Gli attori delle minacce innovano e ripensano continuamente i loro schemi di attacco, così come i destinatari degli attacchi. Questo è chiaramente visibile nel loro obiettivo dei fornitori di servizi VoIP (Voice over Internet Protocol), come evidenziato nel rapporto sulle minacce di NETSCOUT per il 2° semestre 2021.
Perché prendere di mira i provider VoIP?
La risposta breve è il guadagno economico. Gli aggressori sanno che la distruzione dei provider VoIP che forniscono servizi a un gran numero di clienti è molto dolorosa e quindi è adatta per l’estorsione.
Gli aggressori informatici hanno lanciato tre campagne di attacco DDoS (Distributed Denial-of-Service) a livello mondiale nel 2021 un nuovo sorprendente risultato portato a termine da un emulatore di REvil, Lazarus Bear Armada (LBA) e Fancy Lazarus. Ma gli attori delle minacce non si sono limitati a incrementare tali attacchi globali.
Hanno anche concentrato l’attenzione su obiettivi apparentemente ignorati in passato, come dimostrano gli attacchi contro i provider VoIP. In un caso, un attacco DDoS di estorsione condotto dall’emulatore REvil ha provocato una perdita di fatturato stimata in diversi milioni di dollari per il provider VoIP.
Inizialmente, i fornitori VoIP al dettaglio e all’ingrosso con sede nel Regno Unito sono stati gli obiettivi della campagna. Sono seguiti attacchi contro operatori VoIP dell’Europa occidentale e del Nord America. L’impatto massiccio dell’attacco è stato rivelato quando un singolo grossista VoIP ha presentato un modulo alla Securities and Exchange Commission (SEC) statunitense, stimando il costo totale dell’attacco DDoS tra i 9 e i 12 milioni di dollari.
Ma gli aggressori non si sono fermati qui. Diversi provider VoIP di tutto il mondo sono stati messi offline a seguito di campagne di estorsione DDoS. Per comprendere meglio questi attacchi, è utile sapere che i provider VoIP e le loro infrastrutture rientrano in due verticali principali, definiti dai codici del Sistema di classificazione industriale nordamericano: tutte le altre telecomunicazioni e l’hosting di elaborazione dati e servizi correlati (cloud computing).
I provider VoIP che rientrano nel codice “tutte le altre telecomunicazioni” hanno registrato un aumento del 93% degli attacchi rispetto alla prima metà del 2021. Nel frattempo, si è registrato un netto aumento degli attacchi contro i provider VoIP che rientrano nel codice “hosting di elaborazione dati e servizi correlati“, soprattutto quelli situati nell’area EMEA. In effetti, i provider VoIP della categoria “hosting di elaborazione dati e servizi correlati” sono stati il principale obiettivo in EMEA nella seconda metà del 2021.
In diversi casi, tra cui quelli elencati di seguito, i provider VoIP hanno riconosciuto pubblicamente gli attacchi.
L’amministratore delegato di bandwidth.com ha rilasciato una dichiarazione nel settembre 2021 in cui riconosceva che l’azienda era stata presa di mira con attacchi DDoS continui. “Anche se abbiamo attenuato gran parte dei danni previsti, sappiamo che alcuni di voi sono stati colpiti in modo significativo da questo evento“.
Nel settembre 2021 Bleeping Computer ha riferito che il provider VoIP VoIP.ms è stato colpito da un attacco DDoS che ha preso di mira i suoi server di nomi DNS. L’attacco ha interrotto i servizi di telefonia, tra cui perdita di servizio, caduta delle chiamate, scarse prestazioni e impossibilità di inoltrare le linee. Un attore di minacce che sostiene di essere REvil ne ha rivendicato la responsabilità e avrebbe detto che l’attacco poteva essere fermato per un bitcoin, o l’equivalente di 45.000 dollari.
ZDNet ha riportato che anche Voip Unlimited, con sede nel Regno Unito, è stata colpita da un attacco DDoS a settembre da un gruppo che sostiene di essere REvil. L’amministratore delegato di Voip Unlimited ha dichiarato che l’azienda è stata colpita da un attacco DDoS allarmante e sofisticato, collegato a una “colossale richiesta di riscatto“, che ha causato la perdita intermittente o totale dei servizi.
