Il y a quelques années, les agences de recherche et les prestataires de services de sécurité de l'information ont commencé à signaler nombre d'attaques DDoS. Mais dès le 1er trimestre 2019, les mêmes chercheurs ont signalé leur stupéfaction de 84%. Et puis tout est allé de mieux en mieux. Même la pandémie n'a pas contribué à l'atmosphère de paix - au contraire, les cybercriminels et les spammeurs ont considéré cela comme un excellent signal d'attaque, et le volume des DDoS a augmenté. .
Nous pensons que le temps des attaques DDoS simples et facilement détectées (et des outils simples capables de les empêcher) est révolu. Les cybercriminels parviennent désormais à dissimuler ces attaques et à les exécuter avec une sophistication croissante. L’industrie sombre est passée de la force brute aux attaques au niveau des applications. Elle reçoit des ordres sérieux pour détruire les processus commerciaux, y compris ceux qui sont totalement hors ligne.
Entrer dans la réalité
En 2017, une série d’attaques DDoS ciblant les services de transport suédois ont entraîné des perturbations prolongées. . En 2019, l'opérateur ferroviaire national du Danemark Les systèmes de vente sont tombés en panne. En conséquence, les distributeurs de billets et les portes automatiques n'ont pas fonctionné dans les gares et plus de 15 2019 passagers n'ont pas pu sortir. En XNUMX également, une puissante cyberattaque a provoqué une panne de courant à .
Les conséquences des attaques DDoS sont désormais ressenties non seulement par les utilisateurs en ligne, mais aussi par les personnes, comme on dit, IRL (dans la vraie vie). Alors que les attaquants ciblaient traditionnellement uniquement les services en ligne, leur objectif est désormais souvent de perturber les opérations commerciales. Nous estimons qu'aujourd'hui plus de 60 % des attaques ont un tel objectif : l'extorsion ou la concurrence déloyale. Les transactions et la logistique sont particulièrement vulnérables.
Plus intelligent et plus cher
Les DDoS continuent d’être considérées comme l’un des types de cybercriminalité les plus courants et à la croissance la plus rapide. Selon les experts, à partir de 2020, leur nombre ne fera qu’augmenter. Cela est dû à diverses raisons : à une transition encore plus importante du commerce en ligne en raison de la pandémie, au développement de l'industrie parallèle de la cybercriminalité, et même à .
Les attaques DDoS sont devenues « populaires » à une époque en raison de leur facilité de déploiement et de leur faible coût : il y a quelques années à peine, elles pouvaient être lancées pour 50 dollars par jour. Aujourd’hui, les cibles et les méthodes d’attaque ont changé, augmentant leur complexité et, par conséquent, leur coût. Non, les prix à partir de 5 $ de l'heure sont toujours dans les listes de prix (oui, les cybercriminels ont des listes de prix et des grilles tarifaires), mais pour un site Web protégé, ils exigent déjà 400 $ par jour, et le coût des commandes « individuelles » pour les grandes entreprises atteint plusieurs milliers de dollars.
Il existe actuellement deux principaux types d'attaques DDoS. Le premier objectif est de rendre une ressource en ligne indisponible pendant un certain temps. Les attaquants les chargent pendant l'attaque elle-même. Dans ce cas, l’opérateur DDoS ne se soucie pas du résultat spécifique et le client paie d’avance pour lancer l’attaque. De telles méthodes sont assez bon marché.
Le deuxième type concerne les attaques qui ne sont payées que lorsqu'un certain résultat est atteint. C'est plus intéressant avec eux. Ils sont beaucoup plus difficiles à mettre en œuvre et donc nettement plus coûteux, puisque les attaquants doivent choisir les méthodes les plus efficaces pour atteindre leurs objectifs. Chez Variti, nous jouons parfois des parties d'échecs entières avec des cybercriminels, où ils changent instantanément de tactique et d'outils et tentent de pénétrer dans plusieurs vulnérabilités à plusieurs niveaux à la fois. Il s’agit clairement d’attaques en équipe dans lesquelles les hackers savent parfaitement réagir et contrer les actions des défenseurs. Y faire face est non seulement difficile, mais aussi très coûteux pour les entreprises. Par exemple, l'un de nos clients, un grand détaillant en ligne, a maintenu pendant près de trois ans une équipe de 30 personnes dont la tâche était de lutter contre les attaques DDoS.
Selon Variti, les simples attaques DDoS menées uniquement par ennui, par pêche à la traîne ou par insatisfaction à l'égard d'une entreprise particulière représentent actuellement moins de 10 % de toutes les attaques DDoS (bien entendu, les ressources non protégées peuvent avoir des statistiques différentes, nous examinons nos données clients). . Tout le reste est l'œuvre d'équipes professionnelles. Cependant, les trois quarts de tous les « mauvais » robots sont des robots complexes, difficiles à détecter à l’aide de la plupart des solutions modernes du marché. Ils imitent le comportement d’utilisateurs ou de navigateurs réels et introduisent des modèles qui rendent difficile la distinction entre les « bonnes » et les « mauvaises » demandes. Cela rend les attaques moins visibles et donc plus efficaces.
