Tutto inizia con una pubblicità... In questo mercato tutto comincia quasi sempre con la pubblicità di un servizio booter DDoS su uno dei numerosi forum accessibili in lingua russa. Nel nostro caso il servizio è gestito da un operatore che si fa chiamare Forceful. Una ricerca del suo numero di ICQ e/o indirizzo Jabber restituisce una serie di annunci pubblicitari apparsi dal novembre 2014 in poi. Si tratta solitamente di pubblicità che contengono un logo, un banner o un motto; una breve spiegazione di cosa è un attacco DDoS; il tipo di attacchi DDoS supportati dal servizio; i prezzi; informazioni circa la reputazione dell'operatore e dati di contatto.
...per poi scivolare su un errore OPSEC. Ciò che questi annunci solitamente non contengono, tuttavia, sono le informazioni relative al sistema di comando e controllo (C2) delle reti botnet impiegate per sferrare gli attacchi DDoS acquistati. Stabilire un punto di congiunzione tra l'annuncio pubblicitario e la relativa botnet richiede solitamente che l'operatore compia un errore dal punto di vista della sicurezza operativa (OPSEC). Tali errori possono essere di vario genere; nel caso di Forceful si è trattato di questo: l'operatore stava partecipando a una discussione in un forum relativa a un criptatore, uno strumento adoperato per cifrare o offuscare il codice eseguibile del malware in modo da sfuggire al rilevamento degli antivirus e renderne difficoltosa l'analisi. Come fatto da altri partecipanti al thread, Forceful ha pubblicato una schermata con i risultati di un servizio di scansione antivirus usato per provare l'efficacia del criptatore su un campione di malware. L'errore di Forceful è stato quello di non cancellare l'eseguibile usato per il test, bensì di distribuirlo in-the-wild. Una volta rilasciato, è stato captato dal servizio di rilevamento malware dell'ASERT così come da altri. Il dominio C2 del malware è “kypitest[.]ru”.
Gli attacchi. L'ASERT tiene sotto controllo le botnet DDoS e le relative attività attraverso il sistema di monitoraggio dedicato BladeRunner e kypitest[.]ru non fa eccezione. Il primo attacco che viene registrato da questa botnet risale al 9 luglio 2015 e da allora l'attività si è mantenuta costante. Da quel momento sono stati osservati attacchi diretti contro 108 host/IP unici in oltre 10 paesi.
Il senso della vita
La stima. Prima di analizzare i numeri, osserviamo l'andamento di un attacco specifico. Alle 08:47 circa dell'8 agosto 2015 viene lanciato un attacco “.httpflood” contro un mining pool di cybervalute. L'attacco prosegue per due giorni e 21 ore circa fino alle 06:07 dell'11 agosto 2015. Secondo un post pubblicato sul canale Reddit del mining pool l'8 agosto, sembra che tale attacco abbia purtroppo avuto successo.
Il listino prezzi dell'operatore è pubblicato nell'annuncio pubblicitario del DDoS:
- Giornaliero – $60/ Settimanale – $400
- 10% di sconto su ordini da $500/ 15% di sconto su ordini da $1000
L'inserzione non specifica un costo orario, pertanto è stato calcolato un prezzo di 2,50 dollari ($60/24 ore = $2,50). A queste cifre, i ricavi stimati dall'attacco sopra considerato sono stati i seguenti: 2 giorni x $60 + 21 ore x $2,50 = $172,50 (arrotondato a $173)
Applicando questa metodologia agli altri attacchi osservati, si calcola che i ricavi stimati dagli 82 attacchi lanciati dal 9 luglio 2015 al 18 ottobre 2015 sono stati pari a 5.408 dollari, con un guadagno medio stimato per attacco di 66 dollari e un guadagno medio giornaliero stimato di 54 dollari.
In conclusione. Come possiamo leggere nell'ultima edizione del Worldwide Infrastructure Security Report (WISR) pubblicata da Arbor, il costo medio sostenuto dalla vittima di un attacco DDoS è di circa 500 dollari al minuto. Di contro, secondo le stime discusse in precedenza, il costo medio pagato da un attaccante è di soli 66 dollari per attacco. Questi dati mettono in evidenza l'estrema asimmetria economica degli attacchi DDoS tra chi li lancia e chi li subisce, così come l'importanza di disporre di robuste difese DDoS in tutte quelle organizzazioni il cui fatturato, servizio al cliente e altre funzioni di business importanti dipendano dalla propria presenza online. Sferrare un attacco DDoS costa così poco che la barriera di ingresso per chi vuole nuocere a qualcuno è praticamente nulla: questo significa che *qualsiasi* azienda può diventare potenzialmente vittima di un attacco DDoS dal momento che l'investimento necessario a lanciarlo è così basso.
È inoltre importante da sottolineare e comprendere come l'aspetto economico sia estremamente favorevole per l'operatore che gestisce gli attacchi: questo soggetto si avvale di PC, server e dispositivi IoT come i router domestici per la banda larga per creare un servizio DDoS commerciale senza incorrere in costi infrastrutturali o di banda dal momento che tale servizio sfrutta clandestinamente e illegalmente infrastrutture e connettività appartenenti ad altri; né ovviamente questo operatore paga le tasse sui profitti illecitamente raccolti. Considerando il fatto che centinaia o anche migliaia di attaccanti possono utilizzare il medesimo servizio per lanciare attacchi DDoS, un servizio esentasse e privo di costi come questo può arrivare a guadagnare somme davvero considerevoli.