Eκθεση της Kaspersky Lab για επιθέσεις DDoS: επιθέσεις ενίσχυσης και παλιά botnets επιστρέφουν δυναμικά

Η Kaspersky Lab δημοσίευσε έκθεση αναφορικά με τις υποβοηθούμενες από botnet επιθέσεις DDoS για το πρώτο τρίμηνο του 2018. Οι ειδικοί της εταιρείας σημειώνουν αύξηση της δραστηριότητας τόσο παλαιών όσο και νέων botnet, αύξηση της δημοτικότητας των DDoS επιθέσεων ενίσχυσης και επιστροφή των μεγάλης διάρκειας (πολλών ημερών) επιθέσεων DDoS.

Κατά το πρώτο τρίμηνο του 2018, τα DDoS botnet επιτέθηκαν σε διαδικτυακές πηγές σε 79 χώρες. Οι χώρες που αντιμετώπισαν τον μεγαλύτερο αριθμό επιθέσεων ήταν για άλλη μια φορά η Κίνα, οι ΗΠΑ και η Νότια Κορέα, οι οποίες συνεχίζουν να κατέχουν το προβάδισμα όσον αφορά στον αριθμό των server που βρίσκονται διαθέσιμοι στα χέρια των επιτιθέμενων και, κατά συνέπεια, τον αριθμό των ιστοσελίδων και των υπηρεσιών που φιλοξενούνται σε αυτούς. Το Χονγκ Κονγκ και η Ιαπωνία, εν τω μεταξύ, αντικατέστησαν την Ολλανδία και το Βιετνάμ μεταξύ των δέκα κορυφαίων χωρών.

Οι αλλαγές στις 10 χώρες που φιλοξενούν τους περισσότερους C & C servers ήταν πιο έντονες, με την Ιταλία, το Χονγκ Κονγκ, τη Γερμανία και το Ηνωμένο Βασίλειο να αντικαθιστούν τον Καναδά, την Τουρκία, τη Λιθουανία και τη Δανία. Αυτό πιθανόν να οφείλεται στον αριθμό των ενεργών C & C servers του Darkai (ένας κλώνος του Mirai) και των bots AESDDoS που αυξάνονται δραματικά και τα παλιά botnet Xor και Yoyo που επαναλαμβάνουν τις δραστηριότητές τους. Παρόλο που τα περισσότερα από αυτά τα δίκτυα χρησιμοποιούν Linux, το ποσοστό των botnet που βασίζονται στο Linux μειώθηκε ελαφρά το πρώτο τρίμηνο σε σύγκριση με το τέλος του περασμένου έτους, αντιπροσωπεύοντας το 66% έναντι του 71% το 2017.

Επιπλέον, μετά από μια σύντομη ανάπαυλα, φαίνεται ότι οι μεγάλης διάρκειας επιθέσεις επέστρεψαν: η μεγαλύτερη επίθεση DDoS του τριμήνου διήρκεσε 297 ώρες (περισσότερες από 12 ημέρες). Την τελευταία φορά που είδαμε μεγαλύτερης διάρκειας επίθεση ήταν στα τέλη του 2015.

Το τέλος της περιόδου αναφοράς χαρακτηρίστηκε από τις τύπου “flood” επιθέσεις Memcached που ήταν πρωτοφανείς όσον αφορά στην ισχύ τους – σε ορισμένες περιπτώσεις υπερβαίνοντας το 1TB. Ωστόσο, οι ειδικοί της Kaspersky Lab αναμένουν ότι η δημοτικότητά τους θα είναι βραχύβια, διότι οι τύπου “flood” επιθέσεις δεν επηρεάζουν μόνο τους στόχους τους, αλλά και τις εταιρείες που εκτελούν άθελά τις επιθέσεις.

Για παράδειγμα, τον Φεβρουάριο, μια εταιρεία επικοινώνησε με το τμήμα τεχνικής υποστήριξης του Kaspersky DDoS Protection για να παραπονεθεί ότι τα κανάλια επικοινωνίας της ήταν υπερφορτωμένα, οδηγώντας τους τεχνικούς να υποψιαστούν ότι έχουν πέσει θύμα επίθεσης DDoS. Αποδείχθηκε ότι ένας από τους servers της εταιρείας με την ευάλωτη υπηρεσία Memcached χρησιμοποιήθηκε από εγκληματίες για να επιτεθεί σε άλλη υπηρεσία και δημιούργησε τόσο μεγάλους όγκους εξερχόμενης κίνησης, που οι ίδιοι οι διαδικτυακοί πόροι της εταιρείας «κράσαραν». Αυτός είναι ο λόγος για τον οποίο οι επιθέσεις αυτές είναι καταδικασμένες να είναι βραχύβιες. Οι εν αγνοία τους συνεργάτες στις επιθέσεις Memcached παρατηρούν σύντομα το υψηλότερο φορτίο και γρήγορα επιδιορθώνουν τις ευπάθειες για να αποφύγουν τις απώλειες, μειώνοντας έτσι τον αριθμό των servers που είναι διαθέσιμοι στους επιτιθέμενους.

Συνολικά, η δημοτικότητα των επιθέσεων ενίσχυσης, οι οποίες ήταν προηγουμένως σε πτώση, κέρδισε δυναμική κατά το πρώτο τρίμηνο. Για παράδειγμα, καταγράψαμε ένα σπάνιο είδος επίθεσης, παρά την αποτελεσματικότητά της, στην οποία η υπηρεσία LDAP χρησιμοποιήθηκε ως ενισχυτής. Μαζί με τα Memcached, NTP και DNS, αυτή η υπηρεσία έχει ένα από τα μεγαλύτερα ποσοστά ενίσχυσης. Ωστόσο, σε αντίθεση με το Memcached, η κυκλοφορία ανεπιθύμητων μηνυμάτων LDAP είναι ελάχιστα ικανή να φράξει τελείως το εξερχόμενο κανάλι, καθιστώντας πιο δύσκολη για τον ιδιοκτήτη ενός ευάλωτου server να εντοπίσει και να διορθώσει την κατάσταση. Παρά τον σχετικά μικρό αριθμό διαθέσιμων εξυπηρετητών LDAP, είναι πιθανό ότι αυτός ο τύπος επίθεσης θα έχει πολύ μεγάλη επιτυχία στο Darknet κατά τους προσεχείς μήνες.

«Η αξιοποίηση των ευπαθειών είναι ένα από τα αγαπημένα μέσα για τους ψηφιακούς εγκληματίες, των οποίων επιχειρηματική δραστηριότητα είναι η δημιουργία DDoS botnet. Ωστόσο, όπως έδειξαν οι πρώτοι μήνες του έτους, δεν είναι μόνο τα θύματα των επιθέσεων DDoS που επηρεάζονται, αλλά και επιχειρήσεις με υποδομή που περιλαμβάνει ευπαθή αντικείμενα. Τα γεγονότα του πρώτου τριμήνου επιβεβαιώνουν μια απλή αλήθεια: η πλατφόρμα που χρησιμοποιεί κάθε εταιρεία για τη διασφάλιση πολυεπίπεδης διαδικτυακής ασφάλειας πρέπει να περιλαμβάνει τακτική επιδιόρθωση των τρωτών σημείων και μόνιμη προστασία από επιθέσεις DDoS», σχολιάζει ο Alexey Kiselev, Project Manager της ομάδας Kaspersky DDoS Protection.

Η λύση Kaspersky DDoS Protection συνδυάζει την εκτεταμένη τεχνογνωσία της Kaspersky Lab στην καταπολέμηση των ψηφιακών απειλών με τις μοναδικές εξελίξεις που αναπτύχθηκαν στο εσωτερικό της εταιρείας. Η λύση προστατεύει από όλους τους τύπους επιθέσεων DDoS, ανεξάρτητα από την πολυπλοκότητα, τη δύναμη ή τη διάρκεια τους. Για να μειωθεί ο κίνδυνος να χρησιμοποιηθούν οι ευπάθειες από ψηφιακούς εγκληματίες για επιθέσεις DDoS, η λύση Kaspersky Endpoint Security for Business παρέχει μια λειτουργία διαχείρισης ευπάθειας και ενημερώσεων για patches. Επιτρέπει στις επιχειρήσεις να εξαλείφουν αυτόματα τις ευπάθειες του λογισμικού υποδομής, να τις διορθώνουν προληπτικά και να πραγματοποιούν λήψη ενημερώσεων λογισμικού.