Archives par mot-clé : DDoS

Cybersécurité, DDoS

Aisuru pousse le DDoS IoT à 29,7 Tbit/s

Laisser un commentaire

En trois mois, le botnet Aisuru a enchaîné 1 304 attaques DDoS et signé un pic à 29,7 Tbit/s. Cloudflare et Microsoft décrivent un basculement vers l’hypervolume, où quelques secondes suffisent à provoquer des dégâts durables.

Le botnet Aisuru, composé de routeurs et d’objets connectés compromis, continue d’alimenter une hausse des attaques DDoS de très grande ampleur. Cloudflare estime qu’il s’appuie sur 1 à 4 millions d’hôtes infectés et affirme avoir atténué 1 304 incidents au seul troisième trimestre, dont près de 45 % en “hypervolume” au-delà de 1 Tbit/s. L’entreprise dit avoir stoppé une attaque record culminant à 29,7 Tbit/s pendant 69 secondes, menée via bombardement UDP sur environ 15 000 ports de destination par seconde. Microsoft rapporte aussi une offensive de 15 Tbit/s visant Azure depuis 500 000 IP.

Aisuru est décrit comme un service de botnet, une offre opérée comme une capacité louable, alimentée par une “armée” d’équipements réseau et IoT. Le mode d’infection mentionné est banal et donc inquiétant : exploitation de vulnérabilités connues, et attaques par force brute sur des identifiants faibles. Ces deux vecteurs prospèrent sur un terrain que beaucoup d’organisations contrôlent mal, les routeurs domestiques, les caméras, les boîtiers, et plus largement les objets connectés exposés, rarement mis à jour, souvent configurés avec des mots de passe faibles.

Cloudflare estime la taille du parc compromis entre un et quatre millions d’hôtes à l’échelle mondiale. Même si cette fourchette est large, elle donne l’ordre de grandeur : Aisuru n’est pas un botnet “de niche”, c’est une capacité capable de générer un volume de trafic suffisant pour affecter des infrastructures en dehors de la cible, notamment des fournisseurs d’accès, selon Cloudflare. Autrement dit, l’attaque DDoS devient un phénomène de zone, qui déborde, crée de la congestion et casse des services par effet domino.

29,7 Tbit/s en 69 secondes : l’hypervolume comme arme de choc

Le fait marquant est le record revendiqué par Cloudflare : une attaque stoppée au troisième trimestre, culminant à 29,7 Tbit/s pendant 69 secondes. La précédente référence, 22,2 Tbit/s, avait déjà été repoussée par Cloudflare et attribuée avec une confiance modérée à Aisuru. Dans la même période, une autre attaque mentionnée atteint 14,1 milliards de paquets par seconde, ce qui souligne une réalité : le débit en bits et le débit en paquets sont deux façons différentes de “casser” une infrastructure, l’une saturant des liens, l’autre épuisant des équipements par le traitement.

Le vecteur décrit est un bombardement UDP. Concrètement, il s’agit de projeter du trafic indésirable à grande vitesse, en multipliant les ports visés, ici une moyenne de 15 000 ports de destination par seconde. Cette dispersion complique le filtrage par règles statiques et force l’infrastructure défensive à suivre un rythme élevé de changements. La cible du record n’est pas divulguée, mais la durée, 69 secondes, suffit à illustrer la logique actuelle : frapper très fort, très vite, puis disparaître. Cloudflare précise que la plupart de ces attaques se terminent en moins de 10 minutes, ce qui réduit la fenêtre de réaction humaine à presque rien.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Un ordre de grandeur – 29,7 térabits par seconde, c’est 29 700 gigabits par seconde. Si votre fibre à la maison fait 1 Gbit/s, l’attaque au pic équivaut à environ 29 700 connexions fibre « plein débit » qui envoient en même temps. Prenons un film HD de 5 Go. 5 Go, c’est environ 40 gigabits (car 1 octet = 8 bits). À 29 700 Gbit/s, on peut théoriquement « faire passer » environ 742 films HD de 5 Go par seconde (29 700 / 40 = 742,5). Sur 69 secondes, ça fait environ 51 200 films HD (742,5 × 69 = 51 232,5). Bref. Même si l’attaque ne dure qu’une minute, ce volume peut saturer des équipements réseau (routeurs, firewalls), boucher des liens chez un opérateur, et provoquer des pannes en cascade, y compris chez des acteurs qui ne sont pas la cible directe.

Cloudflare affirme avoir contré 2 867 attaques attribuées à Aisuru depuis le début de l’année, et indique que près de 45 % sont des attaques hypervolumes, au-delà de 1 Tbit/s, ou 1 milliard de paquets par seconde selon la définition citée. Le troisième trimestre à lui seul représente 1 304 incidents. La dynamique est décrite comme une hausse constante, avec une augmentation de 189 % des attaques dépassant 100 Mbit/s par rapport au trimestre précédent. Le nombre d’attaques au-delà de 1 Tbit/s aurait plus que doublé, avec une hausse de 227 %. Ces progressions signifient que l’attaquant n’augmente pas seulement la fréquence : il augmente la capacité maximale, donc la probabilité de dépasser les seuils techniques des réseaux de transit et des opérateurs.

Le texte note que le volume du dernier trimestre n’égale pas celui du premier trimestre, mais que les statistiques de 2025 restent supérieures aux années précédentes, à l’exception des mois de novembre et décembre. Cette précision suggère un cycle saisonnier ou une anomalie temporelle, sans en donner la cause. Elle rappelle surtout qu’une lecture annuelle masque parfois des pics d’intensité plus dangereux que la moyenne.

Cibles et géographie : l’attribution par télémétrie

Sur les secteurs, les chercheurs cités indiquent qu’Aisuru vise des entreprises dans les jeux vidéo, l’hébergement web, les télécoms et la finance. Ce choix colle aux profils où la disponibilité est monétisable, chaque minute d’arrêt coûte, et où la menace de DDoS peut servir de levier, extorsion, concurrence, ou diversion pendant une autre intrusion.

Cloudflare affirme avoir atténué en moyenne 3 780 attaques DDoS par heure au troisième trimestre, “la plupart” provenant d’Indonésie, de Thaïlande, du Bangladesh et d’Équateur, et ciblant la Chine, la Turquie, l’Allemagne, le Brésil et les États-Unis. Ce type de cartographie repose sur des signaux réseau, géolocalisation d’IP, observation de sources et destinations, et il faut le lire comme une photographie de routage plus que comme une preuve d’intention nationale. Néanmoins, ces flux donnent aux défenseurs un indicateur : la dispersion géographique des nœuds IoT compromis rend les blocages simples moins efficaces.

Aisuru incarne une mutation du DDoS : des salves ultra-courtes, d’un volume capable de saturer des réseaux tiers, et pilotées par un parc IoT immense et bon marché. Dans ce contexte, la protection ne se joue plus seulement “au moment de l’attaque”, mais en amont, sur la capacité à absorber, filtrer dynamiquement et basculer automatiquement. La question cyber et renseignement est désormais la suivante : comment identifier, puis tarir, les gisements d’objets compromis, quand la puissance de feu se mesure en térabits et que l’attaque n’accorde que quelques dizaines de secondes pour réagir ?

 

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, DDoS, IOT

Réinitialisation Rapide : des hackers ont trouvé un moyen de lancer des attaques DDoS puissantes

Pourquoi autant de DDoS ces derniers temps ? Les cybercriminels exploitent activement la vulnérabilité Réinitialisation Rapide pour mener des blocages numériques.

Août 2023, une vulnérabilité critique dans le protocole HTTP/2, connue sous le nom de CVE-2023-44487 ou Réinitialisation Rapide, est découverte. Cette vulnérabilité est capable de provoquer des attaques de type « déni distribué de service » (DDoS). Un problème sérieux pour les services Internet qui a attiré l’attention des cybercriminels.

