Il livello di sofisticatezza degli attacchi DDoS continua ad evolvere, rappresentando una minaccia sempre più sofisticata e pericolosa per le infrastrutture IT. Cloudflare, leader globale nella gestione della sicurezza informatica, ha intrapreso un percorso di difesa contro questi attacchi attraverso soluzioni all’avanguardia, per lo più basate sull’intelligenza artificiale.
Utilizzando algoritmi di apprendimento automatico estremamente avanzati, l’azienda è in grado di rilevare, classificare e mitigare i tentativi di attacco con una precisione e una velocità che vanno ben oltre le capacità dei sistemi di sicurezza tradizionali. Il machine learning permette oggi di analizzare in tempo reale milioni di flussi di traffico, distinguendo con incredibile accuratezza tra il normale traffico web e i potenziali attacchi dannosi, proteggendo così migliaia di aziende e organizzazioni in tutto il mondo da interruzioni potenzialmente catastrofiche. Ma andiamo con ordine.
Indice dei contenuti:
Cos’è un attacco DDoS?
Acronimo di Distributed Denial of Service, l’attacco DDoS è un tentativo ostile da parte di un malintenzionato che cerca di impedire agli utenti l’accesso a servizi e siti web puntando a inondare un sito web o un servizio con traffico anomalo per renderlo inaccessibile.
Qual è l’obiettivo di un attacco DDos?
L’attacco DDoS punta a sopraffare il corretto funzionamento dei siti web, sovraccaricando il server con richieste fasulle. Per raggiungere tale scopo, gli attacchi DDoS vengono orchestrati con un serie di dispositivi infettati connessi a Internet. Questi device prendono il nome di bot che, lavorando in rete con altri affini, formano una botnet.
L’obiettivo dell’attaccante è inondare il sito web con una quantità di richieste tali che il server non sarà in grado di gestirle tutte. Gli utenti che tenteranno di raggiungere le risorse potranno riscontrare un servizio lento o non disponibile.
Gli attacchi DDoS volumetrici hanno come obiettivo reti con enormi quantità di traffico e, data la portata, si servono di botnet create con una milizia di singoli dispositivi infetti da malware. I bot vengono utilizzati per causare la congestione con traffico dannoso che si impadronisce di tutta la larghezza di banda disponibile.
Come individuare un attacco DDoS?
Il sintomo iniziale di un attacco DDoS in corso è l’improvviso rallentamento del caricamento delle pagine web. Tuttavia, anche un picco del traffico potrebbe causare un simile disservizio e, dunque, è bene procedere con cautela verificando la provenienza del traffico e le relative informazioni, ad esempio se il traffico arriva dalla stessa posizione geografica, dallo stesso tipo di dispositivo o dal medesimo browser web e punta verso una singola pagina.
L’attacco DDoS HTTP/2
A fine agosto 2023, i sistemi di Cloudflare hanno iniziato a rilevare degli anomali attacchi HTTP che, via via, hanno raggiunto dimensioni record, facendo registrare un picco superiore a 201 milioni di richieste al secondo. Questo valore supera di gran lunga la portata dell’attacco record riscontrato nel mese di febbraio (71 milioni di richieste al secondo).
Ciò che ha destato preoccupazione è il fatto che i cyber criminali siano riusciti a perpetrare tale attacco utilizzando una botnet di appena 20.000 macchine. L’impatto sul traffico dei siti web protetti dalla CDN ha coinvolto circa l’1% delle richieste.
Sebbene si trattasse di un nuovo vettore, le misure di protezione di Cloudflare sono state inizialmente in grado di assorbire la portata dell’attacco DDoS e, nel tempo, sono state perfezionate in modo da garantire che l’attacco non influenzasse l’infrastruttura di Cloudflare e la disponibilità dei progetti web.
Vulnerabilità protocollo HTTP/2
Questi attacchi sono stati orchestrati sfruttando una vulnerabilità del protocollo HTTP/2 che implica l’avvio e l’annullamento rapidi dei flussi. Per fare ciò, gli hacker stabiliscono un insieme di connessioni HTTP/2 ed inviano richieste immediatamente seguite da reset (RST_STREAM frame), che consente di saturare il server senza raggiungere la soglia di flusso simultaneo. Infatti, quando un client annulla uno stream, ottiene immediatamente la possibilità di aprire un altro stream al suo posto, potendo così inviare immediatamente un’altra richiesta. Il server può solo subire il reset poiché si tratta di un’azione intrapresa unilateralmente dal client.
Domini Cloudflare utilizzati come veicolo di attacchi DDoS
Nel corso del 2024, si è registrato un significativo aumento nell’utilizzo improprio dei servizi Cloudflare, con un incremento dei casi di abuso che varia dal 100% al 250%. In particolare, strumenti come Cloudflare Pages e Cloudflare Workers, concepiti per ospitare pagine web e gestire processi serverless, sono stati sfruttati sempre più frequentemente per condurre attacchi phishing e altre attività illecite.
Cloudflare Pages
Si tratta di una soluzione pensata per consentire ai front-end developer di creare e distribuire siti web veloci sulla rete CDN di Cloudflare. Questa, però, viene sempre più spesso utilizzata per scopi fraudolenti: gli hacker, infatti, la sfruttano per effettuare campagne di phishing, reindirizzando gli utenti a siti dannosi che spesso sfuggono ai controlli delle soluzioni di sicurezza grazie alla reputazione affidabile di Cloudflare.
Secondo il rapporto Fortra, gli attacchi di phishing associati a Cloudflare Pages sono cresciuti del 198% nell’ultimo anno, passando da 460 episodi nel 2023 a 1.370 nell’ottobre 2024.
Cloudflare Workers
Anche Cloudflare Workers è una piattaforma progettata per eseguire applicazioni e script serverless sulla rete edge di Cloudflare. Solitamente utilizzati per ottimizzare contenuti, API o implementare firewall, anche i Cloudflare Workers vengono sfruttati per scopi dannosi:
- Condurre attacchi DDoS;
- Creare e distribuire pagine di phishing;
- Inserire script malevoli;
- Effettuare attacchi brute force contro account utente.
Lo studio di Fortra rileva un incremento del 104% negli attacchi di phishing legati a questa piattaforma, con i casi che sono passati da 2.447 nel 2023 a 4.999 nel 2024.
Attacchi DDoS e intelligenza artificiale
In uno scenario in cui gli attacchi evolvono a tal punto da diventare sempre più sofisticati, Cloudflare lavora incessantemente per identificare in modo proattivo le nuove minacce per garantire protezione ai siti web protetti dalla CDN. E l’utilizzo dell’intelligenza artificiale da parte dei cyber criminali rappresenta attualmente una sfida sempre più centrale.
Gli hacker, infatti, sfruttano l’AI per automatizzare e raffinare i loro attacchi, rendendoli più difficili da rilevare e contrastare. Cloudflare si avvale di tecnologie all’avanguardia per stare al passo con le minacce: in questa direzione guarda il “firewall for AI”, uno strumento che aiuta a identificare tempestivamente gli attacchi basati su intelligenza artificiale, in particolare i tentativi malevoli che interessano i modelli generativi (LLM) per l’erogazione di servizi.
Come difendersi dagli attacchi DDoS?
Fare un attacco DDoS è diventato via via sempre più semplice e, se non bastasse, anche economico. Ad esempio, a differenza dei ransomware, gli attacchi DDoS non prevedono l’intrusione nel sistema e non fanno leva sull’ingenuità della vittima per la propagazione del malware.
Negli ultimi mesi, c’è stato un aumento dei DDoS in vari settori con attacchi volumetrici particolarmente importanti. Per una protezione efficace del sito web dovresti intraprendere degli accorgimenti, tra cui:
- Applicare le patch di sicurezza
- Scegliere password complesse
- Implementare l’autenticazione a due fattori (2FA)
- Utilizzare firewall
- Affidarsi a VPN
- Pianificare una strategia di backup
Fintanto che gli imprevisti sono dietro l’angolo, quest’ultimo punto risulta fondamentale per garantire la business continuity. E, per una strategia di sicurezza ancora più completa, Shellrent offre un servizio innovativo, pensato per l’archiviazione e il ripristino dei backup in caso di emergenza.