Scenario

F5 Labs, attacchi DDoS in aumento e sempre più sofisticati

Gli attacchi Distributed Denial-of-service (DDoS) crescono sia in numero che in complessità.

A rivelarlo è la nuova analisi rilasciata dagli F5 Labs, con i dati raccolti dal F5 Silverline Security Operations Center (SOC) e dal team F5 Security Incident Response (SIRT) che hanno scoperto come questo genere di minaccia sia aumentato del 55% tra gennaio 2020 e marzo 2021. Nella maggior parte dei casi (54%) gli hacker hanno utilizzato più vettori, indicando una crescente sofisticazione dei tentativi da parte di malintenzionati sempre più determinati e agguerriti.

“Gli attacchi DDoS si confermano ancora una volta come la minaccia più diffusa; uno dei motivi principali è che la barriera di ingresso è sempre più bassa: anche aspiranti hacker possono riuscire ad accedere facilmente sfruttando i tutorial su YouTube o utilizzando un servizio DDoS-for-hire a buon mercato”, spiega David Warburton, Principal Threat Research Evangelist degli F5 Labs.

“Se da una parte gli attacchi DDoS sono oggi una commodity, allo stesso tempo si evolvono e diventano sempre più complessi e sofisticati, mettendo a dura prova le difese delle potenziali vittime, attraverso diversi tipi di attacchi condotti simultaneamente con più vettori. Inoltre, abbiamo notato anche che i cybercriminali stanno iniziando a sfruttare gli attacchi DDoS per spingere le vittime a pagare dei riscatti”.

Gli attacchi DDoS volumetrici, che puntano a consumare tutta la banda disponibile iniettando grandi quantità di traffico, si confermano i più comuni e rappresentano il 73% delle minacce rilevate tra gennaio 2020 e marzo 2021.

Bisogna tuttavia notare la crescente diffusione di altre modalità di attacco; tra queste, a crescere significativamente è il Protocol DDoS che prende di mira firewall e router, riempiendo le tabelle di connessione per impedire ai prodotti di rete di gestire i pacchetti che vengono loro inviati.

Nei primi tre mesi del 2021, gli F5 Labs hanno registrato un aumento del 135% annuo degli attacchi DDoS di protocollo, rispetto al 59% degli attacchi volumetrici.

Nel frattempo, gli attacchi del tipo DDoS applicativo hanno raggiunto il 16% della totalità degli incidenti DDoS da gennaio 2020 a marzo 2021, rappresentando più del 50% di tutti gli interventi di supporto legati agli attacchi DDoS gestiti dal SIRT di F5.

Questi tipi di attacco mirano a consumare le risorse del server di origine, costringendo l’applicazione a gestire le richieste illegittime dell’hacker.

Accanto a un crescente volume di attacchi DDoS, il SOC e il SIRT di F5 hanno anche osservato una maggiore sofisticazione degli stessi. Nei primi tre mesi del 2021, il numero di attacchi multi-vettore – ovvero quegli attacchi lanciati simultaneamente con tecniche diverse – è aumentato dell’80% rispetto all’anno precedente. Al contrario, si è registrato un cambiamento quasi impercettibile nel numero di attacchi a vettore singolo.

hacker clint-patterson

In media, ogni attacco multivettoriale ha impiegato 2,7 metodi diversi, con i più complessi che arrivano perfino a utilizzare otto tipi di attacchi in parallelo.

“Gli hacker sono oggi in grado di schierare più vettori di attacco diversi, prendendo di mira allo stesso tempo la larghezza di banda Internet, lo stack di rete o i server delle applicazioni della vittima; un vero tentativo di sopraffazione che vede coinvolto un fronte di attacco decisamente ampio”, aggiunge Warburton.

“Oltre al livello di sofisticazione molto elevato, abbiamo registrato anche attacchi di grandissime dimensioni, tra cui quello contro una società tecnologica che ha raggiunto un picco di 500Gbps – mezzo terabit al secondo”.

Quattro, in particolare, sono stati i settori che hanno dovuto affrontare il maggior numero di attacchi DDoS dall’inizio del 2020: tecnologico (25%), delle telecomunicazioni (22%), finanziario (18%) e dell’istruzione (11%).

La frequenza degli attacchi, tuttavia, non è correlata alla loro gravità. Il settore sanitario, ad esempio, nonostante sia stato vittima di un numero inferiore di attacchi DDoS, è stato l’obiettivo di uno degli attacchi più gravi.

Photo credit - depositphotos.com
hacker

Da sottolineare, infine, come il contesto per molti settori sia profondamente cambiato, e di conseguenza anche le modalità di attacco. Nei mesi di gennaio, febbraio e marzo 2021, ad esempio, quando molte scuole e università hanno dovuto riavviare la didattica a distanza o scegliere modalità ibride, si è registrato un picco nel numero di attacchi DDoS rivolti al mondo dell’education e, globalmente, il 56% di tutti gli incidenti che hanno colpito il settore da gennaio 2020 si è verificato nel primo trimestre del 2021.

Davanti ad attacchi sempre più diffusi e sofisticati, un primo consiglio per le organizzazioni è rimanere costantemente vigili utilizzando misure di sicurezza come i web application firewall e le soluzioni di bot-detection, che possono identificare quale sia il traffico reale dei clienti, oppure i servizi di hosted scrubbing, che rimuovono il traffico dannoso prima che raggiunga il server web.

“Con un aumento così ingente degli attacchi DDoS, è chiaro che si debba rafforzare sempre di più le proprie difese”, commenta Warburton. “Oltre a considerare come limitare e mitigare gli attacchi una volta in corso, è di vitale importanza essere in grado di rilevarli accuratamente il prima possibile.

Un numero sempre maggiore di attacchi DDoS prende di mira le applicazioni ed è quindi indispensabile capire se ci si trova di fronte a un semplice e innocuo aumento del traffico utente oppure, nella peggiore delle ipotesi, a un attacco mirato ad opera di una botnet. Per questo, come sempre, visibilità e contesto sono cruciali“.

Un ultimo aspetto interessante da sottolineare è come gli hacker stiano identificando sempre più server applicativi vulnerabili o poco sicuri per utilizzarli come base di lancio degli attacchi veri e propri.

“Questo significa che anche se un’organizzazione non è propriamente l’obiettivo di un attacco DDoS, i suoi sistemi possono essere utilizzati come base per scagliarne altri”, conclude Warburton. “Per questo servizi come DNS, NTP, memcached e LDAP, solo per citarne alcuni, devono essere protetti dalle vulnerabilità e dall’accesso non autenticato, in particolare se esposti su Internet”.