Attaques DDoS au 2e trimestre 2017

Les attaques DDoS dans l’actualité

Au cours du 2e semestre, nous avons pu observer une utilisation de plus en plus fréquente des attaques DDoS dans les conflits politiques. La crise qui frappe le Qatar a été accompagnée d’une attaque contre le site d’Al Jazeera, la chaîne d’informations la plus importante de la région. La campagne présidentielle française, quant à elle, a été le cadre d’attaques contre les sites des quotidiens Le Monde et le Figaro. La Grande-Bretagne n’est pas en reste ; il y a un an, elle avait dû faire face à une vague d’attaques contre le site internet mis en place pour s’inscrire au référendum sur la sortie de l’Union européenne. Au final, de nombreux citoyens avaient été privés de la possibilité de participer au référendum.

Il convient d’évoquer également une histoire particulièrement révélatrice qui a eu lieu aux Etats-Unis quand la FCC (Commission fédérale des télécommunications) a dévoilé un projet de suppression du principe de neutralité du Net qui avait pourtant été consacrée légalement il y a deux ans. La section des commentaires avait été mise hors service pendant près de 24 heures. À ce jour, on ne connaît toujours pas la cause exacte de la défaillance du système : soit une avalanche de messages identiques envoyés par les opposants à la neutralité, soit, au contraire, une opération menée par des partisans de la neutralité pour tenter d’empêcher les opposants d’inonder le site de la FCC avec de faux commentaires.

L’argent demeure pourtant toujours le principal motif derrière les attaques DDoS. Le battage médiatique sur les crypto-devises a entraîné une hausse sensible de leur cours au 2e trimestre 2017, ce qui a suscité l’intérêt des cybercriminels. Bitfinex, la plus grande bourse d’échange de bitcoins, a été victime d’une attaque en même temps que l’ouverture des opérations sur la nouvelle devise de l’Internet des objets IOTA. Un peu plus tôt, la bourse BTC-E avait annoncé un ralentissement de ses opérations suite à une puissante attaque DDoS. Tout indique que les individus malintentionnés cherchent de cette manière à manipuler les cours, ce qui est parfaitement possible, au vu de l’extrême volatilité de ces monnaies.

Les propriétaires de réseaux de zombies destinés à l’organisation d’attaques DDoS ne se limitent pas à louer la puissance de leurs réseaux. Ainsi, au moins de juin, une grosse escroquerie faisant planer le risque d’une attaque DDoS a été signalée. Le groupe, qui se faisait appeler Armada Collective, avait exigé la somme de près de 315 000 dollars à sept banques de Corée du Sud pour éviter une perturbation de leurs services en ligne. D’après un rapport Radware, il ne s’agit pas de la première tentative d’escroquerie par DDoS réalisée par ce groupe.

Etant donné l’augmentation des pertes liées aux attaques DDoS, les autorités judiciaires et policières commencent à lutter plus sérieusement contre les auteurs de telles attaques. En avril 2017, un tribunal anglais a condamné un jeune homme à deux années de prison pour avoir mené une série d’attaques il y a 5 ans, alors qu’il était toujours étudiant. Il avait mis en place le réseau de zombies Titanium Stresser et il proposait ses services sur le darknet. Il avait réussi à empocher la somme de 386 000 livres sterling (431 351 euros).

Il y a eu peu de nouveautés technologiques au 2e trimestre. Nous devons néanmoins nous arrêter sur un nouveau vecteur dans l’organisation de ce genre d’attaque. Des chercheurs de chez Corero Network Security ont signalé qu’ils avaient déjà enregistré plus de 400 attaques organisées via des serveurs LDAP mal configurés. La plus puissante d’entre elles avait atteint 33 Gbits/s. Ces attaques reposant sur le principe de la réflexion associé à l’amplification, elles nécessitent relativement peu de moyens.

L’attaque DDoS qui aura fait le plus parler d’elle au 2e trimestre est celle qui a touché les serveurs de Skype. La majorité des utilisateurs de ce client de messagerie avait été confrontée à des problèmes de connexion. Le groupe CyberTeam avait revendiqué ces attaques, mais ses motifs restent inconnus à ce jour.

Tendances

DDoS de rançon

Les tentatives d’escroquerie sous la menace de l’organisation d’attaques DDoS se sont multipliées au cours de ce trimestre. Ce phénomène a été baptisée Ransom DDoS ou RDoS. Les individus malintentionnés envoient aux entreprises ciblées une demande de rançon comprise entre 5 et 200 bitcoins. L’entreprise a le choix de payer la rançon ou face aux conséquences d’une attaque DDoS menée contre l’une de ses ressources en ligne. Ces messages sont souvent accompagnés d’attaques de courte durée en guise de démonstration de force. Les victimes sont soigneusement sélectionnées. Il s’agit en général de sociétés pour lesquelles la mise hors ligne d’une ressource pourrait provoquer des pertes significatives.

Cette méthode se décline dans une autre version : dans l’espoir de gagner de l’argent rapidement, et ce en fournissant le moins d’efforts, les individus malintentionnés menacent un nombre important d’entreprises, de tous les secteurs, d’organiser une attaque DDoS contre leurs ressources si elles refusent de payer une rançon. Dans la majorité des cas, il n’y a pas d’attaques de démonstration. Les entreprises qui choisissent de payer prennent le risque d’être ensuite visées par d’autres groupes aux méthodes similaires.

Il faut toutefois préciser que, bien souvent, ces groupes ne réunissent pas des pirates professionnels, mais bien des novices qui ne disposent pas des capacités requises pour organiser des attaques DDoS mais uniquement des outils  » à des fins de démonstrations « . Les victimes sont des entreprises qui ne disposent pas des moyens nécessaires à la protection de leurs services et qui gardent en réserve une somme d’argent destinée au paiement de rançons.

SambaCry

L’autre événement qui a marqué ce trimestre est la découverte d’une vulnérabilité dans le logiciel réseau Samba qui permet à un individu malintentionné d’exécuter à distance des commandes sur des périphériques Linux et Unix. Samba est un ensemble d’applications qui permet de communiquer avec des disques et des imprimantes réseau et compatible avec la majorité des systèmes dérivés d’Unix comme Linux, les serveurs Solaris et Mac OS X compatibles avec POSIX ou différentes versions de BSD.

Samba a indiqué que  » toutes les versions de Samba, à partir de la version 3.5.0 possèdent une vulnérabilité d’exécution à distance de code qui permet à des individus malintentionnés de charger une bibliothèque d’utilisation conjointe dans une ressource partagée accessible en écriture afin d’obliger le serveur à exécuter un code malveillant « .

D’après les premières estimations, le nombre d’appareils dotés de l’application vulnérable est supérieur à un demi-million. Cela veut dire que les individus malintentionnés peuvent les utiliser pour créer des réseaux de zombies qui interviendront à leur tour dans l’organisation d’attaques DDoS.

Statistiques des attaques DDoS avec utilisation de réseaux de zombies (botnet)

Méthodologie

Kaspersky Lab compte de nombreuses années d’expérience dans la lutte contre les cybermenaces, y compris les attaques DDoS des types et des niveaux de complexité les plus divers. Nos experts suivent l’activité des réseaux de zombies à l’aide du système DDoS Intelligence.

Le système DDoS Intelligence fait partie de la solution Kaspersky DDoS Prevention et vise à intercepter et à analyser les commandes envoyées aux zombies (bots) par les serveurs de commande, sans besoin d’infecter des périphériques de l’utilisateur ou d’exécuter des commandes des individus malintentionnés.

Ce rapport reprend les statistiques de DDoS Intelligence pour le 2e trimestre 2017.

Dans le cadre de notre analyse, l’activité d’un réseau de zombies est considérée comme une attaque DDoS individuelle si la durée des interruptions de l’activité ne dépasse pas 24 heures. Ainsi, une ressource attaquée par un seul et même réseau de zombies avec un intervalle de 24 heures minimum aura été victime de deux attaques. Les requêtes formulées par des bots de différents réseaux de zombies contre une même ressource sont également considérées comme des attaques distinctes.

L’adresse IP est l’élément que nous avons utilisé pour établir la répartition géographique des attaques DDoS et des serveurs qui émettent les commandes. Le nombre de cibles uniques d’attaques DDoS dans le cadre de ce rapport a été défini sur la base des adresses IP uniques des statistiques trimestrielles.

