Nel primo trimestre 2020 gli
attacchi DDoS sono aumenti di oltre il 542% rispetto all'ultimo trimestre del 2019. Il confronto con lo stesso periodo del 2019 vede un +278% (dati NexusGuard). Numeri che confermano come gli attacchi distribuiti siano una delle tattiche più sfruttate (insieme a
phishing e
malware) per insidiare le aziende e soprattutto i service provider. Le campagne bersagliano principalmente i
fornitori di hosting e le aziende.
Il dettaglio a questo riguardo è fornito da
Akamai: gli attacchi più imponenti sono stati perpetrati ai danni di Internet provider e fornitori di telecomunicazioni. Un numero maggiore di attacchi, ma di minore entità, ha interessato il settore del gaming, seguito dai servizi finanziari.
Akamai specifica che complessivamente gli attacchi DDoS
sono cresciuti in volume e frequenza. Giornalmente si registrano attacchi da 100 gigabit per secondo. In taluni casi, fortunatamente rari, si sono verificati attacchi di oltre 1 terabit per secondo.
Ne è un esempio l'attacco rilevato e mitigato proprio da Akamai il 4 giugno scorso. È stato un attacco da 1,44 TBPS e 385 milioni di pacchetti per secondo, durato circa 2 ore. È stata un'azione pianificata al dettaglio per massimizzarne i danni, sviluppata attraverso
9 diversi vettori d'attacco. Di norma un attacco DDoS ne usa uno, massimo 3. Il traffico è stato distribuito in tutto il mondo, con una diffusione geografica che ha superato persino quella della
botnet Mirai.
L'attacco in questione detiene al momento il primato come più grande attacco DDoS da pacchetto al secondo. Il dato fa riflettere, perché sembrerebbe che i cyber criminali si stiano concentrando sull'implementazione di attacchi con bit più bassi e pacchetti superiori al secondo, per mettere sotto pressione i punti deboli nelle tecniche di mitigazione DDoS.
La maggior parte degli attacchi tuttavia è di entità minore. Dal 1 gennaio al 1 marzo Akamai ha bloccato 910 attacchi DDoS. Fra questi, uno a febbraio raggiungeva 288 gigabit per secondo e uno a marzo ha raggiunto i 412 gigabit per secondo. Tra marzo e giugno sono stati mitigati oltre 1.700 attacchi.
I ricercatori di NexusGuard, oltre agli attacchi DDoS tradizionali, hanno rilevato modelli di traffico anomali. S'intende il traffico generato da dispositivi infetti e quello ottenuto sfruttando resolver aperti (DNS, DLAP, eccetera) per creare
piccoli attacchi di breve durata che vengono definiti "killer invisibili". La loro efficacia è dovuta al fatto che spesso gli ISP trascurano queste minacce, che vanno a segno più facilmente di un attacco su larga scala. In particolare, il 67% degli attacchi DDoS rientra nell'intervallo di dimensioni compreso fra 1 e 5 Gbit per secondo ed è più breve di 15 minuti.
Ricordiamo infine l'altro episodio che ha fatto notizia. Ha
interessato AWS, che a febbraio è stata colpita da un attacco CLDAP reflection da 2,3 Tbps. Una anomalia come confermato dalla stessa Amazon, che fronteggia migliaia di attacchi, generalmente molto più contenuti.