Akamai pubblica il Rapporto sulla Sicurezza Q2 2017

Cisco SecureX, ancora più semplicità nella protezione dello scenario informatico

Il report evidenzia la ricomparsa del malware PBot, l’impiego di algoritmi di generazione dei domini e il rapporto tra infrastruttura command and control di MIRAI e obiettivi di attacco. Sono inoltre contenuti dati salienti sulle statistiche relative agli attacchi DDoS e alle applicazioni web

Secondo quanto emerge dal Rapporto sullo stato di Internet Q2 2017 / Security rilasciato da Akamai Technologies sono nuovamente in crescita gli attacchi DDoS (Distributed Denial of Service) e alle applicazioni web. Un importante contributo a questa nuova ondata di attacchi è dato dalla ricomparsa del malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel corso di questo trimestre.

TI PIACE QUESTO ARTICOLO?

Iscriviti alla nostra newsletter per essere sempre aggiornato.

Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni fa per generare l’attacco DDoS più ampio osservato da Akamai nel secondo trimestre. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco.

Un altro elemento preso dal passato, rilevato dall’analisi svolta dal team Threat Research di Akamai, è l’impiego di algoritmi di generazione di domini (Domain Generation Algorithms) nell’infrastruttura dei malware Command and Control (C2). Utilizzato per la prima volta assieme al worm Conficker nel 2008, il DGA rimane una tecnica di comunicazione frequentemente utilizzata anche per i malware attuali. Il team di ricerca delle minacce di Akamai ha scoperto che le reti infette hanno generato un tasso di ricerche DNS 15 volte superiore rispetto a quelle non infette. Ciò può essere spiegato come conseguenza del fatto che il malware presente nelle reti infette accede a domini generati casualmente. Poiché la maggior parte dei domini generati non era registrata, tentare di accedere a tutti avrebbe generato troppo rumore. Analizzare le differenze di comportamento tra le reti infette rispetto a quelle non infette è un ottimo modo per identificare l’attività del malware.

Leggi anche:  Al Ghelani, CEO di BauWatch: 2024 in crescita per la sicurezza nelle costruzioni

Quando lo scorso settembre è stata scoperta la botnet Mirai, Akamai è subito diventata uno dei suoi primi obiettivi. Da allora, la piattaforma dell’azienda ha continuato a essere presa di mira e a respingere efficacemente attacchi provenienti dalla botnet Mirai. I ricercatori di Akamai hanno utilizzato la visibilità sulla botnet Mirai che solo Akamai può vantare per studiare i diversi aspetti della botnet. In particolare nel secondo trimestre tale analisi si è concentrata sull’infrastruttura C2 di Mirai. Le ricerche condotte da Akamai indicano chiaramente che Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi DDoS. Si è osservato che sebbene molti dei nodi C2 della botnet abbiano condotto “attacchi dedicati” contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo “pay-for-play”. In queste situazioni, i nodi C2 della botnet Mirai hanno attaccato degli indirizzi IP per brevi periodi, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi.

“Gli autori degli attacchi testano continuamente i punti deboli nelle difese delle aziende e investono maggiore energia e risorse sulle vulnerabilità che risultano più diffuse ed efficace”, spiega Martin McKeay, Senior Security Advocate di Akamai. “Eventi come la botnet Mirai, l’exploit utilizzato da WannaCry e Petya, l’aumento continuo degli attacchi SQLi e la ricomparsa del malware PBot testimoniano che gli autori degli attacchi non escogiteranno solo nuovi strumenti e strategie, ma torneranno a riutilizzare anche strumenti già visti in passato che si sono dimostrati particolarmente efficaci”.

Altri dati di rilievo presenti nel rapporto sono:

  • Il numero di attacchi DDoS del secondo trimestre è cresciuto del 28% su base trimestrale dopo avere registrato un calo per tre trimestri consecutivi.
  • Gli autori degli attacchi DDoS si stanno dimostrando più ostinati che mai, attaccando i propri obiettivi con una media di 32 volte nel corso del trimestre. Una società di gaming è stata attaccata 558 volte, ossia con una media di sei volte al giorno.
  • Il maggior numero di indirizzi IP univoci utilizzati in attacchi DDoS frequenti ha avuto origine in Egitto, con una percentuale del 32% sul totale generale. Il trimestre scorso erano gli Stati Uniti a detenere il primato, mentre l’Egitto non rientrava nella top five.
  • Questo trimestre sono stati utilizzati meno dispositivi per lanciare attacchi DDoS. Il numero di indirizzi IP coinvolti in attacchi DDoS volumetrici è crollato del 98% passando da 595.000 a 11.000.
  • L’incidenza degli attacchi alle applicazioni web è aumentata del 5% su base trimestrale e del 28% su base annuale.
  • Gli attacchi SQLi sono stati utilizzati in più della metà (51%) degli attacchi alle applicazioni web questo trimestre, rispetto al 44% del trimestre scorso, generando quasi 185 milioni di avvisi solo nel secondo trimestre.
Leggi anche:  OT e Zero Trust? Si può fare!