Il 2021 in rassegna: Denial of Service


This post is also available in: Inglese Francese Tedesco Portoghese, Brasile Spagnolo Russo

Il 2021 è stato per il settore della sicurezza un anno turbinoso. In aggiunta alla pandemia da COVID ancora in corso, gli attori di minacce hanno continuato ad evolversi a una velocità allarmante durante tutto l’anno, spingendo i confini del panorama attuale verso nuovi limiti e portando molti di noi a chiedersi se il nostro settore possa tenere il passo con il crescente e sempre più ricco di risorse complesso criminale.  

Nell’anno appena trascorso, abbiamo visto anche operazioni penali e di attacco lanciate dalle forze dell’ordine con scarso successo. Abbiamo anche visto gli attori di minacce imparare dagli errori precedenti e diventare meno attivi sulle principali piattaforme di social media.  Ci sono stati inoltre significativi progressi nel panorama Ransom Denial of Service e una partnership crescente tra operatori Ransomware e DDoS. E come sempre, abbiamo visto registrare nuovi record DDoS. 

Attività delle forze dell’ordine nel 2021 

Quest’anno, per quanto riguarda il Denial of Service, l’attività delle forze dell’ordine e le operazioni di attacco contro gli attori di minacce hanno avuto un impatto minimo sul panorama delle minacce DDoS. Per esempio, quest’anno i servizi segreti ucraini (SSU) hanno arrestato un uomo per aver creato e gestito una botnet con oltre 100.000 nodi infettati. La polizia olandese ha inviato lettere di notifica a 29 residenti avvertendoli che erano stati identificati come utenti di un servizio DDoS-for-Hire. Infine, il Dipartimento di Giustizia degli Stati Uniti ha accusato un cittadino turco di aver condotto attacchi DDoS tramite una botnet basata su smartphone Android, WireX.   

In generale, si potrebbe pensare che le operazioni penali e di attacco lanciate dalle forze dell’ordine dovrebbero rappresentare un deterrente sufficiente per rallentare la crescente marea di operatori DDoS, ma non è così. Nel Q3 2021, Radware ha annunciato che nei primi nove mesi del 2021 avevamo mitigato il 75% in più di attacchi DDoS rispetto al 2020. Tutto ciò confermava le previsioni, dato che nel 2020 i nostri ricercatori avevano notato un aumento dei servizi DDoS-for-Hire durante l’inizio della pandemia, nonostante i numerosi tentativi delle forze dell’ordine nell’anno precedente di impedire la crescita del panorama delle minacce DDoS.  

In fondo, la questione è il profitto. A questo punto, per gli attori di minacce ci sono troppi soldi sul tavolo per pensare di abbandonare il panorama DDoS. Oggi, quando un operatore DDoS viene rimosso dal panorama delle minacce, altri operatori sono semplicemente pronti a prenderne il posto.  

Eludere i radar 

I soggetti non motivati dal profitto, principalmente gli hacktivisti, hanno imparato alcune lezioni dal passato, mentre nel 2021 nuovi gruppi hanno iniziato a cambiare procedura. Per esempio, il gruppo di hacker DragonForce, che ha lanciato diversi attacchi informatici contro Israele nella primavera e nell’estate 2021, ha abbandonato le piattaforme convenzionali di social media e creato un proprio forum per svolgere le sue attività.  

Questo di quest’anno è stato un cambiamento interessante anche se previsto. All’inizio del 2021, anche l’underground criminale ha iniziato ad avere difficoltà a trattare con operatori ransomware e affiliati sfacciati che operavano apertamente su forum pubblici, in modo analogo a quando gli hacktivisti organizzavano e conducevano campagne DDoS su piattaforme di social media. Come risultato di ciò, attori di minacce sono stati censurati o bannati da tali forum malevoli. 

Sembra che nel 2021 i gruppi hacktivisti stiano imparando come sottrarsi alla visibilità pubblica, autogovernarsi e gestire le loro piattaforme al riparo dai radar senza paura di essere de-hostati. Di conseguenza, le lezioni apprese renderanno più difficile per gli analisti rintracciare gli attori di minacce, dato che le conversazioni si allontanano dalle piattaforme centralizzate e si trasferiscono su forum multipli, sconosciuti e specializzati sparsi qua e là su internet.  

