Les tendances du DDoS

Les cyberagressions utilisant le déni de service distribué (DDoS – Distributed Denial of Service attack) auront marqué l’année 2013 par leur intensité et leur volume. D’une façon générale, l’attaque DDoS cherche à rendre indisponible un service par saturation du réseau et blocage de ses serveurs. Le principe de base consiste à « inonder » une ou plusieurs machines avec une grande masse de données afin de perturber ou d’empêcher son fonctionnement. Une attaque DDoS peut cibler un serveur de données, un site web ou un service de messagerie. Elle implique une prise de contrôle préalable d’un ensemble de « machines zombies » qui vont se fédérer et participer à la diffusion des données vers le serveur ciblé.

image de Botnet

La morphologie des attaques DDoS évolue aujourd’hui rapidement : le nombre de machines zombie utilisées durant une opération a augmenté exponentiellement en un an et a procuré une puissance inégalée jusqu’à présent sur ce type d’attaque. Peu sécurisés, les objets connectés participent désormais aux attaques DDoS. Le volume de données numériques transmises vers la cible par unité de temps, exprimé en Gbps – Gigabits par seconde, mesure la puissance de l’agression DDoS. C’est cette puissance que l’attaquant va utiliser ou menacer d’utiliser pour rentabiliser son opération. La société de services et sécurité IT américaine Incapsula vient de publier le rapport « DDoS Threat Landscape Report 2013-2014 » qui dresse un état des lieux des attaques par déni de service distribué. Les statistiques de l’étude indiquent une très forte augmentation du nombre de campagnes DDoS, de leur puissance et de leur complexité…

1 – Les chiffres de l’étude Incapsula

L’activité DDoS botnet enregistrée sur la période 2013-2014 est en hausse de 240 % par rapport à la période 2012-2013. Incapsula a dénombré ainsi plus de 12 millions d’attaques par botnet DDoS.

Le volume des attaques DDoS a rapidement augmenté tout comme leur niveau de sophistication. En janvier 2013, la puissance des attaques DDoS se situait autours des 4 Gbps ( 4 Gigabits par seconde). En avril 2013, on a enregistré les premières attaques DDoS de type « Hit and Run » puis, en juillet 2013, au moins une attaque DDoS par semaine atteignait les 60 Gbps.

En octobre 2013, l’attaque de botnet Pushado a associé et fédéré 400 000 sources et machines infectées contre une seule cible. Les premières attaques DDoS exécutant du JavaScript et acceptant les Cookies sont apparues en octobre 2013. En janvier 2014, la puissance de certaines attaques (DDoS NTP) dépassait les 180 Gbps ! Plus de 25 % de tous les botnets sont localisés en Inde, en Chine et en Iran. Les USA occupent la cinquième place dans le classement des nations à l’origine des attaques DDoS. Enfin, 29 % des botnets attaquent plus de 50 cibles par mois et plus de 81 % des attaques DDoS utilisent des tactiques « multivecteurs » augmentant d’autant les chances de succès pour l’agresseur.

origine des attaques DDos par pays

Le rapport précise la morphologie des attaques :

“The most common network attack method is a combination of two types of SYN flood attacks – one using regular SYN packets and another using large SYN (above 250 bytes) packets. In this scenario, both attacks are executed at the same time, with the regular SYN packets used to exhaust server resources (e.g., CPU) and large SYN packets used to cause network saturation…”

 

2 – Ransom DDoS

La valorisation d’une campagne DDoS passe aujourd’hui par le ransom DDoS. Il s’agit d’un mécanisme de chantage ciblant une entreprise ou une administration. Les assaillants menacent la future victime de lancer une attaque par déni de service distribué sur ses serveurs et de les rendre inopérants. Pour stopper cette menace, il suffit à l’entreprise visée de payer une « rançon » de 300 à 400 dollars. Dernièrement, les sites en ligne MeetUp, Elance et BaseCamp viennent de faire l’objet de campagnes de ransom DDoS particulièrement agressives. La fréquence de ces agressions augmente très rapidement avec un rythme d’une attaque ransom DDoS toutes les 48 heures.

L’observation attentive de ces agressions fait apparaître trois tendances fortes :

Des montants de rançons situés entre 300 et 700 dollars.

Des puissances d’attaques variant de 15 Gbps à 30 Gbps.

De fausses attributions de l’opération à la concurrence.

L’objectif de l’attaquant est de convaincre sa cible que l’opération de ransom DDoS est commanditée par un concurrent professionnel qui souhaite ralentir son activité commerciale. Une forme de confiance peut alors s’installer entre l’attaquant et sa victime œuvrant de concert pour trouver la meilleure solution à ce conflit concurrentiel. L’attaquant déporte la responsabilité de l’agression sur un concurrent anonyme et guide sa cible vers le seul choix raisonnable et profitable, celui de payer la rançon. Bien entendu, dans l’immense majorité des cas il n’existe aucun « concurrent de business » à l’origine de l’attaque. Dans certaines opérations de ransom DDoS, l’attaquant propose à sa victime , en échange du paiement de la rançon, de retourner l’agression contre la cible de son choix. Le montant des rançons est souvent très bas au regard du chiffre d’affaire de la société visée. Cela s’explique en partie par le très faible coût de mise en œuvre et d’exécution d’une attaque DDoS de 15 à 30 Gbps. Aujourd’hui, 40 dollars par mois suffisent pour louer une infrastructure algorithmique exécutant une campagne DDoS quasi illimitée dans le temps et sans connaissance particulière sur l’architecture des botnets mobilisés.

3 – Le DDoS « pour tous »

En quelques années, l’attaque DDoS est devenue hautement accessible. Elle ne requiert plus aujourd’hui de compétences ou de connaissances techniques particulières. L’infrastructure d’attaque est louable « clé en mains » pour un montant dérisoire par rapport au gain espéré.

Les services « DDoS for hire » comme Kickers ou Stressers donnent accès à des botnets opérationnels et efficaces, le tout pour quelques dizaines de dollars. Des groupes de machines zombies sont constamment disponibles et immédiatement activables contre n’importe quelle cible.

Le site DarkBooter ( http://darkbooter.com/login.php ) casse les prix et propose des forfaits de service botnet DDoS à 60 Gbps pour seulement 3.99 dollars !

Le site n’hésite pas à développer une communication de marketing pour faire connaître ses offres de botnets lowcost : http://www.youtube.com/watch?v=PPI-Ef0b1Aw

Il existe un top10 qui classe les meilleurs services DDoS : http://top10booters.com/

Le montant moyen des services botnets se situe autour de 40 dollars par mois.

Une fois achetée, l’infrastructure d’attaque est particulièrement simple à activer. Les interfaces graphiques sont efficaces et permettent une prise en main rapide sans connaissance de programmation ou d’administration réseaux – systèmes. On se situe volontairement dans le « click and play » de l’attaque par déni de service distribué. La rentabilité est toujours exceptionnelle : un seul succès sur une tentative de ransom DDoS permet d’obtenir 1000 % de retour sur investissement…Cette rentabilité explique d’ailleurs l’explosion du volume des attaques DDoS.

Parallèlement, le coût des protections logicielles contre le DDoS a lui aussi considérablement baissé. Les solutions Cloud-centrées ont contribué à réduire le coût des dispositifs anti DDoS et ont compliqué la tâche des agresseurs. Une protection efficace est disponible pour quelques centaines de dollars par mois. Une seule opération contrée de ransom DDoS permet de rentabiliser le coût de cette protection.

4 – Pour conclure

N’importe quel internaute peut aujourd’hui s’offrir, pour quelques dollars, un service botnet-DDoS performant lui permettant de cibler le serveur de son choix, le tout sans aucune connaissance technique préalable. Cette accessibilité extrême du déni de service distribué doit nous interroger sur une tendance plus générale de diffusion et de mise à disposition des cyberarmes sur l’espace numérique. La prolifération des agents viraux et des dispositifs algorithmiques offensifs ne pourra être contrée que par le développement d’une sécurité active, elle aussi offensive.

Thierry Berthier, Cyberland

 

Sources et liens

http://www.imperva.com/docs/RPT_Incapsula_2013-14_ddos_threat_landscape.pdf

http://www.incapsula.com/blog/ransom-and-blackmail-ddos.html

http://www.incapsula.com/blog/ddos-threat-landscape-report-2014.html

http://hackread.com/2013-raises-the-watermark-of-cybercrime-worldwide/

http://www.csimagazine.com/csi/768-DDoS-attacks-in-2012.php

http://www.youtube.com/watch?v=PPI-Ef0b1Aw

http://www.darkbooter.com/login.php

Share/Partage

Thierry Berthier

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

5 + neuf =

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.