Il report evidenzia la ricomparsa del malware PBot, l’impiego di algoritmi di generazione dei domini e il rapporto tra infrastruttura command and control di MIRAI e obiettivi di attacco. Sono inoltre contenuti dati salienti sulle statistiche relative agli attacchi DDoS e alle applicazioni web

 Per scaricare il Rapporto sullo stato di Internet Q2 2017 / Security: http://akamai.me/2i9vrdz

Per scaricare i singoli grafici e diagrammi con le relative didascalie: http://akamai.me/2w6mI1v

Secondo quanto emerge dal Rapporto sullo stato di Internet Q2 2017 / Security rilasciato da Akamai Technologies, Inc. (NASDAQ: AKAM) sono nuovamente in crescita gli attacchi DDoS (Distributed Denial of Service) e alle applicazioni web. Un importante contributo a questa nuova ondata di attacchi è dato dalla ricomparsa del malware DDoS PBot, utilizzato per lanciare gli attacchi DDoS più imponenti registrati da Akamai nel corso di questo trimestre.

Nel caso del malware PBot, utenti malintenzionati hanno utilizzato codice PHP che risale ad alcuni decenni fa per generare l’attacco DDoS più ampio osservato da Akamai nel secondo trimestre. Gli autori degli attacchi sono riusciti a creare una mini botnet DDoS in grado di lanciare un attacco DDoS da 75 gigabit al secondo (Gbps). È interessante notare che la botnet PBot era composta da un numero relativamente contenuto di nodi, circa 400, in grado tuttavia di generare un notevole livello di traffico di attacco.

Un altro elemento preso dal passato, rilevato dall’analisi svolta dal team Threat Research di Akamai, è l’impiego di algoritmi di generazione di domini (Domain Generation Algorithms) nell’infrastruttura dei malware Command and Control (C2). Utilizzato per la prima volta assieme al worm Conficker nel 2008, il DGA rimane una tecnica di comunicazione frequentemente utilizzata anche per i malware attuali. Il team di ricerca delle minacce di Akamai ha scoperto che le reti infette hanno generato un tasso di ricerche DNS 15 volte superiore rispetto a quelle non infette. Ciò può essere spiegato come conseguenza del fatto che il malware presente nelle reti infette accede a domini generati casualmente. Poiché la maggior parte dei domini generati non era registrata, tentare di accedere a tutti avrebbe generato troppo rumore. Analizzare le differenze di comportamento tra le reti infette rispetto a quelle non infette è un ottimo modo per identificare l’attività del malware.

Quando lo scorso settembre è stata scoperta la botnet Mirai, Akamai è subito diventata uno dei suoi primi obiettivi. Da allora, la piattaforma dell’azienda ha continuato a essere presa di mira e a respingere efficacemente attacchi provenienti dalla botnet Mirai. I ricercatori di Akamai hanno utilizzato la visibilità sulla botnet Mirai che solo Akamai può vantare per studiare i diversi aspetti della botnet. In particolare nel secondo trimestre tale analisi si è concentrata sull’infrastruttura C2 di Mirai. Le ricerche condotte da Akamai indicano chiaramente che Mirai, come molte altre botnet, sta contribuendo alla massificazione degli attacchi DDoS. Si è osservato che sebbene molti dei nodi C2 della botnet abbiano condotto “attacchi dedicati” contro IP selezionati, sono stati ben più numerosi i nodi che hanno partecipato a quelli che potremmo considerare attacchi di tipo “pay-for-play”. In queste situazioni, i nodi C2 della botnet Mirai hanno attaccato degli indirizzi IP per brevi periodi, divenendo poi inattivi per riemergere in seguito e attaccare obiettivi diversi.

“Gli autori degli attacchi testano continuamente i punti deboli nelle difese delle aziende e investono maggiore energia e risorse sulle vulnerabilità che risultano più diffuse ed efficace”, spiega Martin McKeay, Senior Security Advocate di Akamai. “Eventi come la botnet Mirai, l’exploit utilizzato da WannaCry e Petya, l’aumento continuo degli attacchi SQLi e la ricomparsa del malware PBot testimoniano che gli autori degli attacchi non escogiteranno solo nuovi strumenti e strategie, ma torneranno a riutilizzare anche strumenti già visti in passato che si sono dimostrati particolarmente efficaci”.

Alcuni dati:

Altri dati di rilievo presenti nel rapporto sono:

        Il numero di attacchi DDoS del secondo trimestre è cresciuto del 28% su base trimestrale dopo avere registrato un calo per tre trimestri consecutivi.

        Gli autori degli attacchi DDoS si stanno dimostrando più ostinati che mai, attaccando i propri obiettivi con una media di 32 volte nel corso del trimestre. Una società di gaming è stata attaccata 558 volte, ossia con una media di sei volte al giorno.

        Il maggior numero di indirizzi IP univoci utilizzati in attacchi DDoS frequenti ha avuto origine in Egitto, con una percentuale del 32% sul totale generale. Il trimestre scorso erano gli Stati Uniti a detenere il primato, mentre l’Egitto non rientrava nella top five.

        Questo trimestre sono stati utilizzati meno dispositivi per lanciare attacchi DDoS. Il numero di indirizzi IP coinvolti in attacchi DDoS volumetrici è crollato del 98% passando da 595.000 a 11.000.

        L’incidenza degli attacchi alle applicazioni web è aumentata del 5% su base trimestrale e del 28% su base annuale.

        Gli attacchi SQLi sono stati utilizzati in più della metà (51%) degli attacchi alle applicazioni web questo trimestre, rispetto al 44% del trimestre scorso, generando quasi 185 milioni di avvisi solo nel secondo trimestre.

 

 

Metodologia

Il Rapporto sullo stato di Internet Q2 2017 / Security di Akamai combina i dati sugli attacchi raccolti dall’intera infrastruttura globale di Akamai ed è frutto delle ricerche svolte dai vari team dell’azienda. Il rapporto si avvale dei dati raccolti dalla Akamai Intelligent Platform e fornisce un’analisi dell’attuale panorama delle minacce e della sicurezza sul cloud, nonché informazioni sulle tendenze degli attacchi. Il Rapporto sullo stato di Internet / Security è frutto della collaborazione di vari professionisti della sicurezza di Akamai, tra cui il team SIRT (Security Intelligence Response Team), l’unità Threat Research, i team Information Security e Custom Analytics.

 

Download (PDF, 198KB)

 

Informazioni su Akamai

Grazie alla propria piattaforma cloud di delivery più estesa e affidabile al mondo, Akamai supporta i clienti nell’offerta di experience digitali migliori e più sicure da qualsiasi dispositivo, luogo e momento. Con oltre 200.000 server in 130 paesi, la piattaforma Akamai garantisce protezione dalle minacce informatiche e performance di altissimo livello. Il portfolio Akamai di soluzioni per le web e mobile performance, la sicurezza sul cloud, l’accesso remoto alle applicazioni aziendali e la delivery di contenuti video è affiancato da un servizio clienti affidabile e da un monitoraggio 24×7. Per scoprire perché i principali istituti finanziari, i maggiori operatori e-commerce, provider del settore Media & Entertainment ed enti governativi si affidano ad Akamai, visitate il sito https://www.akamai.com/it/it/ o https://blogs.akamai.com/it/ e seguite @AkamaiItalia su Twitter.

 

 

Pin It on Pinterest

%d blogger hanno fatto clic su Mi Piace per questo: