Sono tornati! O forse, i criminali informatici responsabili dell’attacco DDoS europeo avvenuto a luglio potrebbero non essersene mai andati.
Nelle settimane successive all’intervento di Akamai su un precedente incidente, la vittima – un cliente con sede nell’Europa dell’Est – è stata ripetutamente colpita da sofisticati attacchi DDoS (Distributed Denial-of-Service), che hanno aperto la strada a un nuovo record europeo di “Packets Per Second” (PPS) di tipo DDoS.
Lunedì 12 settembre, Akamai ha individuato e mitigato con successo il più grande attacco DDoS mai sferrato ai danni di un cliente europeo sulla piattaforma Prolexic, che ha causato un’improvvisa intensificazione del traffico a 704,8 Mpp nel tentativo di paralizzare le operazioni commerciali dell’azienda.
Schema dell’attacco
Gli aggressori evolvono costantemente le proprie tecniche, tattiche e procedure per eludere il loro rilevamento e massimizzare gli attacchi, come dimostrato dall’ondata attualmente in corso.
Akamai ha analizzato e confrontato i due eventi:
| Attacco di luglio | Attacco di settembre | |
| Picco di PPS | 659.6 Mpps | 704.8 Mpps |
| Totale degli attacchi | 75 | 201 |
| IPs colpiti | 512 | 1813 |
| Vettore | UDP | UDP |
| Estensione | 1 location | 6 location |
| Data dell’attacco | 21 luglio, 2022 | 12 settembre, 2022 |
| Principali Scrubbing Location | HKG, LON, TYO | HKG, TYO, LON |
Prima di giugno, il cliente aveva monitorato solo il traffico di attacchi contro il proprio data center principale; tuttavia ha capito l’importanza di una strategia di difesa completa fin dall’inizio, integrando quindi altri 12 data center distribuiti a livello globale nella piattaforma Prolexic, al fine di garantire la massima sicurezza. Questo passaggio si è rivelato fondamentale, come dimostrato successivamente, poiché gli attacchi sono aumentati inaspettatamente, colpendo sei diverse località nel mondo, dall’Europa all’America del Nord. Questi eventi riflettono una tendenza crescente che vede gli aggressori colpire sempre più spesso obiettivi di deep-reconnaissance.
Mitigazione dell’attacco
Per neutralizzare un attacco di questa portata e complessità, Akamai ha sfruttato una combinazione di tecniche di mitigazione automatizzata e manuale: il 99,8% dell’attacco è stato preventivamente arginato grazie alla posizione strategica del cliente, una misura di sicurezza preventiva implementata dal Security Operations Command Center (SOCC) di Akamai. Il traffico generato da questo attacco e da quelli successivi, è stato rapidamente limitato dagli operatori di sicurezza in prima linea di Akamai. A fronte di attacchi DDoS sempre più sofisticati in tutto il mondo, molte aziende hanno infatti difficoltà a dotarsi di risorse di sicurezza interne e si rivolgono al SOCC di Akamai per rafforzare e ampliare i team addetti alla risposta degli incidenti.
Il sistema di comando e controllo degli aggressori non ha tardato ad attivare l’attacco multi-destinazione distribuito su otto distinte reti secondarie in sei località e che in 60 secondi è passato da 100 a 1.813 IP attivi al minuto. Un attacco così ampiamente distribuito avrebbe potuto mettere in difficoltà un team di sicurezza impreparato, rendendo difficile valutare la gravità e la portata dell’intrusione, e di conseguenza la mitigazione dell’attacco stesso.
Sean Lyons, Senior Vice President e General Manager of Infrastructure Security, ha commentato: “La cultura della specializzazione DDoS di Akamai Prolexic, l’attenzione alla progettazione delle infrastrutture dei clienti e la stessa storia di Akamai sono fondamentali per difendere dagli attacchi complessi e di varia natura e la nostra piattaforma è dotata di strumenti specificamente creati per garantire una mitigazione rapida delle minacce, anche nella cosiddetta ‘nebbia di guerra’”.
Conclusioni
Disporre di una strategia e di una solida piattaforma di mitigazione DDoS è indispensabile per proteggere le aziende nei momenti di downtime e disservizio.
Maggiori informazioni sulle soluzioni DDoS leader del settore di Akamai e su come le potenzialità avanzate di contrasto agli attacchi mantengono le aziende al sicuro da minacce sempre più sofisticate, sono disponibili qui.
