Durante i blocchi a livello globale causati dalla Covid-19 non si è registrato solamente un incremento delle campagne di phishing e malspam a tema, ma anche un’intensificazione del numero di attacchi DDoS (Distribuited Denial of Service) che è risultato essere raddoppiato rispetto allo stesso periodo del 2019.
Ciò è quanto emerge dall’ultimo report DDoS H1 2020 di Link11 secondo cui ad aprile, maggio e giugno 2020 l’aumento medio è stato pari al 97% con un picco addirittura del 108% nel solo mese di maggio.
Indice degli argomenti
Lo scenario
L’aumento del fabbisogno di risorse online durante questo particolare periodo è stato ovviamente notato anche dai criminali informatici divenendo, di fatto, una situazione ghiotta e sfruttata anche per condurre attacchi rivolti ai servizi digitali essenziali e non secondo una determinata strategia che mira a creare disservizi comportando sostanziose perdite economiche e di reputazione per le aziende colpite.
Basti pensare come un’interruzione delle prestazioni erogate online possa rappresentare un serio problema nei casi in cui l’unico modo per mettere a disposizione beni e servizi sia l’uso esclusivo del canale web.
Le motivazioni che spingono gli attori malevoli ad agire in tal senso possono essere variegate: ragioni politiche, ricatti, concorrenza sleale.
L’analisi dei risultati
Lo studio dimostra come più della metà degli attacchi (52%) siano stati sferrati attraverso una combinazione di diversi vettori di attacco, rendendo così la negazione dei servizi causata più difficile da contrastare.
Tra i vettori più comunemente usati figurano le vulnerabilità dei protocolli DNS, CLDAP e NTP. In particolare, durante il secondo trimestre del 2020 il vettore principale che ha registrato un’elevata frequenza di utilizzo è stato un metodo che sfrutta una vulnerabilità riscontrata in determinati videoregistratori digitali esposti in rete senza adeguate protezioni.
Secondo lo stesso rapporto emerge come le sorgenti degli attacchi DDoS, messi in atto tramite tecniche di amplificazione/ riflessione, risultino distribuite geograficamente a livello globale, anche se con una maggiore incidenza negli Stati Uniti, Cina, Russia e Francia, generando un volume d’attacco medio di 4,1 Gbps con picchi fino a 400 Gbps.
Anche la percentuale degli attacchi DDoS condotti attraverso l’uso improprio di provider cloud (i criminal hacker utilizzano spesso identità false e carte di credito rubate per aprire profili cloud, rendendo difficile così il relativo rintracciamento), ha riportato, nel solo trimestre del 2020 esaminato, una valore pari al 47% nettamente superiore a quello rilevato nell’intero anno 2019 (45%).
L’allerta dell’FBI
Ancor meno confortante anche il report dell’FBI rilasciato nello scorso mese di luglio, che metteva in guardia riguardo ad un aumento considerevole dello sfruttamento di dispositivi, esposti in rete con protocolli integrati, per creare botnet su larga scala in grado di scatenare attacchi DDoS devastanti.
L’allarme è stato pubblicato online anche sul sito web del NJCCIC (New Jersey Cybersecurity and Communications Integration Cell).
Come rimarcato dalla stessa FBI, i primi attacchi di amplificazione DDoS con abuso di protocolli di rete risalgono a dicembre 2018, quando i criminali hacker hanno sfruttato come mezzo di amplificazione le funzionalità multicast e di trasmissione dei comandi del Constrained Application Protocol (CoAP), per poi continuare nel 2019 con lo sfruttamento del protocollo Web Services Dynamic Discovery (WS-DD), integrato nei dispositivi IoT, ed infine con l’uso improprio dell’Apple Remote Management Service (ARMS), protocollo che viene solitamente utilizzato per gestire da remoto i computer Apple.
Ultima in ordine cronologico la vulnerabilità scoperta nei protocolli di rilevamento integrati nei server Jenkins, che potrebbe potenzialmente consentire agli attaccanti di ottenere un fattore di amplificazione cento volte superiore a quello prodotto solitamente dagli attacchi DDoS.
Come difendersi dagli attacchi DDoS
Come affermato da Marc Wilczeck, Chief Operating Officer di Link11, l’emergenza sanitaria in corso sta costringendo le organizzazioni ad accelerare la propria trasformazione digitale con un conseguente aumento della superficie di attacco esposta in rete, che i criminal hacker cercheranno sempre di più di colpire mettendo fuori servizio i relativi sistemi critici.
Per far fronte a questi nuovi scenari, in continua evoluzione, le aziende oltre che pianificare e investire in soluzioni di sicurezza strutturali e basate su automazione, intelligenza artificiale e machine learning progettate per affrontare attacchi multi vettore con ingenti potenze di fuoco, possono nel breve termine far fronte a questo eventuale problema adottando una DDoS mitigation con delle misure di difesa essenziali:
- impostare i firewall di rete per bloccare l’accesso a tutti gli indirizzi IP non autorizzati;
- aggiornare, quando possibile, tutti i propri dispositivi online alle versioni firmware più recenti o applicando le ultime patch di sicurezza;
- modificare gli account predefiniti su tutti gli IoT e altri dispositivi, utilizzando ove possibile l’autenticazione multi fattore.
Anche se il primo serio attacco DDoS riportato in letteratura, che mandò in crash l’intera infrastruttura Arpanet, risale al 1988, dopo più di trent’anni queste metodologie di attacco, che mirano a ottenere la negazione dei servizi online su larga scala, risultano ancora essere alla ribalta e non sembrano per nulla voler lasciar il testimone.
