Di recente, Akamai ha registrato e reso noto un aumento negli attacchi da parte delle organizzazioni Armada Collective, Cozy Bear, Fancy Bear e Lazarus Group. I clienti Akamai hanno infatti dichiarato di aver ricevuto minacce di attacchi fino 2 Tb/sec, ma, finora, sono stati osservati attacchi che vanno da 20 a 300 Gb/sec, utilizzando una varietà di vettori di attacco.
Più nel dettaglio e nei giorni successivi, Akamai ha osservato un aumento delle minacce di estorsione inviate ad aziende in Nord America, nell’Asia Pacifica, in Europa, nel Medio Oriente e in Africa.
I primi brand a essere colpiti dai gruppi indicati sopra sono stati MoneyGram, YesBank India, Worldpay, PayPal e Braintree, in aggiunta alla borsa valori neozelandese (NZX), ha dovuto interrotto le contrattazioni per ben tre giorni a causa dell’attacco.
Il gruppo in azione è un gruppo con competenze DDoS superiori alla media: mentre i precedenti estorsori DDoS prendevano spesso di mira i siti web pubblici delle loro vittime, questo nuovo gruppo ha preso ripetutamente di mira le infrastrutture backend, gli endpoint API e i server DNS – il che spiega perché alcuni degli attacchi DDoS hanno provocato gravi e prolungate interruzioni di servizio presso alcuni dei loro bersagli.
Ad oggi, i clienti Akamai che avevano attivato i controlli di mitigazione DDoS di Prolexic non hanno subìto interruzioni di servizio quando venivano minacciati da questi gruppi malevoli. Nelle ultime settimane Akamai ha mitigato oltre 50 attacchi che corrispondono a queste tipologie e l’obiettivo è quello di lavorare per implementare controlli di mitigazione proattivi SLA di 0 secondi, che si adattano bene a combattere i modelli di attacco che sono stati osservati.
Secondo l’FBI sono migliaia le organizzazioni in tutto il mondo, e in diversi settori, che nell’ultimo periodo sono state minacciate con attacchi DDoS con la richiesta di un riscatto tramite bitcoin, generando un vero e proprio momento di picco di attacchi di questo tipo. Questo picco di attacchi DDoS, o RDoS, con richiesta di riscatto è stato individuato dal già citato Security Intelligence Response Team (SIRT) di Akamai in un Security Alert diffuso lo scorso 17 agosto.
Se i servizi finanziari erano inizialmente il settore più colpito, più di recente le minacce erano dirette ad altri target, come i servizi per le aziende, l’alta tecnologia, l’ospitalità, il retail e il travel.
Come comportarsi in caso di attacco DDoS
Come sottolineato in una nota ufficiale da Richard Meuus, Security Technology & Strategy Director di Akamai: «Se si riceve una minaccia di tipo RDoS, la raccomandazione di Akamai è sempre quella di non pagare il riscatto in quanto non ci sono garanzie che l’attacco arriverà o che il pagamento eviterà l’attacco DDoS. In caso di minaccia è quindi necessario riunire chi si occupa dell’IT, della sicurezza e della comunicazione con i clienti per assicurarsi che tutti siano debitamente preparati e tutti sappiano cosa fare in caso di attacco – se servisse assistenza, Akamai è sempre disponibile ad aiutare».
È presente, infatti, un numero di emergenza, per un’attivazione rapida, dove ci sarà poi uno smistamento in base al rischio e l’utilizzo di appropriati sistemi di sicurezza Akamai, oltre che un processo di guida in tutti gli step e le procedure da seguire in caso di attacco.
In conclusione, vale la pena notare che, mentre la maggior parte delle minacce che Akamai ha osservato finora sono state mitigate dal servizio di mitigazione DDoS di Prolexic, le best practice impongono alle aziende di mettere in atto mitigazioni DDoS complete anche a livello di DNS e di applicazioni. Ciò include la revisione della soluzione DNS e, idealmente, la garanzia di disporre di un servizio DNS secondario in caso di attacco, oltre a mettere in atto controlli dei tassi e regole di negazione in un firewall per applicazioni web (WAF) per gestire gli attacchi volumetrici.