Akamai, attacchi DDoS in crescita

Akamai ha pubblicato il suo ultimo report sullo stato di internet per quanto concerna la sicurezza. Il rapporto unisce i dati sugli attacchi DDoS sulla rete instradata con i dati relativi agli attacchi DDoS e alle applicazioni web raccolti dalla Akamai Intelligent Platform. I dispositivi IoT (Internet-of-Things) non sicuri hanno continuato a essere una grande origine di traffico per gli attacchi DDoS. La rapida proliferazione di questi dispositivi offrirà un pool in espansione di risorse di attacco, a cui contribuirà la scoperta di nuove vulnerabilità e sistemi vulnerabili. I dispositivi che hanno alimentato gli attacchi Mirai nel terzo trimestre consistevano in un piccolo sottoinsieme di tutti i dispositivi IoT presenti in Internet, principalmente fotocamere e router basati su IP.

In parallelo all’aggiunta di dispositivi vulnerabili alle botnet basate su IoT, si continuerà ad assistere a picchi relativi alle funzionalità delle botnet e alle dimensioni degli attacchi DDoS. Tuttavia, in questo trend è presente un fattore di compensazione. In California, la FTC (Federal Trade Commission) ha citato in giudizio un produttore di router wireless di livello consumer. Questo produttore ha compromesso la sicurezza dei consumatori creando software non sicuro e inefficiente per i propri sistemi. Non si tratta della prima volta che la FTC accusa i produttori di realizzare software non sicuro. Gli altri produttori devono considerare questi casi come un invito a mettere in sicurezza i propri sistemi. Gli attacchi DDoS di dimensioni superiori a 300 Gbps sono diventati più comuni.

Sette dei 10 attacchi DDoS superiori a 300 Gbps registrati da Akamai si sono verificati nel 2016, di cui tre nel quarto trimestre. Rispetto al Q4 2015, si è verificato un aumento del 140% degli attacchi superiori ai 100 Gbps. Dei 12 mega attacchi che hanno avuto luogo nel Q4 2016, due hanno interessato organizzazioni del settore Software e tecnologia, mentre cinque sono stati destinati a organizzazioni del settore Gaming. Anche le organizzazioni del ramo Media & Entertainment sono state soggette a cinque mega attacchi, tre dei quali hanno raggiunto o superato i 300 Gbps.

Mentre le botnet Mirai e IoT erano già note dal Q3, il più grande attacco di questo trimestre, di ben 517 Gbps, è stato originato da una botnet con un’origine diversa: il toolkit DDoS Spike. Spike è un tipo di malware più comunemente associato al malware basato su Linux x86, come XOR e BillGates.

Dei 25 vettori di attacco DDoS registrati in questo trimestre, i primi tre sono UDP Fragment (27%), DNS (21%) e NTP (15%). A differenza delle risorse IoT, attualmente in espansione, le risorse NTP per gli attacchi DDoS si stanno riducendo per via dell’applicazione di patch nei server e del ritiro dei server meno recenti. CHARGEN, il quarto vettore di attacco più noto, è un protocollo di test e misurazione utilizzato dalle stampanti. L’utilizzo costante di questo servizio porta a chiedersi perché sia esposto esternamente.

I tre principali paesi di origine degli attacchi DDoS si sono rivelati Stati Uniti (24%), Regno Unito (10%) e Germania (7%). Uno scenario insolito, determinato in parte dalla botnet Mirai. Lo scorso anno la Cina è stata in cima ai 10 principali paesi di origine. Nel Q4 2016 la Cina è scesa in quarta posizione, con il 6% del traffico. Il Canada si è classificato undicesimo, un notevole incremento rispetto ai trimestri precedenti.

Tre vettori hanno rappresentato il 95% di tutti gli attacchi alle applicazioni web di questo trimestre: SQLi (SQL Injection), LFI (Local File Inclusion) e XSS (Cross-site Scripting). Mentre l’utilizzo combinato è rimasto simile al Q3, l’utilizzo degli attacchi SQLi è aumentato dal 44% (Q2) al 49% (Q3) e poi al 51% (Q4), con un incremento del 44% dal Q4 2015. Al contempo, l’utilizzo degli attacchi LFI è diminuito dal 45% (Q2) al 40% (Q3) e poi al 37% (Q4).

Stati Uniti e Paesi Bassi sono stati rispettivamente la prima e la seconda origine di attacchi alle applicazioni web per il secondo trimestre consecutivo, seguiti dalla Germania al terzo posto. Analizzare i dati relativi all’origine in base all’area geografica offre spunti aggiuntivi. Nelle Americhe le tre principali origini di attacchi alle applicazioni web sono state rispettivamente Stati Uniti, Brasile e Canada. All’interno di EMEA, le principali origini sono state Paesi Bassi, Germania e Russia, nell’ordine indicato. Nella regione AsiaPacifico le origini principali sono state rispettivamente Cina, India e Giappone.