Lug 01, 2024 Marina Londei Approfondimenti, Attacchi, Campagne malware, News 0

Gli attacchi DDoS sono in aumento in tutto il mondo, ma il trend è particolarmente marcato nell’area EMEA dove questo tipo di attacchi sta crescendo a un tasso molto più rapido rispetto ad altre zone.

Secondo l’ultimo rapporto di ricerca di Akamai, più di un terzo di tutti gli attacchi DDoS a livello globale si verifica nell’area EMEA, e l’aumento è costante dal 2019. Regno Unito (26%), Arabia Saudita (22,3%) e Germania (9,1%) sono i tre Paesi con il maggior numero di attacchi subiti.

Pixabay

Il segmento verticale con il numero più alto di attacchi DDoS di livello 3 e 4 (rete e trasporto) è il settore finanziario, mentre per gli attacchi di livello 7 (applicativo) il più colpito è il settore del commercio, il quale conta il 30% di tutti gli attacchi sferrati nell’area EMEA.

“Gli attacchi DDoS a livello di applicazione, come gli attacchi HTTP flood, sono più frequenti nel settore del commercio probabilmente per i potenziali notevoli ricavi che questi attacchi offrono ai criminali” spiegano i ricercatori di Akamai. Questi tipi di DDoS possono avere conseguenze importanti per le organizzazioni commerciali perché in grado di rendere inaccessibile un negozio online o disabilitare i sistemi di prenotazione, portando a una significativa perdita di entrate.

Non è solo il numero degli attacchi DDoS ad aumentare, ma anche la quantità di vettori usati per sferrare gli attacchi; tra i più comuni ci sono il DNS Flood, l’UDP Fragment e l’NTP Reflection.

Dall’inizio del 2019, gli attacchi sono diventati anche più lunghi: DDoS prolungati ostacolano la produttività e la capacità delle imprese di preservare la continuità operativa. La maggiore durata e l’uso di diversi vettori d’attacco sono due strategie efficaci per i criminali, in quanto gli consentono di esaurire meglio le risorse prese di mira.

Il nuovo obiettivo dei DDoS è il DNS

Akamai evidenzia che tra tutti i tipi di attacchi DDoS, i più diffusi sono quelli sferrati contro il DNS, a causa dell’impatto che il traffico dannoso ha su questo servizio fondamentale. “Un attacco DNS riuscito ha il potenziale per distruggere letteralmente la presenza di un’azienda su Internet” si legge nel report.

Nel dettaglio, gli attacchi NXDOMAIN, conosciuti anche come attacchi di sottodominio pseudocasuale o DNS Water Torture, inondano l’infrastruttura DNS con richieste di domini inesistenti. L’elaborazione di una richiesta di dominio inesistente è un’attività complessa che richiede molte operazioni ed esaurisce la capacità di risposta dei sistemi.

Akamai ha rilevato molti attacchi brevi di questo tipo. In genere, in una prima fase vengono usati per sondare l’infrastruttura DNS dell’obiettivo, per poi tornare e sferrare un attacco in piena regola. Stando ai risultati di un’indagine condotta dai 50 principali clienti finanziari della compagnia, questo tipo di richieste ha costituito quasi il 60% del traffico Internet a marzo 2024.

Oltre agli attacchi di DNS Flood, l’altro gruppo diffuso di minacce è costituito dagli attacchi di amplificazione DNS che includono attacchi di riflessione e spoofing degli indirizzi IP creati dai cybercriminali per inviare un gran numero di richieste DNS e paralizzare le risorse dei sistemi.

Non è solo l’impatto sui servizi a spingere i criminali a prendere di mira il DNS: gli attacchi di questo tipo sono facili da eseguire, perché la maggior parte del traffico usa il protocollo UDP che permette di falsificare gli indirizzi IP.

Pixabay

Gli attacchi DDoS prendono di mira l’EMEA

Secondo i ricercatori di Akamai, gli attacchi DDoS sono aumentati in EMEA principalmente per le attuali tensioni geopolitiche che hanno portato alla diffusione di attività criminali sostenute dai governi e all’hacktivismo in risposta alle guerre; oltre a ciò, bisogna considerare le elezioni in Europa e altri imminenti eventi importanti che sono di particolare interesse per gli attaccanti. Gli attacchi DDoS, efficaci e a basso costo, sono il mezzo perfetto per colpire le organizzazioni politiche e le infrastrutture critiche dei Paesi.

Akamai riporta che gruppi di hacktivisti come Anonymous Sudan, Noname057(16) e Killnet sono diventati i nomi più diffusi nel mondo del cybercrimine dopo l’invasione dell’Ucraina da parte della Russia.

