Attacchi DDoS nel primo trimestre del 2016

Contenuti

I principali eventi del trimestre

Tra tutti gli avvenimenti che hanno contrassegnato il primo trimestre del 2016 nella sfera degli attacchi DDoS e degli strumenti impiegati per la loro realizzazione, abbiamo scelto quelli che, a nostro avviso, illustrano nel modo migliore le principali tendenze che si manifestano nel costante processo di evoluzione di tale specifica minaccia IT.

Un attacco DDoS record – in termini di potenza – condotto attraverso la tecnica del “reflection attack”

Gli attacchi DDoS che prevedono l’utilizzo di sofisticate tecniche di attacco ad amplificazione/riflessione continuano ad essere particolarmente diffusi e rilevanti; grazie ad essi, i malintenzionati stabiliscono sempre nuovi record riguardo ai valori di picco, in termini di potenza, degli attacchi realizzati. I metodi di amplificazione dei DDoS, dal punto di vista tecnico, non rappresentano di sicuro un approccio innovativo, nell’allestimento dei famigerati attacchi Distributed Denial of Service; i cybercriminali, tuttavia, stanno individuando di continuo nuove risorse ed opportunità per incrementare la potenza, già considerevole, delle proprie botnet. Così, ad esempio, secondo un report pubblicato di recente da alcuni esperti, l’attacco record del 2015 è risultato essere quello che ha fatto registrare una potenza massima di 450-500 Gbit/sec.

Attacco DDoS nei confronti di Donald Trump

Il record relativo alla potenza massima rilevata riguardo ad un attacco DDoS, stabilito nel 2015, è stato ad ogni caso battuto piuttosto rapidamente. Durante le festività di fine/inizio anno il sito web globale della BBC, così come il sito ufficiale di Donald Trump, utilizzato per la conduzione della campagna presidenziale USA, hanno subito un violento attacco DDoS, la cui potenza, secondo fonti non confermate, avrebbe raggiunto ben 602 Gbit/sec. La responsabilità del massiccio attacco eseguito è stata poi rivendicata da un gruppo di hacker che si autodefinisce come New World Hacking.

Utilizzo nocivo del protocollo DNSSEC

Per realizzare gli attacchi DDoS, i malfattori ricorrono, sempre più spesso, all’utilizzo del protocollo DNSSEC; il compito abitualmente svolto da quest’ultimo, come è noto, consiste nel minimizzare gli attacchi che mirano alla sostituzione degli indirizzi DNS. La risposta standard fornita sulla base del protocollo DNSSEC contiene, oltre ai dati relativi al dominio, informazioni di autenticazione aggiuntive. Così, a differenza di quanto avviene con la risposta DNS standard, le cui dimensioni sono di 512 byte, la risposta DNSSEC raggiunge un volume di circa 4.096 byte. I malintenzionati sfruttano tale peculiarità per allestire attacchi DDoS basati sul metodo dell’amplificazione. Essi utilizzano, prevalentemente, domini situati nella zona .gov, riservata agli enti governativi, proprio per il fatto che negli Stati Uniti, simili domini, in base a precise disposizioni di legge, debbono obbligatoriamente fornire il necessario supporto per il protocollo DNSSEC.

Attacchi Pingback nei confronti di WordPress

I siti web gestiti attraverso la nota piattaforma CMS (Content Management System) WordPress risultano di nuovo sottoposti ad attacchi DDoS provenienti da botnet anch’esse basate sul sistema di gestione dei contenuti WordPress. In pratica, nei confronti di numerose risorse web amministrate attraverso la famosa piattaforma CMS vengono condotti attacchi DDoS in grado di sfruttare in maniera dannosa la funzione Pingback presente in WordPress. La funzione Pingback, in sostanza, è uno specifico protocollo che permette all’autore di un post pubblicato su un sito web realizzato mediante WordPress di ricevere apposite notifiche nel momento in cui, in altri siti Internet, anch’essi gestiti per mezzo di tale CMS, vengono inseriti link destinati a condurre verso il suddetto post. Se l’amministratore del sito WordPress ha provveduto ad abilitare la funzione in causa, tutti i link presenti all’interno dei materiali pubblicati su tale risorsa potranno quindi effettuare il cosiddetto “pingback”, ovvero inviare una speciale richiesta XML-RPC al sito web verso il quale intende condurre il collegamento ipertestuale. Successivamente, una volta processata la suddetta richiesta, il sito “ricevente” potrà rivolgersi, a sua volta, al sito “sorgente”, ovvero quello che ha provveduto ad inviare la chiamata XML-RPC originaria, allo scopo di verificare la presenza del relativo contenuto. Nel caso di un enorme numero di richieste pingback, il sito-vittima, sottoposto ad un elevatissimo carico di traffico nocivo, potrà “negare il servizio”. Così come in precedenza, quindi, la suddetta funzione continua ad attirare le attenzioni dei malfattori, e fornisce involontariamente agli stessi la possibilità di realizzare temibili attacchi DDoS a livello di applicazioni web.

