Nel secondo trimestre di quest’anno, gli attacchi DDOS (Distributed Denial of Service) hanno raggiunto nuove vette, con un forte aumento sia del numero di attacchi intelligenti che della loro durata media.

Rispetto allo stesso periodo dell’anno scorso, la durata media di un attacco DDOS è aumentata di 100 volte, raggiungendo i 3.000 minuti.

Rispetto ai dati del secondo trimestre del 2021, le soluzioni Kaspersky hanno difeso i propri utenti da un numero di attacchi DDOS circa 2,5 volte superiore. Allo stesso tempo, a differenza dell’inizio dell’anno con la sua drammatica impennata di attacchi dovuti all’attività degli hacktivisti, i numeri assoluti sono diminuiti nel Q2 2022.

Tuttavia, Kaspersky afferma che questo non significa che il mercato DDOS si sia raffreddato, ma piuttosto che gli attacchi sono cambiati nella qualità, diventando più lunghi e più complicati.

La durata media di un attacco nel secondo trimestre del 2022 è stata di circa due giorni, ovvero 100 volte più lunga rispetto al secondo trimestre del 2021, quando un attacco durava in media solo 30 minuti.

Alcuni degli attacchi dello scorso trimestre sono durati giorni o addirittura settimane. Il record è stato stabilito da un attacco della durata di 41.441 minuti, ovvero poco meno di 29 giorni.

Alexander Gutnikov, esperto di sicurezza di Kaspersky, afferma che è estremamente costoso portare avanti questi attacchi per una durata così lunga, soprattutto se sono inefficaci perché filtrati dalle soluzioni di protezione.

“Quando i bot sono costantemente attivi, aumenta il rischio di esaurimento della botnet, di guasto dei nodi o di rilevamento da parte del centro di controllo. L’estrema durata di questi attacchi e la crescita del numero di attacchi DDoS intelligenti e mirati ci fa riflettere sulle capacità, l’affiliazione professionale e le fonti di finanziamento degli organizzatori”, aggiunge.

Attacchi intelligenti

L’azienda ha inoltre dichiarato che la quota di attacchi intelligenti ha quasi superato il record di quattro anni, rappresentando quasi il 50% del totale.

Gutnikov afferma che gli attacchi DDoS stanno diventando sempre più accessibili a un pubblico più ampio. “In molti casi, non richiedono più conoscenze e competenze tecniche particolari. Per separare i professionisti dai dilettanti, usiamo il termine ‘attacco intelligente’. Per organizzare questo tipo di attacco, un criminale deve essere dotato di conoscenze tecniche e comprendere il funzionamento delle reti e dei protocolli di scambio dati”.

Secondo l’esperto, in generale gli attacchi di livello tre (L3) e quattro (L4) possono essere definiti regolari, mentre gli attacchi di livello sette (L7) sono già intelligenti. Per una ‘diagnosi’ accurata, è necessaria un’analisi di ogni caso specifico.

“Ad esempio, un DNS Amplification flood, o livello L4, è oggi molto facile da organizzare, anche se nel 2013 ha colto tutti di sorpresa. All’epoca poteva essere classificato come un attacco intelligente, ma oggi è disponibile per un’ampia gamma di attaccanti senza particolari competenze e classificato come un attacco ordinario”.

Un altro esempio è l’attacco a frammentazione di livello L3. Se mirato con abilità (ad esempio, a un router vulnerabile), può causare molti danni anche con un tasso ridotto. “In questo caso, sarebbe corretto classificarlo come un attacco intelligente, perché richiede che il cattivo attore comprenda la vulnerabilità e, di conseguenza, scelga uno strumento relativamente semplice ma efficace”, afferma Gutnikov.

D’altra parte, gli attacchi a livello di applicazione non sono sempre intelligenti, spiega. “Un attacco con richiesta HTTP senza intestazione host sarà formalmente considerato un attacco L7, ma questo è possibile solo se la botnet è configurata in modo errato. Pertanto, l’attaccante non comprende i principi di base del protocollo HTTP e questo attacco dovrebbe essere classificato come un attacco regolare”.

Un legame con le criptovalute

In termini di numero di attacchi DDOS, il secondo trimestre è stato più tranquillo del primo. Si tratta di un fenomeno comune, spiega l’esperto, poiché normalmente si verifica un calo dell’attività DDOS con l’avvicinarsi dell’estate europea.

Tuttavia, il numero di attacchi DDOS nel trimestre non ha rispecchiato questo schema abituale. Dopo un rallentamento alla fine del primo trimestre, l’attività delle botnet è cresciuta costantemente per tutto il secondo trimestre, risultando più intensa a giugno che ad aprile. Questo, secondo Gutnikov, è coerente con il declino delle criptovalute, che di solito stimolano il mercato dei DDOS.

Gutnikov afferma che il crollo delle criptovalute è iniziato con il crollo di Terra (Luna) e da allora sta guadagnando slancio. Diversi fattori indicano che la tendenza potrebbe continuare: ad esempio, i minatori di criptovalute stanno vendendo le fattorie a prezzi bassi ai giocatori. Questo può portare a un’impennata dell’attività DDOS globale.

Gli esperti di Kaspersky consigliano di mantenere l’operatività delle risorse Web assegnando specialisti che sappiano come rispondere agli attacchi DDoS; di convalidare gli accordi con le terze parti e le informazioni di contatto in modo da potervi accedere rapidamente in caso di attacco; di utilizzare strumenti di monitoraggio della rete e delle applicazioni per identificare le tendenze e i trend del traffico; di disporre di un piano B restrittivo per garantire che l’organizzazione sia in grado di ripristinare rapidamente i servizi business-critical di fronte a un attacco DDOS.