Sferrare attacchi DDoS non costa quasi niente a chi attacca e provoca invece gravi danni a chi li subisce, dall’interruzione dell’operatività alle ricadute economiche o di immagine. Anche questo è alla base dell’escalation di attacchi nel 2015, insieme alle crisi geopolitiche in atto come quella tra Russia e Turchia.
Per un attacco bastano 66 dollari
A guardare nel “listino prezzi” di un “operatore” che sferra attacchi DDoS (Distributed denial of service) su “commissione” è stata Arbor Networks: il “booter” russo aveva pubblicato un annuncio con il suo tariffario, poi intercettato da Arbor. Nell’avviso si parla di 60 dollari per un giorno o 400 dollari per una settimana, con il 10% di sconto su ordini da 500 dollari e il 15% di sconto su ordini da 1000 dollari.
Arbor ha fatto i conti relativi a quanto ha guadagnato il booter sferrando 82 attacchi tra luglio e ottobre 2015 conteggiando ricavi per 5.408 dollari, con un guadagno medio stimato per attacco di 66 dollari. Questo vuol dire che, mentre il costo medio sostenuto dalla vittima di un attacco DDoS è di circa 500 dollari al minuto (secondo l’ultima edizione del Worldwide Infrastructure Security Report della stessa Arbor), sferrare un attacco DDoS costa così poco che la barriera di ingresso per chi vuole nuocere a qualcuno è praticamente nulla: qualsiasi azienda può diventare potenzialmente vittima di un attacco DDoS dal momento che l’investimento necessario a lanciarlo è molto basso.
Lo studio Arbor ha approfondito una precedente ricerca (2014) dell’Asert nella quale erano state mappate alcune pubblicità di “booter” DDoS pubblicate su forum in lingua russa per promuovere infrastrutture botnet (reti infette) nascoste, dedicate agli attacchi DDoS. Arbor ha ulteriormente indagato analizzando un altro caso simile per provare a calcolare quanto denaro possa generare un servizio DDoS del genere.
“Questi dati mettono in evidenza l’estrema asimmetria economica degli attacchi DDoS tra chi li lancia e chi li subisce, così come l’importanza di disporre di robuste difese DDoS in tutte quelle organizzazioni il cui fatturato, servizio al cliente e altre funzioni di business importanti dipendano dalla propria presenza online”, sottolinea Arbor. A chi attacca bastano “PC, server e dispositivi IoT come i router domestici per la banda larga per creare un servizio DDoS commerciale senza incorrere in costi infrastrutturali o di banda”.
Attacchi DDoS: nel mondo è +149% in un anno
Non stupirà dunque l’ascesa di attacchi DDoS nel mondo: +149% nel 2015 rispetto al 2014 e +40% nel quarto trimestre dell’anno scorso rispetto al terzo trimestre, secondo l’ultimo State of the Internet-Security report di Akamai; quasi tutti (97%) sono attacchi a livello dell’infrastruttura (layer 3 e 4).
Rispetto agli anni precedenti, si tratta di attacchi DDoS relativamente limitati nella durata (in media, meno di 15 ore di blocco delle attività per chi li subisce), un trend che si lega proprio al fatto che spesso si tratta di attacchi “DDoS-for-hire”, cioè per i quali vengono ingaggiati servizi terzi di operatori con risorse It non massicce (in più i siti stresser/booter da cui si origina la maggior parte degli attacchi ha limiti di tempo di utilizzo). D’altro lato, le vittime sono maggiormente “bombardate”, con una media di 24 attacchi per cliente, ha censito Akamai nello studio, nel corso dell’ultimo trimestre 2015 (tre obiettivi sono stati colpiti ciascuno più di 100 volte e un cliente ha sofferto ben 188 attacchi).
Obiettivi e autori
Secondo Akamai, il 54% degli attacchi viene sferrato contro le aziende del gaming, il 23% contro quelle della tecnologia e del software. Da quali Paesi arrivano gli attacchi? Cina (28%), Turchia e (22%) e Stati Uniti (15%) sono le tre fonti top delle campagne DDoS, seguiti a distanza da Brasile (8%) e Russia (7%). Tuttavia queste statistiche non necessariamente indicano realmente dove si trovano gli autori degli attacchi perché questi tendono a mascherare la loro location tramite Virtual Private Server (VPS) e servizi di web hosting in località diverse. Secondo Akamai, molti dei botnet DDoS hanno origine in Asia e Est Europa e non negli Usa.
Turchia sotto attacco: colpa della crisi coi russi?
Un’altra ricerca, condotta da Nexusguard, individua nella Turchia non solo uno dei maggiori (possibili) Paesi d’origine per gli attacchi DDoS, ma anche una delle più frequenti vittime nel quarto trimestre 2015.
Nexusguard ha rilevato un aumento di dieci volte degli attacchi contro obiettivi turchi, fino a 30mila eventi al giorno, negli ultimi tre mesi dello scorso anno, mentre i target più bersagliati di Cina e Usa hanno subito “solo” qualche migliaio di attacchi (sotto i 10mila).
Questa impennata potrebbe essere una conseguenza delle tensioni politiche tra Turchia e Russia: “La Russia non è certo sprovveduta quando si tratta di sferrare attacchi DDoS in risposta a eventi politici”, si legge nel report. Così nel corso del quarto trimestre il volume è schizzato alle stelle e le aziende Turkcell e Turkish Telecom sono state i target più frequenti (rispettivamente 68mila e 42.500 attacchi).
“Gli eventi geopolitici ovviamente cambiano l’andamento degli attacchi”, spiega lo studio. “Non si tratta necessariamente di attacchi sponsorizzati da uno Stato, ma, anche se il governo fa semplicemente finta di non vedere, non è la prima volta che assistiamo a campagne DDoS del genere. Nessun Paese è innocente: pensiamo all’Iran contro gli istituti finanziari, alla Russia contro l’Estonia o la Georgia o agli Stati Uniti che chiudono un occhio sugli attacchi dell’hacktivista Jester” che bersaglia siti anti americani, jihadisti e omofobi.