Linux Mint violato dagli hacker

Il 21 febbraio 2016, il fondatore ed attuale capo di Linux Mint, Clement Lefebvre, ha comunicato che ignoti hacker erano riusciti a violare l’infrastruttura del progetto, incluso il sito ufficiale ed il forum, ed avevano sostituito con un proprio URL dannoso il link relativo all’immagine ISO legittima della distribuzione software Linux Mint 17.3 Cinnamon. Nella fattispecie, il pacchetto di distribuzione allestito dagli hacker conteneva codice dannoso, in grado di sfruttare poi le macchine infette per la conduzione di attacchi DDoS.

Attacchi nei confronti delle società specializzate in sicurezza IT

I cybercriminali di certo non “dimenticano” le società operanti nel settore della sicurezza informatica. Tutti quanti gli attori di tale mercato, più o meno noti, ed in particolar modo coloro che forniscono servizi anti-DDoS, sono regolarmente costretti a respingere attacchi di tipo Distributed Denial of Service rivolti alle loro risorse web. Simili azioni, di fatto, non possono arrecare danni significativi, visto che il livello di protezione delle risorse in questione è davvero molto elevato, dal punto di vista qualitativo; tutto questo, ad ogni caso, non arresta le cattive intenzioni dei malfattori.

In genere, i cybercriminali non si pongono, come obiettivo, quello di “far fuori”, a qualunque costo, il sito web della società che opera nel campo della sicurezza IT; gli attacchi, in effetti, non durano a lungo; nella maggior parte dei casi, essi si interrompono quasi subito, non appena la fonte degli stessi inizia a rilevare i segnali inequivocabili dell’azione svolta dai sistemi di protezione. Di sicuro, i malintenzionati non vogliono esaurire le risorse di cui dispongono le loro botnet, il cui utilizzo, indubbiamente, costa denaro. Nonostante questo, nel lungo termine gli attacchi non si interrompono.

L’analisi delle corrispondenze intrattenute nell’ambito dei forum underground induce tuttavia ad ipotizzare che la “community” cybercriminale sia solita utilizzare i siti web delle suddette società in qualità di semplice banco di prova, allo scopo di testare nuovi metodi e nuovi strumenti. Si tratta, tutto sommato, di un tipo di approccio comprensibile, il quale, tuttavia, ci consegna informazioni davvero preziose. Mentre le statistiche relative ai DDoS condotti in ogni angolo del mondo forniscono un preciso spaccato dell’attuale situazione, gli attacchi condotti nei confronti delle società specializzate in sicurezza IT permettono, in qualche misura, di poter valutare i futuri scenari che si delineano riguardo agli attacchi DDoS.

Le informazioni relative alle strategie messe in atto dai malintenzionati per la realizzazione degli attacchi rivolti ai siti web di Kaspersky Lab, così come i dati inerenti alla potenza e alla specifica tipologia degli attacchi compiuti, consentono, allo stesso modo, di presupporre quali potranno essere, nei mesi a venire, le tendenze che si manifesteranno nel settore degli attacchi DDoS.

Così come nel recente passato, abbiamo a che fare con DDoS che prevedono l’utilizzo di tecniche di attacco ad amplificazione. Il numero di tali attacchi, a dire la verità, è leggermente diminuito rispetto allo scorso anno; la potenza massima degli stessi, però, è cresciuta di ben quattro volte. Questo non fa altro che confermare la specifica tendenza che vede un considerevole ed ulteriore potenziamento di questo genere di attacchi; i cybercriminali sono in qualche modo obbligati ad incrementare la potenza di tali attacchi informatici, nel tentativo di superare le misure di protezione predisposte da parte degli Internet provider e delle società di sicurezza informatica. Nel nostro caso, nessuno degli attacchi in questione ha causato l’inaccessibilità dei nostri siti web.

