La relazione Akamai sullo stato di Internet e della Security mette in evidenza l’andamento di attacchi e minacce, svelando le tendenze e le vie del cybercrime internazionale.
Akamai, con la propria Intelligent Platform distribuita globalmente, elabora ogni giorno migliaia di miliardi di transazioni in Internet. In questo modo raccoglie enormi quantità di dati correlati alla connettività a banda larga, alla sicurezza del cloud e alla distribuzione di contenuti media. Il programma Lo stato di Internet è stato creato per sfruttare tali dati e supportare aziende e governi nell’adozione di decisioni intelligenti e strategiche. Ogni trimestre, Akamai utilizza questi dati per pubblicare i rapporti sullo Stato di Internet focalizzati sulla connettività a banda larga e sulla sicurezza del cloud.
Sicurezza sul cloud – Il rapporto sullo stato di Internet -Q2 2016- Security combina i dati sugli attacchi DDoS sulla rete instradata con i dati relativi agli attacchi DDoS e alle applicazioni web raccolti dalla Akamai Intelligent Platform.
Aggiornamento sugli attacchi DDoS – L’attività degli attacchi sulla rete instradata è ulteriormente cresciuta toccando un nuovo record in quanto a numero di attacchi DDoS, che risultano più che raddoppiati rispetto all’anno precedente. Al contrario, la dimensione degli attacchi è calata vertiginosamente (del 36%) a 3,85 Gigabit al secondo (Gbps), una dimensione media che Akamai non ha mai registrato da quando ha iniziato a tenere traccia dei dati statistici. La dimensione ridotta degli attacchi ha infatti trovato corrispondenza nel 10% in meno di attacchi
multivettore. Sebbene la dimensione media degli attacchi sia diminuita, sono poche le organizzazioni in grado di far fronte ad attacchi anche di questa portata senza alcun aiuto.
Una nuova tendenza in questo trimestre è stata una maggiore velocità dei pacchetti.
21 attacchi da record hanno registrato più di 30 milioni di pacchetti al secondo (Mpps) rispetto ai sei registrati nel Q1. Di questi attacchi con una maggiore velocità dei pacchetti, solo sei hanno raggiunto un picco superiore a 100 Gbps. La composizione dei vettori in attacchi superiori a 300 Gbps è cambiata in questo trimestre. In precedenza questi attacchi erano formati principalmente da payload di flood syn e udp compilati, ma gli ultimi attacchi contenevano altri vettori, inclusi gli attacchi Reflection. Questi attacchi potrebbero indicare la presenza di
una nuova botnet ibrida che unisce gli strumenti di attacco tradizionali distribuiti su scala più ampia.
Oltre la metà degli attacchi DDoS (57%) si è rivolta alle società di gaming, mentre il 26% ha scelto come bersaglio il settore dei software e della tecnologia, in parte a servizio delle società di gaming. A seguire, servizi finanziari (5%), Media & Entertainment (4%), Internet e telecomunicazioni (4%), istruzione (1%) e settori rimanenti (3%). Un cliente è stato colpito da 373 episodi di attacchi.
Gli attacchi ntp Reflection sono aumentati del 44% rispetto al Q1 2016 e hanno rappresentato il 16% di tutti gli attacchi DDoS. Gli strumenti degli attacchi Reflection, comuni tra i siti booter/stresser, allontanano il traffico dai server su cui sono in esecuzione servizi vulnerabili, ad esempio dns, chargen e ntp. Dei circa 80.000 riflettori che Akamai ha tracciato a livello globale nel Q2 2016, il 59% era di tipo ntp.
Attività dei bot – L’analisi condotta su un solo giorno ha rivelato che il 43% del traffico web nella Akamai Intelligent Platform era costituito da traffico bot. Del traffico bot, il 63% era composto da strumenti di automazione dannosi e da campagne di scraping.
Inoltre, Akamai ha documentato una botnet per il controllo dell’account (ato). Questi indirizzi ip hanno colpito più di 20.000 domini e sottodomini. Sebbene gli obiettivi toccassero quasi tutti i settori verticali monitorati, la maggior parte riguardavano i servizi finanziari e le organizzazioni retail.
I riquadri di ciascun trimestre rappresentano l’intervallo interquartile degli attacchi in quanto a dimensione, mentre ogni punto rappresenta un singolo attacco. L’asse verticale ha una scala logaritmica; gli attacchi più in alto sono molte migliaia di volte più estesi di quelli più in basso.
Mentre la dimensione media degli attacchi DDoS è diminuita leggermente nel Q2 2016, il numero di attacchi ha continuato a crescere.
Dati statistici sugli attacchi alle applicazioni web – Per la prima volta, il Brasile è stato il principale paese di origine degli attacchi alle applicazioni web (25%), principalmente per via di una serie di campagne di attacco condotte ad aprile ai danni del settore alberghiero. Gli Stati Uniti si sono collocati al secondo posto con il 23%, un forte calo rispetto al 43% del Q1. Akamai ha visto un continuo incremento nella quantità di traffico dannoso proveniente dal Brasile, soprattutto dai data center IaaS (Infrastructure-as-a-Service) basati sul cloud. In generale, gli Stati Uniti sono stati il principale obiettivo degli attacchi alle applicazioni web, con un totale del 64%.
Gli attacchi Local File Inclusion (lfi) e sql Injection (SQLi) hanno rappresentato quasi il 90% degli attacchi alle applicazioni web nel Q2. Questo trimestre Akamai ha rimosso Shellshock dall’elenco dei vettori di attacco. In base alla nostra esperienza, gli avvisi Shellshock sono principalmente un indicatore delle aziende che eseguono la scansione dei propri siti per rilevare la presenza di vulnerabilità, non veri e propri attacchi.