La pandemia COVID-19 ha creato sfide significative e cambiamenti al mondo come lo conosciamo. Le imprese hanno dovuto organizzarsi rapidamente per supportare il lavoro remoto, implementando anche un nuovo assetto ibrido, che ha comportato la crescita significativa del numero di cyber attacchi.

In particolare, sono cresciuti gli attacchi DDoS - non solo in termini di dimensioni e frequenza – ma anche quelli a basso volume e persistenti, cioè di durata maggiore, iniettando frequentemente traffico di attacco. Questi attacchi a basso volume permettono di eludere le misure difensive di base, più focalizzate nell’identificare attacchi volumetrici, ma hanno ancora un impatto significativo sui sistemi e sulle applicazioni aziendali.

Il malware moderno sta sfruttando i dispositivi IoT

Come indica il nome, gli attacchi DDoS sono di natura distribuita. Un singolo attacco può utilizzare più armi DDoS per sopraffare la rete e le difese della vittima. Il team di A10 Networks che si occupa della ricerca sulla sicurezza ha monitorato le armi DDoS e i loro comportamenti, riportando la loro frequenza e il loro impatto negli ultimi anni. Il Report H1 2021 DDoS Attack Mitigation: Global State of DDoS Weapons fornisce approfondimenti dettagliati sulle origini dell'attività DDoS, evidenziando quanto facilmente e rapidamente il malware moderno possa sfruttare i dispositivi IoT e convertirli in botnet dannosi. Il Report fornisce anche alcune indicazioni utili su ciò che le organizzazioni possono fare per proteggersi da tali attività malevoli e agire, piuttosto che aspettare che accada l'inevitabile.

Quello che possiamo vedere è che con nuovi attacchi e nuove varianti di malware, stiamo assistendo a ulteriori livelli di sofisticazione nel modo in cui l'IoT e i dispositivi intelligenti vengono armati. I criminali informatici stanno reclutando dispositivi IoT nei loro eserciti di botnet, aiutati dal malware Mozi che stanno diffondendo in tutto il mondo. Nel seguito vengono riassunti alcuni dei risultati principali.Il numero totale di armi DDoS è aumentato di 2,5 milioni durante la prima metà del 2021, lo stesso dei trimestri precedenti, il che significa che il numero di armi DDoS è in costante crescita con un numero totale di 15 milioni di armi tracciate.

SSDP (Simple Service Discovery Protocol) rimane la più grande arma di amplificazione riflessa con 3,2 milioni di armi potenziali esposte su internet. Questo è un aumento di oltre il 28% rispetto al precedente periodo di riferimento. E mentre gli attaccanti DDoS si sono sempre più concentrati su attacchi più piccoli lanciati in modo persistente per un periodo più lungo, questi attacchi su larga scala potrebbero non verificarsi così frequentemente, ma causano molti dann.

Il resto delle armi di amplificazione è rimasto praticamente lo stesso, con SNMP, Portmap, TFTP e DNS Resolver tra i primi cinque. È importante notare che tutte queste armi hanno avuto una crescita nel numero, tranne i DNS Resolver.

La Cina è in testa e l’Italia è tra le prime 5

Gli attacchi DDoS non sono limitati a una specifica posizione geografica e possono avere origine e attaccare organizzazioni in qualsiasi parte del mondo. Tuttavia, ciò che emerge dal Report è che la Cina (per il secondo periodo di riferimento consecutivo) continua a guidare la strada nell'ospitare il maggior numero di potenziali armi DDoS, comprese le armi di amplificazione e gli agenti botnet. Sono seguiti da vicino dagli Stati Uniti, che rimangono la seconda fonte più grande di armi DDoS, in particolare armi di amplificazione, seguiti dalla Corea del Sud, dalla Russia e, per la prima volta, dall’Italia

Questa edizione del Report sulle minacce approfondisce il funzionamento dei botnet. I botnet o droni sono nodi di calcolo come computer, server, router, telecamere e altri dispositivi IoT infettati da malware e sono gli strumenti controllati e utilizzati dagli attaccanti DDoS.

Il malware ha giocato un ruolo importante nell'espansione delle botnet, automatizzando il processo di infezione e reclutamento dei bot. Successivamente, queste botnet vengono utilizzate per lanciare attacchi DDoS su larga scala.

Gli agenti botnet si sono dimezzati nel primo semestre 2021

Nei primi sei mesi del 2021 il numero totale di agenti botnet si è quasi dimezzato, con 449.509 tracciati e la Cina che ospita il 44% del numero totale di droni disponibili in tutto il mondo. Questo è probabilmente dovuto alle azioni di contenimento della botnet Emotet, una delle più grandi del mondo, soprannominata "il malware più pericoloso di Internet". All'inizio del 2021 le forze dell'ordine internazionali hanno eliminato l'infrastruttura di comando e controllo di Emotet in più di 90 paesi. Mentre questo contenimento è stato un fattore che ha contribuito alla riduzione su larga scala degli agenti botnet, è importante notare che questi cambiamenti possono essere temporanei in quanto gli attaccanti possono rapidamente costruire le loro infrastrutture di nuovo e sfruttare i sistemi di rete e le vulnerabilità.

Un altro malware particolarmente diffuso nel mondo DDoS è il già citato Mozi: una botnet focalizzata sul DDoS che per l'infezione utilizza una vasta serie di Remote Code Executions (RCE) per sfruttare le vulnerabilità comuni e le esposizioni (CVE) nei dispositivi IoT. Una volta infettato, il botnet utilizza la connettività peer-to-peer per inviare e ricevere aggiornamenti di configurazione e comandi di attacco. Il Report di A10 Network ha rilevato che nella prima metà del 2021 Mozi ha raggiunto 360.000 sistemi di produttori, tra cui Huawei, Realtek, NETGEAR e molti altri. La botnet Mozi include bot infetti in tutto il mondo con Cina, India, Russia, Brasile in testa alla lista dei Paesi e delle regioni.

Strategie per proteggere la rete dagli attacchi DDoS

Quindi, come fanno le organizzazioni a proteggere le loro reti e risorse da questi attacchi? Le organizzazioni dovrebbero investire in modelli Zero Trust e creare micro-perimetri all'interno della rete per limitare l'accesso alle risorse. Dovrebbero anche cercare di investire in moderne soluzioni di AI e machine learning che non solo sconfiggeranno gli attacchi noti, ma proteggeranno anche da attacchi ancora sconosciuti.

Allo stesso modo, le organizzazioni dovrebbero indagare se sono già state infettate. Se i dispositivi di rete iniziano improvvisamente a generare quantità anomali di traffico, potrebbe essere perché sono infetti e, in questo caso, dovrebbero immediatamente isolare i dispositivi sospetti e limitare il traffico proveniente da essi.

È importante osservare e bloccare le porte comunemente sfruttate, e potenzialmente bloccare i payload e qualsiasi traffico BitTorrent che entra o esce dalla rete. Soprattutto, le organizzazioni dovrebbero assicurarsi che la loro infrastruttura di sicurezza sia regolarmente aggiornata e che i dispositivi IoT abbiano l'ultimo firmware con tutte le patch di sicurezza necessarie. E infine, dovrebbero utilizzare tecniche DDoS moderne come il baselining per vedere i comportamenti anomali rispetto agli andamenti di traffico storici. Inoltre, le tecniche AI/ML per il rilevamento e la prevenzione degli attacchi zero-day possono davvero aiutare i team di sicurezza.

In questo 2022, dato che gli ambienti di lavoro ibridi e remoti rimarranno, i team di sicurezza dovranno guardare a come proteggere un mix di ambienti on-premises, multi-cloud e edge-cloud. La sofisticata intelligence applicata alle minacce DDoS combinata con il rilevamento delle minacce in tempo reale e le capacità di AI e ML consentono alle organizzazioni di difendersi da tutti i tipi di attacchi DDoS, indipendentemente dalla loro origine.

Roberto Lucarelli è Senior System Engineer di A10 Networks