Il convient de signaler que les statistiques de DDoS Intelligence portent uniquement sur les réseaux de zombies découverts et analysés par les experts de Kaspersky Lab. Il ne faut pas non plus oublier que les réseaux de zombies ne sont que l’un des instruments utilisés pour organiser des attaques DDoS. Les données reprises ici ne constituent pas une représentation exhaustive des attaques DDoS survenues au cours de la période indiquée.

Bilan du trimestre

  • Au 2e trimestre 2017, nous avons enregistré des attaques DDoS dans 86 pays, soit 14 pays de plus qu’au trimestre précédent.
  • A l’instar de ce que nous avions vu au trimestre précédent, près de la moitié des attaques (47,42 %) a touché des cibles chinoises.
  • Le trio de tête, aussi bien pour le nombre d’attaques que pour le nombre de cibles, est une fois de plus composé de la Chine, de la Corée du Sud et des Etats-Unis. Le Top 3 sur la base du nombre de serveurs de commandes enregistrés reprend les mêmes pays, mais la Corée du Sud occupe, cette fois-ci, la 1re
  • Les attaques DDoS de longue durée ont refait leur apparition au 2e L’attaque la plus longue a duré 277 heures, soit 131 % plus longue que celle du 1er trimestre. La part d’attaques d’une durée inférieure à 50 heures est quant à elle restée pratiquement inchangée (99,7 %, contre 99,8 % au trimestre précédent).
  • La part des attaques organisées via TCP et ICPM a sensiblement chuté. Elle passe respectivement de 26,6 à 18,2 % et de 8,2 à 7,3 %. Les parts des attaques SYN-DDos et des attaques via les protocoles UDP et HTTP ont quant à elles augmenté.
  • Les réseaux de zombies Linux ont inversé la tendance à la baisse de leur part observée au trimestre précédent. Ils ont été responsables de 51,23 % des attaques (contre 43,4 % au trimestre antérieur).

Répartition géographique des attaques

Au cours du 2e trimestre, nous avons recensé des attaques DDoS dans 86 pays. La majorité de ces attaques a été enregistrée en Chine (58,07 % de l’ensemble des attaques), soit 3 points de pourcentage de plus qu’au trimestre précédent. La part de la Corée du Sud a diminué (elle passe de 22,41 à 14,17 %), mais ce pays conserve malgré tout sa 2e position, tandis que les Etats-Unis progressent de 11,37 à 14,03 %.

Le Top 10 de ce trimestre représente 94,6 % des attaques. On y retrouve l’Italie (0,94 %) et les Pays-Bas (0;84 %) qui ont délogé le Vietnam et le Danemark. La Russie (1,23 %) enregistre une perte de 0,37 point de pourcentage et recule de la 4e à la 6e position. La Grande-Bretagne progresse quant à elle de la 7e à la 5e place (0,77 à 1,38 %).

Répartition des attaques DDoS par pays T1 et T2 2017

Au 2e trimestre 2017, les cibles établies dans le pays du Top 10 ont été victimes de 95,3 % des attaques.

Répartition des cibles uniques d’attaques DDoS par pays, T1 et T3 2017

La Chine conserve la première position en ce qui concerne le nombre de cible : son territoire accueille 47,42 % des cibles, soit 0,36 points de pourcentage de moins qu’au trimestre précédent. Les Etats-Unis passent de la 3e à la 2e place et détrône la Corée du Sud. Ainsi, la part des Etats-Unis est passée de 13,80 % au trimestre précédent à 18,63 % tandis que celle de la Corée du Sud a reculé de 26,57 à 16,37 %.

La part des cibles établies en Russie est passée de 1,55 % au 1er trimestre à 1,33 %. Ce pays passe donc de la 5e à la 7e position. Le Vietnam et le Danemark ont été remplacés dans le Top 10 par l’Italie (1,35 %) et l’Australie (0,97 %).

Dynamique du nombre d’attaques DDoS

Au 2e trimestre 2017, le nombre d’attaque par jour a varié entre 131 (le 17 avril) et 904 (le 13 avril). Des pics ont également été enregistrés le 24 avril (581), le 7 mai (609), le 10 juin (614) et le 16 juin (621). De relatives accalmies ont été observées le 14 avril (192), le 31 mai (240) et le 23 juin (281).

