Posté le novembre 7, 2021 à 6:17

CLOUDFLARE SIGNALE PLUSIEURS « ATTAQUES HTTP RECORDS » SUR LES SERVICES VOIP

Les chercheurs de Cloudflare affirment que l’attaque DDoS sur les services VOIP est un record, après avoir enregistré plusieurs attaques dévastatrices pour le troisième trimestre. Les chercheurs ont noté qu’ils ont enregistré l’une des plus grandes attaques de botnet jamais enregistrées, ainsi que de fortes attaques au niveau de la couche réseau et des « attaques DDoS HTTP records. »

Cloudflare a déclaré que le nombre d’attaques montre l’afflux d’attaques DDoS sur les fournisseurs de services voix sur IP (VOIP). Par exemple, la récente attaque contre Bandwidth.com a entraîné plusieurs pannes, ce qui a laissé les entreprises dans une situation difficile pour faire face aux conséquences de l’attaque.

Les chercheurs de Cloudflare ont déclaré qu’ils avaient pu empêcher « l’une des plus grandes attaques jamais enregistrées en HTTP ».

La plupart des attaques ne durent pas plus d’une heure, ce qui réaffirme la nécessité de solutions d’atténuation automatique des DDoS. Plus précisément, 94,4 % de toutes les attaques DDoS ont duré moins d’une heure, et seulement 0,4 % des attaques ont duré moins de 6 heures.

Les entreprises américaines en tête de liste pour le plus grand nombre d’attaques

Le rapport montre que les entreprises et organisations des États-Unis sont en tête de liste pour le plus grand nombre d’attaques au deuxième trimestre. Les entreprises du Canada et du Royaume-Uni figuraient également parmi les plus ciblées, selon le rapport.

Parmi les principaux secteurs touchés figurent l’informatique, les jeux d’argent, les jeux de hasard et les logiciels, avec une augmentation moyenne de l’attaque de 573 % au deuxième trimestre par rapport au premier trimestre.

D’une manière générale, le nombre d’attaques DDoS dans le monde a augmenté de 44 %, selon les recherches de Cloudflare. L’Afrique et le Moyen-Orient sont en tête du classement pour le troisième trimestre, avec une attaque moyenne de 80 %.

Le rapport a également révélé que le Maroc a enregistré le plus grand nombre d’attaques DDoS au troisième trimestre 2021, un tiers de chaque paquet faisant partie d’une attaque.

La plupart des attaques DDoS proviennent de serveurs en Chine, aux États-Unis et en Inde

Bien que les attaques RST et SYN soient plus courantes, les chercheurs ont découvert une augmentation des attaques par amplification DTLS. Les acteurs malveillants ont déployé des attaques DDoS massives sur les fournisseurs de services VoIP pour tenter de démanteler l’infrastructure SIP.

Les données de Cloudfare ont indiqué que la plupart des attaques DDoS proviennent de serveurs et d’appareils en Inde, aux États-Unis et en Chine, bien que les attaques en Chine aient chuté de 30 % au cours du trimestre.

Cloudflare a également fait état du botnet Meris, qui est alimenté par les appareils de l’Internet des objets (IoT), qui comprennent des gadgets domestiques, des PC, des routeurs. Ils sont détournés et utilisés comme nœuds esclaves dans le réseau d’un botnet.

Selon Cloudfare, Meris a été découvert comme l’un des botnets les plus dangereux déployés pour lancer certaines des plus grandes attaques DDoS HTTP de l’histoire. Les chercheurs ont également déclaré que le troisième trimestre a vu l’une des attaques HTTP les plus notables (une attaque de 17,2 M rps), qui visait un client du secteur des services financiers.

En outre, Meris a été déployé pour cibler des organisations et des réseaux dans le monde entier, notamment des sites d’information tels que KrebsOnSecurity.

Les attaquants ont utilisé les botnets Meris et Mirai

Il a été découvert infectant plusieurs équipements et routeurs fabriqués par la firme MikroTik, basée en Lettonie. Le blog de l’entreprise a noté qu’un bug dans le RouterOS de MikroTik a été exploité pour fournir des attaques DDoS coordonnées par des hackers. Certaines des vulnérabilités ont été corrigées en 2018, mais il semble que les acteurs malveillants aient lancé leurs attaques sur les bugs qui n’étaient pas corrigés, selon Cloudflare.

Les chercheurs ont également comparé le botnet avec le botnet Mirai découvert en 2016. Cependant, il existe de légères différences dans leur capacité opérationnelle et leurs cibles. Mirai cible les appareils IoT infectés utilisant une faible puissance de calcul, comme les caméras intelligentes. Cependant, Meris utilise des capacités de traitement des données et une puissance de traitement plus élevée pour exploiter les appareils vulnérables. Cela les rend plus dangereux et plus efficaces lorsqu’ils causent des dommages à une échelle beaucoup plus grande.

Bien que Meris ait plus de capacités que son homologue Mirai, les chercheurs n’ont pas constaté de dommages importants qu’il a causés sur des systèmes de dispositifs. De même, il n’y a pas eu de dommages ou de pannes importantes enregistrés qu’il a causés, selon Cloudflare.

D’autre part, la variante du botnet Mirai a été découverte lors de plusieurs attaques. La société a déclaré que ses clients des services Spectrum et Magic Transit ont été ciblés à l’aide du botnet Mirai. Selon le rapport, les acteurs malveillants ont utilisé des attaques au niveau de la couche réseau avec plus d’une douzaine d’attaques basées sur TCP et UDP, avec des pics plusieurs fois supérieurs à 1Tbps.

Le rapport a révélé que le nombre d’attaques a atteint un pic en septembre, mais a commencé à diminuer à partir du mois d’août, tant en ce qui concerne le trafic délivré et le volume que le nombre de paquets délivrés.