Rapporto sulle minacce DDoS di A10 Networks: a causa della pandemia, più obiettivi di attacco che mai. Un numero crescente di strumenti di attacco DDoS e enormi botnet consente ai criminali informatici di lanciare devastanti attacchi DDoS.
L'attuale DDoS Threat Intelligence Report di A10 Networks mostra che la pandemia non solo ha avuto conseguenze sociali di vasta portata, ma ha anche avuto un impatto immenso sulla situazione delle minacce nello spazio digitale. In particolare, a causa del numero sempre crescente di strumenti di attacco DDoS e delle botnet in continua espansione, è possibile che i criminali informatici eseguano attacchi DDoS estesi. Con numerosi settori, fornitori di servizi, istruzione e assistenza sanitaria costretti a spostare le proprie operazioni nello spazio digitale, i criminali informatici hanno più bersagli che mai.
Le botnet fungono da catalizzatore per gli attacchi DDoS
Un altro risultato del rapporto è la crescente influenza del nuovo standard di comunicazione mobile 5G sulla situazione generale delle minacce. Man mano che i dispositivi intelligenti si connettono più velocemente e meglio, i criminali informatici continuano a disporre di nuovi modi per unire le botnet. Il risultato sono attacchi con conseguenze a volte devastanti per le aziende.
Monitorando costantemente gli attacchi DDoS, i vettori di attacco e l'attività malware associata, A10 Networks ha registrato un costante aumento della frequenza, dell'intensità e della sofisticatezza di questo tipo di minaccia nella seconda metà del 2020. Nel rapporto sullo stato delle armi DDoS, A10 Networks ha registrato un aumento di oltre il 12% nel numero di potenziali strumenti di attacco DDoS su Internet. In numeri assoluti, sono stati scoperti 12,5 milioni di dispositivi terminali compromessi che possono essere utilizzati in modo improprio dai criminali per i loro scopi. L'impatto di questo sviluppo può essere drammatico.
Attacco su Amazon con 2,3 Terabit/s
Ad esempio, nel giugno 2020, Amazon ha registrato un attacco DDoS al suo cloud pubblico che, a 2,3 terabit al secondo (Tbps), era quasi il doppio di qualsiasi attacco registrato in precedenza. Poco dopo, Google ha rivelato i dettagli di un attacco DDoS ancora più grande che ha raggiunto il picco di 2,5 Tbps. Poiché l'origine degli attacchi non può essere chiaramente identificata, è quasi impossibile chiarire il contesto, sono essenziali misure preventive e una preparazione completa per possibili attacchi DDoS. Questo è l'unico modo per sviluppare una strategia di difesa efficace.
Ampliare lo spettro degli attacchi con malware
La base di queste enormi capacità di attacchi DDoS sono spesso botnet alimentate da dispositivi finali compromessi. Enormi botnet sono emerse mentre i metodi di acquisizione furtiva di computer, server, router, telecamere e una varietà di altri dispositivi IoT si sono evoluti, insieme all'uso sofisticato del malware. Questi sono strumenti essenziali nel portafoglio di un hacker per provocare il caos. Per quanto riguarda le ubicazioni di questi agenti botnet, A10 Networks ha potuto identificare chiari punti focali in India, Egitto e Cina, dove si trovano circa i tre quarti della capacità di questi strumenti.
Un'osservazione particolare di A10 Networks è l'aumento del numero di questi strumenti di attacco in India nel settembre 2020. Sono stati identificati più di 130.000 indirizzi IP con comportamento univoco. Si sospetta che la causa di ciò sia il ceppo di malware Mirai.
Report aiuta con la nuova strategia
"Gli approfondimenti dell'A10 DDoS Threat Report sono una risorsa chiave per stabilire una strategia di difesa da potenziali minacce", ha affermato Heiko Frank, Principal Systems Engineer presso A10 Networks. “Per proteggersi, le organizzazioni dovrebbero bloccare e inserire nella blacklist il traffico proveniente da indirizzi IP potenzialmente compromessi. È importante garantire che le eccezioni a questa procedura siano definite da diritti limitati e velocità dati basse. Inoltre, il baseline automatizzato del traffico e l'intelligenza artificiale possono aiutare a rilevare e mitigare più rapidamente gli attacchi zero-day. Anomalie e deviazioni dagli accessi storici possono così essere meglio localizzate e rese innocue. Inoltre, le aziende dovrebbero mantenere tutti i dispositivi connessi alla rete aggiornati alle ultime versioni del software e impedire il più possibile le connessioni in uscita”.
Attacchi di amplificazione con fattore di amplificazione superiore a 30
L'amplificazione, una tecnica che sfrutta la natura senza connessione del protocollo UDP, può essere utilizzata dai criminali informatici per aumentare notevolmente la portata degli attacchi DDoS. Per dirla semplicemente, gli aggressori fingono di essere la vittima desiderata falsificando l'indirizzo IP di destinazione. Utilizzando questo IP, avviano quindi un gran numero di richieste ai server esposti, che rispondono anche a IP non autenticati. Le applicazioni e i protocolli su questi server, che svolgono una funzione di amplificazione, avviano un'ondata di richieste al target effettivo tramite le risposte che sono molte volte più grandi delle richieste originali. Gli attacchi Amplification-Reflection, che possono sfruttare milioni di servizi DNS, NTP, SSDP, SNMP e CLDAP basati su UDP non protetti, hanno portato ad attacchi volumetrici da record e ora rappresentano la maggior parte degli attacchi DDoS.
Con un fattore di guadagno superiore a 30, SSDP è considerato uno dei più potenti strumenti di attacco DDoS. La protezione più semplice contro tali attacchi consiste nel bloccare il traffico della porta 1900 originato da Internet, a meno che non esista un caso d'uso specifico per l'utilizzo di SSDP su Internet. Anche il blocco del traffico SSDP proveniente da aree geografiche specifiche in cui è stata rilevata un'elevata attività botnet può fornire una protezione efficace.
Vai direttamente al rapporto su A10Networks.com
Informazioni sulle reti A10 A10 Networks (NYSE: ATEN) fornisce servizi applicativi sicuri per ambienti on-premise, multi-cloud e edge-cloud a velocità iperscalabili. L'azienda consente ai fornitori di servizi e alle imprese di fornire applicazioni mission-critical sicure, disponibili ed efficienti per la trasformazione multi-cloud e 5G. A10 Networks consente migliori risultati di business che supportano la protezione degli investimenti, nuovi modelli di business e un'infrastruttura a prova di futuro, consentendo ai clienti di offrire un'esperienza digitale sicura e disponibile. Fondata nel 10, A2004 Networks ha sede a San Jose, in California, e serve clienti in tutto il mondo. Visita www.a10networks.com e @A10Networks per ulteriori informazioni.