Tra i mesi di luglio e agosto 2023, in Italia, aziende di trasporto, istituti bancari e testate giornalistiche sono state prese di mira da attacchi di tipo DDoS (Distributed Denial-of-Service) posti in essere da un gruppo di Hacktivisti filorussi, motivato politicamente ad effettuare attacchi DDoS, noto come NoName057, tutto ciò proprio in occasione dell’incontro tra il Primo Ministro italiano Giorgia Meloni e il Presidente americano Joe R. Biden alla Casa Bianca, svoltosi il 27 luglio.
Nella fattispecie, con il termine “DDoS” ci si riferisce ad una forma comune di attacco DoS (interruzione di servizio), posto in essere da agenti esterni (botmaster), che intenzionalmente “stressano” un target (dispositivi di rete, sistemi operativi, singoli servizi), inviandogli un numero di richieste maggiore rispetto a quello in grado di soddisfare. Tali richieste, nel caso di un attacco DDoS, non provengono da un unico dispositivo, ma bensì simultaneamente da diversi botnet (solitamente una rete di computer compromessi, ossia infettati da uno specifico malware, detti anche bot o zombie), rendendo così più difficile la possibilità di risalire al punto di origine degli attacchi in questione. Per rendere irraggiungibile il servizio preso di mira, il threat actor (attore della minaccia) necessita di un adeguato punto di attacco all’interno del sistema o della rete della vittima: non appena viene individuata una backdoor (porta di accesso) con tali caratteristiche, basta inviare i comandi ai bot per porre in essere gli attacchi DDoS.
Alcuni dei motivi che spingono agenti esterni a mettere in moto tali attacchi nei confronti delle aziende\istituzioni, sia pubbliche che private, sono il ricatto (estorsione di denaro), l’hacktivismo politico\ideologico o anche la concorrenza sleale.
Ma questo tipo di cyberattacco, nel concreto, cosa comporta?
In poche parole, l’interruzione di servizi, perdita di dati sensibili, costi aggiuntivi gravanti sull’azienda vittima, danni reputazionali e tanto altro!
Di seguito alcune fra le tipologie di attacco DDoS più note:
si parla di attacco volumetrico, ossia di flooding a livello di rete (congestione della banda larga), che rende un dispositivo non raggiungibile, quando l’attacco mira direttamente alla rete e ai dispositivi ad essa connessi (se il volume di dati del router viene utilizzato totalmente dall’attacco, i servizi che offre non saranno più a disposizione degli altri utenti legittimi).
Si parla di attacco di flooding a livello di Applicazione, invece, quando mira al consumo dei processi software, del numero di thread, del numero di connessioni, dello spazio su disco, etc.
Secondo quanto riportato sul sito di CSIRT Italia (Computer Security Incident Response Team), inoltre, gli attacchi applicativi possono essere suddivisi in due macro-aree, quelli che prendono di mira l’applicazione software (per esempio il sito web) e quelli che mirano al container dell’applicazione (come il web server). Gli attacchi DDoS rivolti verso l’applicazione software dipendono dal codice dello specifico prodotto e consistono nell’accesso intensivo a una risorsa che per essere generata richiede un notevole sforzo computazionale. I sintomi di un attacco di questo genere sono l’aumento delle risorse utilizzate e il rallentamento nella fruizione del servizio, fino al totale blocco.
Gli attacchi DDoS rivolti verso i service container colpiscono le risorse di rete e di calcolo del servizio e del sistema operativo, comportando sintomi simili a quelli del caso precedente, ovverosia rallentamento o blocco del sito.
Individuare e mitigare gli attacchi DDoS, dunque, risulta essere una vera e propria sfida, dal momento che i Threat Actors sono soliti usare una combinazione di diversi attacchi per eludere il proprio rilevamento e massimizzare i risultati. Ad oggi, diventa sempre più indispensabile una strategia preventiva e difensiva di mitigazione, risposta e ripristino, ciò nel minor tempo possibile.
Per questi motivi la divisione Cyber-risk & Digital Forensics di Excursus da anni protegge le aziende partner attraverso continue attività di prevenzione, promuovendo costanti iniziative volte a sensibilizzare, formare e aggiornare sull’argomento il personale delle aziende clienti, nonché ad intervenire, in caso di attacco, con estrema rapidità e la massima efficienza.
Cookie | Durata | Descrizione |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |