Près de 7,9 millions d’attaques DDoS au premier semestre 2023

0
102

Augmentation du nombre d’attaques de 31 % en variation annuelle, près de 44 000 offensives quotidiennes alimentées par les évènements à travers le monde.

Tribune – NETSCOUT SYSTEMS, INC., l’un des principaux fournisseurs de solutions de cybersécurité, de service assurance et d’analyse opérationnelle, publie les résultats de sa toute dernière étude sur les menaces DDoS (« DDoS Threat Intelligence Report »). Au premier semestre 2023, les cybercriminels ont lancé environ 7,9 millions d’attaques par déni de service distribué (DDoS), ce qui représente une augmentation de 31 % par rapport au premier semestre 2022.

Des évènements planétaires tels que la guerre qui oppose la Russie à l’Ukraine ou les demandes d’accès à l’OTAN sont à l’origine de cette récente augmentation. À titre d’exemple, la Finlande a été la cible d’hacktivistes pro-russes en 2022 lors de sa candidature à l’OTAN, tandis que la Turquie et la Hongrie essuyaient des attaques DDoS pour s’être opposées à la candidature finlandaise. En 2023, la Suède a enregistré une vague d’attaques similaire autour de sa candidature à l’OTAN, avec en point d’orgue une attaque DDoS de 500 Gbits/s lancée au mois de mai. De manière générale, les attaques DDoS animées par des revendications idéologiques ont visé les États-Unis, l’Ukraine, la Finlande, la Suède et la Russie parmi de nombreux autres pays.

Au cours du deuxième semestre 2022, NETSCOUT avait constaté une tendance ciblant les opérateurs de télécommunications sans fil, marquée par une augmentation de 79 % au niveau mondial. Cette tendance s’est confirmée au premier semestre 2023 chez les opérateurs de réseaux sans fil de la région Asie-Pacifique, la hausse atteignant 294 % ! Cette explosion est liée au fait qu’un grand nombre d’amateurs de jeux en ligne transfèrent leur activité vers la technologie d’accès sans fil fixe (FWA) en 5G à mesure que les opérateurs déploient leur réseau.

Les informations publiées par NETSCOUT à propos du paysage des menaces sont collectées par le réseau de capteurs ATLAS construit au fil de plusieurs décennies de collaboration avec des centaines de fournisseurs d’accès Internet (FAI) du monde entier. Ce réseau a ainsi permis de dresser des tendances à partir d’un trafic en peering moyen de 424 Tbit/s, soit une progression de 5,7 % par rapport à 2022. NETSCOUT a observé une croissance de près de 500 % du nombre d’attaques visant la couche applicative HTTP/S depuis 2019 et de 17 % du volume d’agressions par réflexion/amplification DNS au cours du premier semestre 2023.

« Alors que les évènements mondiaux et l’expansion du réseau 5G ont entraîné une augmentation du nombre d’attaques DDoS, les adversaires continuent de perfectionner leur approche pour être plus dynamiques en tirant parti d’infrastructures sur mesure telles que des hôtes indétectables (« bulletproof hosts ») ou des réseaux proxy pour lancer leurs offensives, indique Richard Hummel, senior threat intelligence lead de NETSCOUT. Le cycle de vie des vecteurs d’attaque DDoS révèle la capacité des adversaires à imaginer et à militariser de nouvelles méthodes d’assaut, tandis que les agressions de type tapis de bombes (carpet bombing) ou par inondation de requêtes visant les serveurs DNS (DNS Water Torture) sont de plus en plus fréquentes. »

Autres conclusions de l’étude NETSCOUT 1H2023 DDoS Threat Intelligence Report :

  • Augmentation du nombre d’attaques de type « carpet bombing » — NESCOUT a enregistré une recrudescence des attaques de type « tapis de bombes » depuis le début de l’année, avec une augmentation de 55 % et plus de 724 attaques quotidiennes — une faible estimation selon NETSCOUT. Ces attaques provoquent des dommages importants sur l’ensemble du réseau Internet mondial, se propageant vers des centaines, voire des milliers d’hôtes simultanément. Dans de nombreux cas, cette tactique évite le déclenchement d’alertes à partir d’un certain seuil de bande passante afin de retarder les procédures d’atténuement.
  • Banalisation des attaques de type « DNS water torture » — Depuis le début de l’année, le nombre d’attaques quotidiennes par inondation de requêtes visant les serveurs DNS (« DNS water torture ») a augmenté de près de 353 %. Les cinq secteurs les plus visés sont les télécommunications filaires, les réseaux sans fil, l’hébergement et le traitement de données, les sociétés de commerce électronique et de vente par correspondance, ainsi que les compagnies d’assurance et les sociétés de courtage.
  • L’enseignement supérieur et les gouvernements subissent des attaques disproportionnées — Les agresseurs créent ou utilisent différents types d’infrastructures vulnérables qu’ils exploitent comme plateformes de lancement de leurs attaques. Par exemple, des proxys ouverts ont été systématiquement mis à contribution dans des attaques DDoS visant la couche applicative HTTP/S dans les secteurs de l’enseignement supérieur et de l’administration fédérale. Par ailleurs, des réseaux de botnets DDoS ont été fréquemment employés dans des attaques visant les pouvoirs publics américains au niveau local et des États.
  • Les sources d’attaques DDoS se renouvellent peu — Un nombre relativement restreint de nœuds est impliqué dans un nombre disproportionné d’attaques DDoS, avec un taux moyen de renouvellement des adresses IP de seulement 10 % ; autrement dit, les attaquants ont tendance à réutiliser les infrastructures vulnérables. Bien que ces nœuds ne changent guère, leur impact fluctue, dans la mesure où les adversaires utilisent différentes listes d’infrastructures vulnérables d’un jour à l’autre.