HTTP/2 a introduit de nombreuses améliorations par rapport à la version précédente du protocole, notamment le multiplexage de flux, ce qui permet d’ouvrir plusieurs flux via une seule connexion TCP. Cependant, la vulnérabilité Réinitialisation Rapide exploite le mécanisme d’annulation de flux, en utilisant des cadres RST_STREAM pour perturber le fonctionnement du serveur.

Lorsque l’utilisateur accède à un site web prenant en charge HTTP/2, une seule connexion est utilisée pour plusieurs ressources, ce qui améliore l’efficacité de l’interaction. Cependant, cette capacité ouvre la porte à l’exploitation de vulnérabilités, car une seule connexion peut générer de nombreuses requêtes, augmentant la charge sur le serveur. Pour atténuer ce problème, HTTP/2 prévoit un mécanisme de limitation du nombre de flux simultanés actifs, empêchant les clients de surcharger le serveur.

L’exploitation de Réinitialisation Rapide consiste pour un attaquant à envoyer un cadre RST_STREAM immédiatement après avoir envoyé une requête. Cela force le serveur à commencer à traiter la requête, mais à l’annuler rapidement. Bien que la requête soit annulée, la connexion HTTP/2 reste active, permettant à l’attaquant de répéter l’attaque en créant de nouveaux flux. En conséquence, le serveur dépense des ressources à traiter des requêtes annulées, ce qui peut mener à un déni de service et à un blocage fatal.

La vulnérabilité Réinitialisation Rapide [CVE-2023-44487] a causé des attaques DDoS massives et distribuées. Des grandes entreprises telles que Google, AWS et Cloudflare ont signalé des vagues d’attaques atteignant des centaines de millions de requêtes par seconde. Ces attaques ont été réalisées avec des botnets relativement petits, soulignant la gravité de la vulnérabilité.

DDoS, Entreprise

Comprendre les attaques DDoS en 2024 : exemples récents, fonctionnement et contre-mesure

Les pirates informatiques peuvent perturber votre entreprises de nombreuses façons. L’une d’elle, le blocage de votre informatique par DDoS. Explication de cette technique déroutante, mais particulièrement présente dans l’arsenal des hackers malveillants.

Le terme DDoS, ou Distributed Denial of Service (Déni de Service Distribué en français), désigne une attaque visant à rendre un service en ligne indisponible en le submergeant de trafic provenant de multiples sources. Contrairement aux attaques DoS (Denial of Service), qui utilisent une seule source, les attaques DDoS utilisent plusieurs machines infectées par des logiciels malveillants, appelées botnets, pour mener l’attaque simultanément depuis différents endroits. Heureusement, il existe de la protection anti-DDoS.

Comment fonctionne une attaque DDoS ?

Le principe de base d’une attaque DDoS est simple : surcharger un serveur, un réseau ou un site web avec un volume massif de requêtes jusqu’à ce qu’il ne puisse plus répondre aux utilisateurs légitimes. Voici les étapes typiques d’une attaque DDoS :

Infection des Machines : L’attaquant infecte plusieurs ordinateurs ou appareils (ordinateurs, smartphones, objets connectés) avec des logiciels malveillants.
Formation d’un Botnet : Les machines infectées forment un réseau, appelé botnet, contrôlé par l’attaquant.
Lancement de l’Attaque : L’attaquant ordonne au botnet d’envoyer des requêtes massives et simultanées vers la cible.
Saturation de la Cible : La cible (serveur, réseau, site web) est submergée par le volume de requêtes et ne peut plus fonctionner correctement.

Objectifs des attaques DDoS

Les attaques DDoS peuvent avoir plusieurs objectifs :

Perturbation des Services : Rendre un site web ou un service en ligne indisponible, causant des pertes financières et de réputation.
Extorsion : Demander une rançon en échange de l’arrêt de l’attaque.
Diversion : Distraire les équipes de sécurité pendant qu’une autre attaque plus discrète est menée.
Vengeance ou (H)activisme : Punir une organisation ou promouvoir une cause idéologique.

Exemples

GitHub (2018) : GitHub a subi l’une des plus grandes attaques DDoS enregistrées, avec un pic de trafic atteignant 1,35 Tbps. L’attaque a duré environ 20 minutes avant d’être atténuée par des mesures de protection avancées.

Dyn (2016) : Le fournisseur de DNS Dyn a été victime d’une attaque DDoS massive, perturbant l’accès à des sites majeurs comme Twitter, Netflix et PayPal. L’attaque a atteint un pic de 1,2 Tbps et a duré plusieurs heures.

OVH (2016) : Le fournisseur de services internet français OVH a subi une attaque DDoS atteignant 1,1 Tbps, provenant principalement de caméras de surveillance et d’autres objets connectés compromis.

Attaque contre l’État français : En mars 2024, plusieurs services de l’État français ont été ciblés par une attaque DDoS de grande ampleur, affectant plus de 300 domaines web et 177 000 adresses IP, perturbant ainsi de nombreux services publics pendant presque toute une journée. Le groupe de hackers Anonymous Sudan a revendiqué cette attaque​ (ZATAZ)​.

Fournisseur d’hébergement asiatique : Une attaque utilisant une variante du botnet Mirai a atteint un pic de 2 Tbps, ciblant un fournisseur d’hébergement en Asie. Cette attaque est l’une des plus puissantes enregistrées au début de l’année 2024​ (TechRadar)​.

Industries les plus ciblées : Selon les rapports, les industries les plus attaquées par des DDoS en 2024 incluent les secteurs du jeu et des paris en ligne, les technologies de l’information, et la publicité et le marketing. Les attaques HTTP/2 ont particulièrement augmenté, ciblant des vulnérabilités spécifiques pour causer des interruptions de service​ (The Cloudflare Blog)​​ 

Comment se protéger contre les attaques DDoS

Architecture Réseau Résiliente : Utiliser une architecture réseau distribuée pour répartir la charge et éviter un point de défaillance unique.
Surveillance et Détection : Mettre en place des systèmes de surveillance pour détecter les signes d’une attaque imminente.
Limitation de la Bande Passante : Configurer des limites de bande passante pour éviter qu’une seule source de trafic ne sature le réseau.

Solutions techniques

Pare-feu et Systèmes de Détection d’Intrusion (IDS/IPS) : Utiliser des pare-feu et des IDS/IPS pour filtrer le trafic malveillant.
CDN (Content Delivery Network) : Utiliser des CDN pour distribuer le trafic et absorber les attaques DDoS.
Services de Protection DDoS : Faire appel à des services spécialisés comme Cloudflare, Akamai ou AWS Shield qui offrent des protections contre les attaques DDoS.

Réaction en cas d’attaque

Identification et Mitigation : Identifier rapidement l’attaque et mettre en œuvre des mesures de mitigation pour réduire son impact.

Coordination avec les Fournisseurs : Travailler avec les fournisseurs de services internet pour filtrer le trafic malveillant.

Plan de Continuité : Avoir un plan de continuité des opérations pour maintenir les services essentiels en ligne.

Conclusion

Les attaques DDoS représentent une menace sérieuse pour les entreprises et les organisations en ligne. Comprendre leur fonctionnement et leurs objectifs est crucial pour mettre en place des mesures de protection efficaces. Grâce à une combinaison de prévention, de solutions techniques et de plans de réaction, il est possible de minimiser l’impact de ces attaques et de maintenir la disponibilité des services en ligne. En investissant dans des technologies et des services de protection adaptés, les entreprises peuvent se défendre efficacement contre cette menace en constante évolution.

Cyber-attaque, Cybersécurité, DDoS

Augmentation alarmante des cyber attaques DDoS

Cloudflare signale une « augmentation alarmante » de la sophistication DDoS, une escalade ces derniers mois. La guerre RussoUkrainienne n’y serait pas pour rien !

Les attaques utilisées pour rendre les sites Web et les services Web inaccessibles évoluent et deviennent de plus en plus préoccupantes, a déclaré la société Cloudflare. Le deuxième trimestre de 2023 a vu « une escalade alarmante dans la sophistication » des attaques par déni de service distribuées DDoS, affirme le fournisseur de solution web, soulignant une prolifération d’attaques numériques plus ciblées conçues pour perturber des sites Web et d’autres services connectés.

La société a déclaré dans son rapport sur les menaces du deuxième trimestre qu’elle avait suivi des milliers d’attaques lancées par un consortium de groupes hacktivistes pro-russes, une augmentation des attaques ciblées sur le système de noms de domaine et un 600 % d’augmentation des attaques DDoS sur les sites Web de crypto-monnaie.

Bien que les attaques DDoS soient parfois considérées comme peu sophistiquées et plus gênantes qu’autre chose, elles peuvent être très perturbatrices. « La récupération d’une attaque DDoS peut durer beaucoup plus longtemps que l’attaque elle-même – tout comme un boxeur peut avoir besoin d’un certain temps pour se remettre d’un coup de poing au visage qui ne dure qu’une fraction de seconde« , ont écrit Omer Yoachimik et Jorge Pacheco. Une intensité, en particulier concernant les menaces dans le contexte de la guerre russe contre l’Ukraine.

Les machines virtuelles basées sur le cloud et les serveurs privés virtuels permettent des attaques plus importantes dans le cadre d’une « nouvelle génération de botnets« . Ces nouveaux botnets sont capables de fournir des milliers de fois plus de trafic que les réseaux traditionnels. Pour rappel, en février, une telle attaque a produit la plus grande attaque DDoS jamais enregistrée.

Parmi les développements préoccupants au cours des trois derniers mois, figure l’augmentation de 15 % des attaques HTTP DDoS , qui ciblent les sites Web et les passerelles tierces vers ces sites, alors même que ce type d’attaque a diminué d’année en année.

« Il semble que les acteurs de la menace derrière ces attaques aient délibérément conçu les attaques pour essayer de surmonter les systèmes d’atténuation en imitant habilement le comportement du navigateur de manière très précise, dans certains cas, en introduisant un degré élevé de randomisation sur diverses propriétés telles que les agents utilisateurs et JA3 empreintes digitales pour n’en nommer que quelques-unes, ont écrit les auteurs. Dans bon nombre de ces attaques, il semble que les acteurs de la menace essaient de maintenir leur taux d’attaque par seconde relativement bas pour essayer d’éviter la détection et de se cacher parmi le trafic légitime.« 

Microsoft a subi une telle attaque début juin dans le cadre d’un assaut plus large contre l’entreprise attribué à un groupe qu’il appelle Storm-1359, ou plus largement Anonymous Sudan. Le groupe est affilié à plusieurs réseaux d’hacktivistes pro-russes, dont Killnet, UserSec, et pourrait lui-même être un produit direct ou un groupe travaillant en collaboration avec les intérêts du gouvernement russe.

cyberattaque, DDoS

Les attaques DDoS restent l’un des principaux types d’incidents identifiés en 2022

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

Cybersécurité, Entreprise

TOP 5 des attaques DNS : Le phishing toujours plébiscité par les hackers, les DDoS en forte hausse

Un commentaire

D’après le rapport IDC Global DNS Threat Report 2022, les attaques par phishing ont représenté 44% des attaques subies par les entreprises françaises tandis que les DDoS ont vu leur part croître de près de 11 points pour s’établir à 33%.

EfficientIP, entreprise hexagonale spécialisée dans l’automatisation du DDI (DNS, DHCP, IPAM), présente le Top 5 des attaques visant ou utilisant le DNS comme vecteur qui ont frappé les entreprises françaises en 2022. D’après le Global DNS Threat Report 2022, les hackers se sont ainsi concentrés sur les attaques par phishing, les malware basées sur le DNS, le DDoS, le DNS Hijacking et enfin l’abus des mauvaises configurations DNS au niveau du cloud. Parmi celles-ci, les attaques DDoS ont été en forte augmentation, boostées par le contexte de tensions internationales extrêmes.

Phishing

Aujourd’hui le phishing est la menace numéro 1 qui pèse sur le DNS. Ce mode opérationnel a représenté 44% des attaques subies par les entreprises françaises interrogées dans le cadre du DNS Threat Report. Les hackers se font passer pour un organisme connu (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme pour inciter les utilisateurs à cliquer sur des liens frauduleux. L’usage de liens trompeurs et corrompus est ainsi le principal vecteur d’attaque utilisé par les hackers pour compromettre les DNS.

DNS based malwares

En deuxième position, les attaques DNS basées sur des Malwares ont quant à elles progressé de 8 points par rapport à 2021 pour représenter 40% des tentatives de compromissions qui ont visé les entreprises françaises en 2022. Pour ces attaques, les hackers tentent d’installer des virus au niveau du serveur DNS pour atteindre plusieurs objectifs. Ils peuvent par exemple altérer les configurations TCP/IP pour rediriger les utilisateurs vers des noms de domaine frauduleux, ou alors s’appuyer sur cette porte d’entrée pour exfiltrer les données qui circulent via le DNS.

DDoS

En troisième place, les DDoS ont vu leur part exploser et prendre 11 points pour représenter 33% des attaques subies par les entreprises en 2022. Le but de ces attaques est toujours le même, à savoir rendre impossible le fonctionnement du DNS en le saturant de requêtes et ainsi empêcher les entreprises de fonctionner. Dans un climat international tendu, ces attaques visant plus à mettre hors service ont été largement privilégiées aux ransomwares ayant des visées plus pécuniaires pour les hackers.

DNS Hijacking

Quatrième, le DNS hijacking – aussi appelé « redirection DNS » ou « attaque DNS » représente quant à lui 25% des attaques qui ont frappé les entreprises françaises, soit 8 points de plus que l’an passé. Ces attaques visent principalement deux niveaux de l’ensemble du système : le registre qui contrôle la liste des noms de domaine, et le serveur DNS qui gère les enregistrements techniques. Dans les deux cas l’objectif est de détourner, d’une manière ou d’une autre, les fonctionnalités du serveur de domaine des entreprises, soit pour rediriger les utilisateurs vers des domaines frauduleux, soit pour exfiltrer des données.

Abus des mauvaises configurations cloud

Enfin, la cinquième attaque la plus représentée en France avec 22% est l’abus des mauvaises configurations au niveau du cloud. Ces attaques exploitent les failles les erreurs de configuration au niveau du DNS et qui permettent aux hackers de mettre en place des redirections frauduleuses. Il est important de noter que ces attaques touchent aussi bien des entreprises que les grands hyperscalers.

« Ces attaques, leur variété, leur nombre et l’impact qu’elles ont sur les entreprises, aussi bien financier qu’au niveau de la réputation, montrent que la sécurité du DNS doit devenir une priorité absolue des entreprises. Il s’agit d’un organe central et vital qui représente bien trop d’opportunités pour les hackers s’il est mal protégé, » détaille Ronan David, directeur de la stratégie et cofondateur d’EfficientIP. « L’intégration de solutions de sécurité au niveau du serveur de noms de domaine permet non seulement de protéger celui-ci, mais aussi de renforcer la protection de tous les utilisateurs et des outils de l’entreprise.« 

Cyber-attaque, DDoS, Securite informatique

Plus de 9 millions d’attaques DDoS en 2021

Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !

La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.

Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.

« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »

Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.

Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.

Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.

Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.

Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.

Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.

Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).

L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).

cyberattaque, DDoS

Le secteur industriel plus que jamais menacé

Cloudflare, spécialiste de la sécurité, la fiabilité et la performance d’internet, présente son rapport sur les attaques DDoS du 4ème trimestre 2021. Un palmarès qui souligne l’importance de la fortification des cyberattaques. La découverte, en décembre, de la vulnérabilité Log4, considérée comme l’une des plus importante et dangereuse en est la preuve.
  • Le secteur industriel plus que jamais menacé : Pour la première fois, l’industrie arrive en tête des secteurs les plus attaqués. Au dernier trimestre 2021, Cloudflare enregistrait une hausse de 641% du nombre d’attaques par rapport au trimestre précédent. Ces menaces viennent affaiblir un secteur déjà très affecté par la pénurie de matières premières et des difficultés de livraison qui l’empêchent de répondre à la demande croissante. En deuxième et troisième position, on retrouve respectivement les services aux entreprises et le secteur du gaming.
  • Les ransomwares continuent de progresser : Alors que le botnet Meris était en première ligne au trimestre précédent, la fin de l’année a vu le nombre de ransomwares augmenter de 175%. Dans une enquête réalisée par Cloudflare, 22% des répondants affirmaient avoir reçu une demande de rançon.
  • Une attaque de 2 Tbps déjouée : En novembre dernier, Cloudflare a subi une tentative d’attaque qui, à son plus haut pic, enregistrait de 2 Tbps. A ce jour, il s’agit de l’attaque la plus puissante ayant ciblée l’entreprise et ce, alors qu’elle n’a duré qu’une minute.

En savoir plus.

DDoS

Augmentation des DDos

Les tendances des attaques DDoS au dernier trimestre de 2020 ont défié les normes à bien des égards. Pour la première fois en 2020, il a été observé une augmentation du nombre d’attaques DDoS. Le nombre d’attaques de plus de 500 Mbps et 50 000 pps a connu une augmentation massive.

En outre, les vecteurs d’attaque ont continué d’évoluer, les attaques basées sur des protocoles ayant augmenté de 3 à 10 fois par rapport au trimestre précédent confirme Cloudflare. Les assaillants ont également été plus persistants que jamais – près de 9% de toutes les attaques observées entre octobre et décembre 2020 ont duré plus de 24 heures.

Pour la première fois en 2020, le nombre total d’attaques observées au quatrième trimestre a diminué par rapport au trimestre précédent. 73% de toutes les attaques observées ont duré moins d’une heure, contre 88% au troisième trimestre. Alors que les inondations SYN, ACK et RST ont continué à être les principaux vecteurs d’attaque déployés, les attaques sur NetBIOS ont connu une augmentation considérable de 5 400%, suivies de celles sur ISAKMP et SPSS.

Les centres de données de Cloudflare basés à Maurice, en Roumanie et au Brunei ont enregistré les pourcentages les plus élevés d’activité DDoS par rapport au trafic normal. Les attaques par rançon DDoS (RDDoS) continuent de cibler des organisations du monde entier alors que des groupes criminels tentent d’extorquer une rançon sous la forme de Bitcoin sous la menace d’une attaque DDoS comme expliqué dans un article de ZATAZ, en mai 2016 et octobre 2020.

Securite informatique

CDN et DDoS : Ne pas mettre tous les œufs dans le même panier

Les réseaux de diffusion de contenu, les Content Delivery Network (CDN) ont été conçus pour optimiser les performances en matière de distribution de contenus sur Internet et pour optimiser les coûts de bande passante pour celui qui produit ce contenu, afin de faire face à des demandes de plus en plus nombreuses, et à une volumétrie de données à fournir, en forte croissance. Nous entendons souvent l’argument que la protection contre les attaques DDoS fournie par un CDN est LA solution permettant de se protéger : Voyons sur quoi se base cet argument.

En simplifiant, un CDN est constitué d’un ensemble de serveurs interconnectés, largement distribués du point de vue géographique et mais aussi logique au sein du maillage de l’Internet. Le CDN utilise ces serveurs distribués pour cacher le contenu de leurs clients et le diffuser à leurs utilisateurs. Une utilisation astucieuse du routage permet de s’appuyer sur les « caches » les plus proches de chaque client, permettant une livraison plus rapide du contenu, et d’éviter ainsi de consommer des ressources – y compris la bande passante – du serveur d’origine hébergeant le contenu original.

Quand un client demande une première fois une ressource – une image ou une page web, le CDN doit chercher ce contenu auprès du serveur d’origine pour servir le client. Par contre, à partir de ce moment, la ressource reste « en cache », distribuée au sein du CDN, afin de servir toute nouvelle demande, par n’importe quel client, à partir de ces caches.

Les CDN cachent typiquement le contenu statique, qui ne change pas, comme justement les images d’un site web. Cependant, les CDN ne peuvent pas ou sont plus limités en leur capacité de cacher du contenu dynamique, comme les informations concernant les stocks et les commandes d’un site de vente.

