Cloudflare, leader nel settore della sicurezza web e dell'infrastruttura, ha recentemente reso noto di aver bloccato un attacco DDoS da record, raggiungendo un picco di 3.8 terabit al secondo (Tbps) e durando 65 secondi. Questo attacco è stato solo uno dei molti attacchi DDoS iper-volumetrici L3/4 che l'azienda ha affrontato nel corso del mese passato, superando in molti casi i 2 miliardi di pacchetti al secondo (Bpps) e i 3 Tbps. Gli attacchi, iniziati all'inizio di settembre 2024, hanno preso di mira vari clienti nei settori dei servizi finanziari, internet e telecomunicazioni. Non è stato individuato alcun attore di minaccia specifico dietro l'attacco.

Attacchi precedenti e tecniche utilizzate

Il precedente record per un attacco DDoS volumetrico più grande aveva raggiunto un picco di 3.47 Tbps nel novembre 2021, colpendo un cliente di Microsoft Azure in Asia. Gli attacchi attuali sfruttano il protocollo User Datagram Protocol (UDP) su una porta fissa, con un flusso di pacchetti provenienti da Vietnam, Russia, Brasile, Spagna e Stati Uniti. Tra i dispositivi compromessi figurano dispositivi MikroTik, DVR e server web. Cloudflare ha identificato che questi attacchi ad alta velocità di trasmissione probabilmente derivano da una vasta botnet composta da router domestici ASUS infetti, sfruttati tramite una vulnerabilità critica recentemente divulgata (CVE-2024-3080, punteggio CVSS: 9.8).

Statistiche e impatto

Secondo le statistiche condivise da Censys, una società di gestione della superficie di attacco, oltre 157.000 modelli di router ASUS sono stati potenzialmente colpiti dalla vulnerabilità a partire dal 21 giugno 2024. La maggior parte di questi dispositivi è situata negli Stati Uniti, a Hong Kong e in Cina. L'obiettivo finale della campagna, secondo Cloudflare, è quello di esaurire la larghezza di banda della rete del bersaglio e i cicli della CPU, impedendo così agli utenti legittimi di accedere al servizio. Per difendersi dagli attacchi con un alto tasso di pacchetti, è fondamentale essere in grado di ispezionare e scartare i pacchetti dannosi utilizzando il minor numero possibile di cicli CPU, lasciando abbastanza risorse per elaborare i pacchetti legittimi.

Settori a rischio e tendenze

In effetti, molti servizi cloud con capacità insufficienti, così come l'uso di apparecchiature in loco, non sono sufficienti per difendersi da attacchi DDoS di questa portata, a causa dell'elevata utilizzazione della larghezza di banda che può intasare i collegamenti Internet e dell'alto tasso di pacchetti che può mandare in crash le apparecchiature in linea. Settori come il bancario, i servizi finanziari e le utility pubbliche sono bersagli frequenti degli attacchi DDoS, con un aumento del 55% negli ultimi quattro anni, secondo la società di monitoraggio delle prestazioni di rete NETSCOUT. Solo nella prima metà del 2024, c'è stato un incremento del 30% negli attacchi volumetrici. L'aumento della frequenza degli attacchi DDoS, dovuto principalmente alle attività degli hacktivisti che prendono di mira organizzazioni e industrie globali, è stato accompagnato dall'uso di DNS-over-HTTPS (DoH) per il comando e il controllo (C2) nel tentativo di rendere più difficile la rilevazione.