Link11, fornitore di soluzioni di sicurezza IT in ambito Business-Continuity, ha rilevato che dall’inizio di maggio numerosi Data Center, ISP e Hosting Provider italiani hanno ricevuto via e-mail, a nome di “Turkish Hacker”, attacchi Distributed-Denial-of-Service (DDoS) a scopo di estorsione. In particolare, si segnalano richieste di pagamento in bitcoin ed attacchi di tipo «negazione di servizio» generati per fare pressione sulle vittime, richiedendo un riscatto in criptovaluta al fine di evitare attacchi DDoS superiori ai 100 Gbps.
Come si verifica l’attacco
La modalità d’azione dei Turkish Hacker è sempre la stessa e partono con pre attacchi che, nella maggior parte dei casi, vanno a sovraccaricare i sistemi e le infrastrutture IT degli Hosting Provider aggrediti. Gli estorsori, particolarmente esperti dal punto di vista tecnico, cambiano continuamente la loro strategia e, sulla base del punto debole rilevato, impiegano tecniche diverse e molteplici vettori di attacco. Contemporaneamente, la vittima riceve una e-mail di estorsione, confermando che i Turkish Hacker rispettano modalità d’azione già utilizzate dai precedenti attacchi DDoS conosciuti con nomi tipo DD4BC, Armada Collective e New World Hacking Group.
Le aziende vittime dell’estorsione non hanno purtroppo il tempo per prepararsi a rispondere adeguatamente alle minacce e in media restano duramente colpite da questi attacchi, particolarmente aggressivi e tecnicamente ben congegnati. Negli ultimi giorni il Security Operation Center (LSOC) di Link11 ha già respinto con successo molteplici pre attacchi ed ulteriori attacchi DDoS ai danni di parecchi Hosting Provider italiani.
I consigli di Link11
I centri elaborazione dati oggi ancora sprovvisti di adeguata protezione che non vogliono cedere all’estorsione devono agire rapidamente, per non perdere ulteriore tempo, pur considerando che in media il termine di pagamento imposto dagli aggressori è fissato tra le 24 e le 48 ore.
Inoltre, predisporre correttamente una protezione DDoS per un centro elaborazione dati richiede grande esperienza e non si può semplicemente pensare di installare l’hardware che, sulla base del numero delle richieste, sia in grado di gestire con autonomia e rapidità le risorse sui servizi erogati. L’expertise conferma infatti che i sistemi IT vengono protetti da grossi attacchi DDoS solo se l’intero traffico dati da loro generato viene deviato, nonché filtrato, attraverso processi a più livelli assicurati da un fornitore leader di soluzioni di protezione, come è appunto Link11.
Nelle prossime settimane sono previsti ulteriori attacchi. Il Security Operation Center di Link11 raccomanda di non cedere in nessun caso alle richieste di estorsione, ma di rafforzare le proprie misure di protezione ed eventualmente coinvolgere gli specialisti esterni esperti nella difesa contro gli attacchi DDoS.