Che cos'è un booter DDoS?

Attacchi DDoS on-demand

Un booter DDoS (Distributed Denial-of-Service) è un servizio di stresser IP on-demand offerto dai criminali informatici. I booter DDoS sono essenzialmente soluzioni SaaS (Software-as-a-Service) che consentono a chiunque di sferrare attacchi DoS (Denial-of-Service) contro le reti, i siti web o i server presi di mira. Secondo l'FBI, il termine "booter" è stato originariamente usato dai giocatori online quando riuscivano a battere o a "fare fuori" un avversario offline.

Che cos'è esattamente un attacco DDoS?

Un attacco DDoS (Distributed Denial-Of-Service) è progettato per sovraccaricare il dispositivo, il sito web, il servizio o la rete presi di mira con traffico dannoso, rendendoli non disponibili per i servizi e gli utenti legittimi. Gli attacchi DDoS vengono sferrati mediante una botnet costituita da migliaia o milioni di dispositivi infettati da malware, che consente ai criminali di controllarli da remoto. Istruendo i dispositivi controllati ad inondare l'obiettivo con traffico illegittimo, un attacco DDoS esaurisce le risorse del sistema preso di mira, che non riesce più a gestire il traffico in entrata, causandone così il rallentamento o il blocco. Poiché i criminali utilizzano molti dispositivi, gli attacchi DDoS possono risultare difficili da rilevare e mitigare.

Che cos'è uno stresser IP?

Uno stresser IP è un servizio che esegue un test sotto stress di una rete o un server per valutarne la resilienza imitando un attacco DDoS. Se usati per scopi legittimi, gli stresser IP aiutano i team IT a stabilire la capacità di un sistema di gestire l'ulteriore carico di lavoro o stress causato da un attacco. Poiché i servizi di stresser IP in sé non sono illegali, i criminali informatici spesso fanno passare i servizi di booter DDoS come servizi di stresser IP offerti online.

Come agiscono i booter DDoS?

Offrendo la possibilità di usare in modo illegittimo uno stresser IP, i booter DDoS sono servizi di attacchi DDoS che possono essere noleggiati sul dark web da utenti inesperti o poco esperti di attacchi informatici. Se confrontato con i costi richiesti per configurare una botnet con migliaia o milioni di dispositivi infettati da malware, il noleggio di un booter DDoS è straordinariamente economico. Questi servizi possono costare meno di 25 dollari al mese, pagabili solitamente tramite PayPal, o con criptovalute, e alcuni siti di stresser offrono una prova, che consente all'utente di accedere ad una versione limitata delle dimensioni, della durata e dei vettori di attacco selezionati. I siti di booter possono offrire i loro servizi come pacchetti in abbonamento, che includono i relativi tutorial e l'assistenza ai clienti. Pertanto, i booter DDoS sono popolari tra i criminali informatici meno esperti, noti come "script kiddies" o "skiddies", che iniziano ad esplorare il mondo del cybercrimine . I booter DDoS sono anche usati dagli hacker più esperti, che usano gli attacchi DDoS come copertura o come punto di partenza per sferrare attacchi più devastanti allo scopo di ottenere l'accesso ad una rete per rubare dati o denaro.

Quale è la differenza tra un booter DDoS e una botnet?

Le botnet sono costituite da una serie di dispositivi compromessi o infettati da malware, che possono essere usati per sferrare attacchi DDoS o altri tipi di minacce informatiche. I booter DDoS offrono attacchi DDoS come servizio on-demand utilizzando una botnet o una serie di server controllati da un criminale.

Quali tipi di attacchi possono lanciare i booter DDoS?

Gli hacker possono noleggiare i booter per sferrare un'ampia gamma di attacchi DDoS.

