Tornano gli attacchi DDoS (Distributed Denial of Service) a colpire il nostro Paese, dove una matrice di hacker filorussi ha colpito alcuni Istituti Bancari italiani, senza però arrecare danni permanenti.
Dopo gli attacchi avvenuti in concomitanza con la visita a Roma da parte di Volodymyr Zelensky durante il mese di maggio, il gruppo di hacker russi denominato NoName057(16) torna a colpire il nostro Paese, causando per ore disservizi di almeno 16 obiettivi, tra cui banche ed enti finanziari.
Sotto attacco da parte degli attivisti filorussi sono stati prima diversi servizi di trasporti, come quello della palermitana AMAT, AmiGO, Cagliari Trasporti, Azienda Napoletana Mobilità, Azienda Consorzio Trasporti Veneziano e poi gli istituti bancari di Intesa Sanpaolo, Fineco, BPER, MPS e Banca Popolare di Sondrio, ING e CheBanca. Sembra in ogni caso che non vi sia stato furto di dati e che si sia trattato di un’azione dimostrativa.
Chi sono i NoName057(16)
Nato nel 2022 durante la guerra contro l’Ucraina, NoName057(16) è un gruppo di criminali informatici filorussi che prende di mira Paesi che considera “nemici della Russia” come gli USA e alcuni Paesi europei, in particolare chi si allea con l’Ucraina. Questi hacker sfruttano gli attacchi di tipo DDoS prendendo di mira siti web governativi, mezzi d’informazione, aziende e alleati della NATO.
Attacco DDoS, come funziona
L’attacco DDoS è una tecnica rivolta soprattutto ad organizzazioni più importanti come aziende e Istituti finanziari. Visto per la prima volta nella metà degli anni ’90, è uno strumento dannoso in cui la vittima viene tempestato da numerose richieste, rallentando così i server.
Spesso l’obiettivo dei cyber criminali è quello di utilizzare la tecnica dello defacing (defacciare), ovvero, quello di sostituire la home page di un sito web legittimo con quello illegittimo utilizzando il metodo dello spoofing, rimpiazzandolo con una copia contraffatta del sito dell’originale.
Identificare un attacco DDoS
Sono disponibili numerosi strumenti di analisi del traffico in grado di individuare un attacco DDoS:
- un aumento di traffico derivante da un singolo indirizzo IP o da un intervallo di indirizzi IP
- un ampio flusso di traffico da utenti che approvano un unico profilo, come ad esempio: il dispositivo, la geolocalizzazione o la versione del browser Web
- un aumento delle richieste a una singola pagina o endpoint
- strani schemi di traffico, come picchi in ore inconsuete del giorno o sequenze che sembrano innaturali (ad es. un picco ogni 10 minuti)
- sfruttamento di errori nei software e nelle falle di sicurezza
L’Agenzia per la cybersicurezza nazionale raccomanda a tutti di mantenere un alto il livello di attenzione sulla protezione delle proprie infrastrutture informatiche e di aumentarne le misure di protezione relative agli attacchi DDoS.