Gli F5 Labs hanno diffuso i dati sulla continua crescita ed evoluzione degli attacchi DDoS in EMEA; il 2017 ha visto una crescita del 64% degli incidenti neutralizzati.
Secondo i dati relativi ai clienti raccolti dal Security Operations Center (SOC) di F5, l’area EMEA è saldamente in prima linea per numero di attacchi subiti, registrando oltre il 51% degli attacchi DDoS segnalati a livello globale.
Nel corso dell’anno, F5 ha riportato una crescita del 100% della tecnologia Web Application Firewall (WAF) implementata dai clienti in EMEA; nel contempo, l’adozione di soluzioni anti-frode è cresciuta del 76% e gli attacchi DDoS del 58%.
Una scoperta chiave è stata il relativo calo di potenza dei singoli attacchi. Nel 2016, il SOC aveva registrato attacchi multipli di oltre 100 Gbps, alcuni dei quali superavano i 400 Gbps.
Nel 2017 l’attacco più potente ha raggiunto i 62 Gbps. Questo suggerisce uno spostamento verso attacchi DDoS di Layer 7 più sofisticati che sono potenzialmente meno efficaci e richiedono una larghezza di banda più ridotta. Il 66% dei DDoS segnalati ha sfruttato più vettori di attacco rendendo necessari strumenti di contenimento e conoscenze sofisticate.
Kamil Wozniak, Manager del SOC di F5
Le minacce DDoS sono in aumento nell’area EMEA in confronto al resto del mondo, e osserviamo notevoli cambiamenti nella loro portata e sofisticazione rispetto al 2016. Le aziende devono essere consapevoli del cambiamento e assicurarsi, a titolo prioritario, che le giuste soluzioni siano state implementate per fermare gli attacchi DDoS prima che raggiungano le applicazioni e impattino negativamente sul funzionamento aziendale. L’area EMEA è chiaramente una zona nevralgica per gli attacchi su scala globale, perciò per i decisori c’è poca possibilità di perdere di vista l’obiettivo.
Le quattro stagioni della threat intelligence
I primi 4 mesi del 2017 sono iniziati col botto, con i clienti di F5 posti di fronte alla più vasta gamma di attacchi distruttivi registrata a oggi. Gli UDP flood (User Diagram Protocol) si sono distinti, rappresentando il 25% di tutti gli attacchi. Gli aggressori generalmente inviano grandi pacchetti UDP a un’unica destinazione o a porte casuali, mascherandosi da entità affidabili prima di rubare dati sensibili. I secondi attacchi più comuni sono stati i DNS Reflection (18%) e gli attacchi SYN Flood (16%).
Il Q1 ha segnato anche il picco per quando riguarda gli attacchi ICMP (Internet Control Message Protocol), tramite i quali i cybercriminali sopraffanno le aziende con pacchetti di rapidi “echo request” (ping) senza attendere risposta. In forte contrasto, gli attacchi nel Q1 2016 si dividevano al 50% tra UDP e SSDP (Simple Service Discover Protocol floods).
Il secondo quarter si è dimostrato altrettanto impegnativo, con i SYN Floods alla guida degli attacchi (25%), seguiti dai Network Time Protocol e dagli UDP Floods (entrambi 20%).
Lo slancio degli assalitori è continuato nel Q3 con gli UDP Floods in prima linea (26%). Gli NTP floods sono risultati altrettanto diffusi (crescendo dall’8% dello stesso periodo nel 2016 al 22%), seguiti dai DNS reflection (17%).
L’anno è terminato con un maggior predominio degli UDP floods (25% di tutti gli attacchi). Si è trattato anche del periodo più impegnato per i DNS reflection, che hanno rappresentato il 20% di tutti gli attacchi (rispetto all’8% registrato nello stesso periodo del 2016).
Un’altra scoperta fondamentale durante il Q4, che sottolinea chiaramente la capacità dei cybercriminali di reinventarsi, è stata la drammatica estensione di portata del trojan Ramnit. Inizialmente creato per colpire le banche, gli F5 Labs hanno scoperto che il 64% dei suoi obiettivi durante le festività natalizie è consistito in siti di e-commerce con sede negli USA. Altri nuovi obiettivi hanno incluso siti legati a viaggi, entertainment, food, incontri e pornografia. Altri trojan bancari per cui è stata osservata un’estensione di copertura sono i Trickbot, che infettano le proprie vittime con attacchi di social engineering, quali phishing o malvertising, per indurre gli utenti inconsapevoli a cliccare link malware o scaricare file malware.