Una nuova ricerca degli F5 Labs ha evidenziato che gli attacchi DDoS (Distributed Denial of Service) sono tornati in auge dopo un periodo di declino.
Il nuovo rapporto “2024 DDoS Attack Trends” degli F5 Labs ha registrato 2.127 attacchi DDos nel 2023, con un aumento del 112% rispetto ai 1.003 del 2022.
L’analisi degli incidenti, effettuata tramite la piattaforma F5 Distributed Cloud e arricchita dei dati dei team di Security Incident Response e Threat Analytics and Reporting di F5, ha mostrato che le organizzazioni hanno affrontato in media 11 attacchi DDoS nel 2023. Stando ai dati raccolti, l’organizzazione più colpita ha subito ben 187 attacchi distinti durante l’anno, incluso il più grande attacco singolo registrato dagli F5 Labs.
“La combinazione di tensioni geopolitiche, vulnerabilità facilmente sfruttabili e l’emergere di nuove botnet, ha fatto sì che gli attacchi denial of service siano esplosi rispetto allo scorso report DDoS Attack Trends del febbraio 2023”, ha dichiarato David Warburton, Director degli F5 Labs. “Gli attacchi DDoS sono in continua evoluzione e, come mostra questa analisi, anche in forte crescita. In un ambiente volatile, non c’è spazio per abbassare la guardia”.
Secondo i risultati degli F5 Labs, le dimensioni degli attacchi DDoS sono rimaste significative per tutto il 2023, mantenendosi costantemente sopra i 100Gbps, e diverse hanno superato i 500Gbps. Febbraio ha rappresentato un’eccezione, con l’attacco più grande del mese che ha raggiunto meno di 10Gbps.
“I primi mesi del 2023 hanno visto protagonista una grande operazione di polizia condotta da Europol e partner internazionali nel dicembre 2022”, ha spiegato David Warburton. “Sono intervenuti per chiudere i server responsabili di gran parte dell’attività DDoS, inclusi quelli che avevano facilitato 30 milioni di attacchi. L’impatto è stato sostanziale ma di breve durata. Dopo un febbraio relativamente tranquillo, a marzo si è infatti registrato l’attacco più massiccio dell’anno; in generale, durante il 2023 abbiamo visto gli attacchi DDoS tornare a livelli di attività superiori rispetto a prima”.
Gli attacchi DDoS cambiano forma
Gli attacchi DDoS non sono cambiati solo in termini di dimensioni, ma hanno anche colpito diversi livelli, dagli attacchi volumetrici che cercano di consumare la larghezza di banda della rete, agli attacchi di protocollo che mirano ai dispositivi di rete, fino agli attacchi applicativi che mirano a consumare la memoria disponibile o i cicli della CPU.
Nel 2022 si era osservata una chiara tendenza: gli attacchi a livello di applicazione (inclusi i flood HTTP(S) e le query DNS) stavano crescendo, raggiungendo quasi il 40% di tutti gli attacchi nel primo trimestre del 2023.
Tuttavia, nel corso del 2023, questa tendenza si è invertita, con gli attacchi a livello applicativo che sono diminuiti a circa il 25%, mentre sia gli attacchi volumetrici sia quelli di protocollo hanno aumentato la loro quota.
Questo ha avuto un impatto sulle dimensioni stesse degli attacchi. Gli attacchi alle applicazioni erano principalmente concentrati nella gamma di 50-200Mbps, classificati come micro-attacchi DDoS. Le altre due categorie, invece, hanno una distribuzione molto più ampia che include attacchi fino a 1Tbps.
Settori e geografie sotto tiro, c’è anche l’Italia
Nel 2023 il forte aumento dell’attività DDoS ha colpito in modo particolare alcuni specifici settori. L’industria del software e dei servizi informatici è rimasta la più bersagliata, registrando più del doppio degli attacchi rispetto all’anno precedente. Il 37% degli attacchi ha colpito questo settore, sebbene fossero incidenti relativamente piccoli, con un picco di 200Gbps a novembre.
Il settore delle telecomunicazioni ha osservato un massivo aumento del 655% degli attacchi lo scorso anno, rappresentando quasi un quarto (23%) di tutti gli attacchi DDoS registrati dagli F5 Labs nel 2023.
Il terzo settore più colpito è stato quello dei servizi di supporto, che ha rappresentato l’11% degli attacchi totali. È proprio questo settore ad aver subito l’attacco più grande registrato, avvenuto a marzo e misurato 1Tbps. In questo caso, i cybercriminali hanno tentato di abbattere l’organizzazione con un attacco SYN TCP.
Anche il settore dei media è stato vittima di un aumento significativo degli attacchi, a riprova che gli attacchi DDoS siano influenzati anche dalle dinamiche geopolitiche. In un anno in cui tensioni globali e conflitti apparivano frequentemente nei titoli dei nostri giornali, gli F5 Labs hanno registrato un aumento del 250% degli attacchi di denial of service.
La maggioranza degli attacchi si concentra dunque su pochi e determinati settori, e lo stesso accade per i Paesi colpiti. Solo sei nazioni – Stati Uniti, Francia, Arabia Saudita, Italia, Belgio e Regno Unito – sono state colpite dall’80% di tutti gli attacchi DDoS lo scorso anno. Gli Stati Uniti da soli hanno rappresentato il 38% del totale: le loro organizzazioni hanno subito più del doppio degli incidenti rispetto alla Francia, il secondo paese più colpito.
La regione EMEA ha subito il 57% di tutti gli attacchi nel 2023, più che triplicati rispetto al 2022. Durante tutto l’anno, c’è stato un aumento marcato e costante sia nella quantità di attacchi sia nella loro larghezza di banda di picco. La larghezza di banda di picco media è aumentata drasticamente da 50 Mbps a gennaio a 5 Gbps a dicembre. L’attacco più grande è avvenuto a giugno, misurando poco meno di 500 Gbps.
“Il panorama degli attacchi DDoS è più complesso che mai: le aziende devono affrontare non solo un volume crescente di attacchi, ma anche una serie di attività non necessariamente malevole che possono comunque causare un denial of service. Esempi di queste attività includono i bot dei rivenditori che tentano di acquistare grandi quantità di inventario o gli scraper web che cercano di ottenere informazioni su prodotti e prezzi”, ha dichiarato David Warburton. “Sebbene molti degli attacchi monitorati possano essere di piccole dimensioni, la mitigazione può risultare comunque complessa, e rimane assolutamente essenziale. La durata di un attacco DDoS può essere breve, ma il suo impatto sulla reputazione dell’azienda può essere duraturo. Un servizio gestito monitorato da esperti che affrontano attacchi DDoS ogni giorno e supportato da capacità di larghezza di banda multi-terabit, offre sicuramente la protezione più ampia e completa possibile e può spesso essere implementato con pochissima interruzione. Tuttavia, per ragioni di privacy dei dati e conformità, le organizzazioni in alcuni settori potrebbero dover mantenere almeno un elemento di mitigazione DDoS on-premises”.
I consigli di F5 Labs
Per coloro che non possono fare affidamento esclusivo su un servizio DDoS gestito, F5 Labs raccomanda di implementare firewall DNS, garantendo che gli indirizzi IP malevoli siano bloccati e implementando soluzioni per identificare bot e traffico non umano.
Inoltre, il rapporto sottolinea l’importanza di proteggersi contro nuovi vettori di attacco DoS che spesso si basano su software o hardware non aggiornati. È anche fondamentale rimanere aggiornati sugli eventi geopolitici. Lo studio degli F5 Labs ha infine evidenziato che una robusta intelligence sulle minacce informatiche è essenziale per comprendere meglio l’attività e le intenzioni dei cybercriminali di oggi.
