Attacchi DDoS nel secondo trimestre del 2016

Contenuti

I principali eventi del trimestre

  • Gli attacchi DDoS condotti nei confronti dei servizi online che mettono a disposizione degli utenti gli ambiti wallet digitali (portafogli virtuali) contenenti criptovaluta, hanno innegabilmente svolto un ruolo decisivo per l’esistenza stessa di alcuni di tali servizi. In effetti, nel corso del secondo trimestre del 2016, ben due società – CoinWallet e Coinkite – hanno improvvisamente annunciato la cessazione della propria attività a causa di prolungati assalti DDoS di cui sono rimaste vittima. Come riferisce il post pubblicato sul blog ufficiale di Coinkite, il servizio adibito alla custodia online dei wallet virtuali sarà di fatto chiuso; assieme ad esso, cesserà di funzionare la relativa API. La società Coinkite sostiene che tale decisione è stata determinata, in gran parte, dai continui attacchi e dalle forti pressioni provenienti da vari stati nazionali che intendono regolamentare il mercato della criptovaluta.
  • È stato individuato un programma malware, provvisto di funzionalità di worm, in grado di creare una botnet composta da router (incluso gli access point Wi-Fi). Tale software nocivo si diffonde attraverso il protocollo di rete Telnet. L’analisi eseguita sul codice dannoso del worm ha evidenziato come il malware in questione possa essere utilizzato per la conduzione di attacchi DDoS riconducibili a varie tipologie.
  • Gli esperti hanno rilevato un costante e sensibile aumento del numero dei server di comando e controllo utilizzati nell’ambito delle botnet che operano sulla base di LizardStresser, diffuso tool impiegato per la conduzione di attacchi Distributed Denial of Service di vario genere. I codici sorgente di LizardStresser, appartenenti al famigerato gruppo hacker denominato Lizard Squad, sono stati resi pubblicamente accessibili verso la fine del 2015; questo ha inevitabilmente generato un aumento del numero delle botnet che basano il loro funzionamento sulle nuove versioni di tale strumento dannoso.
  • I ricercatori hanno scoperto un’estesa botnet formata da ben 25.000 dispositivi, la maggior parte dei quali è costituita da telecamere adibite alla videosorveglianza. Gli esperti hanno osservato che il 46% dei dispositivi infetti è rappresentato da sistemi CCTV H.264 DVR. È stata inoltre rilevata, nel novero degli altri vendor i cui dispositivi sono stati compromessi dal malware, la presenza di prodotti riconducibili a ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus e MagTec CCTV.
  • È stata individuata l’esistenza di una nuova campagna botnet, denominata Jaku, attiva prevalentemente in Giappone e Corea del Sud. I ricercatori hanno rilevato che gli operatori della botnet prendono di mira, in particolar modo, target di primaria importanza: società di engineering specializzate in costruzioni meccaniche, organizzazioni non governative (ONG) di caratura internazionale, istituzioni scientifiche.
  • È stata scoperta una variante di Cerber, il noto programma ransomware, in grado di utilizzare il dispositivo infetto per l’eventuale conduzione di attacchi DDoS. Il Trojan crittografico in questione effettua l’invio di pacchetti UDP nocivi, nei quali l’indirizzo del mittente viene sostituito con l’indirizzo della vittima. In tal modo, l’host che riceve il pacchetto provvede ad inviare la relativa risposta all’indirizzo della vittima. Questa particolare tecnica viene utilizzata per allestire attacchi di tipo UDP Flood; il Trojan in causa, quindi, oltre alla funzione principale di ransomware, svolge ugualmente la funzione di bot DDoS, realizzando, in pratica, due diversi attacchi… al prezzo di uno!

Statistiche relative agli attacchi DDoS condotti mediante l’utilizzo di botnet

Metodologia

Kaspersky Lab vanta un’esperienza pluriennale nella lotta contro le minacce informatiche di ogni genere, incluso gli attacchi DDoS riconducibili a varie tipologie e gradi diversi di complessità. I nostri esperti monitorano attentamente l’attività delle botnet, avvalendosi, tra l’altro, di un apposito sistema di DDoS Intelligence.

Il sistema Kaspersky DDoS Intelligence costituisce, di per se stesso, una parte della soluzione di sicurezza Kaspersky DDoS Protection. Esso risulta preposto ad intercettare ed analizzare i comandi che giungono ai bot dai server di comando e controllo; tale sistema non si basa quindi, né sulle eventuali infezioni generate sui dispositivi degli utenti, né sull’effettiva esecuzione dei comandi impartiti dai malintenzionati.

Il presente report contiene i dati statistici ottenuti grazie all’operato del nostro sistema di DDoS Intelligence nel corso del secondo trimestre del 2016.

Nel report si considera come singolo attacco DDoS un attacco nel corso del quale l’intervallo tra i periodi di attività della botnet non supera le 24 ore effettive. Così, ad esempio, nel caso in cui lo stesso identico sito web venga attaccato attraverso la stessa identica botnet con un intervallo di almeno 24 ore, saranno considerati, a livello di statistica, due attacchi DDoS separati. Vengono ugualmente ritenuti singoli attacchi DDoS quelli lanciati nei confronti della medesima risorsa web, ma eseguiti mediante bot riconducibili a botnet diverse.

L’ubicazione geografica delle vittime degli attacchi DDoS e dei server dai quali vengono inviati i comandi dannosi viene determinata in base ai relativi indirizzi IP. In questo report, inoltre, il numero degli obiettivi unici degli attacchi DDoS viene calcolato in base al numero di indirizzi IP unici presenti nell’ambito dei dati statistici trimestrali.

È ugualmente importante sottolineare come le statistiche ottenute grazie al sistema DDoS Intelligence si riferiscano esclusivamente alle botnet individuate ed analizzate dagli esperti di Kaspersky Lab. Occorre infine tenere presente il fatto che le botnet costituiscono soltanto uno dei possibili strumenti per mezzo dei quali possono essere realizzati gli attacchi DDoS; i dati presentati nel nostro report trimestrale non comprendono quindi, indistintamente, tutti gli attacchi DDoS compiuti nel periodo oggetto della nostra analisi.

Il trimestre in cifre

  • Nel secondo trimestre del 2016 si sono registrati attacchi DDoS, condotti mediante l’utilizzo di botnet, nei confronti di “obiettivi” situati in 70 diversi Paesi.
  • Il 77,4% degli attacchi eseguiti ha preso di mira target ubicati in Cina.
  • Cina, Corea del Sud e Stati Uniti conservano la leadership sia riguardo al numero di attacchi rilevati, sia relativamente al numero di obiettivi che hanno subito attacchi DDoS nel corso del trimestre qui esaminato.
  • Nel periodo oggetto del presente report, l’attacco DDoS più esteso in termini temporali si è protratto per 291 ore (12,1 giorni), una durata notevolmente superiore al valore massimo riscontrato riguardo al trimestre precedente (8,2 giorni).
  • Così come in precedenza, SYN-DDoS, TCP-DDoS e HTTP-DDoS rappresentano gli scenari più diffusi nel quadro degli attacchi DDoS eseguiti tramite botnet. Tra l’altro, la quota relativa allo scenario SYN-DDoS, nell’ambito della ripartizione percentuale dei vari metodi di attacco, risulta aumentata di 1,4 volte rispetto al trimestre precedente.
  • Nel secondo trimestre del 2016, il 70,2% del volume complessivo di assalti DDoS individuati è stato condotto attraverso botnet Linux; tale indice è in sostanza quasi raddoppiato rispetto all’analogo valore rilevato riguardo al primo trimestre dell’anno in corso.

Geografia degli attacchi

Nel secondo trimestre del 2016 si sono registrati attacchi DDoS nei confronti di obiettivi ubicati in 70 diversi Paesi; il 77,4% di questi ha riguardato, tuttavia, risorse web situate in Cina. I dati statistici relativi al numero complessivo di attacchi DDoS individuati evidenziano come il 97,3% del loro volume totale sia stato condotto verso il territorio di soli 10 Paesi. Rileviamo, inoltre, come nel periodo qui preso in esame sia rimasta di fatto invariata la composizione del podio dei Paesi leader, occupato, come nel trimestre precedente, da Cina, Corea del Sud e Stati Uniti.

Attacchi DDoS nel secondo trimestre del 2016

Ripartizione per Paesi degli attacchi DDoS –
1° trimestre 2016 e 2° trimestre 2016 a confronto

Le statistiche riguardanti la ripartizione degli obiettivi unici presi di mira evidenziano come il 94,3% del volume totale degli attacchi DDoS eseguiti dai malintenzionati sia stato condotto a danno di obiettivi unici ubicati in una ristretta cerchia di dieci Paesi, facenti parte della composizione della TOP-10 qui di seguito riportata.

Attacchi DDoS nel secondo trimestre del 2016

Ripartizione per Paesi degli obiettivi unici colpiti dagli attacchi DDoS –
1° trimestre 2016 e 2° trimestre 2016 a confronto

Come si può vedere, la Cina detiene ugualmente la leadership di questa seconda importante graduatoria, con un ampio margine percentuale rispetto a tutti gli altri Paesi presenti nella speciale classifica da noi elaborata. La quota inerente agli obiettivi unici degli attacchi DDoS condotti in territorio cinese si è in effetti attestata su un valore medio complessivo pari al 71,3%; ricordiamo, a tal proposito, che nel primo trimestre del 2016 l’indice in questione era risultato pari al 49,7%.

Il repentino aumento della quota ascrivibile alle risorse web uniche situate in Cina, sottoposte ad attacchi DDoS nell’arco del secondo trimestre dell’anno, ha prodotto, come naturale conseguenza, una significativa diminuzione degli indici percentuali riguardanti la maggior parte degli altri Paesi presenti nella TOP-10. Il decremento di maggior rilievo, in tal senso, ha riguardato la Corea del Sud (-15,5 punti percentuali), mentre la quota relativa agli Stati Uniti ha evidenziato una flessione molto più contenuta, pari allo 0,7%.

Non fa più parte della TOP-5 dei Paesi leader la Federazione Russa, la cui quota ha fatto registrare una diminuzione media quantificabile in 1,3 punti percentuali. La quinta posizione della classifica, occupata tre mesi fa dalla Russia, è andata così ad appannaggio del Vietnam; l’indice relativo al Paese del Sud-Est asiatico (1,1%) si è in pratica mantenuto invariato rispetto al trimestre precedente. Osserviamo, infine, come non facciano più parte della speciale TOP-10 da noi stilata né la Germania, né il Canada, Paesi rimpiazzati, nell’ambito di tale classifica, da Francia e Paesi Bassi, le cui quote si sono attestate, rispettivamente, allo 0,9% e allo 0,5%.

Dinamiche relative al numero di attacchi DDoS individuati

Lungo tutto l’arco del secondo trimestre 2016, è stata osservata una distribuzione giornaliera degli attacchi relativamente irregolare; si è registrato, per gli stessi, un periodo di relativa calma dalla fine di aprile sin quasi alla fine del mese di maggio, con improvvisi picchi il 29 maggio e il 2 giugno. Il maggior numero di attacchi DDoS si è ad ogni caso verificato il 6 giugno scorso (1.676 attacchi).

Attacchi DDoS nel secondo trimestre del 2016

Dinamiche relative al numero di attacchi DDoS* – 2° trimestre 2016

*Visto che gli attacchi DDoS possono protrarsi ininterrottamente per alcuni giorni, nella relativa timeline un attacco può essere considerato varie volte (in pratica una volta per ogni singolo giorno).

L’analisi dei dati relativi al primo semestre del 2016 evidenzia come, nonostante la ripartizione giornaliera del numero di attacchi si mantenga piuttosto irregolare, si stia manifestando una precisa tendenza verso un costante aumento del numero complessivo degli attacchi DDoS condotti dai malintenzionati.

Attacchi DDoS nel secondo trimestre del 2016

Dinamiche relative al numero di attacchi DDoS* – 1° e 2° trimestre 2016

Nel secondo trimestre dell’anno in corso, il maggior numero di attacchi DDoS ha avuto luogo di martedì (15,2% del totale complessivo degli attacchi); al secondo posto, per quel che riguarda i vari giorni della settimana, troviamo poi il lunedì (15,0%). Il giovedì, che nel trimestre precedente occupava il secondo posto della speciale graduatoria, ha invece perso una posizione in classifica; la quota ad esso ascrivibile ha fatto registrare una diminuzione pari a 1,4 punti percentuali. Il giorno della settimana in cui si è verificato il livello di attività meno elevato, per quel che riguarda i DDoS, si è rivelato essere, nel secondo trimestre del 2016, la domenica (13,0%).

Attacchi DDoS nel secondo trimestre del 2016

Ripartizione degli attacchi DDoS in base ai giorni della settimana

Тipologie e durata degli attacchi DDoS

La speciale TOP-5 relativa alle metodologie più frequentemente utilizzate dai criminali per condurre attacchi DDoS è rimasta immutata rispetto a quanto rilevato riguardo al trimestre precedente; le posizioni occupate nel rating dagli scenari DDoS più diffusi risultano di fatto invariate. Ad ogni caso, il metodo SYN-DDoS ha sensibilmente rafforzato la propria leadership; la quota percentuale inerente a tale scenario di attacco è infatti sensibilmente aumentata, passando, in soli tre mesi, dal 54,9% al 76%. Gli indici relativi a tutte le altre tipologie di attacco sono invece diminuiti in maniera significativa; si è registrato soltanto un lieve incremento della quota riconducibile al metodo UDP-DDoS, pari, complessivamente, a 0,7 punti percentuali.

Attacchi DDoS nel secondo trimestre del 2016

Ripartizione degli attacchi DDoS in base alle varie tipologie esistenti

Il sensibile aumento del livello di “popolarità” del SYN-DDoS è in gran parte dovuto al fatto che, nel secondo trimestre del 2016, il 70,2% del volume totale di attacchi DDoS individuati è stato condotto attraverso botnet operanti con Linux. Per la prima volta, nel corso degli ultimi trimestri, è stato rilevato un “disallineamento” così marcato per ciò che riguarda la correlazione esistente tra gli attacchi lanciati attraverso le botnet basate sull’OS Windows e gli attacchi eseguiti ricorrendo alle botnet Linux; sinora, in effetti, tale differenza non si era mai rivelata superiore ai 10 punti percentuali. I bot Linux, di fatto, rappresentano lo strumento più adatto per l’utilizzo del metodo di attacco SYN-DDoS.

Attacchi DDoS nel secondo trimestre del 2016

Correlazione tra gli attacchi lanciati attraverso botnet basate sull’OS Windows
e gli attacchi eseguiti ricorrendo a botnet operanti con Linux

Per quel che riguarda la durata degli attacchi DDoS, rileviamo una situazione analoga a quella da noi riscontrata riguardo al precedente trimestre: gli attacchi maggiormente praticati continuano ad essere quelli caratterizzati da una durata relativamente breve, non superiore alle 4 ore. Nel trimestre qui preso in esame, tuttavia, la quota ad essi riconducibile è sensibilmente diminuita, passando dal 67,8% del primo trimestre 2016 all’attuale 59,8%. Di riflesso, si è registrato un significativo aumento degli indici percentuali relativi agli attacchi DDoS che si protraggono per un maggior numero di ore. Ad esempio, la quota relativa agli attacchi con durata compresa tra le 20 e le 49 ore è risultata pari all’8,6% (rispetto al 3,9% fatto segnare nel primo trimestre dell’anno); inoltre, l’indice ascrivibile alla fascia che spazia tra le 50 e le 99 ore si è attestato su un valore del 4% (contro lo 0,8% del trimestre precedente).

L’attacco DDoS di maggior durata, da noi individuato nel corso del secondo trimestre del 2016, si è protratto per ben 291 ore, superando quindi di gran lunga la durata massima registrata per un singolo attacco nei primi tre mesi dell’anno in corso (197 ore).

Attacchi DDoS nel secondo trimestre del 2016

Ripartizione degli attacchi DDoS in base alla loro durata in ore

Server di comando e controllo; tipologie di botnet

Nel trimestre oggetto della nostra analisi, la leadership della graduatoria relativa al numero di server di comando e controllo delle botnet, dislocati sul territorio dei vari Paesi, è andata nuovamente ad appannaggio della Corea del Sud. La quota relativa al paese dell’Estremo Oriente si è ulteriormente innalzata (+2%), ed ha in tal modo raggiunto un valore pari al 69,6%, di gran lunga superiore agli indici percentuali attribuibili agli altri paesi Presenti nella classifica. Osserviamo, inoltre, come nel secondo trimestre del 2016 siano rimaste invariate le prime tre posizioni della graduatoria, la cui quota complessiva è risultata pari all’84,8% del numero totale di server C&C individuati nei vari Paesi. Rileviamo, infine, l’ingresso nella TOP-10 di Brasile (2,3%), Italia (1%) e Israele (1%).

Attacchi DDoS nel secondo trimestre del 2016

Ripartizione per Paesi dei server di comando e controllo delle botnet –
Situazione relativa al 2° trimestre del 2016

Così come nei trimestri precedenti, nella stragrande maggioranza dei casi (99,5%) i cyber criminali hanno fatto ricorso, per la conduzione dei loro attacchi, a bot riconducibili ad un’unica famiglia. Soltanto nello 0,5% dei casi gli obiettivi presi di mira sono stati sottoposti ad attacco da parte di bot riconducibili a due diverse famiglie (dispiegati, nella circostanza, da uno o più attaccanti). Nel secondo trimestre del 2016, le famiglie di bot maggiormente diffuse sono risultate essere Xor, Yoyo e Nitol.

Conclusioni

Nel trimestre preso in esame, i malintenzionati hanno insistentemente rivolto le loro attenzioni nei confronti delle società finanziarie specializzate nell’operare con le criptovalute. L’elevato livello di concorrenza esistente in questo particolare settore finanziario determina, di fatto, il ricorso a metodi sleali di lotta nei confronti della concorrenza, uno dei quali è rappresentato proprio dall’utilizzo degli attacchi DDoS. Il motivo delle insistite attenzioni da parte dei criminali è rappresentato, nella circostanza, dalla specificità del business inerente all’elaborazione delle criptovalute: non tutti accettano, infatti, la particolare situazione che vede, in pratica, la mancanza di possibilità di regolamentare la diffusione e l’utilizzo della criptovaluta.

Un ulteriore elemento di particolare rilievo, che sembra denotare una precisa e costante tendenza, è poi costituito dall’utilizzo di dispositivi IoT vulnerabili, in qualità di bot, per l’allestimento di botnet adibite alla conduzione di attacchi DDoS. In uno dei nostri precedenti report avevamo già riferito riguardo alla comparsa di una botnet composta da telecamere CCTV; anche nel corso del secondo trimestre del 2016 si è manifestato uno specifico interesse, nei confronti di tali dispositivi, da parte dei cyber criminali dediti all’organizzazione di botnet. Non è affatto escluso che, entro la fine dell’anno in corso, si abbiano precise notizie riguardo all’apparizione di botnet ancor più “esotiche”, formate da dispositivi IoT vulnerabili.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *