Aggiornamenti recenti Maggio 9th, 2025 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Lockbit hackerato: infrastruttura compromessa, ma il gruppo non si arrende
- Npm, attacco supply chain: compromesso un package con 45.000 download settimanali
- L’infrastruttura petrolifera statunitense è sotto attacco
- Cybercriminali sfruttano una vulnerabilità di Langflow per prendere il controllo dei server
- I criminali sfruttano la vulnerabilità in Samsung MagicINFO 9 Server
Akamai: la crescita del DDoS non dipende solo dalla IoT
Il report di Akamai sul Q4 del 2016 mette in luce un aumento degli attacchi, ma quello dei dispositivi IoT è solo uno dei problemi.
Non solo IoT: la crescita esponenziale degli attacchi DDoS (tanto in termini di frequenza quanto di potenza) registrata nel 2016 non dipende esclusivamente dalla vulnerabilità dei dispositivi della cosiddetta “Internet of Things”.
A spiegarlo sono i ricercatori di Akamai, che nel report sulla sicurezza di Internet relativo all’ultimo trimestre del 2016 mettono in fila i dati acquisiti e tratteggiano uno scenario in cui gli attacchi Denial of Service hanno conquistato un ruolo di primo piano.
Il primo dato, per la verità, parla di una riduzione del 16% del numero complessivo di attacchi. Meglio però non trarne conclusioni affrettate: il trimestre precedente (luglio-settembre) è stato infatti quello che ha visto la comparsa della botnet Mirai e una conseguente esplosione di attacchi.
Come tutti i fenomeni di questo tipo, quindi, un “riassestamento” in termini di frequenza degli attacchi è piuttosto normale.
Quelle che stanno cambiando sono le tecniche di attacco, che consentono ai cyber-criminali di raggiungere sempre più facilmente picchi di volume che superano i 300 Gbps, creando non pochi problemi agli amministratori di sistema.
Le statistiche riportate dall’azienda parlano chiaro: tra i casi registrati nel trimestre, le tre modalità di attacco più utilizzate sono quelle basate su UDP fragment (27%); DNS (21%) e NTP (15%).
Le tecniche di attacco sfruttano, per la maggior parte, tecniche di amplificazione piuttosto comuni ma terribilmente efficaci.
Mentre la prima sfrutta pacchetti contraffatti che mettono in crisi i sistemi quando si trovano a “ricostruirli”, gli altri utilizzano tecniche di amplificazione che coinvolgono, rispettivamente, i server Domain Name System e quelli Network Time Protocol. Insomma: qualcosa di molto diverso dal modus operandi utilizzato dalle botnet Mirai.
I ricercatori Akamai, inoltre, segnalano la crescita di un nuovo vettore per attacchi DDoS, basato sul protocollo CLDAP (Connectionless Lightweight Directory Access Protocol) e che utilizza le reti Windows come uno strumento di amplificazione.
In sintesi, la tecnica è quella di inviare una richiesta a tutti gli endpoint della rete e reindirizzare le risposte al bersaglio dell’attacco, inondandolo di traffico.
Quali che siano le tecniche adottate, il dato che emerge è che i pirati informatici sono in grado di portare attacchi sempre più imponenti.
Tra il 2014 e il 2016 ci sono stati 10 attacchi superiori ai 300 Gbps provenienti da botnet. Sette di questi si sono verificati nel 2016.
Nonostante il numero di attacchi che hanno superato i 300 Gbps siano diminuiti rispetto al trimestre precedente (12 contro 19) si tratta pur sempre di una quantità notevole, che fa pensare ai ricercatori che questi volumi saranno sempre più frequenti.
A contribuire alla crescita del fenomeno non è solo Mirai, ma la persistenza di numerose botnet “tradizionali” come Spike, che prende di mira i sistemi Linux 32 e 64 bit.
Il contributo a livello statistico di Mirai, invece, è evidente quando si analizzano i paesi di provenienza degli attacchi DDoS. I dati precedenti, infatti, vedevano regolarmente in testa la Cina, dalla quale erano originati dal 16 al 40% degli attacchi nel 2016.
Nel trimestre di riferimento, però, la Cina finisce al quarto posto, preceduta da Stati Uniti (24%); UK (10%) e Germania (7%). I motivi? Il primo e più intuitivo è che buona parte dei dispositivi IoT compromessi da Mirai si trovavano proprio sul territorio di questi paesi.
Il secondo influisce più direttamente sul rilievo statistico: il traffico inviato dai dispositivi IoT, infatti, utilizza raramente tecniche di offuscamento e consente quindi di individuare con maggiore facilità l’indirizzo IP da cui proviene. Non è un caso, infatti, che le statistiche di Akamai registrino anche un aumento in valore assoluto del numero di indirizzi IP individuati come fonte degli attacchi.
Condividi l'articolo
132 app su Google Play con link nascosti a siti malevoli
Gli account Yahoo violati con i cookie falsi sono 32 milioni
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Le difese migliorano, ma i ransomware continuano a colpire... Le minacce informatiche continuano a evolversi e, anche se... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Lockbit hackerato: infrastruttura compromessa, ma il gruppo... Il gruppo ransomware LockBit ha subito una compromissione... -
Npm, attacco supply chain: compromesso un package con... Qualche giorno fa i ricercatori di Aikido hanno individuato... -
L’infrastruttura petrolifera statunitense è sotto... Pochi giorni fa la CISA, in collaborazione con l’FBI,... -
Cybercriminali sfruttano una vulnerabilità di Langflow per... Una vulnerabilità di Langflow sta venendo attivamente... -
I criminali sfruttano la vulnerabilità in Samsung... Samsung MagicINFO è una piattaforma di gestione...
Ransomware: la serie
No posts found.
