Nel suo rapporto trimestrale sugli attacchi DDoS (Distributed Denial of Service), Lumen Technologies ha rivelato che l’azienda ha mitigato uno dei suoi più grandi attacchi di sempre, un attacco da 1,06 terabit al secondo (Tbps) che faceva parte di una campagna più ampia rivolta a una singola vittima. Nonostante le dimensioni e la complessità del tentativo di attacco, l’obiettivo non ha subito alcun downtime.
Le dimensioni non sono state l’unico elemento degno di nota dell’attacco fallito; faceva anche parte di una campagna più ampia in cui l’attore della minaccia ha cercato di sfruttare diverse tecniche. Queste tecniche sono indicate nel rapporto come tendenze emergenti del secondo trimestre.
Tendenza n. 1: sfruttare il cloud
Gli aggressori sfruttano i servizi basati sul cloud in modo fraudolento per aumentare in modo significativo la loro capacità di attacco.
Per avere successo in questo tipo di attacco, i criminali informatici mascherano l’acquisizione e il controllo dei servizi basati sul cloud attraverso host compromessi o servizi di anonimizzazione. L’aggressore abusa poi delle risorse dei provider cloud per lanciare attacchi volumetrici contro le vittime designate.
“L’utilizzo di provider di cloud e hosting per lanciare attacchi DDoS di grandi dimensioni crea una sfida unica, perché mette a rischio sia la vittima che il provider”, ha dichiarato Mark Dehus, direttore della divisione threat intelligence di Black Lotus Labs, il team di ricerca sulle minacce di Lumen. “I fornitori di cloud devono essere vigili per garantire che i loro servizi non vengano abusati. Devono inoltre disporre di metodologie di mitigazione per limitare l’impatto nel caso in cui un attore delle minacce ottenga un accesso non autorizzato o fraudolento alle risorse”.
Tendenza n. 2: Hit-and-run
L’analisi di Black Lotus Labs ha rivelato che l’attacco da 1,06 Tbps faceva parte di una campagna più ampia durata 12 minuti. L’attacco è iniziato con una serie di attacchi “hit-and-run”. Con questa tecnica, le vittime vengono in genere prese di mira con una serie di attacchi consecutivi o simultanei di dimensioni e durata relativamente ridotte. Gli attori delle minacce mettono in atto questi attacchi per valutare le difese di una potenziale vittima e determinare quali metodi di attacco – se ce ne sono – avranno successo.
La campagna più lunga che Lumen ha mitigato nel secondo trimestre è durata 21 giorni e 8 ore.
Tendenza n. 3: il bersaglio VoIP continua
Alla fine dello scorso anno, diversi ricercatori (tra cui Lumen) hanno iniziato a segnalare un aumento degli attacchi rivolti ai provider VoIP. Nel secondo trimestre del 2022, un vettore di attacco – SIP (Session Initiation Protocol) – si è distinto nei dati. Sebbene il numero di attacchi SIP che Lumen ha mitigato sia relativamente basso (solo l’1,84% di tutte le mitigazioni), ha rappresentato un aumento del 315% rispetto al primo trimestre del 2022 e del 475% rispetto al terzo trimestre del 2021.
Sebbene il numero di attacchi SIP sia basso rispetto ai metodi più collaudati, l’attacco SIP è considerato un approccio più chirurgico all’interruzione dei servizi VoIP rispetto ai metodi di forza bruta DDoS come il flooding TCP-SYN e l’amplificazione basata su UDP. Per ulteriori informazioni sulle precedenti ricerche di Lumen sugli attacchi VoIP, leggete il nostro rapporto DDoS Q4 2021.
“Le organizzazioni di ogni tipo possono essere vittime di attacchi DDoS”, ha dichiarato Dehus. “Utilizzando l’intelligence e la visibilità della piattaforma Lumen, Black Lotus Labs è in grado di proteggere i clienti Lumen DDoS con una migliore comprensione dell’elenco sempre crescente di minacce ai sistemi e ai dati aziendali critici”.
