Arbor: frequenza e potenza degli attacchi DDoS non accennano a diminuire

Secondo le osservazioni realizzate da Arbor Networks (società facente parte, attualmente, di NetScout Systems), nella prima metà dell’anno corrente è rimasta del tutto invariata la precisa tendenza che vede un significativo aumento della potenza e della frequenza degli assalti DDoS. Nel corso di questo ultimo anno e mezzo, gli esperti hanno registrato, mediamente, 124.000 incidenti DDoS a settimana. La potenza media degli attacchi, in base ai dati statistici raccolti da Arbor nel 2016, è per il momento di 986 Mbit/sec; tale valore corrisponde ad un incremento del 30% rispetto al livello riscontrato riguardo allo scorso anno. Secondo le previsioni effettuate dalla società statunitense, tuttavia, entro la fine del 2016 il valore di tale indice potrà crescere sino a 1,15 Gbit/sec.

Nel proprio report, i ricercatori non hanno mancato di sottolineare come l’aumento della frequenza, della potenza e della complessità dei DDoS sia in gran parte determinato dalla disponibilità di strumenti “pronti all’uso” per la conduzione di tali attacchi, così come di servizi specializzati. Simili offerte continuano di fatto ad abbondare, nel mercato nero del cybercrimine; i relativi prezzi, oltretutto, sono decisamente contenuti.

Secondo le stime di Arbor, nell’arco di un solo semestre, il valore di picco – in termini di potenza – registrato per un attacco DDoS, è cresciuto del 73%, stabilendo così il record di 579 Gbit/sec. Inoltre, per ben 274 attacchi sono stati rilevati dei picchi superiori ai 100 Gbit; 46 attacchi DDoS hanno poi fatto segnare un valore di picco superiore ai 200 Gbit; ricordiamo che, nell’anno passato, tali indici erano risultati pari, rispettivamente, a 223 e 16. La maggior parte degli incidenti compresi nella gamma che contempla valori di picco oltre i 10 Gbit sono risultati diretti contro target statunitensi, francesi e britannici.

In genere, gli attacchi di elevata potenza sono stati condotti con i metodi della riflessione e dell’amplificazione del traffico malevolo (DRDoS, DDoS “amplificato”). In qualità di “intermediari”, nella circostanza, sono stati prevalentemente utilizzati dispositivi di rete operanti sulla base dei protocolli DNS, NTP e SSDP. Queste ultime due tipologie sono risultate particolarmente “popolari”, presso gli autori degli attacchi DDoS, lo scorso anno; attualmente, tuttavia, esse hanno ceduto la palma del primato ai dispositivi DNS. Secondo le statistiche elaborate da Arbor, la potenza media degli assalti Distributed Denial of Service in cui si è fatto ricorso all’utilizzo dell’amplificazione DNS, è sensibilmente aumentata; il più potente tra gli attacchi DDoS riconducibili a tale specifica categoria, rilevati nel corso del primo semestre dell’anno, ha fatto registrare un valore di picco pari a 480 Gbit/sec.

Oltre ai DRDoS (Distributed Reflection Denial of Service), per la conduzione di attacchi di elevata potenza i malintenzionati si sono ugualmente avvalsi di botnet, ed in particolar modo di LizardStresser, rete-zombie formata da dispositivi IoT. Tale botnet veniva inizialmente concessa in affitto; dopo che è stato reso pubblicamente noto il relativo codice sorgente, la stessa, a quanto pare, si è ulteriormente estesa, secondo quanto riferiscono i recenti report pubblicati da Arbor riguardo agli attacchi eseguiti attraverso LizardStresser, contraddistinti da una potenza sino a 400 Gbit.

“I dati statistici dimostrano chiaramente l’impellente necessità di ricorrere all’utilizzo di una protezione ibrida o multilivello nei confronti dei DDoS, – si afferma nel nuovo report stilato da Darren Anstee, Chief Security Technologist presso Arbor Networks. – Gli attacchi il cui scopo è quello di esaurire le risorse del backbone possono essere contrastati solo a livello di cloud, e quindi esternamente al bersaglio sottoposto ad attacco. Ad ogni caso, nonostante la potenza dei DDoS riconducibili alla gamma “superiore” aumenti in maniera davvero rapida, l’80% degli attacchi non supera, tuttora, l’intensità di 1 Gbit/sec, mentre il 90% degli stessi presenta, attualmente, una durata inferiore ad 1 ora. La protezione “on-premise” garantisce una rapida reazione, elemento di vitale importanza in presenza di attacchi “Low & Slow” (condotti lentamente e di potenza limitata) a livello di applicazioni web, oppure in caso di attacchi che mirano ad esaurire le capacità difensive inerenti alle infrastrutture di protezione implementate localmente, quali, ad esempio, firewall e sistemi IPS (Intrusion Prevention System)”.

Ricordiamo, infine, che le statistiche di Arbor si basano sui risultati dell’analisi condotta su dati anonimi, forniti dai partner che fanno uso della piattaforma informatico-analitica denominata ATLAS (Active Threat Level Analysis System), allestita dalla suddetta società. Attualmente, ATLAS monitora il traffico client relativo ad oltre 330 Internet provider.

Fonte: ARBOR

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *