurezza, da parte di molte organizzazioni, non ancora pronte ad effettuare i necessari investimenti – o con le idee ancora non troppo definite – riguardo ai servizi di protezione DDoS da allestire al più presto.

Le quattro principali tendenze dell’anno 2016

Nel corso del 2016 il mercato degli attacchi DDoS è cambiato e si è sviluppato in maniera davvero significativa; in particolare, sono state da noi rilevate quattro tendenze principali:

  1. Rinuncia alla conduzione di attacchi di tipo Amplification. Il metodo degli assalti DDoS amplificati (attacchi in cui viene fatto uso di un coefficiente di amplificazione) non rappresenta di certo una novità; le tecniche e gli strumenti utilizzati per respingere simili attacchi sono ormai ben noti e definiti. Gli attacchi riconducibili a tale tipologia, ad ogni caso, hanno mantenuto un elevato livello di “popolarità” lungo tutto l’arco del primo semestre 2016. In seguito, tuttavia, il numero e i volumi degli stessi sono costantemente diminuiti. Verso la fine del 2016 è stata da noi osservata la quasi totale rinuncia, da parte dei malintenzionati, all’utilizzo degli attacchi di tipo Amplification; una precisa tendenza riguardo a tale specifica circostanza era ad ogni caso già emersa nel corso di questi ultimi anni. Ciò è dovuto, in primo luogo, al progressivo ed efficace sviluppo degli approcci di cui viene fatto uso per respingere simili assalti DDoS. In secondo luogo, occorre evidenziare la sensibile riduzione del numero di host-reflector vulnerabili, accessibili da parte dei malfattori (ben evidente, in particolar modo, nel caso degli attacchi DNS Amplification); i proprietari degli host utilizzati per amplificare la potenza degli attacchi DDoS subiscono, di fatto, considerevoli perdite, e si trovano a dover affrontare seri problemi riguardo al funzionamento delle risorse di cui dispongono: essi, in pratica, sono giocoforza costretti a dedicare tutte le necessarie attenzioni a tale problematica, e a ricercare i metodi più adeguati per chiudere le eventuali vulnerabilità.

  2. Aumento del grado di “popolarità” degli attacchi a livello di applicazione; aumento del numero di tali attacchi in cui si ricorre all’utilizzo della crittografia. In questi ultimi anni, gli attacchi di tipo UDP Amplification sono risultati essere i leader incontrastati sul mercato degli assalti DDoS, mentre hanno continuato a dimostrarsi relativamente rari, per lungo tempo, gli attacchi eseguiti a livello di applicazioni web. Tuttavia, nella seconda metà del 2016, ed in particolar modo nel quarto trimestre dello scorso anno, è stato osservato un repentino aumento del grado di diffusione degli attacchi diretti alle applicazioni, i quali sono andati occupare la nicchia lasciata vacante dagli attacchi ad amplificazione. Per allestire tale genere di attacchi vengono utilizzati sia strumenti che esistono già da tempo, ampiamente collaudati (Pandora, Drive, LOIC/HOIC), sia nuove realizzazioni in materia, sviluppate di recente. La crescita del numero degli assalti DDoS eseguiti a livello di applicazione risulta accompagnata, di pari passo, dal manifestarsi di una precisa tendenza, che vede un marcato aumento del numero degli attacchi di tal genere in cui viene fatto ricorso a metodi di cifratura. Nella maggior parte dei casi, l’impiego della crittografia aumenta considerevolmente l’efficacia degli attacchi in questione, e rende particolarmente complesse le operazioni di filtraggio degli stessi. Inoltre, i malintenzionati si avvalgono, così come in precedenza, di un approccio decisamente complesso, mascherando spesso un attacco di dimensioni contenute, a livello di applicazioni web, con la contemporanea conduzione di qualche attacco DDoS di notevole entità, ad esempio un attacco costituito da un’elevata quantità di pacchetti di rete decisamente corti (TCP flood a pacchetti corti).