[Ti potrebbe interessare anche: Cyber 2022 Predictions About Open Banking]

RDoS in crescita 

All’inizio del 2021, Radware ha pubblicato un avviso riguardante un gruppo Ransom Denial of Service (RDoS) che si rivolgeva nuovamente alle vittime  già prese di mira nell’estate 2020. Nelle nuove lettere RDoS, il gruppo dichiarava che le aziende prese di mira non avevano risposto o pagato la richiesta di riscatto della campagna dell’agosto 2020 e, conseguentemente, sarebbero state il bersaglio di un attacco DDoS qualora non avessero pagato.  

Per quanto questo evento fosse degno di nota, era solo l’inizio di quello che sarebbe diventato un anno impressionante in termini di attacchi RDoS. Nel giugno 2021, durante un episodio di Threat Research Live di Radware, discutendo della campagna Fake DarkSide lanciata contro il settore energetico e alimentare, avevo previsto che presto gruppi RDoS avrebbero sfruttato i nomi di gruppi ransomware. Tre mesi dopo, un’ondata di attacchi RDoS ha iniziato a prendere di mira provider VoIP. In particolare, durante l’attacco a VoIP.ms, gli attori di minacce chiamarono sé stessi REvil, un noto gruppo ransomware appena tornato nel panorama delle minacce dopo essere completamente scomparso in seguito all’attacco ransomware Kaseya VSA.  

Le maggiori campagne RDoS mirate a più provider VoIP come VoIP.ms, Voipfone, VoIP Unlimited e Bandwidth.com hanno suscitato preoccupazione in quanto ad essere colpita è stata l’infrastruttura critica, inducendo Comms Council Uk a rilasciare un avvertimento generale dichiarando che nel mese di ottobre era in corso una “campagna internazionale coordinata incentrata sull’estorsione da parte di criminali informatici professionisti” e mirata ai fornitori di servizi di comunicazione IP-based. E per quanto in passato gli attacchi RDoS siano stati generalmente considerati una minaccia di basso livello facile da mitigare, una delle vittime, Bandwidth.com, dovrebbe registrare una perdita fino a 12 milioni di dollari per un tentativo di estorsione DDoS come risultato dell’interruzione del servizio. Un segno del fatto che le minacce RDoS si stanno evolvendo.  

Una terza ondata significativa di attacchi RDoS è stata osservata alla fine dell’anno, nello stesso periodo in cui l’industria VoIP era sotto attacco. Tale evento ha assunto la forma di una campagna RDoS contro diversi provider di posta elettronica quali Runbox, Posteo e Fastmail. Uno degli elementi più significativi di questa campagna era il fatto che un gruppo che si faceva chiamare il “Patriarca Maledetto” chiedeva circa 4.000 dollari. Un importo simile a quello richiesto durante le campagne RDoS originariamente lanciate contro fornitori di posta elettronica nel 2015.  

Andando verso il 2022, mi aspetto che il panorama RDoS continui ad evolversi e alla fine si fonda con il più vasto panorama delle minacce ransomware. 

Combinare le forze: Ransomware + DDoS  

Ti stai chiedendo qual è la differenza tra Ransomware e un attacco RDoS? Non preoccuparti. La cosa può confondere. Fortunatamente, il Responsabile Threat Intelligence di Radware, Pascal Geenens, a scritto recentemente un blog sulla differenza tra i due.  In sintesi, gli attacchi ransomware sfruttano un malware di criptoblocco che distrugge i sistemi e rende i dati inaccessibili fino al pagamento di un riscatto. Gli attacchi RDoS sono un po’ diversi. Un attacco di questo tipo sfrutta un attacco Denial of Service per causare la degradazione del servizio o interruzioni di rete ed estorcere le vittime.  

Qual è il problema? Gli operatori ransomware stanno ora iniziando a impiegare operatori DDoS come parte di ciò che è noto come tripla estorsione. Un attacco ransomware a singola estorsione consiste soltanto nella crittografia dei dati sul dispositivo preso di mira. Un attacco ransomware a doppia estorsione comporta l’esfiltrazione dei dati criptati con la minaccia di pubblicarli se non viene pagata una richiesta di riscatto. Una tripla estorsione si ha quando un operatore ransomware usa attacchi Denial of Service contro la rete presa di mira per riportare i negoziatori al tavolo. Nel 2020, operatori ransomware quali SunCrypt e RagnarLocker hanno usato attacchi Denial of Service durante le negoziazioni. Nel 2021 si sono aggiunti Avaddon, Darkside, Yanluowang ed HelloKitty che usano attacchi Denial of Service durante le loro campagne ransomware.  

Sviluppo delle botnet 

Nel mondo delle botnet DDoS, quest’anno ha visto alcuni significativi abbattimenti e sviluppi nel panorama delle minacce. Per esempio, all’inizio del 2021, molti ricercatori IoT hanno seguito con attenzione gli sviluppi relativi a una botnet P2P nota come Mozi. 360 Netlab è stato il primo a rivelare la botnet nel 2019; da allora questa è cresciuta passando da piccola botnet a una minaccia avanzata e multi-modulo. Ma nell’estate 2021, 360 Netlab ha annunciato che Mozi era morta a causa dell’arresto dell’operatore in Cina. Per quanto questa sia un’ottima notizia, la maggior parte di noi si rende conto di quanto tempo ci vorrà prima che questa botnet muoia veramente. Anche se non riceverà più aggiornamenti, continuerà comunque a diffondersi per qualche tempo a causa della sua architettura e del suo design. Analogamente al lungo strascico della botnet XTC/Hoaxcall, ci vorranno probabilmente degli anni prima che scompaia. Sfortunatamente, non si può abbattere una botnet P2P in un solo colpo. Questa botnet morirà e scomparirà ufficialmente solo quando i dispositivi di rete presi di mira saranno tutti riavviati, aggiornati o sostituiti.  

Un’altra botnet che fatto molto parlare di sé nel 2021 è stata Manga/Dark.IoT. Questa botnet è stata anche esaminata da Juniper e Palo Alto Networks nel corso dell’anno. La botnet Manga/Dark.IoT non ha rivelato niente di straordinario durante l’analisi. Si tratta di una tipica botnet IoT basata su Mirai che si attacca al suo vettore primario di minaccia, gli attacchi DDoS, e non diversifica le sue operazioni per il mining di criptovalute o il furto di dati. L’unica cosa che spiccava riguardo a questa minaccia era la capacità dell’operatore di evolversi ed espandere rapidamente le proprie capacità di botnet incorporando nel loro arsenale exploit recentemente divulgati. Per esempio, nel marzo 2021, i ricercatori Unit42 di Palo Alto Networks hanno riferito che gli operatori dietro questa botnet avevano sfruttato CVE-2021-27561 e CVE-2021-27562 a poche ore dalla divulgazione della vulnerabilità 

Quest’anno, la campagna Manga/Dark.IoT ha anche fornito ai ricercatori diverse opportunità per esplorare i tentativi e gli errori che gli attori di minacce devono affrontare per costruire e sviluppare una botnet DDoS. Una delle principali sfide da affrontare nel costruire una botnet su larga scala è competere con altri attori di minacce per le risorse vulnerabili. Quelli che non possono sviluppare o scoprire exploit si affidano alla divulgazione pubblica. Una volta che viene pubblicato un PoC, è una corsa ad essere i primi a sfruttare l’exploit e raccogliere quanti più dispositivi vulnerabili possibile. Questo processo va per tentativi ed errori e alcuni attori di minacce non sempre riescono a sfruttare correttamente le vulnerabilità, mentre quelli che lo fanno potrebbero scoprire che il tentativo non valeva il tempo e sforzo spesi. Nel 2021, gli operatori dietro la botnet Manga/Dark.IoT hanno approfittato di quasi due dozzine di exploit. Più recentemente, nel dicembre 2021, la botnet è stata osservata prendere di mira router TP-Link

Attacchi DDoS degni di nota 

Onestamente, sono stupito che nessuno abbia rivendicato gli attacchi DDoS da record che sto per descrivere. Non è passato molto tempo da quando gli hacktivisti e gli operatori DDoS rivendicavano i loro attacchi, o gli attacchi di altri…, sui social media. Ma oggi, “tutti zitti” sembrano essere le parole preferite dagli attori di minacce. Quest’anno abbiamo visto succedersi attacchi DDoS da record uno dopo l’altro, senza alcuna rivendicazione dall’underground. In alcuni casi, operatori ransomware come Lockbit si sono rivolti a forum underground per chiedere chi avesse lanciato un attacco e se la loro botnet o i loro servizi fossero disponibili. Con questo nuovo trattamento del silenzio, è diventato sempre più difficile tracciare l’attività criminale, ma una cosa è chiara, i cattivi di oggi hanno cannoni DDoS sempre più potenti.  

