Secondo una nuova analisi degli F5 Labs, i laboratori di ricerca di F5, la pandemia di Covid-19 ha determinato un picco significativo negli attacchi DDoS e di violazione degli accessi tramite password. Sulla base dei nuovi dati globali provenienti dall’F5 Security Incident Response Team (SIRT), la ricerca rivela un panorama delle minacce post-lockdown senza precedenti, con vulnerabilità diffuse sempre più sfruttate.
Come sottolineato in una nota ufficiale da Raymond Pompon, Director degli F5 Labs: «Gli F5 Labs hanno esaminato tutti gli incidenti segnalati dall’inizio del 2020 fino ad agosto: si nota chiaramente come gli hacker stiano facendo di tutto per sfruttare il comportamento online correlato alla pandemia. Andando avanti, dovremo aspettarci una turbolenza ancora maggiore dato che l’epidemia continua a propagarsi e ad avere un impatto economico notevole. Quest’anno, ad esempio, la stagione dello shopping porterà più consumatori sulle piattaforme online rispetto al passato, e sarà un periodo estremamente intenso anche per i criminali informatici. È evidente come il nostro crescente utilizzo della tecnologia abbia aumentato il rischio di attacco portandolo a livelli mai incontrati prima, tutto questo in uno scenario dove il trend era già in forte crescita».
Il lockdown e il cambiamento nel panorama delle minacce
A gennaio 2020, il numero di incidenti segnalati dal SIRT era la metà della media registrata negli anni precedenti, ma con l’avvicendarsi dei vari lockdown da marzo in poi gli incidenti sono aumentati progressivamente. In aprile i numeri si sono stabilizzati su un picco tre volte superiore rispetto agli anni passati, e hanno iniziato a tornare alla normalità solo a maggio e giugno; ciononostante, da luglio sono risaliti, raggiungendo il doppio degli attacchi registrati nello stesso periodo del 2019.
Gli attacchi rientrano in due grandi gruppi: attacchi di Distributed Denial of Service (DDoS) e violazioni delle password di accesso. Gli attacchi alle password sono stati condotti con tecniche di brute force e credential stuffing: l’obiettivo è comunque uno, cercare un modo di violare i sistemi e infiltrarsi nelle organizzazioni.
Il 45% degli incidenti segnalati da gennaio ad agosto era correlato a DDoS e il 43% a violazioni degli accessi. Il restante 12% era correlato a malware, attacchi web o altri attacchi non classificati.
A gennaio, gli attacchi DDoS segnalati erano solo un decimo del numero complessivo. A marzo avevano già raggiunto un numero tre volte superiore a quello di tutti gli altri incidenti.
Nel 2019, il 4,2% degli attacchi DDoS era mirato alle app web; anche questo dato è cresciuto del 600% nel 2020 raggiungendo il 26% del totale degli attacchi DDoS.
Anche le tecniche di attacco sono mutate
Nel 2019, il 17% di tutti gli attacchi DDoS segnalati sono stati identificati come attacchi di DNS amplification, che falsificano le richieste DNS per ingannare le proprie vittime; oggi questa tipologia di DDoS ha raggiunto il 31%. Anche la tipologia DNS Query Flood, con l’invio ai server DNS di richieste intenzionalmente malformate per causare l’esaurimento delle risorse, è cresciuta e il 12% degli attacchi DDoS ha sfruttato questo metodo durante il periodo preso in esame.
Vendita a dettaglio sotto violazione degli accessi
Il settore maggiormente colpito dalle violazioni delle password di accesso è stato quello della vendita al dettaglio, rispetto al quale il 67% degli attacchi subiti nel 2020 è risultato legato alle password, con una crescita del 27% rispetto all’anno precedente.
Anche per quanto riguarda i service provider però i numeri sono consistenti: il 50% degli incidenti segnalati riguarda violazioni delle password di accesso; dato che si attesta al 43% per i clienti che operano nel settore dei servizi finanziari.
Gli F5 Labs hanno anche osservato un picco negli attacchi di autenticazione alle API, che sono raddoppiati dal 2,6% nel 2019 al 5% nei primi 8 mesi di quest’anno.