A giudicare dalla serie di attacchi portati nei confronti delle risorse web di Kaspersky Lab nel primo trimestre del 2016, la “crema” dei cybercriminali inizia a ricordarsi di metodi che, nel corso di questi ultimi anni, avevano perso “popolarità”, e conduce quindi attacchi a livello di applicazione. Già nel primo trimestre dell’anno in corso abbiamo respinto un numero di attacchi HTTP(s) superiore di varie volte rispetto all’analoga quantità complessivamente rilevata, per gli stessi, lungo tutto l’arco del 2015. È di particolare interesse sottolineare come siano stati osservati vari attacchi a livello applicativo condotti in maniera simultanea nei confronti di alcuni dei nostri siti web. Di fatto, la potenza delle risorse DDoS dispiegate nell’occasione è stata “diluita” su diversi obiettivi; questo ha ridotto gli effetti provocati su ciascun target interessato. Tale circostanza può trovare una logica spiegazione nel fatto che lo scopo primario dei malintenzionati non era di sicuro quello di danneggiare il funzionamento dei siti web di Kaspersky Lab, ma consisteva, invece, nel testare gli strumenti nocivi allestiti, per poi studiare la specifica reazione da parte nostra. Nella fattispecie, l’attacco più esteso, in termini temporali, si è protratto per meno di 6 ore.

È del tutto lecito presupporre che la quota percentuale relativa agli attacchi rivolti ai canali di comunicazione vada gradualmente ad affievolirsi; per contro, saliranno sempre di più alla ribalta gli attacchi DDoS diretti alle applicazioni, così come gli attacchi combinati, in cui gli attacchi nei confronti delle apparecchiature vengono abbinati agli attacchi a livello di applicazione.

I potenti attacchi UDP, per i quali viene fatto uso di apposite tecniche di amplificazione, sono stati introdotti alcuni anni fa, e continuano tuttora a rimanere uno degli strumenti prediletti dai malintenzionati. I motivi della loro popolarità sono del tutto evidenti e comprensibili, visto che la loro realizzazione è relativamente agevole, ed essi consentono di assicurare una potenza davvero enorme, anche nel caso in cui si ricorra all’utilizzo di una botnet non particolarmente estesa; tali attacchi, inoltre, coinvolgono spesso una terza parte, e rendono estremamente complessa l’individuazione della fonte dell’attacco.

Sebbene nel primo trimestre del 2016 il nostro servizio Kaspersky DDoS Prevention abbia continuato a respingere attacchi UDP amplificati, riteniamo che gli stessi andranno ad abbandonare progressivamente la scena. L’annosa questione relativa al coordinamento tra Internet provider e società di sicurezza IT – la quale, un tempo, appariva alla stregua di un compito davvero improbo – allo scopo di realizzare un efficace filtraggio del traffico “spazzatura” generato dagli attacchi UDP, è in pratica già risolta. I provider che si sono imbattuti nella reale minaccia rappresentata dall’esaurimento delle risorse del backbone a causa di un consistente flusso di pacchetti UDP di notevole volume, si sono ormai dotati delle infrastrutture necessarie, acquisendo le relative competenze; essi, pertanto, provvederanno al più presto a “tagliare” alla radice il traffico in questione. Di conseguenza, gli attacchi amplificati nei confronti dei canali di comunicazione diverranno sempre meno efficaci, per cui si rivelerà sempre più difficile, per i malintenzionati, trarre profitto dagli stessi.

Gli attacchi a livello applicativo rivolti ai servizi web richiedono, per poter essere realizzati, botnet di notevoli dimensioni, oppure l’utilizzo di alcuni server caratterizzati da elevate prestazioni, così come la presenza di uplink a banda larga; si rivela inoltre indispensabile un meticoloso lavoro di preparazione, sia per quel che riguarda la ricerca dei possibili target, sia per l’individuazione dei punti deboli che contraddistinguono questi ultimi. Senza tutto questo, essi si rivelano inefficaci. Di fatto, diviene un compito indubbiamente complesso respingere un attacco a livello di applicazione condotto in maniera “sapiente”, senza aver provveduto a bloccare l’accesso agli utenti legittimi; le richieste nocive, in effetti, appaiono del tutto attendibili, ed ogni bot sembra eseguire correttamente la procedura che permette di stabilire la connessione. In sostanza, si rivela anomalo soltanto il carico, particolarmente elevato, sul servizio. Nel corso del primo trimestre dell’anno abbiamo individuato proprio tentativi del genere. Ciò testimonia in maniera inequivocabile il fatto che il mercato dei DDoS si è ormai sviluppato così tanto, al punto che gli attacchi complessi e costosi divengono comunque vantaggiosi dal punto di vista economico; sono in particolar modo i cybercriminali più “qualificati” ed esperti a cercare di realizzare profitti attraverso di essi.

Esiste, inoltre, il pericolo concreto che intere masse di criminali informatici possano appropriarsi di tali metodi; quanto più elevata risulta la diffusione delle tecniche nocive utilizzate, tanto maggiore si rivelerà la disponibilità, sul mercato nero, di strumenti preposti a mettere in atto queste ultime. E se gli attacchi a livello di applicazione conosceranno, effettivamente, un’ampia popolarità presso gli ambienti cybercriminali, dovremo di sicuro attenderci sia un aumento del numero di coloro che commissioneranno la realizzazione di questo genere di attacchi DDoS, sia un innalzamento del grado di competenza e “professionalità” dimostrato dai loro esecutori.

Statistiche relative agli attacchi DDoS condotti mediante l’utilizzo di botnet

Metodologia

Kaspersky Lab vanta un’esperienza pluriennale nella lotta contro le minacce informatiche di ogni genere, incluso gli attacchi DDoS riconducibili a varie tipologie e gradi diversi di complessità. I nostri esperti monitorano attentamente l’attività delle botnet, avvalendosi, tra l’altro, di un apposito sistema di DDoS Intelligence.

Il sistema Kaspersky DDoS Intelligence costituisce, di per se stesso, una parte della soluzione di sicurezza Kaspersky DDoS Prevention. Esso risulta preposto ad intercettare ed analizzare i comandi che giungono ai bot dai server di comando e controllo; tale sistema non si basa quindi, né sulle eventuali infezioni generate sui dispositivi degli utenti, né sull’effettiva esecuzione dei comandi impartiti dai malintenzionati.

Il presente report contiene i dati statistici ottenuti grazie all’operato del nostro sistema di DDoS Intelligence nel corso del primo trimestre del 2016.

Nel report si considera come singolo attacco DDoS un attacco nel corso del quale l’intervallo tra i periodi di attività della botnet non supera le 24 ore effettive. Così, ad esempio, nel caso in cui lo stesso identico sito web venga attaccato attraverso la stessa identica botnet con un intervallo di almeno 24 ore, saranno considerati, a livello di statistica, due attacchi DDoS separati. Vengono ugualmente ritenuti singoli attacchi DDoS quelli lanciati nei confronti della medesima risorsa web, ma eseguiti mediante bot riconducibili a botnet diverse.

L’ubicazione geografica delle vittime degli attacchi DDoS e dei server dai quali vengono inviati i comandi nocivi viene determinata in base ai relativi indirizzi IP. In questo report, inoltre, il numero degli obiettivi unici degli attacchi DDoS viene calcolato in base al numero di indirizzi IP unici presenti nell’ambito dei dati statistici trimestrali.

È ugualmente importante sottolineare come le statistiche ottenute grazie al sistema DDoS Intelligence si riferiscano esclusivamente alle botnet individuate ed analizzate dagli esperti di Kaspersky Lab. Occorre infine tenere presente il fatto che le botnet costituiscono soltanto uno dei possibili strumenti per mezzo dei quali possono essere realizzati gli attacchi DDoS; i dati presentati nel nostro report trimestrale non comprendono quindi, indistintamente, tutti gli attacchi DDoS compiuti nel periodo oggetto della nostra analisi.

Il trimestre in cifre

  • Nel primo trimestre del 2016 si sono registrati attacchi DDoS, condotti mediante l’utilizzo di botnet, nei confronti di “obiettivi” situati in 74 diversi paesi (nell’ultimo trimestre del 2015 i target degli attacchi DDoS erano invece risultati ubicati, complessivamente, in 69 paesi).
  • Il 93,6% delle risorse web prese di mira da tali attacchi informatici è risultato situato sul territorio di soli 10 paesi.
  • Cina, Stati Uniti e Corea del Sud conservano la leadership sia riguardo al numero di attacchi rilevati, sia relativamente al numero di target che hanno subito attacchi DDoS; nel trimestre oggetto del presente report, tuttavia, sono entrate a far parte delle speciali graduatorie (TOP-10) da noi stilate anche Francia e Germania.
  • Nel periodo qui preso in esame, l’attacco DDoS più esteso in termini temporali si è protratto per 197 ore (8,2 giorni), una durata sensibilmente inferiore rispetto al valore massimo riscontrato riguardo al trimestre precedente (15,5 giorni). Per contro, è aumentato il valore relativo alla frequenza massima di attacchi multipli condotti ripetutamente nei confronti di un singolo “bersaglio” (fino a 33 attacchi DDoS eseguiti contro una singola risorsa web nell’arco dei tre mesi).
  • Così come nel trimestre precedente, SYN-DDoS, TCP-DDoS e HTTP-DDoS rappresentano gli scenari più diffusi nel quadro degli attacchi DDoS eseguiti tramite botnet; al tempo stesso, diminuisce costantemente, di trimestre in trimestre, il numero degli attacchi UDP.
  • Si presenta sostanzialmente invariata, rispetto al trimestre precedente, l’ubicazione dei server di comando e controllo; i C&C, in effetti, continuano a rimanere negli stessi paesi. Si è registrato, ad ogni caso, un incremento piuttosto significativo della quota complessivamente attribuibile all’Europa; sono aumentati, in particolar modo, gli indici percentuali relativi a Gran Bretagna e Francia.

Geografia degli attacchi

Nei primi tre mesi del 2016 si sono registrati attacchi DDoS nei confronti di target situati in 74 diversi paesi.

I dati statistici relativi al numero complessivo di attacchi DDoS individuati evidenziano come il 93,6% del volume totale degli attacchi sia stato condotto verso il territorio di soli 10 paesi.

Attacchi DDoS nel primo trimestre del 2016

Ripartizione per paesi degli attacchi DDoS –
1° trimestre 2016 e 4° trimestre 2015 a confronto

Notiamo innanzitutto come, nel primo trimestre del 2016, sia rimasta invariata la composizione della “trojka” dei paesi leader della graduatoria; per contro, risulta sensibilmente aumentata, rispetto al trimestre precedente, la quota relativa alla Corea del Sud, passata dal 18,4% al 20,4%; si registra, invece, una diminuzione di 2,2 punti percentuali per ciò che riguarda l’indice attribuibile agli Stati Uniti. Rileviamo, inoltre, che nel periodo oggetto del presente report, è notevolmente aumentata la quota inerente agli attacchi DDoS portati nei confronti di risorse web situate in Ucraina; si è in effetti passati dallo 0,3% all’2,0%.

I dati statistici riguardanti la ripartizione dei target unici presi di mira dagli attacchi evidenziano come il 94,7% del volume complessivo degli attacchi DDoS eseguiti dai malintenzionati sia stato condotto a danno di obiettivi unici ubicati in una ristretta cerchia di dieci paesi.

Attacchi DDoS nel primo trimestre del 2016

Ripartizione per paesi degli obiettivi unici bersagliati dagli attacchi DDoS –
1° trimestre 2016 e 4° trimestre 2015 a confronto

Osserviamo, in primo luogo, un aumento di ben 3,4 punti percentuali relativamente al numero dei target situati in Corea del Sud. Allo stesso tempo, l’indice ascrivibile alla Cina ha manifestato una leggera flessione, passando dal 50,3%, fatto registrare nel quarto trimestre del 2015, al 49,7% riscontrato riguardo al primo trimestre del 2016. Ha presentato invece una diminuzione piuttosto marcata la quota percentuale inerente ai target unici degli attacchi DDoS condotti sul territorio degli Stati Uniti (9,6% di obiettivi unici, rispetto al 12,8% fatto segnare nel trimestre precedente). Sottolineiamo, poi, come abbiano conservato inalterate le proprie posizioni all’interno del rating, rispetto al quarto trimestre del 2015, i paesi che si sono collocati nella TOP-3 della graduatoria, peraltro con ampi margini percentuali nei confronti di tutti gli altri paesi presenti nella speciale classifica da noi elaborata.

Nel primo trimestre del 2016, è entrata a far parte della TOP-5 dei paesi leader, per numero di bersagli unici degli attacchi DDoS, l’Ucraina, la cui quota si è innalzata dallo 0,5% (non particolarmente significativo), fatto registrare nei tre mesi conclusivi del 2015, ad un più rilevante 1,9%, riscontrato nel primo trimestre dell’anno in corso.

Infine, non fanno più parte della TOP-10 del primo trimestre dell’anno, qui sopra riportata, né Taiwan, né i Paesi Bassi, i cui indici sono diminuiti, rispettivamente, dello 0,8% e dello 0,7%.

Dinamiche relative al numero di attacchi DDoS individuati

Lungo tutto l’arco del primo trimestre 2016, è stata osservata una distribuzione giornaliera degli attacchi piuttosto uniforme, ad eccezione del repentino calo numerico registratosi, per gli stessi, lo scorso 6 febbraio. Il picco degli attacchi DDoS si è verificato il 31 marzo (1.271 attacchi).

Attacchi DDoS nel primo trimestre del 2016

Dinamiche relative al numero di attacchi DDoS* – 1° trimestre 2016

*Visto che gli attacchi DDoS possono protrarsi ininterrottamente per alcuni giorni, nella relativa timeline un attacco può essere considerato varie volte (in pratica una volta per ogni singolo giorno).

Così come nel trimestre precedente, il maggior numero di attacchi DDoS ha avuto luogo di lunedì (16,5% del totale complessivo degli attacchi); al secondo posto, per quel che riguarda i vari giorni della settimana, troviamo il giovedì (16,2%). Il martedì, che nell’ultimo trimestre del 2015 occupava il secondo posto della graduatoria, ha perso invece numerose posizioni in classifica (passando dal 16,4% al 13,4%), ed è così divenuto l’ultimo giorno della settimana in termini di livello di attività dei DDoS.

Attacchi DDoS nel primo trimestre del 2016

Ripartizione degli attacchi DDoS in base ai giorni della settimana

Тipologie e durata degli attacchi DDoS

È interessante rilevare come, di trimestre in trimestre, la speciale TOP-5 relativa alle metodologie più frequentemente utilizzate dai malintenzionati per la conduzione degli attacchi Distributed Denial of Service, rimanga in sostanza quasi immutata. I due scenari più diffusi continuano quindi ad essere il SYN-DDoS – la cui quota, nel primo trimestre del 2016, è lievemente diminuita (dal 57,0% al 54,9%) – ed il TCP-DDoS (- 0,7%). Per contro, è quasi triplicato l’indice percentuale relativo al metodo ICMP-DDoS; il valore dello stesso si è in effetti attestato al 9%; nonostante questo, le posizioni occupate in graduatoria dai vari scenari sono rimaste identiche a quelle del trimestre precedente.

Attacchi DDoS nel primo trimestre del 2016

Ripartizione degli attacchi DDoS in base alle varie tipologie esistenti

Sottolineiamo infine come, ormai da un anno a questa parte, gli indici relativi al metodo UDP-DDoS stiano costantemente diminuendo. A partire dal secondo trimestre del 2015, in effetti, le quote percentuali relative a tale scenario si sono ridotte di quasi 10 volte, passando in tal modo dall’11,1% all’1,5%.

Per quel che riguarda la durata degli attacchi DDoS, rileviamo una situazione analoga a quella da noi riscontrata nell’ultimo trimestre dell’anno passato: circa il 70% degli attacchi, in effetti, si è caratterizzato per una durata relativamente breve, non superiore alle 4 ore.

Per contro, si è sensibilmente ridotta la durata massima registrata per un singolo attacco DDoS. Di fatto, mentre nel quarto trimestre dello scorso anno era stato rilevato un attacco della durata complessiva di ben 333 ore, nel primo trimestre del 2016 l’attacco di maggior durata, da noi individuato, si è protratto per “sole” 197 ore.

Attacchi DDoS nel primo trimestre del 2016

Ripartizione degli attacchi DDoS in base alla loro durata in ore

Server di comando e controllo; tipologie di botnet

Nel trimestre oggetto della nostra analisi, la leadership della graduatoria relativa al numero di server di comando e controllo delle botnet, dislocati sul territorio dei vari paesi, è andata nuovamente ad appannaggio della Corea del Sud. La quota relativa al Paese dell’Estremo Oriente si è ulteriormente innalzata, passando dal 59% fatto registrare nel trimestre precedente al 67,6% rilevato riguardo al primo trimestre del 2016; da notare il margine percentuale estremamente ampio rispetto agli altri paesi presenti nel rating.

Sul secondo gradino del “podio” virtuale è andata a collocarsi la Cina, il cui indice, nell’arco di tre mesi, è cresciuto dell’1,2%, attestandosi in tal modo su un valore pari al 9,5%. La Cina ha così sopravanzato gli Stati Uniti nella speciale graduatoria da noi stilata; gli USA, da parte loro, sono andati ad occupare il terzo posto del ranking, con una quota pari al 6,8%, dopo aver raggiunto l’11,5% nel quarto trimestre del 2015. Segnaliamo, inoltre, l’ingresso della Francia – per la prima volta – nelle posizioni di vertice della classifica visibile nel grafico qui sotto inserito, relativa al numero di server C&C individuati nei vari paesi; tale circostanza appare direttamente correlata al dato statistico che ha evidenziato, nel trimestre qui preso in esame, l’aumento del numero degli attacchi DDoS condotti dai cybercriminali in territorio francese.

Attacchi DDoS nel primo trimestre del 2016

Ripartizione per paesi dei server di comando e controllo delle botnet –
Situazione relativa al 1° trimestre del 2016

Nel primo trimestre del 2016, il 99,73% degli obiettivi presi di mira dai malintenzionati è stato attaccato da bot riconducibili ad un’unica famiglia. Nel corso del periodo qui analizzato, soltanto lo 0,25% dei target è stato sottoposto ad attacco da parte di bot appartenenti a due diverse famiglie (dispiegati, nella circostanza, da uno o più esecutori). Nello 0,01% dei casi, infine, i cybercriminali hanno fatto ricorso all’impiego di tre distinte famiglie di bot. Così come in precedenza, le famiglie di bot maggiormente diffuse continuano ad essere Sotdas, Xor e BillGates.

Attacchi DDoS nel primo trimestre del 2016

Correlazione tra gli attacchi lanciati attraverso botnet basate sull’OS Windows e gli attacchi eseguiti ricorrendo a botnet operanti con Linux

Nel primo trimestre dell’anno in corso – per ciò che riguarda la correlazione esistente tra il livello di attività dimostrato dai bot per l’OS Windows e quello fatto registrare dai bot destinati al sistema operativo Linux – è stata rilevata la prevalenza delle botnet basate su Windows. È infine interessante osservare come, per il terzo trimestre di fila, la differenza riscontrata a livello di quote riconducibili alle due diverse piattaforme si sia mantenuta, all’incirca, pari al 10%.

Conclusioni

Gli eventi che hanno caratterizzato il primo trimestre del 2016 hanno dimostrato, ancora una volta, come i malintenzionati non si fermino affatto a ciò che hanno già conseguito, e continuino, invece, ad incrementare le risorse di calcolo da essi impiegate nella realizzazione degli attacchi DDoS. Gli scenari che prevedono l’utilizzo di tecniche di attacco ad amplificazione, di fatto divenuti lo strumento standard per ciò che riguarda l’organizzazione di attacchi DDoS di elevata potenza, sfruttano determinate carenze e vulnerabilità individuate nei nuovi protocolli di rete. I motivi che spingono i malfattori ad allestire gli attacchi in questione si rivelano essere i più disparati: si va, in effetti, dalle campagne elettorali, con i conseguenti attacchi ai siti web dei candidati, a veri e propri “regolamenti di conti” con altri attori della community cybercriminale, oppure con i propri concorrenti sul mercato nero. Non sono poi affatto rari i casi in cui, a trovarsi sotto attacco DDoS, sono proprio le società specializzate nel fornire protezione nei confronti di tale minaccia informatica. Inoltre, il livello di diffusione, non certo trascurabile, di dispositivi e workstation vulnerabili, così come l’elevata quantità di errori e carenze di configurazione a livello di applicazioni, fanno sì che possano diminuire in maniera davvero considerevole i costi relativi all’organizzazione, da parte dei malintenzionati, di attacchi DDoS più o meno “seri”. Si rivela quindi indispensabile implementare una protezione sicura ed affidabile, la quale, ad esempio, in caso di attacco DDoS “commissionato”, possa rendere tale attacco, per i cybercriminali, tutt’altro che redditizio dal punto di vista economico.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *