Nel terzo trimestre di quest'anno gli
attacchi DDoS sono diventati in media
più numerosi rispetto allo stesso periodo del 2019, ma meno potenti. I dati sono di Cloudflare, secondo cui non bisogna abbassare la guardia, perché piccoli attacchi possono distrarre i responsabili di rete da problemi ben più gravi.
L'85% degli attacchi si è attestato al di sotto dei 500 Mbps: un valore basso, ma comunque sufficiente per interrompere risorse mal protette collegate al Web. Omer Yoachimik e Vivek Ganti di Cloudflare rimarcano infatti che gli "
attacchi più piccoli possono indicare che l'azione è organizzata da criminali alle prime ami", tuttavia potrebbero anche "
servire come cortina fumogena per distrarre gli addetti alla sicurezza da altri tipi di attacchi informatici che potrebbero verificarsi contemporaneamente".
Il numero complessivo degli attacchi è in crescita non solo nel periodo in esame, ma in ogni mese del 2020, tanto che nel terzo trimestre il totale complessivo è stato il doppio di quello osservato nel secondo trimestre. Un aumento che secondo John Graham-Cumming, CTO di Cloudflare, è favorito dal COVID-19. La pandemia ha infatti favorito un
enorme aumento del lavoro online, delle attività scolastiche e dello
shopping online, e questo ha attirato l'attenzione dei cyber criminali, che hanno aumentato a dismisura gli attacchi DDoS.
Durata e intensità degli attacchi
L'attacco più importante registrato dalla rete di Cloudflare fa capo alla
botnet Mirai. L'azione criminale ha avuto origine da 18.705 indirizzi IP unici associati a dispositivi infetti da Moobot e ha fatto registrare un
picco di 654 Gbps. La campagna è durata quasi 10 giorni, durante i quali il cliente Cloudflare non ha registrato nessun tempo di inattività o degrado del servizio.
Detto questo,
circa l'87% degli attacchi è stato inferiore a 1 Gbps. il dato fa registrare un calo rispetto al 52% del trimestre precedente. Anche le dimensioni medie dei pacchetti si sono ridotte, con il 47% degli attacchi del terzo trimestre che ha visto pacchetti sotto ai 50 Kpps rispetto al 19% rilevati nel secondo trimestre.
Un altro dato interessante riguarda la durata degli attacchi. A parte quello riconducibile a Mirai, l'88% degli attacchi si è esaurito nell'arco di un'ora. Da notare che gli attacchi a breve termine
possono eludere il rilevamento. Questa non è una buona notizia perché potrebbe trattarsi di azioni volte a testare la reattività delle vittime in vista di attacchi più grandi e duraturi, che invece causano problemi.
DDoS con riscatto
Abbiamo parlato più volte del
fenomeno RDDoS (Ransom DDoS o DDoS con riscatto) sia a livello di numeri, sia in una interessante intervista con Akamai che ci ha spiegato i "dietro le quinte". Cloudflare nella sostanza
conferma i numeri che circolavano: l'analisi del traffico in 200 data center Cloudflare in tutto il mondo rivela l'esplosione di attacchi al protocollo CDP e l'aumento di quelli con riscatto (RDDoS).
In questo caso la durata media è poco importante. lo è maggiormente la richiesta di riscatto a fronte della minaccia di importanti attacchi su larga scala se il bersaglio rifiuta di pagare. A portare avanti questo tipo di azioni sono gruppi criminali noti come Fancy Bear, Cozy Bear e Lazarus.
Come aveva
spiegato Nicola Ferioli, Senior Solutions Engineer di Akamai, non è detto che in caso di mancato pagamento l'attacco si verificherà davvero, perché "
spesso il gruppo criminale bluffa. Non è realmente attrezzato per scatenare un attacco DDoS". Per questo, e per gli stessi motivi relativi ai ransomware, è fortemente sconsigliato pagare i cyber criminali. "
Quando si ricevono [richieste di riscatto] la cosa migliore da fare è alzare il livello d'allerta interno. Il centro di controllo o il SOC possono prepararsi comunicando l'avvenuta minaccia a chi gestisce il servizio di protezione anti DDoS".