Rapport Threat Intelligence de NETSCOUT : l’intensification des attaques DDoS et de l’activité des hacktivistes menace les infrastructures critiques du monde entier, au premier semestre 2024
octobre 2024 par NETSCOUT SYSTEMS, INC.
NETSCOUT SYSTEMS, INC. publie les principaux enseignements tirés de son rapport DDoS Threat Intelligence Report consacré au paysage des menaces DDoS pour le premier semestre 2024. Ce document fait état d’une augmentation spectaculaire de 43 % du nombre d’attaques visant la couche applicative et d’une hausse de 30 % des attaques volumétriques, notamment en Europe et au Moyen-Orient. La durée des attaques enregistrées au cours de cette période est variable, 70 % d’entre elles étant inférieures à 15 minutes. Cette augmentation implique différents acteurs, notamment des hacktivistes qui ciblent des infrastructures critiques dans les secteurs de la banque et des services financiers, des administrations et des compagnies de service public. Ces attaques représentent une menace significative dans la mesure où elles perturbent le bon fonctionnement de services civils vitaux dans les pays qui s’opposent à l’idéologie des hacktivistes. Déjà confrontés à des offensives multi-vecteurs aussi fréquentes qu’intenses, ces secteurs clés ont enregistré une hausse de 55 % des agressions au cours des quatre dernières années.
« L’activité des cybercriminels continue d’affecter les entreprises mondiales au travers d’attaques DDoS plus sophistiquées et mieux coordonnées qui visent plusieurs cibles simultanément, explique Richard Hummel, director, Threat Intelligence, NETSCOUT. À mesure que les adversaires exploitent des réseaux plus résilients et plus résistants, la détection et la mitigation deviennent de plus en plus difficiles. Ce rapport fournit des informations pertinentes qui permettent aux équipes en charge des opérations réseau d’affiner leurs stratégies en vue de conserver une longueur d’avance sur ces menaces en évolution permanente. »
Toujours plus sophistiquées, les attaques mettent les réseaux du monde entier à rude épreuve
Les attaques par déni de service distribué (DDoS) continuent d’évoluer en utilisant des technologies et des approches innovantes pour perturber le bon fonctionnement des réseaux. Au cours du premier semestre 2024, NETSCOUT a observé plusieurs tendances significatives :
• NoName057(16), un groupe d’hacktivistes pro-russes, a concentré son activité sur les attaques visant la couche applicative, avec notamment des inondations de type HTTP/S GET Flood et POST Flood, provoquant une augmentation de 43 % par rapport au premier semestre 2023 ;
• Le nombre d’appareils infectés par des bots a augmenté de 50 % avec l’émergence du botnet Zergeca et l’évolution continue du botnet DDoSia utilisé par NoName057(16) ; le botnet Zergeca utilise des technologies avancées telles que le protocole DNS via HTTPS (DoH) pour les serveurs de commande et de contrôle (C2) ;
• L’infrastructure C2 de botnets distribués utilise des bots comme nœuds de contrôle, ce qui rend possible une coordination des attaques DDoS à la fois plus décentralisée et plus résiliente.
Ces attaques ont provoqué des perturbations de grande envergure qui ont affecté des secteurs industriels aux quatre coins du monde. Les ralentissements de service ou les pannes peuvent perturber les flux de recettes, retarder les opérations critiques, entraver la productivité et augmenter de façon considérable les risques organisationnels.
Les attaquants ciblent de nouveaux réseaux
Par ailleurs, NETSCOUT a constaté que l’émergence de nouveaux réseaux et numéros de système autonomes (ASN) joue un rôle essentiel dans la hausse de l’activité DDoS. Plus de 75 % des réseaux nouvellement établis sont impliqués dans des activités DDoS — que ce soit en tant que cibles ou intermédiaires utilisés de façon malveillante pour véhiculer des attaques vers d’autres participants — au cours des 42 premiers jours suivant leur mise en ligne, les adversaires lançant des attaques en utilisant des réseaux malveillants résilients et des hébergeurs bénéficiant d’une protection à toute épreuve. Les entreprises doivent prévoir une protection contre les attaques DDoS lorsqu’elles attribuent une partie d’un réseau à un nouvel ASN au lieu d’utiliser la protection automatique des prestataires de services en amont.
La visibilité internet globale de NETSCOUT s’appuie sur plusieurs décennies d’expérience acquise en collaborant avec les plus grands fournisseurs de services et entreprises du monde. Elle recueille, analyse, hiérarchise et diffuse des données sur les attaques DDoS en provenance de 216 pays et territoires, 470 secteurs industriels et plus de 14 000 ASN. Grâce à sa plateforme ATLAS, l’entreprise obtient des informations issues de plus de 500 térabits par seconde (Tbps) de trafic sur les réseaux de peering Internet.