  3. Crescita del livello di diffusione degli attacchi di tipo WordPress Pingback. Gli attacchi di tipo WordPress Pingback, estremamente rari all’inizio del 2016, nel quarto trimestre dello scorso anno sono andati ad occupare un segmento piuttosto esteso nell’ambito dell’oscuro mercato degli assalti DDoS. Si tratta, attualmente, di uno dei metodi di attacco a livello di applicazione in assoluto più praticati; tale circostanza consente di poter rilevare tale tipologia di assalto DDoS in maniera netta, e di poter analizzare la stessa in modo distinto rispetto alla massa complessiva degli attacchi realizzati nei confronti delle applicazioni web. Nonostante la relativa semplicità a livello di allestimento, l’impronta di un simile attacco si contraddistingue sempre in maniera evidente; inoltre, il traffico da esso generato può essere individuato in modo relativamente semplice, all’interno del flusso di traffico complessivo. Ad ogni caso, l’effettiva possibilità di condurre un simile attacco ricorrendo all’utilizzo della crittografia, come è stato osservato dagli esperti di Kaspersky Lab nel quarto trimestre del 2016, complica notevolmente le operazioni di filtraggio, ed aumenta di molto il potenziale nocivo insito negli attacchi riconducibili a tale tipologia.

  4. Utilizzo delle botnet IoT per la conduzione di attacchi DDoS. Dopo l’avvenuta pubblicazione, il 24 ottobre scorso, del relativo codice sorgente sul portale web GitHub, gli esperti di Kaspersky Lab hanno osservato una vera e propria esplosione di interesse, da parte dei criminali informatici, nei confronti dei dispositivi IoT, ed in particolar modo riguardo all’organizzazione, sulla base di tali dispositivi, di botnet adibite alla conduzione di attacchi DDoS. I principi e gli approcci messi in atto dagli autori del bot Mirai hanno di fatto costituito una solida base per lo sviluppo di un’elevata quantità di nuovi codici maligni e di botnet composte da dispositivi IoT vulnerabili. Proprio tali botnet sono state ampiamente utilizzate nel corso di numerosi attacchi eseguiti a danno di istituti bancari russi nel quarto trimestre del 2016. Le botnet basate sui dispositivi IoT, a differenza di quelle di stampo “classico”, si contraddistinguono per la loro enorme estensione e l’enorme potenziale, come ha dimostrato l’eclatante attacco, di vasta portata, realizzato nei confronti delle infrastrutture DNS gestite dal provider DYN; tale attacco ha indirettamente prodotto notevoli ripercussioni negative sul funzionamento di numerose risorse della Rete di primaria importanza (quali, ad esempio, Twitter, Airbnb, CNN e molte altre ancora).

Statistiche relative agli attacchi DDoS condotti mediante l’utilizzo di botnet

Metodologia

Kaspersky Lab vanta un’esperienza pluriennale nella lotta contro le minacce informatiche di ogni genere, incluso gli attacchi DDoS riconducibili a varie tipologie e gradi diversi di complessità. I nostri esperti monitorano attentamente l’attività delle botnet, avvalendosi, tra l’altro, di un apposito sistema di DDoS Intelligence.

Il sistema Kaspersky DDoS Intelligence costituisce, di per se stesso, una parte della soluzione di sicurezza Kaspersky DDoS Prevention. Esso risulta preposto ad intercettare ed analizzare i comandi che giungono ai bot dai server di comando e controllo; tale sistema non si basa quindi, né sulle eventuali infezioni generate sui dispositivi degli utenti, né sull’effettiva esecuzione dei comandi impartiti dai malintenzionati.

Il presente report contiene i dati statistici ottenuti grazie all’operato del nostro sistema di DDoS Intelligence nel corso del quarto trimestre del 2016.

Nel report si considera come singolo attacco DDoS un attacco nel corso del quale l’intervallo tra i periodi di attività della botnet non supera le 24 ore effettive. Così, ad esempio, nel caso in cui lo stesso identico sito web venga attaccato attraverso la stessa identica botnet con un intervallo di almeno 24 ore, saranno considerati, a livello di statistica, due attacchi DDoS separati. Vengono ugualmente ritenuti singoli attacchi DDoS quelli lanciati nei confronti della medesima risorsa web, ma eseguiti mediante bot riconducibili a botnet diverse.

L’ubicazione geografica delle vittime degli attacchi DDoS e dei server dai quali vengono inviati i comandi malevoli viene determinata in base ai relativi indirizzi IP. In questo report, inoltre, il numero degli obiettivi unici degli attacchi DDoS viene calcolato in base al numero di indirizzi IP unici presenti nell’ambito dei dati statistici trimestrali.

È ugualmente importante sottolineare come le statistiche ottenute grazie al sistema DDoS Intelligence si riferiscano esclusivamente alle botnet individuate ed analizzate dagli esperti di Kaspersky Lab. Occorre infine tenere presente il fatto che le botnet costituiscono soltanto uno dei possibili strumenti per mezzo dei quali possono essere realizzati gli attacchi DDoS; i dati presentati nel nostro report trimestrale non comprendono quindi, indistintamente, tutti gli attacchi DDoS compiuti nel periodo oggetto della nostra analisi.

Il trimestre in cifre

  • Nel quarto trimestre del 2016 si sono registrati attacchi DDoS, condotti mediante l’utilizzo di botnet, nei confronti di “obiettivi” situati in 80 diversi paesi (nel terzo trimestre del 2016 erano stati presi di mira target ubicati in 67 paesi diversi).
  • Il 71,6% degli attacchi eseguiti nel quarto trimestre ha bersagliato obiettivi situati in Cina.

  • Corea del Sud, Cina e Stati Uniti continuano ad occupare le prime tre posizioni delle speciali graduatorie relative al numero di attacchi rilevati, al numero di target che hanno subito attacchi DDoS e al numero di server di comando e controllo progressivamente individuati.
  • Nel periodo oggetto del presente report, l’attacco DDoS più esteso in termini temporali si è protratto per ben 292 ore (12,2 giorni), una durata notevolmente superiore al valore massimo riscontrato riguardo al trimestre precedente (184 ore, ovvero 7,7 giorni): si tratta, in assoluto, del valore record per l’intero 2016.
  • Così come in precedenza, SYN-DDoS, TCP-DDoS e HTTP-DDoS rappresentano gli scenari più diffusi nel quadro degli attacchi DDoS eseguiti tramite botnet. La quota relativa alla tipologia SYN-DDoS, nell’ambito della ripartizione percentuale dei vari metodi di attacco, risulta tuttavia diminuita del 5,7%, mentre sono sensibilmente aumentati gli indici relativi ai metodi TCP e HTTP.
  • Nel quarto trimestre del 2016, è lievemente diminuita la quota inerente agli attacchi eseguiti ricorrendo alle botnet Linux; essa si è in effetti attestata su un valore pari al 76,7% del volume complessivo di assalti DDoS condotti.

Geografia degli attacchi

Nel quarto trimestre del 2016 si sono registrati attacchi DDoS nei confronti di target ubicati in 80 diversi paesi; il 76,97% di tali assalti informatici ha riguardato, tuttavia, risorse web situate in Cina (+ 4,4% rispetto al trimestre precedente). Nel trimestre qui preso in esame la quota relativa agli Stati Uniti è risultata pari al 7,3%; osserviamo, inoltre, come il terzo posto della speciale graduatoria sia andato nuovamente ad appannaggio della Corea del Sud (7%).

Rileviamo, infine, come sia entrato a far parte della TOP 10 da noi stilata – comprendente i dieci paesi nei quali si è registrato, complessivamente, il 96,9% del numero totale di attacchi DDoS – il Canada (0,8%); per contro, non risulta più presente in tale classifica l’Italia. La Russia (1,75%), da parte sua, è salita dalla quinta alla quarta posizione, vista la sensibile diminuzione della quota ascrivibile al Vietnam (- 0,6%).

Attacchi DDoS nel quarto trimestre del 2016

Ripartizione per paesi degli attacchi DDoS –
3° trimestre 2016 e 4° trimestre 2016 a confronto

Le statistiche riguardanti la ripartizione geografica dei target unici presi di mira dagli attacchi evidenziano come il 96,3% del volume totale degli assalti DDoS eseguiti dai malintenzionati nel quarto trimestre del 2016, sia stato condotto a danno di obiettivi unici ubicati in una ristretta cerchia di dieci paesi, facenti parte della composizione della TOP 10 qui di seguito riportata.

Attacchi DDoS nel quarto trimestre del 2016

Ripartizione per paesi degli obiettivi unici bersagliati dagli attacchi DDoS –
3° trimestre 2016 e 4° trimestre 2016 a confronto

Come evidenzia il grafico qui sopra inserito, la Cina detiene ugualmente la leadership di questa seconda importante graduatoria; occorre inoltre sottolineare come, nel periodo qui analizzato, la quota relativa ai target unici degli attacchi DDoS condotti in territorio cinese (71,6%) abbia fatto registrare un marcato aumento (+ 9 punti percentuali) rispetto all’analogo valore riscontrato nel trimestre precedente. In Corea del Sud, poi, si è registrato un lieve aumento del numero di risorse web uniche prese di mira (+ 0,7%); per contro, la quota relativa agli USA (9%) ha evidenziato una forte flessione (- 9,7%) rispetto al terzo trimestre del 2016, quando l’analogo indice si era attestato su un valore pari al 18,7%.

Le quote ascrivibili agli altri paesi presenti nella TOP 10 non hanno subito sostanziali variazioni, ad eccezione del Giappone, il cui indice è diminuito di oltre 1 punto percentuale; inoltre, non risultano più presenti in graduatoria né l’Italia, né i Paesi Bassi, rimpiazzati, all’interno del rating, da Germania (0,56%) e Canada (0,77%).

Dinamiche relative al numero di attacchi DDoS individuati

Nel quarto trimestre del 2016, la distribuzione giornaliera degli attacchi si è rivelata essere piuttosto regolare; un improvviso picco degli stessi si è tuttavia manifestato attorno al 5 novembre, giorno in cui è stato osservato il maggior numero di assalti DDoS (1915 attacchi); si tratta, nella circostanza, del valore più elevato registrato nel corso dell’intero 2016. Il giorno più “tranquillo” del quarto trimestre 2016 si è invece rivelato essere il 23 novembre: in tale data hanno avuto luogo “soltanto” 90 attacchi; ad ogni caso, già due giorni dopo, il 25 novembre, il livello di attività dei malintenzionati faceva segnare un nuovo, repentino aumento, con un totale complessivo di 981 attacchi effettuati.

Attacchi DDoS nel quarto trimestre del 2016

Dinamiche relative al numero di attacchi DDoS* – 4° trimestre 2016

*Visto che gli attacchi DDoS possono protrarsi ininterrottamente per alcuni giorni, nella relativa timeline un attacco può essere considerato varie volte (in pratica una volta per ogni singolo giorno).

Nel quarto trimestre dello scorso anno, il giorno della settimana in cui gli autori degli assalti DDoS si sono “riposati” di meno è risultato essere il sabato (18,2% del totale complessivo degli attacchi); al secondo posto della speciale graduatoria, con un gap di 1,7 punti percentuali, troviamo poi il venerdì. Il giorno della settimana in cui si è verificato il livello di attività meno elevato, relativamente ai DDoS, si è invece rivelato essere il lunedì (11,6%).

Attacchi DDoS nel quarto trimestre del 2016

Ripartizione degli attacchi DDoS in base ai giorni della settimana –
3° e 4° trimestre del 2016 a confronto

Тipologie e durata degli attacchi DDoS

Così come in precedenza, la leadership della speciale TOP 5 relativa alle metodologie più frequentemente utilizzate dai malfattori per la conduzione degli attacchi Distributed Denial of Service – peraltro con un ampio margine percentuale – è andata ad appannaggio dello scenario SYN-DDoS (75,3%); la quota riconducibile a tale tipologia di attacco ha tuttavia evidenziato una diminuzione di 5,7 punti percentuali rispetto all’analogo valore riscontrato nel trimestre precedente. Risultano invece leggermente aumentate le quote relative ai metodi TCP-DDoS (dall’8,2% al 10,7%) e ICMP-DDoS (dall’1,7% al 2,2%), mentre è rimasto sostanzialmente invariato l’indice percentuale attribuibile allo scenario UDP.

Attacchi DDoS nel quarto trimestre del 2016

Ripartizione degli attacchi DDoS in base alle varie tipologie esistenti –
3° e 4° trimestre del 2016 a confronto

Nell’ultimo trimestre del 2016, il quadro relativo alla ripartizione degli attacchi DDoS in base alla durata degli stessi si è rivelato essere piuttosto mutevole. La quota relativa agli attacchi DDoS caratterizzati da una durata relativamente breve, non superiore alle 4 ore, è rimasta tuttavia pressoché invariata rispetto al trimestre precedente; in effetti, essa ha fatto registrare solo una lieve diminuzione (- 1,56%). Per contro, gli altri indici percentuali hanno subito sostanziali variazioni.

Ad esempio, la quota inerente agli attacchi con durata compresa tra le 5 e le 9 ore è salita dal 14,49% al 19,28%, mentre gli attacchi che si sono protratti dalle 10 alle 19 ore hanno visto diminuire il proprio indice di 1,3 punti percentuali. La quota relativa agli assalti DDoS con durata tra le 20 e le 49 ore si è addirittura più che dimezzata rispetto al trimestre precedente (- 3,35%). Rileviamo, inoltre, come sia sensibilmente diminuito l’indice percentuale ascrivibile alla fascia che spazia tra le 50 e le 99 ore: tale valore è in effetti passato dal 3,46% del terzo trimestre del 2016 allo 0,94% fatto registrare nel periodo qui preso in esame. La quota riguardante gli assalti DDoS con durata compresa tra le 100 e le 150 ore si è attestata su un valore pari al 2,2%; il numero di tali attacchi, nel quarto trimestre del 2016, è risultato in pratica doppio rispetto al numero degli attacchi protrattisi dalle 50 alle 99 ore. Così come in precedenza, è infine risultata molto contenuta la quantità di attacchi DDoS contraddistinti da una durata superiore alle 150 ore.

Il record relativo alla durata complessiva di un singolo attacco Distributed Denial of Service, per quel che riguarda il quarto trimestre dello scorso anno, è risultato essere di 292 ore, ovvero 8 ore in più rispetto all’assalto DDoS di maggior durata da noi individuato nel corso del terzo trimestre del 2016; si tratta, di fatto, dell’attacco più esteso, in termini temporali, dell’intero 2016.

Attacchi DDoS nel quarto trimestre del 2016

Ripartizione degli attacchi DDoS in base alla loro durata in ore –
3° e 4° trimestre del 2016 a confronto

Server di comando e controllo; tipologie di botnet

La maggior parte (59,06%) dei server di comando e controllo individuati nel corso del quarto trimestre 2016, si è rivelata essere ubicata sul territorio della Corea del Sud; tale indice ha superato di 13,3 punti percentuali l’analoga quota rilevata per il paese asiatico nel trimestre precedente, pur non avendo raggiunto il valore record riscontrato riguardo al secondo trimestre dell’anno passato (69,6%). Corea del Sud, Cina (8,72%) e Stati Uniti (8,39%) continuano a detenere – con ampi margini percentuali – la leadership della speciale graduatoria geografica relativa al numero di server C&C individuati sul territorio dei vari paesi; la quota complessivamente attribuibile a questi tre paesi è risultata pari al 76,1% (+ 8,4% rispetto al terzo trimestre 2016).

Permane, all’interno della TOP 10, la presenza dei tre paesi dell’Europa Occidentale (Paesi Bassi, Gran Bretagna e Francia) entrati a far parte di tale graduatoria nel trimestre precedente. Le loro quote si sono attestate, rispettivamente, al 7,4%, 1,3% e 1,7%. Rileviamo, infine, come nel trimestre qui esaminato abbiano fatto la loro comparsa nella speciale TOP 10 la Bulgaria (6%) e il Giappone (1,3%).

Attacchi DDoS nel quarto trimestre del 2016

Ripartizione per paesi dei server di comando e controllo delle botnet –
Situazione relativa al 4° trimestre del 2016

La ripartizione per sistemi operativi non ha riservato particolari sorprese. Così come in precedenza, rimane assolutamente indiscussa – con un ampio gap percentuale – la leadership dei bot provvisti di OS Linux: la quota relativa agli attacchi condotti attraverso botnet operanti con Linux si è in effetti attestata su un valore pari al 76,7% (- 2,2% rispetto al trimestre precedente). Tale diminuzione è strettamente correlata al significativo decremento della quota relativa allo scenario SYN-DDoS; come è noto, i bot Linux rappresentano, in sostanza, lo strumento più adatto e diffuso per la realizzazione di tale tipologia di attacco.

Il previsto aumento del livello di utilizzo dell’Internet delle Cose nell’ambito degli attacchi DDoS, ci induce a ritenere che nel 2017 l’ago della bilancia continuerà a spostarsi decisamente dalla parte di Linux, visto che la maggior parte dei dispositivi connessi ad Internet è stata concepita proprio per far uso di tale sistema operativo.

Attacchi DDoS nel quarto trimestre del 2016

Correlazione tra gli attacchi lanciati attraverso botnet basate sull’OS Windows e gli attacchi eseguiti ricorrendo a botnet operanti con Linux – 3° e 4° trimestre del 2016 a confronto

Nel quarto trimestre del 2016, il 99,7% degli assalti DDoS è stato condotto per mezzo di bot riconducibili ad un’unica famiglia; soltanto nello 0,3% dei casi i malintenzionati hanno fatto ricorso, nell’ambito degli attacchi rivolti ad uno stesso identico obiettivo, all’utilizzo combinato di bot appartenenti a famiglie diverse.

Conclusioni e previsioni

Possiamo attenderci, nel 2017, un proseguimento della tendenza relativa alla diminuzione della quota inerente agli attacchi di tipo Amplification, ed in particolar modo delle tipologie più diffuse (DNS, NTP). Tuttavia, visti la semplicità ed il basso costo di allestimento degli stessi, è possibile che si registri un certo livello di attività per quel che riguarda l’eventuale utilizzo della tecnica Amplification con protocolli che godono di minore popolarità, particolarmente adatti alla conduzione di attacchi basati sui metodi della riflessione (reflection attack) e dell’amplificazione (RIP, SSDP, LDAP ed altri ancora); vi sono comunque forti dubbi riguardo al fatto che simili attacchi possano in qualche modo rivelarsi di elevata efficacia.

Continueranno a crescere sia il numero, sia la complessità degli attacchi eseguiti a livello di applicazioni web. Considerando l’evidente ritorno dell’interesse nutrito dai malintenzionati nei confronti di tale tipologia di attacco, e la prolungata stagnazione che si è registrata in questo specifico segmento nel corso degli ultimi anni, possiamo ipotizzare un graduale abbandono delle “vecchie” botnet e la comparsa di qualcosa di nuovo, ad esempio di bot che consentano la realizzazione di attacchi ancor più sofisticati e complessi. Riteniamo, inoltre, che possa perdurare la specifica tendenza relativa all’utilizzo della crittografia nell’ambito degli attacchi a livello di applicazione.

Continueranno a godere di notevole popolarità, presso i malintenzionati, gli attacchi di tipo WordPress Pingback. Sebbene nelle nuove versioni della piattaforma CMS WordPress sia stata ormai da tempo chiusa, dagli sviluppatori, la nota vulnerabilità ampiamente sfruttata per l’allestimento di tali attacchi (relativa, di fatto, alla funzione Pingback, abilitata di default nelle versioni più datate del suddetto CMS), risulta tuttora presente, in Rete, una notevole quantità di host vulnerabili. Da un lato, il numero degli stessi, con il trascorrere del tempo, si ridurrà, e diminuirà, in tal modo, il numero e la potenza degli attacchi di tipo WordPress Pingback. Dall’altro lato, la relativa semplicità ed il basso costo di organizzazione, riguardo a tali attacchi, così come la possibilità di utilizzo di tecniche di crittografia, rendono gli assalti DDoS riconducibili alla tipologia WordPress Pingback sempre particolarmente “appetibili” per i cybercriminali in possesso di modeste risorse.

Continueranno ad espandersi e a svilupparsi le botnet basate sui dispositivi IoT. Ciò è principalmente dovuto alla significativa novità rappresentata sia dal concetto IoT in generale, sia dall’utilizzo dei dispositivi IoT da parte dei cybercriminali. Si può presumere che, nel quarto trimestre del 2016, abbiamo in pratica assistito soltanto alla nascita di un nuovo segmento del mercato, che, nel corso del 2017, andrà con ogni probabilità ad espandersi e a svilupparsi ulteriormente. È di sicuro difficile poter stimare l’effettivo potenziale di una simile crescita: fino ad ora i produttori dei dispositivi IoT si sono interessati solo in maniera flebile alle tematiche inerenti alla protezione degli apparecchi da essi costruiti. Anche ipotizzando che tutti i nuovi dispositivi IoT immessi sul mercato saranno perfettamente protetti nei confronti degli attacchi lanciati dai malintenzionati (cosa di per sé abbastanza dubbia), l’attuale volume dei dispositivi IoT vulnerabili provvisti di accesso ad Internet è già notevolmente elevato. Solo pochi mesi dopo la comparsa del concetto in questione – e quindi piuttosto rapidamente – i cybercriminali hanno potuto dar prova dell’utilizzo di botnet dalle dimensioni senza precedenti, realizzando di fatto attacchi caratterizzati da un volume ritenuto possibile, prima d’ora, soltanto dal punto di vista teorico. Inoltre, i dispositivi stessi sono dotati di un potenziale sufficiente per poter allestire attacchi di qualsiasi complessità. Adesso, in base alle tendenze che si sono specificamente manifestate, si tratta in primo luogo degli attacchi a livello applicativo, incluso quelli che prevedono l’utilizzo della crittografia. Vista l’estrema efficacia e l’enorme potenziale degli attacchi DDoS eseguiti attraverso botnet composte da dispositivi IoT, è del tutto lecito prevedere, per il 2017, sia una sensibile crescita del numero complessivo di tali attacchi, sia un significativo aumento della loro entità e del livello di complessità che li contraddistingue.

Related Articles

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *