Nel terzo trimestre 2019 gli attacchi DDoS sono aumenti del 30% rispetto al trimestre precedente, e del 32% rispetto allo stesso periodo del 2018. Colpa di un picco di attività malevole registrato nel mese di settembre, che rispecchia la stagionalità già nota. L'allarme è contenuto nella relazione “DDoS attacks in Q3 2019” firmata da Kaspersky.

A connotare gli attacchi settembrini è stato un elevato numero di azioni piuttosto semplici. Un atteggiamento in controtendenza rispetto ai trimestri precedenti, in cui c'è stata una concentrazione di attacchi “intelligenti”. Questi ultimi erano mirati a colpire applicazioni, ed erano portati avanti da criminali informatici esperti. A settembre, invece, sembra che l'attenzione sia stata coalizzata dalla ripresa dell'anno scolastico.

Cambiamenti nel numero e nella distribuzione statistica degli attacchi DDoS nel terzo trimestre del 2019 rispetto al secondo e al terzo trimestre 2018Gli esperti di Kasperky hanno rilevato che il 60% degli attacchi è stato perpetrato a danni di scuole, siti di libri elettronici e simili. Gli autori potrebbero verosimilmente essere delinquenti in età scolastica, a cui manca la profonda conoscenza dell'organizzazione, tipica delle vere campagne DDoS. La maggior parte degli attacchi era infatti breve e mal organizzata.

Per quanto riguarda gli attacchi di alto livello, che sono stati solo il 28% del totale, si denota lo stesso atteggiamento di sempre. Il rapporto tra attacchi intelligenti e il numero totale si è quasi dimezzato rispetto al trimestre precedente. Però è aumentato di 7 punti percentuali rispetto al terzo trimestre del 2018. La durata media di tutti gli attacchi presi in esame è leggermente diminuita. Un dato falsato dall'alto numero di attacchi di breve durata di questo trimestre.

Gli aggressori hanno tentato di utilizzare un protocollo inusuale per amplificare gli attacchi DDoS. Gli esperti di Akamai Technologies hanno registrato un attacco effettuato falsificando l'indirizzo IP di ritorno tramite il protocollo multicast WS-Discovery. Si tratta di un protocollo che ha un ambito di applicazione limitato e non è generalmente destinato alla connessione a Internet di computer. Per questo gli utenti di dispositivi quali telecamere IP e stampanti di rete dovrebbero bloccare la porta UDP 3702 del server, utilizzata da questo protocollo. È inoltre consigliato adottare una serie di passaggi aggiuntivi per proteggere i propri router.

Distribuzione degli attacchi DDoS per giorno della settimana, Q2 e Q3 2019Un altro nuovo strumento rilevato da Trend Micro è un payload distribuito attraverso una backdoor nello strumento di ricerca e analisi dei dati Elasticsearch. Si tratta di un malware pericoloso perché sfrutta un approccio all'infezione a più fasi. È difficile da rilevare e può essere utilizzato per creare botnet da cui sferrare attacchi DDoS su larga scala. Gli utenti di Elasticsearch dovrebbero eseguire l'aggiornamento alla versione più recente. La backdoor in oggetto, infatti, è già stata risolta con una patch.

Si consiglia inoltre alle aziende di assicurarsi che le risorse Web e IT siano in grado di gestire un traffico intenso. E di implementare soluzioni di sicurezza capaci di tutelare le aziende da eventuali attacchi.