Aujourd’hui, les robots infectés par des logiciels malveillants sont utilisés à diverses fins, depuis le vol de mots de passe jusqu’au lancement de certaines des attaques réseau les plus perturbatrices de l’histoire. Un bon exemple en est les attaques par chemin direct provenant de botnets compatibles DDoS tels que Mirai, qui sont fréquemment exploités par des groupes comme Killnet. Malheureusement, à mesure que la technologie de résolution des menaces s’est améliorée au fil du temps, les acteurs de la menace ont également fait évoluer les botnets en termes de taille et de capacité. Killnet a mené des attaques dans de nombreux secteurs au cours de l’année écoulée, notamment dans les gouvernements européens, les aéroports et le secteur de la santé, avec plus d’une douzaine d’attaques DDoS visant des réseaux hospitaliers américains tels que Cedars-Sinai et Duke University Hospital. En fin de compte, aucun secteur ou entité gouvernementale n’est à l’abri d’une attaque. Que peut-on donc faire pour réparer les dégâts avant qu’ils ne surviennent ?
Cet article explique comment atténuer les attaques par chemin direct à la lumière des changements apportés par les auteurs de menaces DDoS à leurs méthodes d’attaque au cours des dernières semaines et des derniers mois. L’article explorera également les données récentes sur les botnets compatibles DDoS et la manière de neutraliser cette menace émergente de manière efficace et rapide à l’échelle mondiale.
L’évolution des botnets
Bien que les botnets existent depuis les années 1990, ils se sont développés à une vitesse fulgurante, notamment au cours de la dernière année. Rien qu’en 2022, plus de 1,35 million de robots appartenant à des familles de logiciels malveillants comme Mirai, Meris et Dvinis ont été observés, ciblant environ 93 pays par jour, soit soit la moitié du monde.
Tout comme les principaux fournisseurs de logiciels continuent d’innover en proposant des solutions plus rapides, plus sophistiquées et plus faciles à utiliser, l’innovation génère également des menaces de sécurité liées aux réseaux de zombies. Par exemple, les nouveaux services DDoS à louer permettent à quiconque de lancer plus facilement que jamais des attaques coordonnées et complexes contre des entreprises, des organisations ou des secteurs cibles. Le but de ces activités est souvent de distraire les équipes de sécurité avec des attaques DDoS tandis que des acteurs malveillants travaillent activement à exfiltrer les données et utilisent également des ransomwares pour les verrouiller et les rendre inaccessibles.
Malheureusement, les menaces des botnets continueront d’augmenter et d’évoluer au fil du temps, tout comme les motivations des mauvais acteurs. En général, les attaques peuvent être motivées par des considérations financières, par vengeance, par des objectifs géopolitiques, par des opportunités de rançon ou simplement par une intention malveillante. Tout le monde, des joueurs aux sociétés financières en passant par les pays géopolitiquement vulnérables, est plus exposé aux attaques de réseaux de zombies de plus en plus sophistiquées. En conséquence, tous les types d’organisations doivent être plus proactifs pour se défendre contre ce type d’attaques, sous peine de possibles perturbations de leurs activités, de leurs services, de leur réputation et de leurs résultats.
-Arrêter les attaques par voie directe et la voie hybride à suivre
Lorsque l’on examine les données statistiques récentes sur la bande passante, le débit et la fréquence des attaques du réseau, on constate un thème préoccupant et prédominant : l’augmentation des attaques par chemin direct provenant de botnets. Les attaques de cette nature restent une préoccupation majeure pour les services informatiques du monde entier. En fait, ces types d’attaques ont augmenté de 18 % au cours des trois dernières années, tandis que les attaques traditionnelles par réflexion/amplification ont diminué presque de la même manière, soulignant la nécessité d’une approche de défense hybride pour résister aux méthodologies d’attaque fluctuantes.
-Avec les attaques par chemin direct, les auteurs de menaces ciblent des organisations individuelles plutôt que de cibler sans discernement les clients des fournisseurs de services Internet (FAI) et des opérateurs de téléphonie mobile. L’augmentation de ce type d’attaques utilisant des mécanismes tels que les inondations SYN, ACK, RST et GRE entraîne des perturbations importantes qui sont de plus en plus difficiles à atténuer.
L’augmentation des attaques DDoS par chemin direct est directement liée à deux facteurs : l’anti-usurpation d’identité ou la validation de l’adresse source (SAV) et les botnets de classe serveur. Pour faire simple, dans une attaque DDoS par réflexion/amplification traditionnelle, une adresse IP usurpée est requise. Mais SAV empêche le trafic d’attaque usurpé de traverser des réseaux intelligemment conçus. Ce n’est pas un problème pour une attaque DDoS par chemin direct basée sur TCP réussie, car il n’est pas nécessaire qu’elles soient usurpées pour causer de graves dommages. De plus, les botnets de type serveur, tels que Mirai, peuvent lancer simultanément plusieurs attaques DDoS à chemin direct, tout en conservant la possibilité de diriger de grandes quantités de trafic d’attaque vers des cibles à la demande.
Alors que les méthodologies des attaquants continuent d’évoluer et d’échapper aux défenses traditionnelles, une approche adaptative et hybride de la défense DDoS est encore plus critique que jamais. Dans une stratégie de défense DDoS moderne, les organisations doivent combiner des systèmes de détection et d’atténuation sur site spécialement conçus, adaptatifs et intelligents, avec des capacités d’atténuation à la demande basées sur le cloud en périphérie. En adoptant cette approche hybride, les organisations peuvent identifier et stopper plus clairement et automatiquement tous les types d’attaques DDoS avant que des acteurs malveillants n’impactent les services critiques de l’entreprise – dans ce cas, en recourant à des attaques par chemin direct provenant de botnets compatibles DDoS.
En fin de compte, les attaquants continueront à trouver de nouvelles façons de mener leurs attaques et deviendront de plus en plus difficiles à détecter. Par conséquent, l’ONU exhorte les organisations à recourir à une stratégie de défense hybride plus complète pour sécuriser la périphérie de leur réseau. Cette approche mettra fin aux attaques DDoS par chemin direct et améliorera également la sécurité globale d’une organisation afin d’empêcher de nouvelles attaques et des botnets compatibles DDoS de causer de graves dommages aux réseaux, aujourd’hui et à l’avenir.
