Attacchi DDoS e cryptojacking si alternano in un balletto orchestrato dalle botnet. Che cos’è successo nell’ultimo trimestre 2021 e le previsioni per il Q1 del 2022.
Le botnet sono spesso utilizzate per il mining e per gli attacchi DDoS. A confermarlo è l’attività di monitoraggio degli esperti di Kaspersky, che fra ottobre e dicembre 2021 hanno rilevato diverse nuove botnet DDoS di cui una, Abcbot, era stata aggiornata durante l’estate con funzionalità DDoS. La stessa botnet è stata associata poi al gruppo di cryptojacking noto come Xanthe.
Tutti i dettagli sulle molteplici botnet in attività sono pubblicati sul blog ufficiale. Restringendo il campo agli attacchi DDoS connessi alle botnet, risultano diverse azioni ai danni di istituzioni e aziende di diversi Paesi, dal portale di notizie ABC-CBN News a VERA Files, passando per aziende tecnologiche come T-Mobile e la piattaforma blockchain Solana.
Quello che sottolineano i ricercatori di Kaspersky è il legame stretto fra diverse tecniche e tattiche per raggiungere gli obiettivi. Le botnet sono un mezzo da cui partono attacchi di diverso tipo e con differenti finalità, dai DDoS al cryptojacking, passando per i ransomware, l’esfiltrazione di dati e lo spionaggio.
Numero di attacchi DDoS nel Q3 e Q4 2021 e Q4 2020
Nel Q4 si è verificata una crescita impressionante del numero di attacchi DDoS, che sono aumenti del 52% rispetto al trimestre precedente e di oltre 4,5 volte rispetto allo stesso periodo dell'anno precedente. Non è un dato che stupisce gli analisti perché costituisce la tradizionale fluttuazione stagionale favorita dal periodo natalizio, con tutto quello che comporta.
Nello stesso periodo cala il mercato delle criptovalute, per un fenomeno che abbiamo già esaminato in passato: DDoS e capacità di mining sono parzialmente intercambiabili, quindi i proprietari di botnet tendono ad accentuare gli attacchi DDoS quando i prezzi delle criptovalute sono bassi e viceversa.
I dati rilevati da Kaspersky DDoS Protection e dalla DDoS Intelligence per il Q4 2021 rivelano che gli attaccanti hanno bersagliato maggiormente gli Stati Uniti, in cui si è registrato il 43,55% degli attacchi e il 44,54% degli obiettivi unici.
Complessivamente DDoS-Intelligence ha registrato 86.710 attacchi, di cui il 29% è durato meno di 4 ore. Solo lo 0,02% degli attacchi è durato più di 100 ore, e l'attacco più lungo del trimestre è stato di un terzo più breve rispetto al più lungo del precedente periodo di riferimento: 218 ore, poco più di nove giorni. La metà degli attacchi DDoS sono stati UDP e il 49% dei server C2 si trovava negli Stati Uniti. Al contrario, il 96% degli attacchi agli honeypot Kaspersky SSH sono stati effettuati da bot in Russia.
Il numero di attacchi è aumentato in Germania (4,85%) e Francia (3,75%), che sono salite rispettivamente in quarta e quinta posizione. Il Canada (3,64%) è rimasto al sesto posto, il Regno Unito (3,21%) è salito al settimo posto, mentre l'ottavo posto nel Q4 è andato ai Paesi Bassi (2,75%). L’Italia non figura nella Top 10.
Gli attacchi monitorati erano distribuiti in maniera relativamente uniforme, con una media giornaliera compresa fra 500 e 1.500 al giorno. L’unico picco riguarda l'11 ottobre, con 2.606 attacchi in 24 ore. Il giorno della settimana in cui si è registrato il maggior numero di attacchi DDoS è stato la domenica (16,61%), quello più tranquillo è stato il giovedì.
L’ultimo trimestre del 2021 è stato un periodo con un’attività più moderata del previsto nelle settimane di punta delle vendite online, e attacchi DDoS complessivamente brevi in termini temporali. Alla luce di questi dati, per il primo trimestre 2022 gli esperti si attendono un andamento in linea con il periodo antecedente, anche se molto dipende dall’andamento delle criptovalute: se il loro valore di mercato aumenterà, assisteremo a un calo significativo degli attacchi DDoS, se invece dovessero affondare ulteriormente, probabilmente gli attacchi DDoS si impenneranno.