Killnet è stato il primo gruppo a emergere e a partire da ottobre 2021 ha iniziato a offrire servizi DDoS-for-hire. La gang ha attaccato agenzie governative, aziende sanitarie, società di media e altre organizzazioni considerate dal gruppo alleati dell’Ucraina.

NoName057(16), considerato anch’esso un gruppo filorusso, sta ampiamente usando gli attacchi DDoS basati su HTTP e Anonymous Sudan ha iniziato a sferrare attacchi DDoS dall’inizio del 2023 contro entità situate in Danimarca, Svezia, Stati Uniti e altri Paesi.

A giugno 2023 molti gruppi criminali, tra i quali ReVIL, Killnet e Anonymous Sudan, hanno cominciato a colpire infrastrutture bancarie critiche sfruttando il caos provocato dalla guerra russo-ucraina. Di recente, Anonymous Sudan ha inoltre rivendicato la responsabilità dell’attacco a Telegram come parte dell’attacco DDoS sferrato contro la rete interministeriale statale del Paese.

Anche la guerra tra Israele e Hamas ha provocato un significativo aumento degli attacchi DDoS, in particolare quelli sferrati contro il Mossas, l’agenzia di intelligence nazionale israeliana, e contro il sito web e gli account Facebook del primo ministro israeliano e dei siti filoisraeliani.

Molti attacchi DDoS nell’area EMEA fanno parte di operazioni a tripla estorsione (RDDoS o Ransom DDoS) nelle quali i cybercriminali, oltre a crittografare i dati dei sistemi con i ransomware e minacciarne la pubblicazione o la vendita, usano le tecniche DDoS per ostacolare le attività della vittima.

L’uso di attacchi DDoS nelle campagne di estorsione serve sia a distrarre i team addetti alla sicurezza informatica, sia per aumentare la pressione sulle vittime. Il settore più colpito dagli attacchi a tripla estorsione è quello sanitario.

Oltre a LockBit, gruppo filorusso tra i primi a sperimentare gli RDDoS, anche gang come Darkside, Lazarus, AvosLocket e BlackCat hanno cominciato a utilizzare in maniera efficace gli attacchi a tripla estorsione.

Pixabay

Proteggersi dagli attacchi DDoS

Per proteggersi e contrastare efficacemente gli attacchi DDoS, le imprese devono implementare solide misure di sicurezza, valutare regolarmente la robustezza delle proprie soluzioni di protezione e disporre piani di continuità operativa e di disaster recovery.

Seguendo le indicazioni della direttiva NIS2 e il DORA per la gestione di fornitori e soggetti terzi, le organizzazioni dovrebbero seguire un modello Zero Trust, applicando controllo degli accessi granulare e sensibile al contesto. Seguendo il concetto del privilegio minimo, inoltre, si segmentano gli utenti a cui è consentito l’accesso.

Oltre a seguire le misure legislative attuali e scegliere soluzioni Zero Trust, i ricercatori di Akamai consigliano di seguire tre strategie per combattere gli attacchi DDoS:

• prepararsi in modo proattivo con un sistema di protezione per le risorse digitali. Ciò comprende controlli di mitigazione per gli indirizzi IP pubblici e per le sottoreti più importanti, un sistema di protezione on-premise integrato con una piattaforma ibrida, controlli di sicurezza proattivi tramite firewall di rete cloud e soluzioni WAF, usare una CDN per memorizzare i contenuti nella cache e l’introduzione di un team SOCC per alleggerire la pressione sulle risorse internet;
• proteggere la propria infrastruttura DNS tramite una piattaforma ibrida di sicurezza che esamina tutto il traffico Internet in entrata, mitigando e filtrando quello relativo agli attacchi prima che raggiunga le applicazioni, le API e l’infrastruttura;
• infine, scegliere soluzioni robuste e complete. La scelta delle soluzioni di sicurezza non dovrebbe dipendere solo dai requisiti e dal budget a disposizione, ma soprattutto dai risultati degli stress test. I test dovrebbero includere documentazione degli incidenti, processi e runbook.

“A causa della moltitudine di vettori di attacco DDoS e dei numerosi percorsi disponibili tra i livelli di rete, trasporto e applicazione, è fondamentale utilizzare una combinazione di soluzioni per fornire una protezione completa da questo problema. Questo tipo di difesa è essenziale per contrastare al meglio gli attacchi DDoS in aumento nell’area EMEA” concludono i ricercaotir.