Nel secondo trimestre del 2018 si sono verificati attacchi DDoS da botnet verso risorse online in 74 paesi. Per la prima volta nella storia dei report di DDoS Intelligence, la regione di Hong Kong si è trovata nella Top 3 delle zone più attaccate, posizionandosi al secondo posto: la percentuale relativa agli attacchi in questa zona è cresciuta di cinque volte e rappresenta il 17% di tutti gli attacchi DDoS botnet-assisted. La Cina e gli Stati Uniti sono rimasti rispettivamente al primo e al terzo posto, mentre la Corea del Sud è scesa al quarto. Le risorse più attaccate a Hong Kong sono state quelle ospitanti servizi e piattaforme di cloud computing. È interessante notare anche che, sempre nel secondo trimestre, Hong Kong è stata sostituita dal Vietnam nella Top 10 dei paesi che ospitano i server C&C più attivi. Gli Stati Uniti, nel frattempo, sono diventati i capifila di questa classifica, con quasi la metà (il 45%) di tutti i server C&C attivi per la gestione di botnet durante il periodo in analisi.
L’attività delle botnet per attacchi DDoS basate su Windows è diminuita di quasi sette volte, mentre quella delle reti con base Linux è cresciuta del 25%. Questo ha comportato che il 95% di tutti gli attacchi DDoS del trimestre fossero basati su Linux via bot, una situazione che ha determinato anche un forte aumento della quota di attacchi DDoS di tipo SYN flood, dal 57% all’80%.
Nel corso del periodo preso in esame, i cybercriminali hanno scavato a fondo nel passato e hanno cominciato ad utilizzare per i loro attacchi alcune vulnerabilità davvero molto datate. Ad esempio, gli esperti hanno segnalato la presenza di attacchi DDoS che impiegano una vulnerabilità nel protocollo di rete Universal Plug and Play (UPnP), nota sin dal 2001, mentre i ricercatori del DDoS Protection Team di Kaspersky Lab hanno avuto modo di osservare un attacco organizzato utilizzando una vulnerabilità nel protocollo CHARGEN, che era stata descritta già nel lontano 1983. Nonostante la considerevole durata di servizio e la portata limitata del protocollo, sono tanti i server CHARGEN aperti che possono essere trovati su Internet. Sono per lo più relativi a stampanti e fotocopiatrici.
Tuttavia, la capacità di utilizzare delle vecchie tecniche non ha impedito ai criminali informatici di dare vita a nuove botnet. Ad esempio, in Giappone sono state utilizzate 50.000 telecamere di videosorveglianza per sferrare attacchi DDoS.
Uno dei metodi più diffusi per trarre profitto dagli attacchi resta quello di puntare alle criptovalute e allo scambio di valute. Un caso esemplare è quello della criptovaluta Verge, che ha visto i cybercriminali attaccare le mining pool e rubare circa 35 milioni di XVG approfittando della confusione che ne è conseguita.
Anche le piattaforme di gioco continuano ad essere prese di mira, in particolar modo durante i tornei di eSport. Secondo Kaspersky Lab, gli attacchi DDoS riguardano non soltanto i server di gioco (che spesso divengono bersagli per la richiesta di riscatto in cambio della non interruzione della gara), ma anche i giocatori stessi che si connettono dalle proprie piattaforme. Un attacco DDoS organizzato ai danni dei giocatori chiave di un team può facilmente portare alla perdita da parte della squadra o all’eliminazione da un torneo. I cybercriminali utilizzano tecniche simili per trarre guadagno da attacchi al mondo dello streaming, come, ad esempio, quello dei canali di videogiochi in streaming. La competizione in questo settore è intensa e, utilizzando gli attacchi DDoS, i criminali informatici possono interferire con le trasmissioni online e, di conseguenza, con i guadagni di certe aziende del settore.
“Dietro un attacco DDoS possono esserci svariate motivazioni: si va dalla protesta politica o sociale alla vendetta personale, fino alla semplice competizione. Tuttavia, nella maggior parte dei casi questo tipo di attacco viene portato avanti per scopi economici: per questo motivo i cybercriminali, di solito, prendono di mira aziende e servizi che producono molti guadagni. Gli attacchi DDoS possono fungere da cortina di fumo per nascondere un furto di denaro o per mascherare la richiesta di un riscatto per l’annullamento di un attacco. Le somme di denaro guadagnate grazie ad un’estorsione o ad un furto possono ammontare a decine o centinaia di migliaia di dollari, in qualche caso anche a milioni. In questo contesto, la protezione da attacchi DDoS pare essere davvero un ottimo investimento”, ha commentato Alexey Kiselev, Project Manager del Kaspersky DDoS Protection team.
Una soluzione come Kaspersky DDoS Protection è in grado di unire la grande esperienza di Kaspersky Lab nella lotta contro le minacce informatiche e gli esclusivi sviluppi in-house dell’azienda. La soluzione protegge da tutti i tipi di attacchi DDoS, indipendentemente dalla loro complessità, forza o durata.
