Gli attacchi Distributed Denial-of-service (DDoS) sono diminuiti leggermente nel 2021, ma stanno acquistando dimensioni sempre maggiori e crescono in complessità. Questo è quanto rivela una nuova analisi di F5 a partire dai dati raccolti da F5 Silverline[1] – la piattaforma di servizi gestiti cloud-based che rileva e mitiga gli attacchi DDoS in tempo reale – che hanno mostrato un calo del 3% nel volume complessivo degli attacchi registrati nel 2021 rispetto all’anno precedente.
Anche se il volume è diminuito, la gravità degli attacchi è aumentata notevolmente nel corso dell’anno. Nel quarto trimestre del 2021, in particolare, la dimensione media degli attacchi è stata superiore a 21 Gbps, più di quattro volte maggiore di quelli registrati all’inizio del 2020. Lo scorso anno è stato segnato anche da un record progressivo: il più grande attacco DDoS mai registrato nella storia, con un dato superato in più occasioni nel corso dell’anno.
“Il volume degli attacchi DDoS è variato molto nel corso dei mesi, ma la tendenza inequivocabile che abbiamo visto affermarsi è quella di attacchi sempre più grandi in termini di dimensione”, ha commentato David Warburton, director degli F5 Labs. “Mentre nel 2020 la dimensione massima di un attacco è rimasta costante per tutto l’anno, nel 2021 l’abbiamo vista crescere in modo continuo. Un dato che comprende i diversi attacchi che Silverline DDoS Protection ha affrontato, osservando un incremento continuo della loro dimensione fino ad arrivare al massimo mai visto”.
Le dimensioni degli attacchi
Nel 2021, la maggior parte degli attacchi registrati aveva una dimensione inferiore ai 100 Mbps; nonostante questo, si sono verificate eccezioni importanti. Nel 2020 l’attacco dalle dimensioni maggiori è stato di 253 Gbps, un dato superato già a febbraio 2021 con un attacco da 500 Gbps. Il record è stato nuovamente infranto a novembre con un attacco di 1,4 Tbps, più di cinque volte superiore rispetto al record dell’anno precedente.
L’attacco ha preso di mira un cliente ISP/hosting e la larghezza di banda massima dell’attacco è stata raggiunta in soli 1,5 minuti ed è durata, in totale, solo quattro minuti, sfruttando una combinazione di metodi volumetrici (DNS reflection) e a livello di applicazione (HTTPS GET floods).
La complessità è in aumento
Gli attacchi volumetrici, che utilizzano strumenti e servizi pubblicamente disponibili per inondare la rete di un obiettivo con una larghezza di banda superiore a quella che può gestire, hanno continuato a essere la forma più comune di DDoS nel 2021, contribuendo per il 59% del totale degli attacchi registrati. Questo dato è in leggero calo rispetto al 66% dell’anno precedente, ma aumenta la quota degli attacchi DDoS a specifici protocolli e a livello di applicazione: nel caso di quest’ultimo tipo di attacco, siamo di fronte ad un incremento del 5% su base annua.
Questo leggero spostamento è stato accompagnato da un cambiamento nell’utilizzo dei protocolli. Il 27% degli attacchi nel 2021 ha sfruttato il protocollo TCP, un dato in aumento rispetto al 17% dell’anno precedente, e che è indicativo rispetto ai requisiti di attacchi sempre più complessi alle applicazioni e basati su protocolli.
In termini di metodo di attacco specifico, ci sono stati alcuni cambiamenti notevoli nella diffusione: gli attacchi alle query DNS sono oggi più comuni, con un aumento del 3,5% rispetto all’anno precedente e l’uso della frammentazione UDP è diminuito del 6,5%. Anche gli attacchi di tipo LDAP Reflection sono diminuiti del 4,6%, mentre quelli di DNS Reflection del 3,3%.
“Insieme ai cambiamenti nella tipologia di attacco, abbiamo continuato a osservare una forte prevalenza di attacchi multivettoriali, tra cui l’episodio da 1,4 Tbps, che utilizzano una combinazione di DNS Reflection e HTTPS GETS”, ha detto Warburton. “Un aspetto particolarmente evidente all’inizio dell’anno, quando gli attacchi multivettoriali hanno superato significativamente quelli a vettore singolo, e che evidenzia uno scenario sempre più impegnativo per la protezione dalle minacce, dove i responsabili della sicurezza dovranno impiegare un numero sempre maggiore di strategie in parallelo per mitigare questi attacchi più sofisticati e prevenire un Denial of Service”.
Servizi finanziari nel mirino
I servizi bancari, finanziari e assicurativi (BFSI) sono stati il settore più bersagliato dai DDoS nel 2021, sottoposti a più di un quarto del volume complessivo degli attacchi, un dato in linea con il trend costante che vede gli attacchi contro le BSFI in aumento dall’inizio del 2020.
Al contrario il settore più bersagliato del 2020, quello tecnologico, è sceso al quarto posto dietro le telecomunicazioni e l’istruzione. Insieme, questi quattro settori hanno registrato il 75% di tutti gli attacchi, seguiti da tante altre realtà nel mondo dell’energia, della vendita al dettaglio, della sanità, dei trasporti e giuridico.
“Anche se il numero di attacchi è leggermente diminuito nel 2021, il problema DDoS non si sta affatto attenuando. La dimensione e la complessità di questi attacchi crescono, obbligando le aziende ad una risposta più veloce e articolata”, ha aggiunto Warburton. “Anche se è ragionevole mettere in dubbio l’efficacia di attacchi che possono durare solo pochi minuti, gli attori delle minacce sanno che anche una breve interruzione del servizio può avere conseguenze significative e un impatto negativo sul brand e sulla reputazione”.
“Per affrontare attacchi DDoS sempre più sofisticati e articolati, le organizzazioni dovranno adottare misure sempre maggiori, come i controlli upstream per ispezionare e limitare il traffico che raggiunge gli endpoint, e affidarsi a managed service provider, in grado di lavorare insieme ai loro team di sicurezza sia per prevenire gli attacchi che per mitigare rapidamente quelli in corso”.
[1] 1F5® Silverline® DDoS Protection è un servizio offerto attraverso la piattaforma cloud-based F5 Silverline. Rileva e mitiga gli attacchi DDoS in tempo reale, con la larghezza di banda di mitigazione degli attacchi DDoS leader del settore, per impedire che anche il più grande attacco DDoS volumetrico possa raggiungere una rete aziendale. Gli esperti di sicurezza F5 sono disponibili 24x7x365 per mantenere il business online anche quando l’attacco DDoS è in corso, grazie alla protezione dagli attacchi DDoS completa e multilivello.