La retrospettiva sugli attacchi DDoS nel 2020 di Akamai ha evidenziato un panorama estremamente attivo. L’anno scorso, infatti, l’azienda ha mitigato alcuni dei più grandi attacchi DDoS mai registrati (1,44 Tbps e 809 Mpps), rilevato un maggior numero di aggressioni nei confronti di imprese appartenenti a settori diversi e osservato la più grande campagna DDoS a scopo di estorsione, che ha colpito migliaia di aziende in tutto il mondo.
Secondo i dati Akamai, nei primi mesi del 2021 i cyber criminali hanno continuato a raddoppiare gli attacchi DDoS, confermando le tendenze rilevate lo scorso anno:
- I criminali aumentano il ritmo operativo e gli standard: nel 2021 è stato già registrato un maggior numero di attacchi superiori a 50 Gbps rispetto a tutto il 2019. Si tratta di un aspetto importante considerando che le offensive di questa portata riescono a causare interruzioni a qualsiasi livello.
- Gli attacchi DDoS stanno diventando sempre più audaci e pericolosi: a febbraio 2021 si sono verificati 3 dei 6 più grandi attacchi DDoS in termini di volumi mai registrati e mitigati da Akamai, compresi i 2 più grandi a scopo di estorsione. Gli ultimi 3 attacchi hanno preso di mira una società europea che opera nel settore dei giochi d’azzardo e un’azienda in Asia attiva nel settore dei videogiochi.
- I criminali continuano ad aumentare la propria portata: il numero mensile di attacchi è aumentato a livelli quasi da record con una diversificazione per aree geografiche e settori. Una recente analisi ha mostrato un aumento del 57% nel numero di aziende che ha subito una breach su base annua.
Fig. 1: I primi attacchi DDoS per dimensione (Gbps) mai registrati/mitigati
Fig. 2: Attacchi DDoS e previsioni per anno (barre = attacchi DDoS, linea rossa = attacchi superiori a 50 Gbps).
Le statistiche del 2021 si basano sui totali attuali.
Sperando di ricevere un importante pagamento in bitcoin, i cyber criminali hanno iniziato a intensificare le proprie attività e ad ampliare la larghezza di banda delle aggressioni, dimostrando che gli attacchi DDoS a scopo di estorsione sono ancora attuali.
Il più recente attacco a scopo di estorsione nei confronti di una società di gioco d’azzardo europea, che ha raggiunto un picco di oltre 800 Gbps, si è rivelato il più vasto e complesso registrato da Akamai in questa fase, iniziata a metà agosto 2020, in cui sono tornati a diffondersi attacchi di questo tipo. Dall’inizio della campagna, gli attacchi sferrati come dimostrazione di forza sono aumentati di dimensioni, passando da oltre 200 Gbps ad agosto a più di 500 Gbps a metà settembre, per poi raggiungere 800 Gbps a febbraio 2021.
Sperando di ricevere un importante pagamento in bitcoin, i cyber criminali hanno iniziato a intensificare le proprie attività e ad ampliare la larghezza di banda delle aggressioni, dimostrando che gli attacchi DDoS a scopo di estorsione sono ancora attuali.
Il più recente attacco a scopo di estorsione nei confronti di una società di gioco d’azzardo europea, che ha raggiunto un picco di oltre 800 Gbps, si è rivelato il più vasto e complesso registrato da Akamai in questa fase, iniziata a metà agosto 2020, in cui sono tornati a diffondersi attacchi di questo tipo. Dall’inizio della campagna, gli attacchi sferrati come dimostrazione di forza sono aumentati di dimensioni, passando da oltre 200 Gbps ad agosto a più di 500 Gbps a metà settembre, per poi raggiungere 800 Gbps a febbraio 2021.
Fig. 3: Probabili attacchi DDoS a scopo di estorsione (dimensioni bolle = Mpps, colore = profilo attacco a scopo di estorsione)
Tuttavia, la dimensione dell’attacco a scopo di estorsione non è stata l’unica caratteristica degna di nota del modus operandi dei criminali. Come riportato nella notifica sulle minacce pubblicata il 23 marzo 2021 dall’Akamai Security Intelligence Response Team, i criminali hanno utilizzato un vettore DDoS mai visto in precedenza che ha sfruttato un protocollo di rete noto come protocollo 33 o DCCP (Datagram Congestion Control Protocol). È simile a un attacco SYN flood in DCCP, ma, in questo caso, è di natura volumetrica. I criminali sfruttano il protocollo 33 per aggirare i sistemi di difesa incentrati sui flussi di traffico tradizionali TCP (Transmission Control Protocol) e UDP (User Datagram Protocol).
Fig. 4: Diagramma di flusso DDCP (nuovo vettore di attacco DDoS scoperto nel protocollo DCCP).
Oltre al nuovo vettore di attacco DCCP, le campagne DDoS 1 sono diventate più mirate e molto più persistenti. Di recente, Akamai ha assistito a diverse offensive che hanno preso di mira un intervallo di indirizzi IP di due clienti specifici per un numero prolungato di giorni. I criminali hanno cercato incessantemente eventuali vulnerabilità da sfruttare nei sistemi di difesa, oltre a provare diverse combinazioni di vettori di attacco DDoS. In un caso, hanno preso di mira quasi una dozzina di IP e si sono serviti di diversi vettori per cercare di aumentare la probabilità di interrompere gli ambienti back-end. In realtà, il 65% degli attacchi DDoS è stato condotto da più vettori.
Fig. 5: Campagna DDoS persistente 1. Ogni colore rappresenta un IP di destinazione diverso. L’autore dell’attacco, dopo aver cambiato vari IP di destinazione, alla fine ne ha scelti due.
Fig. 6: Campagna DDoS persistente 2. Attacchi multipli contro la stessa azienda per numero di giorni.
Guardando al futuro, le previsioni di Akamai sugli attacchi DDoS continuano ad anticipare la crescita delle breach su quattro fronti:
- Numero di attacchi
- Numero di attacchi di grandi dimensioni (> 50 Gbps)
- Numero di settori colpiti
- Numero di organizzazioni colpite
Fig. 7: Attacchi DDos dal 2020 a oggi (dimensioni bolle = Mpps, colore = anno)
Fig. 8: Tendenze degli attacchi dal 2010 a oggi (blu = totale, rosso > 50 Gbps)
Sulla base di quanto rilevato nel 2020 e nei primi mesi del 2021, le aziende avranno a disposizione dei sistemi di difesa più appropriati per contrastare gli attacchi DDoS?
