Atacurile DDoS folosite în scop de sabotaj politic sau de a influența cursul Bitcoin-ului

- Adrian Ungureanu
378

Cei de la Kaspersky Lab au realizat raportul activității atacurilor DDoS din ultimul trimestru din 2017, iar descoperirile sunt mai multe decât interesante.

Atacuri DDoS realizate accidental de autorii de mesaje spam, sabotaj politic și încercarea deținătorilor de botnet-uri DDoS de a face bani din Bitcoin, se numără printre tendințele analizate în raportul Kaspersky.

Numărul țărilor în care sunt localizate resursele victimelor botnet-urilor DDoS a scăzut de la 98 la 82 în T4. Vietnam a urcat în clasamentul celor mai atacate țări, înlocuind Hong Kong, care se afla anterior printre liderii la acest capitol. În ciuda unor fluctuații minore, toate celelalte țări din top 10 și-au păstrat locul.

În schimb, Canada, Turcia și Lituania au intrat în top 10 țări în care sunt localizate serverele de comandă și control pentru botnet-urile DDoS, luând locul Italiei, Hong Kong-ului și Marii Britanii.

După o creștere accentuată în trimestrul al treilea, procentul botnet-urilor Linux rămâne la același nivel în cel de-al patrulea trimestru (71% versus 29% pentru botnet-urile Windows). Cu toate acestea, procentul atacurilor SYN DDoS a scăzut de la 60% la 56% datorită scăderii activității botnet-ului Xor DDoS Linux. Prin urmare, proporția atacurilor UDT, TCP și HTTP a crescut, deși procentul atacurilor ICMP a continuat să scadă, atingând un minim pentru anul 2017 (3%).

Statisticile Kaspersky DDoS Protection care includ informații despre activitatea botnet-urilor precum și a altor surse, indică un declin al popularității atacurilor DDoS ce folosesc doar metoda HTTP sau HTTPS flood – de la 23 % în 2016, la 11% în 2017. În același timp, frecvența atacurilor care folosesc simultan mai multe metode a crescut de la 13%, la 31%.

Acest lucru poate fi cauzat de dificultățile și costurile de a organiza atacuri HTTP(S), în timp ce atacurile mixte le permit atacatorilor să fie eficienți, având costuri mai mici.

Cât despre durata atacurilor DDoS realizate prin intermediul botnet-urilor, cel mai lung atac din T4 anul 2017 a ținut doar 146 de ore. Victima a fost un site al unei companii din China care învață utilizatorii să gătească mâncare tradițională asiatică. Motivele din spatele celor mai cunoscute atacuri din această perioadă au fost, însă, politice (de exemplu, atacurile DDoS care au vizat biroul ceh de statistică și site-ul Curții Constituționale din Spania), precum și încercări de a profita de pe urma fluctuațiilor din cursul de schimb Bitcoin (site-ul BTG și al casei de schimb de criptomonede Bitcoin Bitfinex au fost printre victimele atacurilor).

Întâlnirea dintre comerțul online și infractorii cibernetici a fost o altă caracteristică a celui de-al patrulea trimestru. În apropierea perioadei de vârf a vânzărilor de Black Friday și Cyber Monday, „borcanele cu miere” („honeypots”) Kaspersky Lab au înregistrat o creștere bruscă a numărului de tentative de infectare, cu ajutorul unor capcane create special de către boții DDoS Linux. Acest lucru ar putea să indice dorința infractorilor cibernetici de a-și crește mărimea botnet-urilor înaintea unei perioade cu vânzări mari și de a face bani de pe urma acestui lucru.

Însă, după cum arată datele din cel de-al patrulea trimestru, un atac DDoS nu reprezintă întotdeauna o modalitate de a câștiga bani sau de a crea probleme pentru deținătorii de domenii Internet, ci poate fi un efect secundar accidental. De exemplu, în decembrie, un amplu atac DDoS asupra serverelor DNS din zona domeniului național RU a cauzat o modificare a bot-ului de spam Lethic. Se pare că din cauza unei erori de dezvoltator, troianul a creat un număr mare de cereri către domenii inexistente și a ajuns să producă efectul unui atac masiv DDoS.