Les attaques DDoS (déni de service distribué) hypervolumétriques au premier trimestre 2023 sont passées de l’utilisation d’appareils IoT compromis à l’exploitation de serveurs privés virtuels (VPS) piratés.
Selon la société de sécurité Internet Cloudflare, la nouvelle génération de botnets a progressivement abandonné la tactique consistant à créer de grands essaims d’appareils IoT individuellement faibles et se tourne maintenant vers l’asservissement de serveurs VPS vulnérables et mal configurés à l’aide d’informations d’identification d’API divulguées ou d’exploits connus.
Cette approche aide les acteurs de la menace à créer des botnets hautes performances plus facilement et souvent plus rapidement, qui peuvent être jusqu’à 5 000 fois plus puissants que les botnets basés sur l’IoT.
« La nouvelle génération de botnets utilise une fraction du nombre d’appareils, mais chaque appareil est considérablement plus puissant », explique Cloudflare dans le rapport.
« Les fournisseurs de cloud computing proposent des serveurs privés virtuels pour permettre aux start-ups et aux entreprises de créer des applications performantes. L’inconvénient est que cela permet également aux attaquants de créer des botnets hautes performances qui peuvent être jusqu’à 5 000 fois plus puissants. »
Cloudflare a travaillé avec les principaux fournisseurs et partenaires de cloud computing pour sévir contre ces menaces émergentes basées sur les VPS et affirme avoir réussi à supprimer des parties substantielles de ces nouveaux botnets.
Paysage DDoS du 1er trimestre 2023
En général, Cloudflare fait état d’une activité DDoS stable au cours du premier trimestre de l’année, avec une augmentation notable de 60 % en glissement annuel des attaques DDoS avec rançon, ce qui représente 16 % de toutes les attaques DDoS enregistrées/signalées.
Ces attaques DDoS basées sur l’extorsion provoquent des interruptions de service vers la cible en la bombardant de trafic de déchets et se poursuivent indéfiniment jusqu’à ce que la victime réponde aux demandes de l’attaquant.
Le pays le plus ciblé par les attaques DDoS en général au cours du premier trimestre 23 était Israël, suivi des États-Unis, du Canada et de la Turquie. Les services Internet, le marketing, les logiciels et les jeux/jeux étaient les secteurs les plus ciblés.
L’attaque la plus importante observée par Cloudflare ce trimestre a culminé à plus de 71 millions de requêtes par seconde. Un autre incident notable a été une attaque DDoS de 1,3 térabits par seconde ciblant un fournisseur de services de télécommunications en Amérique du Sud.
En termes de taille et de durée des attaques, la plupart (86,6%) ont duré moins de 10 minutes, tandis que 91% n’ont pas dépassé 500 Mbps.
Cependant, le nombre d’attaques plus importantes continue de croître, avec des attaques dépassant 100 Gbps, enregistrant une hausse d’environ 6,5 % par rapport au trimestre précédent.
Tendances émergentes
Les attaques DDoS peuvent se manifester de plusieurs façons, et à mesure que les défenses évoluent pour y faire face, les attaquants peuvent concevoir de nouvelles méthodes ou revenir à d’anciennes tactiques que les nouveaux systèmes de protection ne priorisent plus.
Au cours de ce trimestre, Cloudflare a enregistré les tendances émergentes suivantes :
- Augmentation de 1 565 % QoQ des attaques DDoS basées sur SPSS (solutions de produits et services statistiques). Ceci est alimenté par l’exploitation de deux failles (CVE-2021-22731 et CVE-2021-38153) dans le service Sentinel RMS License Manager, exploitées pour lancer des attaques DDoS par réflexion.
- Augmentation de 958 % QoQ des attaques DDoS d’amplification DNS, où les attaquants exploitent les failles de l’infrastructure DNS pour générer de grandes quantités de trafic.
- Augmentation de 835 % QoQ des attaques DDoS basées sur GRE (encapsulation de routage générique), où les attaquants abusent du protocole GRE pour inonder le réseau de la victime avec des requêtes inutiles.
Les attaques DDoS au premier trimestre 2023 montrent une tendance à l’augmentation de la taille et de la durée, ciblant un large éventail d’industries. Par conséquent, des stratégies de défense efficaces nécessitent des solutions de détection et d’atténuation automatisées.