Per esempio, nell’agosto 2021, Cloudflare ha riferito di aver rilevato un attacco da record mondiale, 17,2Mrps (milioni di richieste al secondo), originatosi da 20.000 bot in 125 paesi. Meno di un mese dopo, Qrator ha riferito di aver rilevato un simile attacco da record da 21,8Mrps da quasi 56.000 dispositivi MikroTik. Questi attacchi DDoS massicci sono durati soltanto circa 60 secondi, lasciando molti ricercatori a chiedersi chi e cosa ci fosse dietro questi attacchi.  

Come indicato dai primi rapporti, la responsabile di questi due attacchi è ritenuta Meris. Si ritiene che Meris sia una botnet IoT su larga scala che sfrutta router MikroTik compromessi e HTTP pipelining per lanciare attacchi DDoS volumetrici brevi ma su larga scala attraverso una rete di proxy SOCKS.  

Un mese dopo gli attacchi originali di Meris, Microsoft ha riferito di aver rilevato e mitigato un attacco DDoS da 2,4Tbps (Terabits al secondo) contro un cliente Azure in Europa. La fonte dell’attacco sembrerebbe provenire da quasi 70.000 bot da più paesi della regione Asia-Pacifico, analogamente a quanto riportato per Meris. Come per gli altri attacchi, anche questo è stato di breve durata, con lo scoppio principale durato solo 60 secondi.  

Per quanto restino in sospeso alcune questioni in merito a Meris e alla sua origine, tali attacchi evidenziano un panorama di minacce crescente e in costante evoluzione attorno agli attacchi DDoS. Per il 2022 prevedo che vedremo una progressione e un’evoluzione del panorama delle minacce con conseguenti attacchi DDoS più significativi, poiché gli attori di minacce imparano a massimizzare le risorse dei loro bot e mantengono il silenzio sulle loro attività. 

Il futuro 

Guardando oltre Meris e tutti gli altri progressi di quest’anno, possiamo dire entrando nel 2022 che gli attacchi DDoS non scompariranno mai dal panorama delle minacce.  Per quanto molti sottovaluteranno la minaccia come banale o gli attori come skid di basso livello, nel nuovo anno scopriranno rapidamente che un attacco non deve essere necessariamente complesso per essere efficace. 

Nel 2022, spero che le cose comincino a normalizzarsi per la società, ma in realtà dobbiamo iniziare a prepararci a un futuro totalmente da remoto e digitalmente dipendente. Per sostenere questo futuro, i governi di tutto il mondo, in collaborazione con il grande complesso della sicurezza, devono trovare un modo migliore per contrastare con successo gli attori di minacce e imparare a controllare il panorama delle minacce. Solo allora saremo in grado di tenere il passo con un nemico ben dotato di risorse.  

[Ti è piaciuto il post? Registrati subito per ricevere ogni settimana le ultime novità Radware direttamente nella tua email oltre all’accesso esclusivo al Premium Content di Radware.]

Daniel Smith

Daniel is the Head of Research for Radware’s Threat Intelligence division. He helps produce actionable intelligence to protect against botnet-related threats by working behind the scenes to identify network and application-based vulnerabilities. Daniel brings over ten years of experience to the Radware Threat Intelligence division. Before joining, Daniel was a member of Radware’s Emergency Response Team (ERT-SOC), where he applied his unique expertise and intimate knowledge of threat actors’ tactics, techniques, and procedures to help develop signatures and mitigate attacks proactively for customers.

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

CyberPedia

An Online Encyclopedia Of Cyberattack and Cybersecurity Terms

CyberPedia
What is WAF?
What is DDoS?
Bot Detection
ARP Spoofing

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center