Kaspersky Lab a publié son DDoS Intelligence Report sur le 4e trimestre de 2015. La période de référence s’est caractérisée par une baisse du nombre de pays où des moyens d’entreprises ont été la cible d’attaques, ainsi que par l’utilisation de nouvelles voies d’attaques par les cybercriminels pour éliminer des ressources. C’est également au cours du quatrième trimestre qu’a eu lieu la plus longue attaque DDoS sur base de botnets de 2015, qui a duré plus de deux semaines.
Des ressources de 69 pays ont été la cible d’attaques assistées par des botnets (contre 79 au 3e trimestre). Tout comme lors du précédent trimestre, la grande majorité des attaques (94,9%) a eu lieu dans seulement 10 pays. Au cours du 4e trimestre, quelques légers glissements ont été observés dans le Top 10, même si la Chine, la Corée du Sud et les Etats-Unis restent les plus touchés.
La plus longue attaque DDoS du T4 a duré 371 heures (soit 15,5 jours) – un record pour 2015. Pendant la période de référence, les cybercriminels ont lancé des attaques dans lesquelles des bots de différentes familles ont été utilisés. Au T3, la Au T3, la proportion de ce genre d’attaques complexes était de 0,7%, tandis qu’elle a grimpé à 2,5% au cours des trois derniers mois de l’année. La popularité des bots Linux a également poursuit sa progression – de 45,6% à 54,8% de toutes les attaques DDoS enregistrées au T4 2015.
Parmi les tendances observées au T4, on retrouve de nouveaux canaux pour mener des attaques DDoS par réflexion qui mettent à profit les points faibles dans la configuration d’un tiers pour amplifier une attaque. Plus spécialement, les cybercriminels ont envoyé au cours du quatrième trimestre du trafic vers les sites de cibles visées par le biais de serveurs de noms NetBIOS, de services RPC de contrôleurs de domaines, et vers des serveurs de licences WD Sentinel. Les pirates ont continué à utiliser des appareils de l’internet des objets – les chercheurs ont ainsi identifié par exemple plus de 900 caméras de surveillance qui, réparties dans le monde entier, formaient un botnet utilisé pour des attaques DdoS.
Les experts de Kaspersky Lab ont également découvert un nouveau genre d’attaque sur les ressources Web, qui passe par le système de gestion de contenu (CMS) WordPress. Il s’agissait en l’occurrence de code JavaScript injecté dans des ressources Web qui ciblait ensuite la ressource visée sous le nom du navigateur de l’utilisateur. La puissance d’une seule attaque DDoS de ce type (ayant duré 10 heures) a atteint 400 Mbits/sec. Les pirates ont utilisé une application Web compromise exécutant WordPress, plus une liaison HTTPS verrouillée pour entraver le filtrage éventuel du trafic par le propriétaire de la ressource.
« Nous observons que la complexité et la puissance des attaques DDoS n’ont pas diminué avec le temps, même si le nombre des ressources attaquées a baissé. Le DDoS reste malheureusement un outil pratique et abordable pour commettre des délits en ligne. Il existe toujours des points faibles dans les logiciels, que les pirates peuvent mettre à profit pour pénétrer dans des serveurs. Il y a également des utilisateurs qui ne protègent pas leurs appareils et augmentent ainsi les risques d’infection de ces appareils par des bots. De notre côté, nous sommes bien résolus à fournir aux entreprises les informations relatives à la menace DDoS et nous soutenons la lutte contre celle-ci. Le DDoS est une menace qui peut et doit être combattue », fait remarquer Martijn van Lom, General Manager de Kaspersky Lab Benelux.
Source : Kaspersky Lab
Des ressources de 69 pays cible d’attaques assistées par des botnets
02 février 2016