Oggi, i bot infetti da malware vengono utilizzati per qualsiasi cosa, dal furto di password al lancio di alcuni degli attacchi di rete più dirompenti della storia. Un esempio calzante sono gli attacchi a percorso diretto da parte di botnet con capacità DDoS come Mirai, che vengono spesso sfruttati da gruppi come Killnet. Sfortunatamente, poiché la tecnologia di risoluzione delle minacce è migliorata nel tempo, anche gli autori delle minacce hanno dovuto ridimensionare le botnet in termini di dimensioni e capacità. Nell’ultimo anno Killnet ha effettuato attacchi in numerosi settori, tra cui i governi europei, gli aeroporti e il settore sanitario, con più di una dozzina di attacchi DDoS che hanno colpito reti ospedaliere statunitensi come Cedars-Sinai e Duke University Hospital. La conclusione è che nessun settore o ente governativo è immune da un attacco, quindi cosa si può fare per rimediare al danno prima che si verifichi?
Questo articolo esplorerà come mitigare gli attacchi a percorso diretto alla luce del fatto che gli autori delle minacce DDoS hanno modificato i loro metodi di attacco nelle ultime settimane e mesi. L’articolo esplorerà anche i dati recenti sulle botnet compatibili con DDoS e come eliminare questa minaccia emergente in modo efficace e rapido su scala globale.
L’evoluzione delle botnet
Sebbene le botnet esistano dagli anni ’90, sono cresciute in modo sorprendentemente veloce, soprattutto nell’ultimo anno. Solo nel 2022, sono stati osservati più di 1,35 milioni di bot provenienti da famiglie di malware come Mirai, Meris e Dvinis che prendevano di mira circa 93 paesi al giorno, ovvero metà del mondo.
Proprio come i principali fornitori di software continuano a innovarsi fornendo soluzioni più veloci, più sofisticate e più facili da usare, l’innovazione sta anche generando minacce alla sicurezza delle botnet. Ad esempio, i nuovi servizi DDoS-for-hire rendono più semplice che mai per chiunque lanciare attacchi coordinati e complessi contro aziende, organizzazioni o settori presi di mira. L’obiettivo di queste attività è spesso quello di distrarre i team di sicurezza con attacchi DDoS mentre i malintenzionati lavorano attivamente per esfiltrare i dati e utilizzare anche ransomware per bloccarli e renderli inaccessibili.
Sfortunatamente, le minacce delle botnet continueranno ad aumentare e ad evolversi nel tempo, così come le motivazioni dei malintenzionati. In generale, gli attacchi possono essere motivati da considerazioni finanziarie, vendette, obiettivi geopolitici, opportunità di riscatto o semplicemente intenti malevoli. Tutti, dai giocatori alle società finanziarie fino alle nazioni geopoliticamente vulnerabili, corrono rischi maggiori a causa di attacchi botnet sempre più sofisticati. Di conseguenza, tutti i tipi di organizzazioni devono essere più proattivi nel difendersi da questi tipi di attacchi per evitare possibili interruzioni della propria attività, dei servizi, della reputazione e dei profitti.
-Arresto degli attacchi diretti e del percorso ibrido
Quando si esaminano i recenti dati statistici sulla larghezza di banda della rete, sulla velocità di trasmissione e sulla frequenza degli attacchi, emerge il tema inquietantemente prevalente dell’aumento degli attacchi a percorso diretto provenienti da botnet. Attacchi di questa natura continuano a rappresentare una delle principali preoccupazioni per le organizzazioni IT di tutto il mondo. In effetti, questi tipi di attacchi sono aumentati del 18% negli ultimi tre anni, mentre gli attacchi tradizionali di riflessione/amplificazione sono diminuiti quasi dello stesso livello, evidenziando la necessità di un approccio di difesa ibrido per superare la fluttuante metodologia di attacco.
-Con gli attacchi a percorso diretto, gli autori delle minacce prendono di mira singole organizzazioni anziché prendere di mira indiscriminatamente i clienti dei fornitori di servizi Internet (ISP) e degli operatori wireless. L’aumento di questi tipi di attacchi che utilizzano meccanismi come SYN, ACK, RST e GRE Flood provocano interruzioni significative che sono sempre più difficili da mitigare.
L’aumento degli attacchi DDoS a percorso diretto è direttamente legato a due fattori: anti-spoofing o convalida dell’indirizzo di origine (SAV) e botnet di classe server. Per dirla semplicemente, in un tradizionale attacco DDoS di riflessione/amplificazione, è richiesto un indirizzo IP falsificato. Ma SAV rende impossibile al traffico di attacchi falsificati di attraversare reti progettate in modo intelligente. Questo non è un problema per un attacco DDoS a percorso diretto basato su TCP riuscito, poiché non è necessario che vengano falsificati per causare gravi danni. Inoltre, le botnet di classe server, come Mirai, possono lanciare simultaneamente più attacchi DDoS a percorso diretto, pur mantenendo la capacità di indirizzare elevate quantità di traffico di attacco verso obiettivi su richiesta.
Poiché le metodologie degli aggressori continuano ad evolversi e ad eludere le difese tradizionali, un approccio ibrido e adattivo alla difesa DDoS è ancora più critico che mai. In una moderna strategia di difesa DDoS, le organizzazioni dovrebbero combinare sistemi di rilevamento e mitigazione on-premise, adattivi e intelligenti con funzionalità di mitigazione on-demand basate sul cloud all’edge. Adottando questo approccio ibrido, le organizzazioni possono identificare e fermare in modo più chiaro e automatico tutti i tipi di attacchi DDoS prima che i malintenzionati colpiscano i servizi business-critical, in questo caso, impiegando attacchi a percorso diretto da botnet compatibili con DDoS.
Alla fine, gli aggressori continueranno a cercare nuovi modi per sferrare attacchi e continueranno a diventare più difficili da individuare. Pertanto, le Nazioni Unite chiedono alle organizzazioni di adottare una strategia di difesa ibrida più completa per proteggere i propri confini di rete. Adottare questo approccio fermerà gli attacchi DDoS a percorso diretto e migliorerà anche il livello di sicurezza generale di un’organizzazione per impedire che nuovi attacchi e botnet con funzionalità DDoS causino gravi danni alle reti ora e in futuro.
