Nel secondo trimestre del 2018 si sono verificati attacchi DDoS da botnet in 74 paesi. Lo evidenzia un report di Kaspersky Lab, secondo cui per la prima volta nella storia dei report di DDoS Intelligence, Hong Kong si posiziona al secondo posto fra le regioni più attaccate. La Cina e gli Stati Uniti sono rimasti rispettivamente al primo e al terzo posto, mentre la Corea del Sud è scesa al quarto. Le risorse più attaccate a Hong Kong sono state quelle ospitanti servizi e piattaforme di cloud computing. Inoltre, sempre in questo periodo, Hong Kong è stata sostituita dal Vietnam nella Top 10 dei paesi che ospitano i server C&C più attivi. Gli Stati Uniti, nel frattempo, sono diventati i capofila di questa classifica, con quasi la metà (il 45%) di tutti i server C&C attivi per la gestione di botnet durante il periodo in analisi.
L’attività delle botnet per attacchi DDoS basate su Windows è diminuita di quasi sette volte; quella delle reti con base Linux, invece, è cresciuta del 25%. Ciò ha comportato che il 95% di tutti gli attacchi DDoS del trimestre fossero basati su Linux via bot, con un forte aumento della quota di attacchi DDoS di tipo SYN flood, dal 57% all’80%.
I cybercriminali hanno deciso di scavare nel passato e utilizzare per i loro attacchi vulnerabilità davvero molto datate. Gli esperti, infatti, hanno segnalato la presenza di attacchi DDoS che impiegano una vulnerabilità nel protocollo di rete Universal Plug and Play (UPnP), nota sin dal 2001, mentre i ricercatori del DDoS Protection Team di Kaspersky Lab hanno avuto modo di osservare un attacco organizzato utilizzando una vulnerabilità nel protocollo CHARGEN, che risale al 1983. Tuttavia, la capacità di utilizzare delle vecchie tecniche non ha impedito ai criminali informatici di dare vita a nuove botnet. Ad esempio, in Giappone sono state utilizzate 50.000 telecamere di videosorveglianza per sferrare attacchi DDoS.
Inoltre, i metodi più diffusi per trarre profitto da questi attacchi rimangono le criptovalute e lo scambio di valute. Un esempio è quello della criptovaluta Verge, che ha visto i cybercriminali attaccare le mining pool e rubare circa 35 milioni di XVG approfittando della confusione che ne è conseguita.
Anche le piattaforme di gioco continuano ad essere prese di mira, in particolar modo durante i tornei di eSport. Secondo Kaspersky Lab, gli attacchi DDoS riguardano non soltanto i server di gioco, ma gli stessi giocatori. Un attacco DDoS organizzato ai danni di un giocatore chiave può facilmente portare alla perdita da parte del team o all’eliminazione da un torneo. Stessa cosa per lo streaming: la competizione in questo settore è intensa, le tecniche simili e, utilizzando gli attacchi DDoS, i criminali informatici possono interferire con le trasmissioni online e, di conseguenza, con i guadagni di certe aziende del settore.
«Dietro un attacco DDoS possono esserci svariate motivazioni: si va dalla protesta politica o sociale alla vendetta personale, fino alla semplice competizione. Tuttavia, nella maggior parte dei casi questo tipo di attacco viene portato avanti per scopi economici: per questo motivo i cybercriminali, di solito, prendono di mira aziende e servizi che producono molti guadagni. Gli attacchi DDoS possono fungere da cortina di fumo per nascondere un furto di denaro o per mascherare la richiesta di un riscatto per l’annullamento di un attacco. Le somme di denaro guadagnate grazie ad un’estorsione o ad un furto possono ammontare a decine o centinaia di migliaia di dollari, in qualche caso anche a milioni. In questo contesto, la protezione da attacchi DDoS pare essere davvero un ottimo investimento», commenta Alexey Kiselev, Project Manager del Kaspersky DDoS Protection team.