Dynamique du nombre d’attaques DDoS*, T2 2017
*Dans la mesure où les attaques DDoS peuvent durer plusieurs jours sans interruption, une attaque peut être comptabilisée plusieurs fois (une fois par jour) sur la ligne du temps.

Au 2e trimestre 2017, le jour le plus « calme » en matière de DDoS est toujours le lundi (11,74 % des attaques) tandis que le jour le plus actif est le dimanche (15,57 %), suite à une baisse de l’activité les samedis (de 16,05 % au 1er trimestre à 14,39 %). Le 2e jour le plus actif est le jeudi qui suit de très près le dimanche (15,39 %).

Répartition des attaques DDoS selon les jours de la semaine

Types et durée des attaques DDoS

Au 2e trimestre 2017, les attaques SYN-DDoS ont récupéré en partie leurs positions perdues au trimestre antérieur et passent de 48,07 à 53,26 % Les parts des attaques UDP (de 8,71 à 11,91 %) et http (de 8,43 à 9,38 %) ont également connu une augmentation sensible. Par contre, la part des attaques DDoS TCP a fortement chuté (de 26,62 à 18,18 %) tandis que la popularité des attaques ICMP a connu une légère baisse (de 8,17 à 7,27 % des attaques enregistrées).

Répartition des attaques DDoS par type

Le 2e trimestre 2017 enregistre un retour des attaques de très longue durée : 0,07 % des attaques a duré plus de 100 heures. L’attaque la plus longue a duré 277 heures, soit 157 heures de plus que le record du trimestre dernier. La part des attaques de 4 heures et moins a augmenté et passe de 82,21 % au trimestre antérieur à 85,93 %. Les parts des attaques de 5 à 49 heures ont diminué.

Répartition des attaques DDoS selon la durée (heures)

Serveurs de commande et types de réseaux de zombies

Le trio de tête des pays abritant des serveurs de commande a quelque peu changé au 2e trimestre : la Chine, en 3e position avec 7,74 %, a pris la place des Pays-Bas qui recule en 4e position malgré une progression de 3,51 à 4,76 %. La Corée du Sud conserve la 1re position, malgré un recul de 66,49 à 49,11 %. Les Etats-Unis sont toujours en 2e position (16,07 %). Le Top 3 regroupe au total 72,92 % des serveurs de commande.

Le Top 10 de ce trimestre accueille le Canada et le Danemark (0,89 % chacun) qui ont pris la place de la Roumanie et de la Grande-Bretagne. Par rapport au 1er trimestre 2017, les parts de Hong Kong et de la Russie ont sensiblement diminué et passent respectivement de 1,89 à 1,19 % et de 3,24 à 2,68 %.

Répartition des serveurs de commande de réseaux de zombies par pays, T2 2017

La répartition en fonction des systèmes d’exploitation est assez équilibrée au 2e trimestre : la part des réseaux de zombies Linux est de 51,23 % tandis que celle des réseaux Windows est de 48,77 %.

Rapport entre les attaques de réseaux de zombies Windows et Linux

Conclusion

Il n’y a pas eu de grands bouleversements dans les statistiques du 2e trimestre 2017 par rapport au trimestre précédent : près de la moitié des attaques DDoS proviennent toujours de la Chine et c’est là que l’on retrouve également la moitié des cibles d’attaques que nous avons identifiées.

Le 2e semestre a clairement démontré que certaines entreprises prennent la menace des attaques DDoS tellement au sérieux qu’elles sont prêtes à payer une rançon dès la première demande, sans attendre les attaques. Cela a donné naissance à toute une vague de tentatives d’escroquerie et d’extorsion : c’est ce que l’on appelle le Ransom DDoS. La gravité de la situation est confirmée par le fait que souvent, les individus malintentionnés s’épargnent la démonstration de leurs capacités et se contentent d’envoyer la demande de rançon à un grand groupe d’adresses. Tout semble indiquer que le seuil d’accès aux Random DDoS est assez bas, ce qui laisse la porte d’ouverte à des escrocs ne disposant que de peu de ressources et d’un savoir-faire technique limité.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *