Kaspersky Lab: revin atacurile de amplificare și botnet-uri cunoscute
Posted by
In primul trimestru din 2018, botnet-urile DDoS au atacat resurse online din 79 de țări. Țările care s-au confruntat cu cel mai mare număr de atacuri au fost, din nou, China, SUA și Coreea de Sud, care au continuat să conducă topul în ceea ce privește numărul de servere la dispoziția atacatorilor. Hong Kong și Japonia au înlocuit, între timp, Olanda și Vietnam în top 10 cele mai atacate țări. Schimbările în ceea ce privește țările care găzduiesc cele mai multe servere de comandă și control (C&C) au fost mai accentuate, Italia, Hong Kong, Germania și Marea Britanie, înlocuind Canada, Turcia, Lituania și Danemarca. Acest lucru este cauzat, probabil, de numărul de servere C&C active ale Darkai (o clonă a Mirai) și ale boților AESDDoS, care au crescut dramatic, precum și de botnet-urile Xor și Yoyo, care și-au reluat activitățile. Deși majoritatea acestor botnet-uri folosesc Linux, proporția botnet-urilor cu Linux a scăzut ușor în T1, comparativ cu finalul anului trecut, reprezentând 66%, față de 71%, în 2017. În plus, după o scurtă pauză, se pare că atacurile de lungă durată au revenit: cel mai lung atac DDoS din acest trimestru a durat 297 de ore (peste 12 zile). Un atac mai lung decât acesta fusese detectat în 2015. Finalul trimestrului a fost marcat de atacurile Memcached, care au fost fără precedent în materie de forță, în unele cazuri depășind 1TB. Experții Kaspersky Lab se așteaptă, însă, ca popularitatea lor să fie de scurtă durată, pentru că atacurile Memcached nu afectează doar țintele lor, ci și companiile implicate, fără să știe, în derularea unor astfel de atacuri. De exemplu, in februarie, echipa de suport tehnic Kaspersky DDoS Protection a fost contactată de reprezentanții unei companii, care s-au plâns că mijloacele lor de comunicare erau supraîncărcate, ceea ce i-a determinat să creadă că erau ținta unui atac DDoS. S-a dovedit că unul dintre serverele companiei, cu serviciul Memcached vulnerabil, era folosit de infractori pentru a ataca un alt serviciu și a generat volume uriașe de trafic, astfel încât și resursele companiei au cedat. De aceea sunt aceste atacuri de scurtă durată: complicii fără voie observă imediat o încărcare mai mare și rezolvă rapid vulnerabilitățile, pentru a evita pierderi, reducând astfel numărul de servere disponibile atacatorilor. Per ansamblu, răspândirea atacurilor de amplificare – anterior, în scădere – a crescut din nou în primul trimestru. De exemplu, am înregistrat un tip de atac rar, deși foarte eficient, în care serviciul LDAP era folosit ca amplificator. Împreună cu Memcached, NTP și DNS, serviciul are una dintre cele mai mari rate de amplificare. Însă, spre deosebire de Memcached, traficul junk LDAP nu reușește să blocheze complet canalul de ieșire, ceea ce face ca deținătorul unui server vulnerabil să identifice și să remedieze mai greu situația. În ciuda numărului relativ mic de servere LDAP este posibil ca acest tip de atac să fie un hit pe Darknet în lunile următoare. „Exploatarea vulnerabilităților este o unealtă preferată de infractorii cibernetici a căror afacere constă în crearea de botnet-uri DDoS”, spune Alexey Kiselev, Project Manager în echipa Kaspersky DDoS Protection. „Primele luni din an ne-au arătat, însă, că nu doar victimele atacurilor DDoS sunt afectate, ci și acele companii cu infrastructură care include obiecte vulnerabile. Evenimentele din primul trimestru reafirmă un adevăr simplu: platforma pe care orice companie o folosește pentru a implementa securitatea online trebuie să includă un patch al vulnerabilităților efectuat cu regularitate și o protecție permanentă împotriva atacurilor DDoS.” Kaspersky DDoS Protection îmbină vasta experiență Kaspersky Lab în combaterea amenințărilor cibernetice și dezvoltările in-house unice ale companiei. Soluția protejează împotriva tuturor tipurilor de atacuri DDoS, indiferent de complexitatea, amploarea sau durata lor. Pentru a reduce riscul ca anumite vulnerabilități să fie folosite de infractorii cibernetici pentru atacuri DDoS, Kaspersky Endpoint Security for Business oferă o componentă de patch management al vulnerabilităților. Aceasta le permite companiilor să elimine automat vulnerabilitățile din structura programului, să le remedieze și să descarce actualizări de soft. 518