Akamai: cresce la minaccia di attacchi DDos nel secondo semestre 2015

La società prubblica il Rapporto sulla Sicurezza relativo al q2. Sono in aumento i mega-attacchi. Un unico attacco Shellshock è risultato responsabile del 49% degli allarmi relativi ad attacchi a applicazioni web

di Caterina Varpi
02 settembre 2015
akamai-logo

Akamai Technologies annuncia il Rapporto sulla Sicurezza relativo al secondo trimestre 2015, che offre analisi e approfondimenti sullo scenario della sicurezza e delle minacce nel cloud.

«La minaccia rappresentata da attacchi DDoS e ad applicazioni web è cresciuta un trimestre dopo l’altro – spiega John Summers, responsabile della business unit Cloud Security di Akamai. – I criminali cambiano tattiche in continuazione alla ricerca di nuove vulnerabilità o anche riportando in auge vecchie tecniche che si pensavano superate. Analizzando gli attacchi osservati sulla nostra rete siamo in grado di identificare le minacce e i trend emergenti e fornire al pubblico le informazioni necessarie per meglio proteggere reti, siti e applicazioni e migliorare i profili di sicurezza cloud. Per questo report, ad esempio, non solo abbiamo aggiunto alle nostre analisi due vettori di attacchi ad applicazioni web ma anche analizzato la minaccia percepita rappresentata dal traffico onion router (Tor) e identificato alcune nuove vulnerabilità nei plugin WordPress di terze parti che vengono pubblicati come CVE. Più sono le informazioni disponibili sulle minacce alla sicurezza, meglio le aziende possono costruire una linea di difesa».

Gli attacchi DDoS

Negli ultimi tre trimestri il numero di attacchi DDoS è sempre raddoppiato rispetto allo stesso periodo dell’anno precedente. Sebbene nell’ultimo trimestre gli attaccanti abbiano preferito attacchi meno potenti ma di durata superiore, il numero di mega attacchi è ancora cresciuto. Nel secondo trimestre 2015 si sono registrati 12 attacchi da oltre 100 gigabit per secondo e 5 da oltre 50 milioni di pacchetti al secondo. Ben poche organizzazioni possono avere la capacità di sopportare tali attacchi da sole.

L’attacco più violento sferrato nel secondo trimestre 2015 è durato 13 ore con picchi da oltre 240 Gbps. La banda di picco è normalmente limitata a una finestra di una-due ore.  Nello stesso periodo abbiamo anche assistito all’attacco più potente mai registrato sulla rete Prolexic Routed in termini di pacchetti trasmessi, con picchi di 214 Mpps.

L’attività relativa agli attacchi DDoS ha fatto registrare un nuovo record nel secondo trimestre, con un incremento del 132% rispetto allo stesso periodo del 2014 e del 7% rispetto al primo trimestre 2015. La banda di picco media e il volume degli attacchi sono aumentati lievemente rispetto al Q1, rimanendo però significativamente più bassi rispetto al Q2 2014.

Il gaming online continua ad essere il settore più colpito dal Q2 2014, obiettivo del 35% degli attacchi DDoS.

La Cina è la sorgente principale di attacchi non schermati negli ultimi due trimestri ed è sempre stata ai primi tre posti in tutte le edizioni del report.

Gli attacchi DDoS rispetto al Q2 2014

  • +132,43% di attacchi DDoS
  • +122,22% di attacchi DDoS al livello applicativo (Layer 7)
  • +133,66% di attacchi DDoS al livello infrastrutturale (Layer 3 e 4)
  • +18,99% nella durata media degli attacchi:64 vs. 17,35 ore
  • -11,47% nella banda di picco
  • -77,26% nei volumi di picco
  • +100% di attacchi da oltre 100 Gbps: 12 vs. 6

Gli attacchi DDoS rispetto al Q1 2015

  • 7,13% incremento del numero totale di attacchi DDoS
  • 17,65% incremento del numero di attacchi DDoS Layer 7
  • 6,04% incremento nel numero degli attacchi Layer 3 e 4
  • – 16,85% diminuzione della durata media degli attacchi (20.64 vs. 24.82 ore)
  • 15,46% incremento nella banda di picco media
  • 23,98% incremento nel volume di picco medio
  • 50% incremento del numero di attacchi da oltre 100 Gbps: 12 vs. 8
  • Come nel Q1 2015 la Cina è al primo posto tra i Paesi origine di attacchi DDoS

Attacchi ad applicazioni Web

Akamai ha inserito per la prima volta nel primo trimestre 2015 i dati relativi agli attacchi a applicazioni web. In questo trimestre sono stati analizzati due ulteriori vettori di attacco: Shellshock e XSS (cross-site scripting).

Shellshock, una vulnerabilità legata al bug Bash registrata per la prima volta nel settembre 2014 è stata sfruttata nel 49% degli attacchi di questo trimestre.  Il 95% degli attacchi è stato rivolto a un unico obiettivo, un’azienda del comparti finanziario, con un attacco aggressivo e persistente, durato diverse settimane. Poiché gli attacchi Shellshock avvengono tipicamente su connessioni HTTPS, questo attacco ha determinato la prevalenza di attacchi tramite HTTPS rispetto a HTTP. Solo il 9% degli attacchi erano transitati su HTTPS, nel Q1, contro il 56% nel Q2.

A parte Shellshock, gli attacchi SQLi (SQL injection) hanno rappresentato il 26% del totale, con un incremento del 75% sul trimestre precedente.  Sono calati significativamente, invece, gli attacchi LFI (local file inclusion): questi erano il principale vettore di attacchi a applicazioni web nel primo trimestre, ridottisi al 18% nel secondo.

Come nel Q1 2015 i settori più colpiti sono i servizi finanziari e il retail.

La minaccia dei temi e plugin WordPress di terze parti

WordPress rappresenta un target allettante per chi voglia sfruttare centinaia di vulnerabilità note per costruire botnet, diffondere malware e lanciare attacchi DDoS.

I plug in di terze parti sono sottoposti a pochi o nessun controllo del codice. Per meglio comprendere lo scenario, Akamai ha testato più di 1300 tra i più popolari plugin e temi. Ne sono stati identificati 25 che contenevano almeno una nuova vulnerabilità. In alcuni casi addirittura le vulnerabilità erano più d’una, per un totale di 49 potenziali exploit.

I pro e i contro di Tor

Il progetto TOR (Onion Router) garantisce che il nodo di ingresso di una rete non coincida con quello di uscita, fornendo anonimità ai suoi utenti. TOR ha molti utenti corretti, ma la sua anonimità lo rende una opzione interessante per i malintenzionati. Per stabilire il rischio connesso al consentire il traffico Tor, Akamai ha analizzato il traffico web per i clienti del servizio Kona su un periodo di sette giorni. L’analisi ha dimostrato che il 99% degli attacchi provenivano da indirizzi IP non Tor. Tuttavia una su 380 richieste da nodi di uscita Tor era maligna, contro una richiesta su 11.500 da IP non Tor. Ciò detto, il blocco del traffico Tor potrebbe avere un’influenza negativa sul business. Tuttavia, le richieste TTP legittime a pagine di e-commerce indicano che i nodi di uscita Tor hanno percentuali di conversione paragonabili a quelle di IP non Tor.

RICEVI GRATUITAMENTE LA NOSTRA NEWSLETTER

Ti chiediamo il consenso per il trattamento dei dati personali diretto all’invio di newsletter editoriali, o altre informazioni di carattere informativo e promozionale riguardanti Engage e Società Partner, in conformità con la nostra Privacy Policy.

Acconsento
Non acconsento

Ricevi anche la newsletter di Programmatic-italia.com

Cliccando su Iscriviti, riceverai da Engage.it la nostra newsletter quotidiana e qualche mail promozionale ogni tanto. Potrai cambiare le tue impostazioni quando vuoi e non cederemo mai a terzi i tuoi dati.