Tornano a crescere nel secondo trimestre 2017 gli attacchi Ddos (distributed denial of service) e alle applicazioni web, trainati dalla ricomparsa del malware DDoS PBot, uno dei più imponenti registrati tra aprile e giugno. E’ quanto emerge dai dati del Rapporto sullo stato di Internet Q2 2017 / Security rilasciato da Akamai Technologies.
Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice Php che risale ad alcuni decenni fa per generare l’attacco Ddos più ampio osservato da Akamai nel secondo trimestre: “Gli autori degli attacchi – spiega Akamai in una nota – sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco Ddos da 75 gigabit al secondo. È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco”.
Secondo l’analisi svolta dal team Threat research di Akamai, gli hacker hanno fatto un ricorso massiccio ad algoritmi di generazione di domini nell’infrastruttura dei malware Command and Control (C2). “Utilizzato per la prima volta assieme al worm Conficker nel 2008, il Dga – sottolina Akamai – rimane una tecnica di comunicazione frequentemente utilizzata anche per i malware attuali”.
Il team di ricerca delle minacce di Akamai ha scoperto che le reti infette hanno generato un tasso di ricerche Dns 15 volte superiore rispetto a quelle non infette.
Le ricerche condotte da Akamai indicano chiaramente che la botnet Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi Ddos. Si è osservato che sebbene molti dei nodi C2 della botnet abbiano condotto “attacchi dedicati” contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo “pay-for-play”. In queste situazioni, i nodi C2 della botnet Mirai hanno attaccato degli indirizzi IP per brevi periodi, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi.
“Gli autori degli attacchi testano continuamente i punti deboli nelle difese delle aziende e investono maggiore energia e risorse sulle vulnerabilità che risultano più diffuse ed efficace – afferma Martin McKeay, Senior security advocate di Akamai – Eventi come la botnet Mirai, l’exploit utilizzato da WannaCry e Petya, l’aumento continuo degli attacchi Sqli e la ricomparsa del malware PBot testimoniano che gli autori degli attacchi non escogiteranno solo nuovi strumenti e strategie, ma torneranno a riutilizzare anche strumenti già visti in passato che si sono dimostrati particolarmente efficaci”.
Secondo i dati emersi dal report, il numero di attacchi Ddos del secondo trimestre è cresciuto del 28% su base trimestrale, dopo avere registrato un calo per tre trimestri consecutivi. Gli autori degli attacchi DDoS inoltre attaccano i propri obiettivi con una media di 32 volte nel corso del trimestre. Una società di gaming è stata attaccata 558 volte, ossia con una media di sei volte al giorno. Il maggior numero di indirizzi IP univoci utilizzati in attacchi DDoS frequenti ha avuto origine in Egitto, con una percentuale del 32% sul totale generale. Il trimestre scorso erano gli Stati Uniti a detenere il primato, mentre l’Egitto non rientrava nella top five. Interessante il fatto che questo trimestre sono stati utilizzati meno dispositivi per lanciare attacchi Ddos: il numero di indirizzi IP coinvolti in attacchi Ddos volumetrici è crollato del 98% passando da 595.000 a 11.000. Quanto agli attacchi alle applicazioni web, è aumentata del 5% su base trimestrale e del 28% su base annuale.
