Les principales tendances observées par le LSOC au troisième trimestre sont les suivantes:
- Un nombre d'attaques inhabituellement élevé : le nombre d'attaques a augmenté de 71% par rapport au deuxième trimestre 2018, pour atteindre une moyenne de plus de 170 attaques par jour.
- Les attaques utilisant des réseaux de zombies basés sur des serveurs ont fortement augmenté : au troisième trimestre, une attaque sur deux est effectuée sur des serveurs cloud.
- Les attaques multi-vecteurs représentent 59% de toutes les attaques enregistrées : La plupart des attaques multi-vecteurs (37%) ont utilisé une combinaison de 3 techniques et protocoles, le nombre maximal de vecteurs utilisés étant de 9.
- En conséquence, le LSOC a assisté à des attaques inhabituellement à grande échelle, la plus grande attaque de 2018 atteignant les 371 Gbps (dépassant le volume maximal précédent de 212 Gbps). 35 autres attaques ont présenté des pics de bande passante supérieurs à 100 Gbps
Le LSOC estime que l’augmentation du nombre d’attaques au troisième trimestre est symptomatique d’un nouveau changement de la situation en matière de sécurité pour les attaques DDoS : outre les réseaux de zombies classiques constitués d’ordinateurs privés ou de serveurs de société et de dispositifs IdO compromis, le cloud ouvre de nouvelles infrastructures d’attaque. Les raisons en sont évidentes. Les instances de cloud modernes offrent un potentiel d'attaque énorme. Alors que les périphériques IdO sont généralement connectés au réseau avec seulement quelques Mbps, les fournisseurs de cloud offrent des connexions allant de 1 à 10 Gbps.
Entre juillet et septembre 2018, les attaquants ont ciblé des entreprises et leurs infrastructures informatiques en Europe 15 934 fois (au T2 2018, le rapport avait noté 9 327), ce qui a conduit à une moyenne de plus de 170 attaques par jour. Août a été un mois particulièrement prolifique, dépassant le nombre moyen d’attaques par mois en enregistrant 8 282 attaques (soit une moyenne de 267 par jour pendant ce mois).
Les attaquants avaient tendance à frapper leurs cibles entre 16 heures et minuit. La menace liée aux attaques DDoS était particulièrement forte le week-end, la plupart des attaques ayant lieu les samedis et les dimanches. Cela indique que les auteurs ont commencé leurs attaques principalement en dehors des heures de travail normales des services informatiques (estimant probablement que le personnel ne serait pas en mesure de réagir rapidement pour atténuer les attaques).
Au troisième trimestre, la durée moyenne d'une attaque était de 19 minutes. La moyenne a plus que doublé par rapport à la moyenne de huit minutes du trimestre précédent. La durée des attaques a varié entre une et 598 minutes. Ces attaques allant jusqu’à 10 heures se produisaient fréquemment dans l’environnement de jeu.
Les joueurs ont évidemment tenté de gêner leurs adversaires ou d'influencer l'issue d'une partie par des tentatives de surcharge ciblées. En revanche, la majorité des attaques par DDoS ont duré jusqu'à 10 minutes. Au troisième trimestre, ils représentaient 67% de toutes les attaques. Les attaques relativement courtes étaient généralement associées à une fréquence d'attaque élevée, comme le montre l'exemple d'un fournisseur d'hébergement. Presque toutes les 15 minutes et pour une durée totale de trois heures, 14 attaques DDoS ont été lancées. Le public remarque à peine de telles attaques courtes, qui sont comme des piqûres d'épingle.
L’équipe rappelle qu’il suffit généralement de quelques minutes de surcharge ciblée pour infliger des dommages importants, tels que l’interruption du tunnel IPsec. En effet, des heures peuvent passer jusqu'à ce qu'il puisse être restauré. Par conséquent, pour la sécurité informatique de l'architecture de sécurité, il est essentiel que les processus de filtrage récupèrent les packages DDoS en quelques secondes (temps d'atténuation), de sorte qu'il n'est pas nécessaire d'attendre une heure ou plus pour le basculement vers le cluster de filtres.
Au troisième trimestre, la durée totale des plus de 15 000 attaques s'élevait à 310 327 minutes ou 5 172 heures. Alors que le nombre d'attaques par rapport au trimestre précédent a augmenté de plus de 70%, le taux d'augmentation de la durée totale a été de 324%. Août est le mois avec le plus d'attaques. Il a eu 8.284 attaques (52%) avec une durée totale de 139.908 minutes (45%). L’observation des trois mois individuels révèle de nettes différences dans la durée de l’attaque. En juillet, les attaques ont cessé en moyenne après un peu moins de 27 minutes, en août après un peu moins de 17 et en septembre après 14 minutes.
« La structure et la composition des attaques DDoS évoluent constamment, mais l'objectif reste le même: interrompre les serveurs, les réseaux ou les flux de données », a déclaré Aatish Pattni, directeur régional pour Link11 au Royaume-Uni et en Irlande. « Au cours du troisième trimestre, plus de la moitié des attaques étaient multi-vecteurs, ce qui les rend plus difficiles à défendre et leur volume augmente également, ce qui signifie qu'elles peuvent facilement submerger les défenses. Pour que ces attaques ne perturbent pas les activités commerciales, les entreprises ont besoin d'une protection proactive qui répond automatiquement à l'évolution des scénarios et des schémas d'attaque, à l'aide de techniques avancées d'apprentissage automatique ».
Source : rapport Link11
Voir aussi :
La France a été la troisième région source d'attaques DDoS au 2T18 d'après un rapport, qui souligne le rôle joué par les appareils IdO non sécurisés
Neutralité du Net : le système de commentaires de la FCC a-t-il été victime de DDoS, ou est-ce une ruse pour ne pas recevoir les avis des Américains ?
Webstresser, la plus grande plateforme de prestation d'attaques DDoS, a été fermée suite à une opération de police conduite en international
Une attaque DDoS memcached établit un nouveau record avec une amplitude de 1,7 Tbps, quelques jours seulement après l'attaque contre GitHub
Un Britannique arrêté pour avoir utilisé un bot de 9000 zombies afin de lancer des attaques DDoS contre Google et Skype