Il ritorno di Pbot e la nuova ondata di attacchi DDoS
Grazie al ritorno del malware Pbot, il secondo semestre del 2017 vede il boom degli attacchi DDoS, che crescono del 28%.
A volte (purtroppo) ritornano. A fare di nuovo la sua comparsa è il malware Pbot e, con esso, gli attacchi DDoS: il programma, uno dei più dannosi registrati il semestre scorso, è stato segnalato all’interno Rapporto sullo stato di Internet Q2 2017 / Security di Akamai ed è tornato alla ribalta con la creazione di una mini botnet, dalla quale è stato lanciato un DDoS da 75 giga al secondo. Quello che sorprende dell’attaco è che, nonostante le ridotte dimensioni (400 nodi), abbia generato un livello di traffico molto alto.
Questa minaccia è solo una delle tante registrate nel secondo trimestre, durante il quale è stata rilevata una crescita del 28%, dopo il calo dei 3 trimestri precedenti. Un altro dato da non trascurare è la frequenza degli attacchi, visto che un obiettivo viene colpito in media 32 volte in un trimestre. Ma il vero fatto curioso è il calo dei dispositivi impiegati: il numero di IP univoci è infatti crollato da 595.000 a 11.000 (il 98% in meno), segnale che gli hacker sono in grado di lanciare attacchi massicci anche con una rete di dimensioni ridotte.
Tra vecchie e nuove minacce
Se da una parte, come fa notare il Senior security advocate di Akamai Martin McKeay, i cybercriminali tendono a cercare sempre nuove falle nei sistemi di sicurezza delle aziende, dall’altra si manifesta un ritorno a strumenti e strategie già consolidate. Pbot, ad esempio, ha sfruttato un codice PHP molto vecchio.
Non mancano però i nuovi sistemi, come il processo malware DGA, un algoritmo per la generazione di domini. Grazie a questo sistema, le botnet possono creare numerosi domini fittizi da usare come canali Command and Control e in mezzo ai quali nascondere i veri canali, così da renderne più difficile la rimozione.
Per le aziende, tutto ciò significa che sarà sempre necessaria la massima attenzione. Non essendo possibile prevedere con sicurezza il futuro di queste minacce, ma solo capire che appaiono con una certa ciclicità, l’unica via percorribile è quella della prevenzione e della cura del perimetro difensivo delle applicazioni web.