Netscout Arbor, precendentemente Arbor Neworks, ha reso noti i risultati del Report, “Netscout Threat Intelligence Report”, che offre una panoramica sugli attacchi e le minacce evidenziate nel mondo nel corso della prima metà del 2018, grazie al progetto ATLAS (Active Threat Level Analysis System) lanciato nel 2007.
“ATLAS è un progetto collaborativo che vede la partecipazione di centinaia di service provider che hanno accettato di condividere dati anonimi relativi al traffico, pari a circa un terzo di tutto il traffico internet – spiega Hardik Modi, Direttore della Threat Intelligence di Netscout Arbor -. Grazie a questo punto di osservazione privilegiato, Netscout è in grado di fornire informazioni sugli attacchi DDoS, sulle famiglie di malware e sulle botnet che minacciano l’infrastruttura internet e la disponibilità della rete”.
DDoS nel primo semestre 2018
Nella prima metà del 2018 nel mondo sono stati registrati 2,8 milioni di attacchi DDoS. Effettuando un confronto tra i primi sei mesi del 2017 e quelli del 2018, il report evidenzia come, nonostante il numero di attacchi DDos sia diminuito del 13%, la dimensione massima di questi ultimi sia aumentata del 174%. Infatti, da gennaio a giugno 2018 nel mondo sono stati individuati 47 attacchi DDoS di dimensioni superiori a 300 Gbps, a fronte di sette attacchi registrati nello stesso periodo del 2017. Particolarmente colpita è la regione dell’Asia-Pacifico, con ben 35 attacchi oltre i 300 Gbps, rispetto ai soli cinque registrati nello stesso periodo del 2017.
Gli attacchi DDos non sembrano essere stati mai così innovativi, dinamici o consequenziali. Che cosa è cambiato? Secondo NetScout Arbor, in primo luogo, l’innovazione negli strumenti e nelle tecniche utilizzate, in grado di abbassare le barriere all’entrata e rendere più facile lanciare un attacco DDos ad una fetta sempre più ampia di attaccanti.
Inoltre, se in passato i principali bersagli degli attacchi appartenevano verosimilmente ai settori finanza, gaming ed e-commerce, ad oggi qualsiasi organizzazione può essere target di un attacco, per le motivazioni più differenti, da quelle ideologiche a quelle economiche.
DDoS in Italia
Come indicato da Marco Gioanola, Cloud Services Architect di Netscout Arbor, in Italia la frequenza degli attacchi DDoS durante i primi 8 mesi del 2018 ha registrato la tendenza ad una lieve diminuzione, anche se i valori si sono mantenuti superiori a quelli registrati nel 2017. In accordo con il panorama globale, è invece aumentata la dimensione degli attacchi verso il nostro Paese, con un incremento degli attacchi di dimensione superiore a 10Gbps e cinque attacchi superiori a 50Gbps.
Nella seconda metà di luglio, in particolare, un attacco ha superato i 100Gbps. La fonte dei DDoS di maggiori dimensioni è stata identificata come unitaria, e molto probabilmente consiste in una botnet situata in un paese del sud est asiatico, responsabile di più di 2.000 attacchi verso l’Italia nei primi 8 mesi di quest’anno e in generale di più di 130.000 attacchi globalmente.
5 marzo 2018: il più grande attacco DDoS
Nel 2018 i DDoS sono ufficialmente entrati nell’era degli attacchi terabit: il più grande attacco DDoS mai registrato pari a 1,7 Tbps, è stato registrato, e mitigato con successo, il 5 marzo scorso. Per diffondere l’attacco è stata sfruttata una vulnerabilità legata alla non corretta configurazione dei server di Memcached, un sistema cache in RAM open source.
Dei 17.000 server elencati pubblicamente come vulnerabili al 5 marzo, solo il 3,2% rimane a rischio secondo rilevazioni effettuate a giugno 2018; tuttavia il report evidenzia come questi possano ancora essere riutilizzati per lanciare un nuovo attacco, e che, in realtà, una volta che una nuova tipologia di DDoS viene inventata, difficilmente potrà scomparire del tutto.
Mining di criptovalute tra i nuovi bersagli
Traendo ispirazione dall’attacco WannaCry del 2017, i principali gruppi criminali stanno adottando metodi di auto-propagazione che permettono al malware di diffondersi in maniera più rapida e semplice. Inoltre, sono sempre più interessati al mining delle criptovalute, che per gli attaccanti sembra rappresentare un’alternativa meno rischiosa e più profittevole rispetto ai ransomware, che più facilmente attraggono l’attenzione delle forze dell’ordine.
Minacce avanzate: i trend
Le attività informatiche criminose e di spionaggio sono in continua crescita, ed in particolare sembrano direttamente attribuibili a stati nazionali come Iran, Corea del Nord, Vietnam e India, oltre alle più frequentemente citate Cina e Russia. Gli obiettivi principali dietro i cyberattack possono variare dall’incremento dell’instabilità geopolitica al furto di proprietà intellettuale, con bersaglio organizzazioni strategiche nazionali, sino ad influenzare elezioni politiche nazionali.
Particolare attenzione deve essere posta alle supply chain di riferimento, che utilizzano punti di debolezza nelle interrelazioni reciproche tra partner e fornitori come veicolo di attacco. I gruppi APT di stati-nazioni utilizzano anche intrusioni diffuse su internet quali NotPetya, CCleaner, VPNFilter per campagne mirate e altamente selettive.
© RIPRODUZIONE RISERVATA
