La France a été la troisième région source d’attaques DDoS au 2T18

D'après un rapport qui souligne le rôle joué par les appareils IdO non sécurisés.

NexusGuard, une entreprise spécialisée dans l’atténuation des attaques DDoS, a publié un rapport qui montre que les attaques par déni de service (DDoS) ont considérablement augmenté au cours des deux premiers trimestres de 2018 par rapport à 2017. L'augmentation des attaques est attribuée aux botnets à grande échelle que les acteurs malveillants obtiennent en se servant de dispositifs IdO non sécurisés.

Selon le rapport, les attaques par déni de service ont augmenté de 29% depuis le deuxième trimestre de 2017, la taille moyenne des attaques ayant augmenté de 543% et est désormais de 26,37 Gbps.

Alors que le nombre d'attaques a connu une augmentation généreuse, la taille de ces attaques est encore plus préoccupante.

Le rapport de NexusGuard montre que la taille moyenne des attaques au deuxième trimestre 2017 était de 4,10 Gbps et le maximum était de 63,70 Gbps. Pour le deuxième trimestre de 2018, cette taille moyenne a augmenté de plus de 500% à 26 Gbit / s et la taille maximale est passée à 359 Gbit / s.
a

Augmentation des attaques DDoS attribuées aux botnets IoT

L'augmentation des attaques et de leurs tailles est attribuée aux acteurs malveillants qui construisent des réseaux de zombies en utilisant des dispositifs IdO non sécurisés. Ils se servent des vulnérabilités de ces périphériques pour créer rapidement des réseaux de bots de grande taille qui peuvent ensuite être utilisés pour effectuer des attaques ciblées de plus en plus difficiles à arrêter.

Par exemple, à un moment donné, le botnet Mirai Satori a été consulté sur plus de 280 000 adresses IP sur une période de 12 heures et le nouveau botnet Anarchy a pu amasser plus de 18 000 routeurs en une seule journée. Ces botnets ont été créés par des attaquants exploitant des vulnérabilités dans des routeurs tels que ceux fabriqués par Huawei & D-Link.

« En outre, les grandes proliférations de botnets, comme Satori de l’année dernière, ont continué de menacer le cyberespace en exploitant des vulnérabilités zero day », a déclaré NexusGuard. « Depuis son attaque de haut niveau contre les routeurs Huawei en décembre 2017, Satori a fait des ravages ces derniers mois sur divers appareils IdO, notamment les routeurs compatibles GPON fabriqués par Dasan (Corée du Sud) et les routeurs DIR-620 de D-Link et les dispositifs IdO XiongMau uc-httpd 1.0.0. De plus, le trimestre a été marqué par l'apparition du botnet Anarchy, qui exploitait les vulnérabilités zero day de la même manière que Satori ». 

Quelques chiffres clés 

La durée des attaques

Les attaques de moins de 90 minutes ont occupé 55,28% du total, tandis que celles qui ont duré plus longtemps ont représenté 44,72%. 4,62% ont duré plus de 1200 minutes. La durée moyenne était de 318,10 minutes, tandis que l'attaque la plus longue a duré 6 jours, 5 heures et 22 minutes. Les cybercriminels se concentrent généralement sur les heures d'opération maximales de leurs cibles pour maximiser l'impact de leurs attaques et cherchaient à terminer leurs attaques dans les 90 minutes.

a

Régions sources d'attaques

Avec plus d'un milliard d'utilisateurs d'Internet (près d'un tiers du total mondial), les États-Unis et la Chine étaient les deux principales régions sources d'attaques mondiales. La France a suivi au troisième rang, l'Allemagne et la Russie se classant parmi les cinq premiers.

a

Voici quelques autres statistiques intéressantes :

  •  Les trois principaux vecteurs d'attaque DDoS observés par NexusGuard sont UDP (31,56%), TCP Syn (18,50%) et ICMP (9,32%). Le total combiné  des trois principaux types d’attaques est de 59,38%.

  •  Les attaques à un seul vecteur représentaient 52,03% des attaques totales, tandis que 47,97% étaient des attaques à vecteurs multiples.

  •  Les 5 attaques multi-vecteurs les plus répandues étaient les amplifications NTP + UDP (17,06%), ICMP + UDP (9,41%), ICMP + UDP + Amplification NTP (6,47%), CLDAP Reflection + UDP Fragmentation (5,29%) et TCP SYN + UDP (4,71%).

  •  64,13% des attaques étaient inférieures à 10 Gbps, mais la taille moyenne était de 26,37 Gbps. NexusGuard indique qu'une augmentation de la taille des attaques supérieure à 10 Gbps au deuxième trimestre de 2018 représente la taille moyenne la plus importante.


Source : developpez.com