Report Kaspersky Lab, in guardia sulla DDoS intelligence

Report Kaspersky Lab, in guardia sulla DDoS intelligence

Nel report sugli attacchi DDoS tramite botnet, in aumento le attività mediante botnet e gli “amplification attack”. Ritornano anche gli attacchi DDoS multi-day. Secondo l'indagine di Kaspersky Lab, il primo trimestre di quest'anno, gli attacchi DDoS tramite botnet hanno colpito le risorse online di 79 Paesi. In particolare Cina, Stati Uniti e Corea del Sud continuano a guidare la classifica per numero di server a disposizione degli aggressori e, di conseguenza, per numero di siti e servizi ospitati su di essi, mentre Hong Kong e il Giappone hanno sostituito Paesi Bassi e Vietnam nell’elenco dei primi 10 Paesi più colpiti.

I cambiamenti nella lista dei 10 Paesi con il maggior numero di server Command-and-Control sono ancora più significativi. Entrano infatti Italia, Hong Kong, Germania e Regno Unito al posto di Canada, Turchia, Lituania e Danimarca.

Cambi di classifica dovuti probabilmente al forte aumento di attività di server C&C di Darkai - clone di Mirai - e del numero di bot AESDDoS e anche le vecchie botnet Xor e YoYo hanno ripreso la loro attività. Anche se la maggior parte di queste botnet utilizza Linux, la percentuale di quelle effettivamente basate su Linux ha subìto un lieve calo nel primo trimestre, registrando un 66% contro il 71% del 2017.

Alexey Kiselev, Project Manager del Kaspersky DDoS Protection team
Sfruttare le vulnerabilità è il mezzo preferito dei criminali informatici la cui attività è la creazione di botnet per attacchi DDoS. Tuttavia, come hanno dimostrato i risultati relativi ai primi mesi dell'anno, non sono solo le vittime degli attacchi DDoS ad essere colpite, ma anche quelle aziende con un’infrastruttura che include canali vulnerabili. Gli eventi del primo trimestre riaffermano una semplice verità: le piattaforme utilizzate da qualsiasi azienda per implementare la sicurezza online multilivello devono includere regolari patch per le vulnerabilità e protezione permanente contro gli attacchi DDoS.

Dopo un breve periodo di tregua, sembra inoltre che siano ritornati gli attacchi di lunga durata: il più lungo attacco DDoS registrato nel trimestre è durato 297 ore (più di 12 giorni). Più lungo di questo un attacco registrato a fine 2015.
L’ultima parte del trimestre è stata contraddistinta da attacchi Memcached flood senza precedenti in termini di portata, in alcuni casi superiori a 1 TB.

Gli esperti di Kaspersky Lab credono però che la loro popolarità avrà vita breve, perché gli attacchi Memcached flood non colpiscono solo gli obiettivi prefissati, ma anche le società involontariamente coinvolte nella realizzazione degli attacchi stessi.
Precedentemente in diminuzione, gli “amplification attack” hanno guadagnato nuovo slancio nel primo trimestre 2018. Ad esempio, è stato registrato un tipo di attacco, raro nonostante la sua efficacia, nel quale il servizio LDAP era stato usato come amplificatore. Insieme a Memcached, NTP e DNS, questo servizio è uno di quelli con il maggiore fattore di amplificazione.

Tuttavia, a differenza di Memcached, il traffico-spazzatura da LDAP è a malapena in grado di ostruire il canale in uscita, rendendo più difficile l’identificazione e la risoluzione del problema da parte del proprietario del server vulnerabile. Nonostante il numero relativamente basso di server LDAP disponibili, è possibile che questo tipo di attacco diventerà una hit su Darknet nei prossimi mesi.

Kaspersky DDoS Protection combina la vasta esperienza di Kaspersky Lab nella lotta contro le minacce informatiche e gli esclusivi sviluppi in-house dell'azienda. La soluzione è in grado di garantire protezione da tutti i tipi di attacchi DDoS, indipendentemente dalla loro complessità, forza o durata.
Per ridurre il rischio che le vulnerabilità vengano utilizzate dai criminali informatici per attacchi DDoS, Kaspersky Endpoint Security for Business fornisce un componente per la gestione di vulnerabilità e patch. Permette alle aziende di eliminare automaticamente le vulnerabilità nel software dell'infrastruttura, di correggerle in modo proattivo e di scaricare aggiornamenti.