Attacchi volumetrici. Questi attacchi mirano a "inondare" un obiettivo con elevati volumi di traffico per consumare la sua larghezza di banda disponibile, esaurendo le risorse e rendendo la rete o il sito web non disponibili.
Attacchi TCP out-of-state o state-exhaustion. Questi attacchi sovraccaricano le risorse del sistema preso di mira sfruttando la natura stateful del TCP (Transmission Control Protocol) per interrompere le connessioni disponibili e consumare le risorse di sistema o di rete.
Attacchi a livello di applicazione. Tra gli attacchi di questo tipo, figurano gli attacchi Slowloris e altri attacchi HTTP flood che esauriscono le risorse delle API o di un server. Gli attacchi PRSD (Pseudo-Random SubDomain) al DNS sono una forma di attacchi alle applicazioni, ma si focalizzano sul protocollo DNS (anziché sui protocolli HTTP come negli attacchi alle applicazioni più tradizionali).
Attacchi di frammentazione. Questi attacchi inviano pacchetti IP frammentati che devono essere riassemblati, consumando un notevole numero di risorse del sistema preso di mira ed esaurendo la sua capacità di gestire ulteriori richieste.
Attacchi di amplificazione o riflessione DNS. Questi attacchi amplificano gli sforzi di un criminale sfruttando le vulnerabilità presenti nei server DNS. I criminali inviano le richieste ai server DNS, che, a loro volta, rispondono con una notevole quantità di informazioni per sovraccaricare l'indirizzo IP preso di mira.
Attacchi basati sull'IoT. I criminali possono sfruttare le vulnerabilità presenti nei dispositivi IoT (Internet of Things) allo scopo di creare botnet per sferrare attacchi DDoS in grado di creare massicce quantità di traffico.

I booter DDoS sono illegali?

Fornire o noleggiare i booter DDoS è illegale. Le forze dell'ordine, tra cui il Dipartimento di giustizia degli Stati Uniti (DOJ) e le forze dell'ordine internazionali, lavorano attivamente per detronizzare i siti di booter e arrestare le persone che offrono questi servizi e li usano (Operation PowerOFF , ad esempio).

Qual è il miglior sistema di difesa da un booter DDoS?

Le organizzazioni possono difendersi dai servizi di booter DDoS con le stesse misure di cybersicurezza multilivello che usano per mitigare gli attacchi DDoS. Di seguito, vengono riportate alcune best practice da seguire per proteggersi dagli attacchi DDoS:

Utilizzare un servizio di mitigazione dagli attacchi DDoS. Un provider di mitigazione dagli attacchi DDoS affidabile può aiutare a rilevare ed escludere il traffico dannoso durante un attacco DDoS, impedendo al traffico di raggiungere i server e garantendo agli utenti legittimi di poter comunque accedere ad una rete o ad un sito web. I servizi di scrubbing DDoS sul cloud sono una strategia ampiamente adottata.
Monitorare il traffico alla ricerca di eventuali anomalie. Monitorare gli strumenti in grado di rilevare e analizzare i modelli di traffico può aiutare ad identificare il traffico normale e a rilevare il traffico anomalo che potrebbe far parte di un attacco DDoS.
Attivare la limitazione della velocità. Gli strumenti di limitazione della velocità minimizzano l'impatto di un attacco DDoS restringendo il numero di richieste da un singolo indirizzo IP o bloccando il traffico proveniente da indirizzi IP noti come dannosi.
Incrementare la capacità. Aumentare la larghezza di banda, aggiungere funzionalità di bilanciamento del carico e incrementare il numero dei sistemi ridondanti può aiutare ad assorbire l'improvviso picco di traffico che si registra durante un attacco DDoS.
Utilizzare una rete per la distribuzione dei contenuti (CDN). Le CDN aiutano a distribuire il traffico in varie aree geografiche tramite più server e data center, fornendo una capacità di rete aggiuntiva in grado di assorbire e mitigare gli attacchi DDoS.
Implementare firewall e IPS. I firewall e i sistemi anti-intrusione (IPS) aggiornati con l'intelligence sulle minacce più recente possono escludere il traffico dannoso e bloccare gli indirizzi IP sospetti.

Domande frequenti (FAQ)

I booter DDoS rappresentano un'enorme minaccia per le aziende di tutte le dimensioni, ma il loro impatto può risultare particolarmente serio per le piccole e medie imprese (PMI). A differenza delle grandi aziende che spesso dispongono di solide infrastrutture di cybersicurezza e team IT dedicati, le PMI non sempre dispongono di risorse tali da garantire una protezione completa. Questo aspetto le rende più vulnerabili agli attacchi DDoS, che possono interrompere i loro servizi online, scalfire la fiducia dei clienti e causare significative perdite finanziarie. È cruciale per le PMI investire in soluzioni per la protezione dagli attacchi DDoS scalabili in grado di allinearsi alle loro specifiche esigenze e risorse.

Risalire all'autore di un attacco DDoS è difficile a causa della natura distribuita di questi attacchi. I booter DDoS utilizzano una rete di dispositivi compromessi, rendendo difficile individuare con esattezza da dove sia partito originariamente l'attacco. Tuttavia, con le funzionalità avanzate di monitoraggio e analisi forense, spesso è possibile identificare schemi o indizi utili per risalire all'autore dell'attacco. Le forze dell'ordine e le società che si occupano di cybersicurezza lavorano continuamente per migliorare i metodi di tracciamento utili per risalire ai criminali.

I booter DDoS sono progettati, per loro natura, per scopi dannosi e sono illegali. Tuttavia, la loro tecnologia sottostante, simile a quella usata negli stresser IP, può essere utilizzata in modo legittimo, ad esempio, da parte di aziende che offrono servizi di test sotto stress autorizzati per valutare la resilienza della propria rete in caso di elevati volumi di traffico. Questi servizi legittimi vengono condotti in modo consenziente senza l'intento di danneggiare o interrompere i servizi.

Gli effetti esercitati da un attacco booter DDoS nel lungo termine possono estendersi oltre l'immediata interruzione delle attività operative. Questi tipi di attacchi possono danneggiare la reputazione di un'azienda, portando alla perdita della fiducia dei clienti e ad un potenziale declino delle attività operative. Il recupero da questi attacchi spesso richiede ingenti investimenti in aggiornamenti della sicurezza e può implicare conseguenze legali e normative, specialmente in caso di violazione dei dati dei clienti. L'adozione di misure proattive e di un solido piano di risposta è essenziale per mitigare questi rischi a lungo termine.

La proliferazione dei dispositivi IoT ha influito notevolmente sullo scenario degli attacchi DDoS. Poiché molti dispositivi IoT non dispongono di adeguate misure di sicurezza, vengono facilmente incorporati nelle botnet utilizzate negli attacchi DDoS. Ciò ha implicato una crescita nella portata e nella frequenza degli attacchi DDoS, sottolineando la necessità di migliorare gli standard di sicurezza nei dispositivi IoT e di aumentare la consapevolezza degli utenti circa la protezione dei loro dispositivi.

Perché i clienti scelgono Akamai

A sostegno e protezione della vita online c'è sempre Akamai. Le principali aziende al mondo scelgono Akamai per creare, offrire e proteggere le loro experience digitali, aiutando miliardi di persone a vivere, lavorare e giocare ogni giorno. Akamai Connected Cloud, una piattaforma edge e cloud ampiamente distribuita, avvicina le app e le experience agli utenti e allontana le minacce.

Prodotti correlati

Prolexic

Bloccate gli attacchi DDoS con la difesa più rapida ed efficace, su larga scala.

Ulteriori informazioni

Edge DNS

Affidatevi a un DNS altamente sicuro per una disponibilità ininterrotta di API e app web.

Ulteriori informazioni

App & API Protector

Sicurezza centralizzata senza compromessi per siti web, applicazioni e API.

Ulteriori informazioni

Risorse aggiuntive

Difesa dagli attacchi DDoS nel cloud ibrido

Non tutte le soluzioni di mitigazione degli attacchi DDoS sono progettate in modo uguale. Scoprite come molti provider di servizi cloud non si rivelano all'altezza e cosa cercare.

Ulteriori informazioni

Gli attacchi DDoS nell'area EMEA nel 2024

La nostra ricerca più recente vi fornisce le informazioni necessarie per difendervi meglio dal crescente numero di attacchi DDoS nell'area EMEA.

Scarica il rapporto

Cosa può rivelare un'analisi del traffico DNS dannoso sull'esposizione ai rischi di un'organizzazione?

L'autostrada degli attacchi: l'analisi C2 mostra gli autori degli attacchi contro le aziende

Anche se è una delle infrastrutture Internet più antiche, il DNS registra comunque un notevole traffico relativo agli attacchi. Scoprite di più sulle minacce più comuni e su molti altri argomenti in questo rapporto.

Scarica il rapporto