Données de GlobalDots
Nouvelles cibles DDoS
Rapport Selon les analystes de GlobalDots, les robots génèrent désormais 50 % de tout le trafic Web, et 17,5 % d'entre eux sont des robots malveillants.
Les robots savent comment ruiner la vie des entreprises de différentes manières : outre le fait qu'ils « font planter » des sites Web, ils sont désormais également engagés dans l'augmentation des coûts publicitaires, en cliquant sur les publicités, en analysant les prix pour leur faire gagner un centime de moins et attirer les acheteurs et voler du contenu à diverses fins malveillantes (par exemple, nous avons récemment sur les sites dont le contenu est volé et qui obligent les utilisateurs à résoudre les captchas d’autres personnes). Les robots déforment considérablement diverses statistiques commerciales et, par conséquent, les décisions sont prises sur la base de données incorrectes. Une attaque DDoS est souvent un écran de fumée pour des crimes encore plus graves tels que le piratage informatique et le vol de données. Et maintenant, nous voyons qu'une toute nouvelle classe de cybermenaces a été ajoutée - il s'agit d'une perturbation du travail de certains processus commerciaux de l'entreprise, souvent hors ligne (puisque à notre époque, rien ne peut être complètement « hors ligne »). Nous constatons particulièrement souvent que les processus logistiques et la communication avec les clients sont interrompus.
"Non livrés"
Les processus métiers de la logistique sont essentiels pour la plupart des entreprises et sont donc souvent attaqués. Voici les scénarios d’attaque possibles.
Non disponible
Si vous travaillez dans le commerce en ligne, vous connaissez probablement déjà le problème des fausses commandes. Lorsqu’ils sont attaqués, les robots surchargent les ressources logistiques et rendent les marchandises indisponibles pour les autres acheteurs. Pour ce faire, ils passent un grand nombre de fausses commandes, égal au nombre maximum de produits en stock. Ces marchandises ne sont alors pas payées et sont renvoyées sur le site après un certain temps. Mais l'acte est déjà fait : ils ont été marqués comme « en rupture de stock », et certains acheteurs se sont déjà tournés vers des concurrents. Cette tactique est bien connue dans le secteur de la billetterie aérienne, où les robots « vendent » parfois instantanément tous les billets presque dès qu’ils sont disponibles. Par exemple, l’un de nos clients, une grande compagnie aérienne, a subi une telle attaque organisée par des concurrents chinois. En seulement deux heures, leurs robots ont commandé 100 % des billets vers certaines destinations.
Bots baskets
Le prochain scénario populaire : les robots achètent instantanément une gamme entière de produits, et leurs propriétaires les revendent plus tard à un prix gonflé (en moyenne une majoration de 200 %). De tels robots sont appelés robots baskets, car ce problème est bien connu dans l’industrie des baskets de mode, en particulier dans les collections limitées. Les robots ont acheté de nouvelles lignes qui venaient d'apparaître en presque quelques minutes, tout en bloquant la ressource afin que les vrais utilisateurs ne puissent pas y accéder. Il s’agit d’un cas rare où les robots ont été évoqués dans les magazines à la mode sur papier glacé. Cependant, en général, les revendeurs de billets pour des événements sympas comme les matchs de football utilisent le même scénario.
Autres scénarios
Mais ce n'est pas tout. Il existe une version encore plus complexe des attaques contre la logistique, qui menace de graves pertes. Cela peut être fait si le service dispose de l'option « Paiement à réception des marchandises ». Les robots laissent de fausses commandes pour ces produits, indiquant des adresses fausses, voire réelles, de personnes sans méfiance. Et les entreprises supportent des coûts énormes pour la livraison, le stockage et la recherche de détails. À l’heure actuelle, les marchandises ne sont pas disponibles pour les autres clients et occupent également de la place dans l’entrepôt.
Quoi d'autre? Les robots laissent massivement de fausses mauvaises critiques sur les produits, bloquent la fonction « retour de paiement », bloquent les transactions, volent les données des clients, spamment les vrais clients - il existe de nombreuses options. Un bon exemple est la récente attaque contre DHL, Hermes, AldiTalk, Freenet, Snipes.com. Les pirates , qu’ils « testent les systèmes de protection DDoS », mais qu’ils ont finalement abandonné le portail client professionnel de l’entreprise et toutes les API. En conséquence, il y a eu d’importantes interruptions dans la livraison des marchandises aux clients.
Appelle demain
L'année dernière, la Federal Trade Commission (FTC) a signalé un doublement des plaintes d'entreprises et d'utilisateurs concernant le spam et les appels frauduleux de robots téléphoniques. Selon certaines estimations, ils s'élèvent à tous les appels.
Comme pour le DDoS, les objectifs des TDoS (attaques massives de robots sur les téléphones) vont du « canular » à la concurrence sans scrupules. Les robots peuvent surcharger les centres de contact et empêcher les vrais clients de passer inaperçus. Cette méthode est efficace non seulement pour les centres d'appels avec des opérateurs « en direct », mais également là où des systèmes AVR sont utilisés. Les robots peuvent également attaquer massivement d'autres canaux de communication avec les clients (chat, e-mails), perturber le fonctionnement des systèmes CRM et même, dans une certaine mesure, affecter négativement la gestion du personnel, car les opérateurs sont surchargés pour faire face à la crise. Les attaques peuvent également être synchronisées avec une attaque DDoS traditionnelle sur les ressources en ligne de la victime.
Récemment, une attaque similaire a perturbé le travail des services de secours. Aux États-Unis, les gens ordinaires qui avaient cruellement besoin d'aide ne pouvaient tout simplement pas s'en sortir. À peu près à la même époque, le zoo de Dublin a subi le même sort, avec au moins 5000 XNUMX personnes recevant des SMS indésirables les encourageant à appeler en urgence le numéro de téléphone du zoo et à demander une personne fictive.
Il n'y aura pas de Wi-Fi
Les cybercriminels peuvent également facilement bloquer l’intégralité d’un réseau d’entreprise. Le blocage IP est souvent utilisé pour lutter contre les attaques DDoS. Mais c’est non seulement une pratique inefficace, mais aussi très dangereuse. L'adresse IP est facile à trouver (par exemple, grâce à la surveillance des ressources) et facile à remplacer (ou à usurper). Avant de venir chez Variti, nous avons eu des clients où le blocage d'une adresse IP spécifique désactivait simplement le Wi-Fi dans leurs propres bureaux. Il y a eu un cas où un client s'est vu « glisser » l'adresse IP requise et il a bloqué l'accès à sa ressource aux utilisateurs de toute une région, et ne l'a pas remarqué pendant longtemps, car sinon toute la ressource fonctionnait parfaitement.
Quoi de neuf?
Les nouvelles menaces nécessitent de nouvelles solutions de sécurité. Cependant, cette nouvelle niche de marché commence tout juste à émerger. Il existe de nombreuses solutions pour repousser efficacement les attaques de robots simples, mais avec les attaques complexes, ce n'est pas si simple. De nombreuses solutions pratiquent encore des techniques de blocage IP. D’autres ont besoin de temps pour collecter les données initiales avant de commencer, et ces 10 à 15 minutes peuvent devenir une vulnérabilité. Il existe des solutions basées sur le machine learning qui permettent d’identifier un bot par son comportement. Et en même temps, les équipes de « l’autre » se vantent d’avoir déjà des robots capables d’imiter des modèles réels, impossibles à distinguer des humains. On ne sait pas encore qui va gagner.
Que faire si vous devez faire face à des équipes de robots professionnels et à des attaques complexes en plusieurs étapes à plusieurs niveaux à la fois ?
Notre expérience montre que vous devez vous concentrer sur le filtrage des demandes illégitimes sans bloquer les adresses IP. Les attaques DDoS complexes nécessitent un filtrage à plusieurs niveaux à la fois, notamment au niveau du transport, au niveau des applications et des interfaces API. Grâce à cela, il est possible de repousser même les attaques à basse fréquence qui sont généralement invisibles et donc souvent manquées. Enfin, tous les utilisateurs réels doivent être autorisés à passer, même lorsque l'attaque est active.
Deuxièmement, les entreprises doivent pouvoir créer leurs propres systèmes de protection à plusieurs niveaux qui, en plus des outils de prévention des attaques DDoS, disposeront de systèmes intégrés contre la fraude, le vol de données, la protection du contenu, etc.
Troisièmement, ils doivent travailler en temps réel dès la première demande : la capacité de répondre instantanément aux incidents de sécurité augmente considérablement les chances de prévenir une attaque ou de réduire sa puissance destructrice.
Futur proche : gestion de la réputation et collecte de données massives à l'aide de robots
L’histoire des DDoS est passée de simple à complexe. Dans un premier temps, l’objectif des attaquants était d’empêcher le site de fonctionner. Ils trouvent désormais plus efficace de cibler les processus métier clés.
La sophistication des attaques va continuer à augmenter, c’est inévitable. En plus de ce que font actuellement les robots malveillants - vol et falsification de données, extorsion, spam - les robots collecteront des données provenant d'un grand nombre de sources (Big Data) et créeront de faux comptes « robustes » pour la gestion de l'influence, la réputation ou le phishing de masse.
Actuellement, seules les grandes entreprises peuvent se permettre d’investir dans la protection contre les attaques DDoS et les robots, mais même elles ne peuvent pas toujours surveiller et filtrer entièrement le trafic généré par les robots. Le seul point positif du fait que les attaques de robots deviennent de plus en plus complexes est qu’elles incitent le marché à créer des solutions de sécurité plus intelligentes et plus avancées.
Qu'en pensez-vous : comment le secteur de la protection contre les robots va-t-il se développer et quelles solutions sont actuellement nécessaires sur le marché ?
Source: habr.com