Secondo l’ultimo DDoS threat report di Cloudflare, nelle ultime settimane gli attacchi Distributed Denial of Service sono aumentati in maniera significativa. L’indagine, relativa al terzo quarto del 2023, ha evidenziato la presenza di centinaia di attacchi DDoS ipervolumetrici che hanno congestionato le reti con milioni di richieste.
Cloudflare riporta che 89 degli attacchi individuati hanno superato i 100 milioni di richieste al secondo con un picco di 201 milioni, quasi tre volte superiore al precedente record di 71 milioni.
Gli attacchi HTTP, ovvero quelli diretti al livello applicativo, sono aumentati del 65% rispetto al quarto precedente; similmente, anche gli attacchi DDoS contro i livelli L3 e L4 (rete e trasporto) sono cresciuti negli ultimi mesi (14%).
Credits: kentoh – Depositphotos
HTTP/2 Rapid Reset
A partire da fine agosto Cloudflare e altri vendor hanno individuato una campagna molto sofisticata che ha sfruttato la vulnerabilità HTTP/2 Rapid Reset per eseguire attacchi DDoS. Questo bug consente a un attaccante di inviare al server una serie di richieste HTTP/2 che, a causa del meccanismo di Rapid Reset, vengono terminate velocemente, consumando un numero eccessivo di risorse.
La campagna comprendeva centinaia di attacchi DDoS ipervolumetrici da milioni di richieste al secondo, con una media di 30 milioni.
Sfruttare la vulnerabilità del Rapid Reset significa aumentare di 5.000 volte la potenza di ogni singolo nodo della botnet. Grazie a questo meccanismo, gli attaccanti sono riusciti a sferrare attacchi ipervolumetrici con botnet composte da al massimo 20 nodi. “Facendo un paragone, nel passato le botnet IoT erano formate da flotte di milioni di nodi e riuscivano a malapena a raggiungere qualche milione di richieste al secondo” hanno affermato i ricercatori di Cloudflare.
Le industrie e i Paesi più colpiti
Stando al report le industrie più colpite dai DDoS HTTP sono quelle del gioco d’azzardo, soprattutto in Europa, e dei servizi IT, seguite al terzo posto dalle firme di criptovalute.
Se però questi dati si mettono in relazione al traffico degli utenti, il settore del gioco d’azzardo non è neanche tra i primi 10; in cima alla classifica ci sono invece le industrie metallurgiche ed estrattive, per le quali il 17,46% del traffico totale proviene dagli attacchi DDoS HTTP.
Pixabay
Per quanto riguarda invece gli attacchi L3 e L4, la maggior parte delle campagne ha colpito il settore IT e dei servizi internet (35%). Analizzando la percentuale di attacchi sul traffico utente, l’industria della musica e della sicurezza delle reti hanno registrato i numeri più alti (entrambe 21,3%).
Guardando all’incidenza degli attacchi per nazione, le più colpite dai DDoS HTTP sono state gli Stati Uniti, Singapore e la Cina. La situazione è simile anche per le campagne L3 e L4, con la Cina al primo posto dei Paesi più colpiti seguita dagli Stati Uniti e da Taiwan.
I vettori d’attacco più usati nei DDoS iper-volumetrici
Per il secondo quarto consecutivo gli attacchi DDoS più diffusi sono stati quelli basati su DNS (47%) che sfruttano le funzionalità dei resolver per sovraccaricare la rete. A seguire ci sono gli attacchi basati su SYN flood (22,08%), su RST Flood (6,16%) e su UDP Flood (5,29%).
Cloudflare ha anche individuato un aumento significativo di vettori d’attacco considerati meno comuni come quelli basati sul protocollo Multicast DNS (mDNS): questo tipo di attacchi è aumentato del 456% rispetto al quarto precedente dell’anno. Crescono anche le offensive basate sul Constrained Application Protocol, un protocollo di comunicazione leggero pensato per i dispositivi IoT: Cloudflare ha registrato un aumento del 387%.
Le indagini dei ricercatori hanno evidenziato la presenza occasionale di attacchi DDoS che chiedono un riscatto. Simili ai ransomware negli scopi, questi attacchi sono molto più facili da eseguire e richiedono solo la conoscenza degli IP e URL della rete, senza necessità di accedere ai sistemi. In questo caso gli attaccanti chiedono soldi alle vittime in cambio del ripristino del funzionamento delle reti.
Fortunatamente gli attacchi DDoS con riscatto sono in calo rispetto agli anni precedenti. I ricercatori di Cloudflare invitano comunque a prestare la massima attenzione a questa minaccia che potrebbe tornare con prepotenza nei prossimi mesi.
Pixabay
Proteggersi dai DDoS
Con l’aumento di attacchi DDoS, in particolare quelli basati su HTTP/2, è indispensabile aumentare le difese aziendali. Oltre alle soluzioni automatizzate di protezione occorre prevedere firewall, sistemi di bot detection e di protezione delle API e usare il meccanismo di caching per ridurre il carico dei server.
È consigliabile, per ridurre la superficie di attacco, porre le risorse dietro le CDN e i load balancer per ridurre il traffico internet verso determinate porzioni dell’infrastruttura.
Condividi l’articolo
Articoli correlati
Altro in questa categoria
https://www.securityinfo.it/2023/10/31/crescono-gli-attacchi-ddos-iper-volumetrici/?utm_source=rss&utm_medium=rss&utm_campaign=crescono-gli-attacchi-ddos-iper-volumetrici