Le contenu dynamique typiquement hébergé par le site d’origine. Le site d’origine sollicité, non pas par ses utilisateurs, mais par le CDN, d’une part pour du contenu statique pas encore caché et d’autre part pour le contenu dynamique, qui ne peut pas être caché.

CDN ET PROTECTION CONTRE LES ATTAQUES DDOS

De par sa nature, le CDN dispose des mécanismes qui peuvent être utiles en face d’attaques par déni de service distribuée. Par exemple, un CDN dispose souvent de ressources importantes en termes de capacité réseau et de serveurs, lui permettant souvent tout simplement d’absorber une quantité plus importante de requêtes que le serveur d’origine.

De plus, par les mêmes mécanismes de distribution et de routage qui lui permettent de distribuer la charge des utilisateurs, les attaques distribuées amenées à viser non plus une cible unique, mais une cible distribuée en fonction de la localisation de chaque source d’attaque.

« THE DEVIL IS IN THE DETAILS »

Par contre, malgré ces couches de protection utiles, le fonctionnement même d’un CDN peut ouvrir de nouveaux vecteurs d’attaque ou rendre la défense du serveur d’origine plus

difficile. Par exemple, si une attaque, faisant usage d’un botnet, sollicite un site web pour des ressources non-existantes, et donc non-cachées, cela peut amener le CDN à solliciter à son tour le serveur d’origine à répétition pour ces ressources et provoquer une condition de déni de service pour le serveur d’origine.

En plus, l’attaque vue par le serveur d’origine semble provenir du CDN lui même ! Dans cette situation, il peut être difficile au serveur d’origine de se protéger car le CDN est en même temps l’origine de l’attaque et des requêtes légitimes: Des approches simples s’appuyant sur le blacklisting des sources au niveau du serveur d’origine ne peuvent plus être utilisées dans ce cas.

D’autre part, il ne faut pas oublier que les protections fournies par le CDN ne couvrent que le contenu caché. Le serveur d’origine, ainsi que plus généralement, l’entreprise à qui le site appartient, aura probablement besoin d’une connectivité fonctionnelle. Au-delà du serveur d’origine qui doit pouvoir fournir le contenu non-caché et dynamique pour le CDN, le service aura peut-être besoin d’interagir avec d’autres sites, l’entreprise de pouvoir envoyer et réceptionner des emails, ses équipes d’accéder aux services de Voix sur IP ou de se connecter à Internet d’une manière générale pour accéder à des services cloud comme Google GSuite ou Microsoft Office 365.

Tout cela nécessite que des services on-site ou à minima l’accès Internet de l’entreprise, qui ne peuvent pas être protégés par un CDN, continuent à fonctionner.

Protections de type volumétriques

De plus, en fonction du CDN, les protections fournies limitées aux protections de type volumétriques, alors que des attaques applicatives plus sophistiquées risquent de traverser le CDN et d’atteindre le site d’origine. En somme, la situation est souvent bien plus complexe qu’imaginée au premier abord.

Premièrement, il est important de bien comprendre le fonctionnement, pas seulement de son site Internet, mais de son entreprise dans sa globalité et d’effectuer une analyse de risque pour identifier les différentes menaces. Ensuite, selon les risques impliquant la disponibilité et/ou la qualité de service des communications, des services réseau et/ou des applications, il peut être utile de s’appuyer sur des fonctionnalités de protection fournies par son CDN – potentiellement plus capables pour des grosses attaques volumétriques – ou utiliser des protections plutôt de type « On-Premise », potentiellement plus précises et capables pour des attaques applicatives.

Souvent une protection optimale implique une protection hybride, combinant la précision et rapidité d’une solution « On-Premise », avec des capacités volumétriques suffisamment élevés proposées par un fournisseur de service de mitigation.

Dans certains cas le CDN peut-être un composant adapté, dans d’autres vous aurez besoin d’une capacité de protection volumétrique importante capable aussi à protéger votre site local. (Par Jouni Viinikka, Directeur R&D chez 6cure ; Frédéric Coiffier, Ingénieur Développement Logiciel chez 6cure)