Aumentano le preoccupazioni legate agli attacchi DDoS, Distributed Denial-of-Service, azioni hacker che impediscono il funzionamento normale di un sistema, ad esempio un web server, sovraccaricando la banda entrante così da renderla temporaneamente inaccessibile.
Le richieste che saturano la banda durante l’attacco sono inviate contemporaneamente da diversi punti della rete sfruttano le Botnet, eserciti di computer che a insaputa dei legittimi proprietari generano grandi quantità di traffico.
Se una volta gli attacchi DDoS erano competenza di attivisti e operazioni state-sponsored, in quanto arrestando le attività procuravano soprattutto disservizi e danni di reputazione ma non serie perdite economiche, oggi anche gli attacchi DDoS si stanno trasformando in azioni criminali condotte a scopo di lucro.
Attacchi DDoS sempre più sofisticati
Gli attacchi DDoS sono sempre più sofisticati. Come descrive Penny Crosman in “Banks Lose Up to $100K/Hour to Shorter, More Intense DDoS Attacks”, attacchi DDoS possono servire a testare le capacità di risposta di una Banca, o a distrarla da un’altra forma di attacco in corso, come ad esempio una frode bancaria. Inoltre, come dichiara il team iDefense di Verisign, gli attacchi DDoS oggi prendono di mira anche ATM e sistemi Point-of-sale, in particolare quelli con sistemi operativi non aggiornati (situazione purtroppo molto frequente).
Una nuova forma di attacco DDoS apparsa di recente è quella basata su Advertising Network e su device mobile come smartphone e tablet per la generazione del traffico. Secondo gli esperti gli attacchi DDoS Mobile-based saranno più frequenti in futuro con la disponibilità di connessioni a banda larga maggiormente stabili per i device mobile.
Gli attacchi avvengono in simultanea con azioni sui Social, in modo da mettere ancora più in imbarazzo le aziende che già devono confrontarsi con interruzioni del servizio e quindi con notevoli disservizi interni o verso la clientela. Possono essere acquistati servizi di DDoS-as-a-service o DDoS-for-hire, cosicché anche i più inesperti sono in grado di sferrare azioni di questo tipo.
Nell’ultimo anno l’aspetto più preoccupante è però stata la diffusione di attacchi DDoS a fini di estorsione. Chi sì è dimostrato particolarmente efficace in questo campo è un gruppo di hacker denominato DD4BC, che è riuscito a tenere in ostaggio svariate organizzazioni minacciando DDoS e obbligandole a pagare in Bitcoin per fermare l’azione.
Attacchi DDoS con ricatto: le attività del gruppo DD4BC
Secondo il report “Case study: summary of operation DD4BC” pubblicato il 9 settembre da Akamai, gli attacchi attribuibili a DD4BC hanno avuto un’impennata negli ultimi mesi, come mostra la figura successiva, un dato che è confermato da rilevazioni simili effettuate da Verisign e Arbor Networks.
L’associazione americana Finra (Financial Industry Regulatory Authority) ha riportato in una nota informativa che lo scorso giugno molti attacchi DD4BC sarebbero stati rivolti al settore finanziario. Sarebbe stato utilizzato sempre con lo stesso schema: una email che minacciava l’attacco con richiesta di riscatto in Bitcoin (da pagare entro 24 ore) e una dimostrazione immediata, un’ora dopo la mail, della capacità di portare a termine l’attacco. Se la prima mail veniva ignorata, nel giro di poche ore ne arrivava una seconda, con un pagamento più elevato, e con l’inizio di un attacco dell’ordine di 1 – 5 Gigabit. Se la vittima aspettava ancora a pagare, dopo 24 ore l’attacco aumentava intensità, arrivando a 10 – 40 Gigabit.
Anche secondo il Report Akamai, il 58% degli attacchi DD4BC rilevati erano rivolti a istituti finanziari. In precedenza invece queste forme di cyber threat sono state indirizzate a società di Currency Exchange, a siti di giochi online, a società ICT e Cloud provider.
Un problema ulteriore delle cyber estorsioni è il pagamento del riscatto: molti esperti consigliano di evitare di pagare, perché il pagamento non assicura che l’azione possa essere ripetuta. In un caso citato da una nota di Akamai, il gruppo DD4BC avrebbe chiesto 24 Bitcoin per il riscatto (una somma pari a 5.548 dollari). In generale poi per una banca non è così semplice procurarsi Bitcoin.
Come rispondere al problema
Le organizzazioni soprattutto in Italia cominciano soltanto oggi a chiedersi se è possibile prevenire o comunque mitigare la portata di un attacco DDoS. Qualsiasi mitigazione dell’attacco deve passare attraverso 3 fasi:
- Analizzare in tempo reale e a grande velocità tutti i pacchetti
- Aspirare traffico in entrata sul server oggetto dell’attacco
- Mitigare e ripulire (cleansing), cioè reperire tutti pacchetti IP non legittimi, lasciando passare solo il traffico valido.
Gli esperti raccomandano però di mettere in piedi strategie complete a più livelli, che prevedano anche azioni di mitigazione sulla rete da parte del Service Provider. Un tema importante è la valutazione degli effetti di un attacco DDoS, in termini di interruzione del servizio, danno alla reputazione, la valutazione quindi di un possibile danno economico da commisurare al costo della mitigazione, e infine, il set up di una serie di attività di Incident Response da attuare nel caso di un attacco.
A cura di:
Elena Vaciago, The Innovation Group