Un paio di anni fa, le agenzie di ricerca e i fornitori di servizi di sicurezza informatica hanno iniziato a riferire numero di attacchi DDoS. Ma nel primo trimestre del 1, gli stessi ricercatori hanno segnalato il loro stordimento dell'84%. E poi tutto è andato sempre più rafforzandosi. Anche la pandemia non ha contribuito a creare un clima di pace: al contrario, i criminali informatici e gli spammer lo hanno considerato un ottimo segnale per attaccare e il volume degli DDoS è aumentato .
Riteniamo che il tempo degli attacchi DDoS semplici e facilmente rilevabili (e dei semplici strumenti in grado di prevenirli) sia finito. I criminali informatici sono diventati più bravi nel nascondere questi attacchi e nel portarli a termine con crescente sofisticatezza. L’industria oscura è passata dalla forza bruta agli attacchi a livello applicativo. Riceve ordini seri per distruggere i processi aziendali, compresi quelli offline.
Irrompere nella realtà
Nel 2017, una serie di attacchi DDoS contro i servizi di trasporto svedesi si è prolungata . Nel 2019, l'operatore ferroviario nazionale della Danimarca I sistemi di vendita sono crollati. Di conseguenza, nelle stazioni le biglietterie automatiche e i cancelli automatici non funzionavano e più di 15mila passeggeri non potevano partire. Sempre nel 2019, un potente attacco informatico ha causato un’interruzione della corrente elettrica .
Le conseguenze degli attacchi DDoS sono ora vissute non solo dagli utenti online, ma anche dalle persone, come si suol dire, nella vita reale (nella vita reale). Sebbene storicamente gli aggressori abbiano preso di mira solo i servizi online, ora il loro obiettivo è spesso quello di interrompere qualsiasi operazione aziendale. Stimiamo che oggi oltre il 60% degli attacchi abbia questo scopo: estorsione o concorrenza sleale. Le transazioni e la logistica sono particolarmente vulnerabili.
Più intelligente e più costoso
Gli attacchi DDoS continuano ad essere considerati una delle tipologie di crimine informatico più comuni e in più rapida crescita. Secondo gli esperti, dal 2020 il loro numero non potrà che aumentare. Ciò è legato a vari motivi: alla transizione ancora maggiore del business online a causa della pandemia, allo sviluppo dell’industria ombra del crimine informatico e persino .
Un tempo gli attacchi DDoS divennero “popolari” grazie alla loro facilità di implementazione e al basso costo: solo un paio di anni fa potevano essere lanciati per 50 dollari al giorno. Oggi, sia gli obiettivi che i metodi di attacco sono cambiati, aumentandone la complessità e, di conseguenza, i costi. No, i prezzi a partire da 5 dollari l'ora sono ancora nei listini (sì, i criminali informatici hanno listini e tariffe), ma per un sito web con protezione chiedono già da 400 dollari al giorno, e il costo degli ordini "individuali" per le grandi aziende raggiunge diverse migliaia di dollari.
Attualmente esistono due tipi principali di attacchi DDoS. Il primo obiettivo è rendere una risorsa online non disponibile per un certo periodo di tempo. Gli aggressori li fanno pagare durante l'attacco stesso. In questo caso, l’operatore DDoS non si preoccupa di alcun risultato specifico e il cliente paga effettivamente in anticipo per lanciare l’attacco. Tali metodi sono piuttosto economici.
La seconda tipologia sono gli attacchi che vengono pagati solo al raggiungimento di un determinato risultato. È più interessante con loro. Sono molto più difficili da implementare e quindi molto più costosi, poiché gli aggressori devono scegliere i metodi più efficaci per raggiungere i propri obiettivi. In Variti, a volte giochiamo intere partite a scacchi con i criminali informatici, dove cambiano istantaneamente tattiche e strumenti e cercano di violare più vulnerabilità a più livelli contemporaneamente. Si tratta chiaramente di attacchi di squadra in cui gli hacker sanno perfettamente come reagire e contrastare le azioni dei difensori. Affrontarli non è solo difficile, ma anche molto costoso per le aziende. Ad esempio, uno dei nostri clienti, un grande rivenditore online, ha gestito per quasi tre anni un team di 30 persone il cui compito era combattere gli attacchi DDoS.
Secondo Variti, i semplici attacchi DDoS effettuati esclusivamente per noia, trolling o insoddisfazione nei confronti di una determinata azienda rappresentano attualmente meno del 10% di tutti gli attacchi DDoS (ovviamente le risorse non protette possono avere statistiche diverse, guardiamo i dati dei nostri clienti) . Tutto il resto è opera di squadre di professionisti. Tuttavia, tre quarti di tutti i bot “cattivi” sono robot complessi difficili da rilevare utilizzando le soluzioni di mercato più moderne. Imitano il comportamento di utenti o browser reali e introducono modelli che rendono difficile distinguere tra richieste “buone” e “cattive”. Ciò rende gli attacchi meno evidenti e quindi più efficaci.
Dati da GlobalDots
Nuovi obiettivi DDoS
Segnala dagli analisti di GlobalDots afferma che i bot ora generano il 50% di tutto il traffico web e il 17,5% di essi sono bot dannosi.
I bot sanno come rovinare la vita alle aziende in diversi modi: oltre a “crash” dei siti web, ora sono anche impegnati ad aumentare i costi pubblicitari, a cliccare sugli annunci pubblicitari, ad analizzare i prezzi per renderli un centesimo in meno e attirare gli acquirenti e rubare contenuti per vari scopi illeciti (ad esempio, di recente sui siti con contenuti rubati che costringono gli utenti a risolvere i captcha di altre persone). I bot distorcono notevolmente varie statistiche aziendali e, di conseguenza, le decisioni vengono prese sulla base di dati errati. Un attacco DDoS è spesso una cortina di fumo per crimini ancora più gravi come hacking e furto di dati. E ora vediamo che è stata aggiunta una classe completamente nuova di minacce informatiche: si tratta di un'interruzione del lavoro di alcuni processi aziendali dell'azienda, spesso offline (poiché ai nostri tempi nulla può essere completamente "offline"). Soprattutto spesso vediamo che i processi logistici e le comunicazioni con i clienti si interrompono.
"Non consegnato"
I processi aziendali logistici sono fondamentali per la maggior parte delle aziende e vengono spesso attaccati. Ecco i possibili scenari di attacco.
Нет в наличии
Se lavori nel commercio online, probabilmente hai già familiarità con il problema degli ordini falsi. Quando vengono attaccati, i robot sovraccaricano le risorse logistiche e rendono le merci indisponibili ad altri acquirenti. Per fare ciò, effettuano un numero enorme di ordini falsi, pari al numero massimo di prodotti in stock. Questi beni poi non vengono pagati e dopo un po' di tempo vengono restituiti al sito. Ma il fatto è già stato fatto: sono stati contrassegnati come “esauriti” e alcuni acquirenti si sono già rivolti alla concorrenza. Questa tattica è ben nota nel settore della biglietteria aerea, dove i robot a volte “vendono” istantaneamente tutti i biglietti non appena diventano disponibili. Ad esempio, uno dei nostri clienti, una grande compagnia aerea, è stato vittima di un simile attacco organizzato da concorrenti cinesi. In sole due ore, i loro robot hanno ordinato il 100% dei biglietti per determinate destinazioni.
Bot da ginnastica
Il prossimo scenario popolare: i bot acquistano istantaneamente un’intera linea di prodotti e i loro proprietari li vendono successivamente a un prezzo gonfiato (in media un margine del 200%). Tali robot sono chiamati sneakers bot, perché questo problema è ben noto nel settore delle sneaker di moda, in particolare nelle collezioni limitate. I bot hanno acquistato in quasi pochi minuti le nuove linee appena apparse, bloccando la risorsa in modo che gli utenti reali non potessero passare da lì. Questo è un caso raro in cui i robot sono stati scritti in riviste patinate alla moda. Sebbene, in generale, i rivenditori di biglietti per eventi interessanti come le partite di calcio utilizzino lo stesso scenario.
Altri scenari
Ma non è tutto. Esiste una versione ancora più complessa degli attacchi alla logistica, che minaccia gravi perdite. Questo può essere fatto se il servizio ha l'opzione "Pagamento al ricevimento della merce". I bot lasciano ordini falsi per tali beni, indicando indirizzi falsi o addirittura reali di persone ignare. E le aziende sostengono costi enormi per la consegna, lo stoccaggio e la ricerca dei dettagli. Al momento, le merci non sono disponibili per altri clienti e occupano spazio nel magazzino.
Cos'altro? I bot lasciano enormi recensioni false e negative sui prodotti, bloccano la funzione di "ritorno del pagamento", bloccano le transazioni, rubano i dati dei clienti, inviano spam ai clienti reali: ci sono molte opzioni. Un buon esempio è il recente attacco a DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hacker , che stavano "testando i sistemi di protezione DDoS", ma alla fine hanno disattivato il portale clienti aziendali dell'azienda e tutte le API. Di conseguenza, si sono verificate gravi interruzioni nella consegna delle merci ai clienti.
Chiama domani
L’anno scorso, la Federal Trade Commission (FTC) ha segnalato un raddoppio dei reclami da parte di aziende e utenti relativi a spam e chiamate telefoniche bot fraudolente. Secondo alcune stime, ammontano a tutte le chiamate.
Come nel caso degli attacchi DDoS, gli obiettivi dei TDoS, ovvero i massicci attacchi bot ai telefoni, spaziano dalle “bufale” alla concorrenza senza scrupoli. I bot possono sovraccaricare i contact center e impedire che i clienti reali vengano persi. Questo metodo è efficace non solo per i call center con operatori “live”, ma anche dove vengono utilizzati sistemi AVR. I bot possono anche attaccare in modo massiccio altri canali di comunicazione con i clienti (chat, e-mail), interrompere il funzionamento dei sistemi CRM e persino, in una certa misura, influenzare negativamente la gestione del personale, perché gli operatori sono sovraccarichi nel tentativo di far fronte alla crisi. Gli attacchi possono anche essere sincronizzati con un tradizionale attacco DDoS alle risorse online della vittima.
Recentemente, un attacco simile ha interrotto il lavoro del servizio di soccorso negli Stati Uniti: le persone comuni che avevano un disperato bisogno di aiuto semplicemente non riuscivano a farcela. Più o meno nello stesso periodo, lo zoo di Dublino ha subito la stessa sorte, con almeno 5000 persone che hanno ricevuto messaggi SMS di spam che li incoraggiavano a chiamare urgentemente il numero di telefono dello zoo e chiedere di una persona fittizia.
Non ci sarà la connessione Wi-Fi
I criminali informatici possono anche bloccare facilmente un’intera rete aziendale. Il blocco IP viene spesso utilizzato per combattere gli attacchi DDoS. Ma questa non è solo una pratica inefficace, ma anche molto pericolosa. L'indirizzo IP è facile da trovare (ad esempio, attraverso il monitoraggio delle risorse) e facile da sostituire (o falsificare). Prima di venire a Variti, abbiamo avuto clienti in cui il blocco di un IP specifico disattivava semplicemente il Wi-Fi nei loro uffici. C'è stato un caso in cui un client è stato "infilato" con l'IP richiesto e ha bloccato l'accesso alla sua risorsa agli utenti di un'intera regione e non se ne è accorto per molto tempo, perché altrimenti l'intera risorsa funzionava perfettamente.
Cosa c'è di nuovo?
Le nuove minacce richiedono nuove soluzioni di sicurezza. Tuttavia, questa nuova nicchia di mercato sta appena cominciando ad emergere. Esistono molte soluzioni per respingere efficacemente gli attacchi semplici dei bot, ma con quelli complessi non è così semplice. Molte soluzioni praticano ancora tecniche di blocco IP. Altri hanno bisogno di tempo per raccogliere i dati iniziali e iniziare, e quei 10-15 minuti possono diventare una vulnerabilità. Esistono soluzioni basate sull'apprendimento automatico che consentono di identificare un bot in base al suo comportamento. E allo stesso tempo, i team dell’“altra” sponda si vantano di possedere già robot in grado di imitare modelli reali, indistinguibili da quelli umani. Non è ancora chiaro chi vincerà.
Cosa fare se si ha a che fare con team di bot professionisti e attacchi complessi in più fasi su più livelli contemporaneamente?
La nostra esperienza dimostra che è necessario concentrarsi sul filtraggio delle richieste illegittime senza bloccare gli indirizzi IP. Gli attacchi DDoS complessi richiedono il filtraggio a più livelli contemporaneamente, inclusi il livello di trasporto, il livello di applicazione e le interfacce API. Grazie a ciò è possibile respingere anche gli attacchi a bassa frequenza che solitamente sono invisibili e quindi spesso mancano. Infine, tutti gli utenti reali devono essere autorizzati a passare, anche mentre l'attacco è attivo.
In secondo luogo, le aziende devono essere in grado di creare i propri sistemi di protezione a più fasi che, oltre agli strumenti per prevenire gli attacchi DDoS, dispongano di sistemi integrati contro frodi, furto di dati, protezione dei contenuti e così via.
In terzo luogo, devono funzionare in tempo reale fin dalla prima richiesta: la capacità di rispondere istantaneamente agli incidenti di sicurezza aumenta notevolmente le possibilità di prevenire un attacco o di ridurne il potere distruttivo.
Futuro prossimo: gestione della reputazione e raccolta di big data tramite bot
La storia degli attacchi DDoS si è evoluta da semplice a complessa. Inizialmente l'obiettivo degli aggressori era impedire il funzionamento del sito. Ora ritengono che sia più efficiente concentrarsi sui processi aziendali principali.
La sofisticazione degli attacchi continuerà ad aumentare, è inevitabile. Inoltre, ciò che stanno facendo ora i robot dannosi - furto di dati e falsificazione, estorsione, spam - i robot raccoglieranno dati da un gran numero di fonti (Big Data) e creeranno account falsi "robusti" per la gestione dell'influenza, della reputazione o del phishing di massa.
Attualmente solo le grandi aziende possono permettersi di investire nella protezione DDoS e bot, ma nemmeno loro possono sempre monitorare e filtrare completamente il traffico generato dai bot. L’unico aspetto positivo del fatto che gli attacchi bot stiano diventando sempre più complessi è che stimola il mercato a creare soluzioni di sicurezza più intelligenti e avanzate.
Cosa ne pensi: come si svilupperà il settore della protezione dai bot e quali soluzioni sono necessarie sul mercato in questo momento?
Fonte: habr.com