Arbor Networks analizza gli attacchi e le estorsioni DDoS

Arbor Networks analizza le estorsioni DDoS

Gli attacchi a scopo di estorsione di tipo DDoS sono la forma più complessa e diffusa adottata dai cybercriminali per ottenere pagamenti della aziende. Ivan Straniero, Territory Manager, Italy & SE Europe Arbor Networks commenta le tendenze che si nascondono questo tipo di minacce, in base alla recente analisi Worldwide Infrastructure Security Report.

Di fatto, anche se gli attacchi digitali legati a un riscatto esistono in varie tipologie e forme, gli attacchi DDoS (Distributed Denial of Service) sono in cima alla lista dei metodi sfruttati dagli attaccanti per estorcere denaro alle aziende.
Secondo la nona edizione dello studio annuale Worldwide Infrastructure Security Report (2013) pubblicato da Arbor, gli attacchi DDoS a scopo di estorsione costituiscono il 15% di tutti gli attacchi DDoS. Anche se può sembrare una percentuale relativamente piccola, occorre tuttavia considerare che ogni giorno nel mondo si contano anche 10.000 attacchi DDoS, e che i costi potenziali in termini di danni e reputazione possono avere un impatto significativo sull'azienda colpita. Gli attacchi DDoS a scopo di estorsione sono generalmente attacchi volumetrici ad alto consumo di banda, lanciati allo scopo di mandare in crash il sito Web o il server di un'azienda bombardandolo con pacchetti di rete originati da un gran numero di bot geograficamente distribuiti (botnet). Le dimensioni degli attacchi DDoS volumetrici continuano ad aumentare anno dopo anno e rimangono una grave minaccia nei confronti tanto delle aziende quanto degli Internet Service Provider (ISP). La ricerca di Arbor dimostra infatti come le dimensioni medie degli attacchi DDoS siano state del 20% maggiori nel 2013 rispetto al 2012.

Arbor Networks analizza gli attacchi e le estorsioni DDoS

In origine gli attacchi DDoS a scopo di estorsione venivano tradizionalmente lanciati contro i siti di scommesse online nell'imminenza di importanti avvenimenti sportivi. Le gang criminali causavano il blocco di un sito subito prima dell'inizio dell'evento, costringendo l'azienda colpita a scegliere tra pagare o sostenere un danno finanziario e di reputazione. Sempre più spesso gli attacchi DDoS si sono poi diffusi per estorcere denaro a ogni genere di azienda, e la realtà è che nessuno è immune da questo rischio. Qualunque azienda operi online, il che significa aziende praticamente di qualsiasi tipo e dimensione, può diventare un obiettivo a causa di quello che è, di quello che vende o dei partner con cui lavora. Le realtà particolarmente vulnerabili a questo genere di attacchi sono quelle con una protezione DDoS assente o limitata, o quelle che non possiedono le risorse necessarie a gestire attacchi DDoS di tipo volumetrico o di tipo applicativo.
Una volta che i criminali hanno selezionato il loro obiettivo, gli attacchi seguono solitamente uno o due scenari. I criminali dimostrano le loro capacità portando un attacco DDoS "di esempio" per un breve periodo di tempo seguito dalla minaccia di ulteriori attacchi a meno che non venga pagato un riscatto, oppure saltano semplicemente la fase dimostrativa e procedono direttamente alla richiesta di riscatto. La vittima ha quindi due scelte davanti a sé: pagare o prepararsi a ulteriori attacchi. 

In questi casi, le aziende non devono accettare di pagare il riscatto in nessuna circostanza, dato che questo può creare un pericoloso precedente e incoraggiare ulteriori attacchi in futuro. Inoltre, anche se il pagamento del riscatto può risolvere il problema a breve termine, i risultati a lungo termine generalmente non ne valgono la pena. Rifiutarsi di pagare ha ovviamente gravi conseguenze, come abbiamo osservato nei recenti attacchi - tre ondate DDoS distinte - diretti contro Feedly. Tuttavia l'azienda si è ora ripresa e opera normalmente; inoltre è stata apprezzata per la sua coraggiosa decisione da parte della community degli specialisti della sicurezza e persino dai suoi stessi clienti.
Eppure, piuttosto che affrontare le conseguenze di un tentativo di estorsione, le aziende che dipendono per le loro attività dalla disponibilità di Internet dovrebbero investire in misure di prevenzione appropriate. Molte aziende si affidano ancora a misure reattive come firewall e router di filtro, soluzioni inefficienti e non sufficientemente sofisticate da poter proteggere contro il cybercrimine organizzato. Al contrario, le aziende devono oggi investire in misure di mitigazione preventiva multi-layer comprensive di protezione on-premise e on-cloud, oltre a prevedere una collaborazione con i propri ISP o Hosting Provider. Oltretutto è essenziale disporre di una strategia di mitigazione, in particolar modo dal momento che solo il 17% delle aziende di tutto il mondo si ritiene completamente preparata ad affrontare un incidente relativo alla sicurezza.