La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018
in

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018

Cette forte baisse fait suite à la suppression par le FBI de sites dit « booter » ou de « DDoS à la location » en décembre 2018.

C’est quoi un « booter » ?

Les booters, également appelés services d’amorçage, sont des services d’attaque à la demande DDoS (Distributed-Denial-of-Service) proposées par des organisations criminelles afin de faire tomber des sites Web et des réseaux. En d’autres termes, les booters sont l’utilisation illégitime de stresseurs IP (la limite entre service de stress tester et booter est très fine…).

Les booters sont proposés en mode SaaS, souvent avec une assistance par courrier électronique et des didacticiels YouTube. Les packages peuvent offrir un service ponctuel, plusieurs attaques dans une période définie ou même un accès «à vie». Un forfait de base d’un mois peut coûter aussi peu que 19,99 $. Les options de paiement peuvent inclure les cartes de crédit, Skrill, PayPal ou Bitcoin (bien que PayPal annule les comptes si une intention malveillante peut être prouvée).

En quoi les booters IP sont-ils différents des botnets?

Un botnet est un réseau d’ordinateurs dont les propriétaires ignorent que leurs ordinateurs ont été infectés par des logiciels malveillants et sont utilisés dans des attaques Internet. Les booters sont des services de DDoS à la location.

Les booters utilisaient traditionnellement des botnets pour lancer des attaques, mais à mesure qu’ils se sophistiquent, ils se vantent d’avoir accès à des serveurs plus puissants pour, comme certains services de booter le disent, «vous aider à lancer votre attaque».

Retour à l’observation des DDOS

La taille moyenne des attaques par déni de service distribué (DDoS) a diminué de 85% au quatrième trimestre de 2018 après une étude du FBI sur les sites Web «booter» ou DDoS à louer, en décembre 2018, rapportent des chercheurs.

À la fin de l’année dernière, les autorités américaines ont saisi 15 domaines populaires dans le cadre d’une campagne internationale de répression des sites booters.

Les cybercriminels peuvent utiliser les sites Web d’amorçage (également appelés « Stress tester ») pour lancer des attaques DDoS contre des cibles spécifiques et les mettre hors ligne. Les Booter ouvrent la porte aux attaquants moins qualifiés pour lancer des menaces dévastatrices contre les sites Web des victimes.

Environ un an avant le retrait du FBI, celui-ci a publié un avis expliquant en détail comment les booters peuvent influer sur l’ampleur et la fréquence des attaques DDoS.

Ces services, annoncés dans les forums et les marchés Dark Web, peuvent être utilisés de manière légitime pour tester la résilience du réseau, mais permettent également aux cyberattaqueurs de lancer facilement des attaques DDoS contre un réseau existant.

La fermeture de sites de boot de premier plan a eu une incidence marquée sur les tendances en matière d’attaques par DDoS au quatrième trimestre de 2018, ont rapporté des chercheurs dans le rapport sur les menaces par DDoS 2018 de Nexusguard.

Au cours du dernier trimestre, le nombre d’attaques par déni de service (DDoS) a diminué de près de 11% d’une année sur l’autre et la taille maximale de l’attaque a diminué de près de 24%.

La différence la plus importante concerne la taille de l’attaque, qui a chuté de 85%.

durée d’attaque

Nexusguard a constaté que la tendance générale se dessinait au troisième trimestre.

distribution du vecteur d’attaque DDoS

Contrairement aux attaques DDoS classiques, dans lesquelles un acteur identifie et cible une adresse IP particulière, les attaques « bit-and-piece » sont réparties sur plusieurs adresses IP sur le même préfixe.

Attaques d’amplification SSDP en forte hausse

Les attaques d’amplification SSDP est le vecteur d’attaque le plus populaire. Elles ont augmenté de 3 122% en un an et de 91,2% en glissement trimestriel, selon Nexusguard.

Ce type d’attaque, qui représente 48,3% de l’ensemble des attaques par DDoS, est lancé sur UDP via des périphériques Universal Plug and Play (imprimantes, webcams, routeurs et serveurs, par exemple).

Lors d’attaques d’amplification SSDP, les adversaires analysent d’abord les périphériques exploitables et utilisent des réseaux de zombies pour envoyer des paquets UDP avec l’adresse IP usurpée d’une cible au port UDP 1900 de tous les périphériques vulnérables.

Les appareils « répondent massivement », expliquent les chercheurs, et la cible est submergée de réponses.

Les cybercriminels vont-ils tirer parti des attaques ponctuelles au lieu des attaques DDoS traditionnelles après la fermeture des booters ?

« Cela dépendra beaucoup de ceux qu’ils attaquent », déclare Chong. Dans le monde des attaques DDoS, où les attaquants étudient réellement leurs cibles, certaines attaques pourraient être plus efficaces.

pIl appelle cela le jeu du « chat et de la souris » entre cyberattaquants et défenseurs: même si les criminels adoptent les attaques SSDP et UDP, les cibles commenceront à suivre leur exemple et les bloqueront.

Chong pense que les sites Web « DDoS-for-hire » feront leur grand retour.

« Certainement« , note-t-il, ajoutant que le déclin de la taille des attaques DDoS devrait s’inverser à l’avenir. « Ces booters ne représentent qu’une partie de tout le problème (activation de réseaux de périphériques zombies). En outre, explique-t-il, la croissance de l’Internet des objets grand public contribue au nombre de périphériques vulnérables exposés aux cyberattaques ».

Sur le même sujet :

Le paysage des attaques par DDoS en Europe est-il en déclin?

Scranos, un nouveau malware rootkit, vole les mots de passe et pousse les clics YouTube

Collecte de données avec des outils Open Source: techniques, automatisation et visualisation

Sécurité – Partie 1 – Virus et Vers

Written by Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

Scranos, un nouveau malware rootkit, vole les mots de passe et pousse les clics YouTube

Scranos, un nouveau malware rootkit, vole les mots de passe et pousse les clics YouTube

Un crypto-malware utilise des exploits de la N.S.A. pour se répandre sur les réseaux d’entreprise

Un crypto-malware utilise des exploits de la N.S.A. pour se répandre sur les réseaux d’entreprise