▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Attacchi DDoS più numerosi ma meno potenti nel Q3 2020

Fra luglio e settembre gli attacchi DDoS con riscatto sono aumentati del 2.680%, quelli tradizionali sono stati più numerosi, ma di minore entità.

Business Vulnerabilità
Nel terzo trimestre di quest'anno gli attacchi DDoS sono diventati in media più numerosi rispetto allo stesso periodo del 2019, ma meno potenti. I dati sono di Cloudflare, secondo cui non bisogna abbassare la guardia, perché piccoli attacchi possono distrarre i responsabili di rete da problemi ben più gravi. 

L'85% degli attacchi si è attestato al di sotto dei 500 Mbps: un valore basso, ma comunque sufficiente per interrompere risorse mal protette collegate al Web. Omer Yoachimik e Vivek Ganti di Cloudflare rimarcano infatti che gli "attacchi più piccoli possono indicare che l'azione è organizzata da criminali alle prime ami", tuttavia potrebbero anche "servire come cortina fumogena per distrarre gli addetti alla sicurezza da altri tipi di attacchi informatici che potrebbero verificarsi contemporaneamente".

Il numero complessivo degli attacchi è in crescita non solo nel periodo in esame, ma in ogni mese del 2020, tanto che nel terzo trimestre il totale complessivo è stato il doppio di quello osservato nel secondo trimestre. Un aumento che secondo John Graham-Cumming, CTO di Cloudflare, è favorito dal COVID-19. La pandemia ha infatti favorito un enorme aumento del lavoro online, delle attività scolastiche e dello shopping online, e questo ha attirato l'attenzione dei cyber criminali, che hanno aumentato a dismisura gli attacchi DDoS.

ddos

Durata e intensità degli attacchi


L'attacco più importante registrato dalla rete di Cloudflare fa capo alla botnet Mirai. L'azione criminale ha avuto origine da 18.705 indirizzi IP unici associati a dispositivi infetti da Moobot e ha fatto registrare un picco di 654 Gbps. La campagna è durata quasi 10 giorni, durante i quali il cliente Cloudflare non ha registrato nessun tempo di inattività o degrado del servizio.

Detto questo, circa l'87% degli attacchi è stato inferiore a 1 Gbps. il dato fa registrare un calo rispetto al 52% del trimestre precedente. Anche le dimensioni medie dei pacchetti si sono ridotte, con il 47% degli attacchi del terzo trimestre che ha visto pacchetti sotto ai 50 Kpps rispetto al 19% rilevati nel secondo trimestre.

Un altro dato interessante riguarda la durata degli attacchi. A parte quello riconducibile a Mirai, l'88% degli attacchi si è esaurito nell'arco di un'ora. Da notare che gli attacchi a breve termine possono eludere il rilevamento. Questa non è una buona notizia perché potrebbe trattarsi di azioni volte a testare la reattività delle vittime in vista di attacchi più grandi e duraturi, che invece causano problemi.

DDoS con riscatto


Abbiamo parlato più volte del fenomeno RDDoS (Ransom DDoS o DDoS con riscatto) sia a livello di numeri, sia in una interessante intervista con Akamai che ci ha spiegato i "dietro le quinte". Cloudflare nella sostanza conferma i numeri che circolavano: l'analisi del traffico in 200 data center Cloudflare in tutto il mondo rivela l'esplosione di attacchi al protocollo CDP e l'aumento di quelli con riscatto (RDDoS).

In questo caso la durata media è poco importante. lo è maggiormente la richiesta di riscatto a fronte della minaccia di importanti attacchi su larga scala se il bersaglio rifiuta di pagare. A portare avanti questo tipo di azioni sono gruppi criminali noti come Fancy Bear, Cozy Bear e Lazarus.

denaro sporco
Come aveva spiegato Nicola Ferioli, Senior Solutions Engineer di Akamai, non è detto che in caso di mancato pagamento l'attacco si verificherà davvero, perché "spesso il gruppo criminale bluffa. Non è realmente attrezzato per scatenare un attacco DDoS". Per questo, e per gli stessi motivi relativi ai ransomware, è fortemente sconsigliato pagare i cyber criminali. "Quando si ricevono [richieste di riscatto] la cosa migliore da fare è alzare il livello d'allerta interno. Il centro di controllo o il SOC possono prepararsi comunicando l'avvenuta minaccia a chi gestisce il servizio di protezione anti DDoS".
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter