Utrecht, 7 février 2018 – Des attaques DDoS accidentelles causées par des spammeurs, du sabotage politique et des propriétaires de botnets DDoS tentant de gagner de l’argent avec Bitcoin : voici quelques-unes des tendances analysées dans le quatrième rapport trimestriel 2017 de Kaspersky Lab sur base des données de Kaspersky DDoS Intelligence*.

Le nombre de pays où se trouvent les ressources des victimes de botnets DDoS est passé de 98 à 82 au quatrième trimestre. Le Vietnam est apparu dans le classement des pays les plus attaqués, remplaçant Hong Kong parmi les premiers touchés. Malgré de légères fluctuations, tous les autres pays de ce top 10 ont maintenu leur place. Entre-temps, le Canada, la Turquie et la Lituanie sont entrés dans le top 10 des pays qui hébergent les serveurs C&C contrôlant les botnets DDoS, prenant ainsi la place de l’Italie, de Hong Kong et du Royaume-Uni.

Suite à une forte hausse au troisième trimestre, la part des botnets Linux est restée au même niveau pendant le quatrième trimestre (71% contre 29% pour les botnets sous Windows). Cependant, le pourcentage des attaques SYN DDoS est passé de 60% à 56% en raison d’une baisse d’activité du botnet Xor DDoS Linux. Par conséquent, la proportion des attaques UDP, TCP et HTTP a augmenté, bien que le pourcentage des attaques ICMP a continué à chuter pour atteindre un record historiquement bas pour 2017 (3%).

Les statistiques de Kaspersky DDoS Protection, qui incluent des données sur l’activité des botnets ainsi que d’autres sources, montrent une baisse de popularité des attaques DDoS utilisant uniquement la méthode par inondation HTTP ou HTTPS, passant de 23% en 2016 à 11% en 2017. Parallèlement, la fréquence des attaques utilisant simultanément plusieurs méthodes a augmenté de 13% à 31%. Ceci peut s’expliquer par la difficulté et les frais qu’implique l’organisation des attaques HTTP(S), alors que les attaques combinées permettent aux cybercriminels d’associer efficacité et réduction des coûts.

En termes de durée des attaques DDoS via botnets, la plus longue des derniers mois de 2017 a tenu seulement 146 heures. La victime était un site appartenant à une entreprise chinoise donnant des cours de cuisine traditionnelle asiatique. Les attaques les plus notables survenues au cours de la période en question revêtaient toutefois un caractère politique (par exemple, des attaques DDoS ont ciblé l’Office tchèque des statistiques et le site de la Cour constitutionnelle espagnole) ou tentaient de profiter des variations du taux de change du Bitcoin (les sites de BTG et la plateforme d’échange de Bitcoin Bitfinex ont été victimes d’attaques).

Le commerce en ligne et les cybercriminels ont inévitablement marqué le quatrième trimestre. Durant la période précédant les pics de vente du Black Friday et du Cyber Monday, les pots de miel de Kaspersky Lab ont enregistré une hausse soudaine du nombre de tentatives d’infection via des appâts spécialement créés par des bots DDoS sous Linux. Cette observation peut refléter la volonté des cybercriminels d’augmenter la taille de leur botnets avant une période de vente importante pour en tirer profit.

Cependant, comme le quatrième trimestre l’a démontré, une attaque DDoS n’est pas toujours un moyen de gagner de l’argent ou de causer problème aux propriétaires des ressources Internet : cela peut aussi être un effet secondaire accidentel. Par exemple, en décembre, une « attaque DDoS » spectaculaire ayant touché les serveurs DNS de la zone du domaine national RU a été causée par une modification sur le spambot Lethic. Il semblerait que le cheval de Troie a créé un grand nombre de requêtes pour des domaines non existants et a fini par produire l’effet d’une attaque DDoS massive simplement en raison d’une erreur de développeur.

« Vous ne devez pas forcément être une cible directe pour devenir victime d’une attaque DDoS. Aujourd’hui, l’attaque DDoS est un instrument utilisé pour faire pression ou gagner de l’argent illégalement, et ces attaques peuvent nuire non seulement aux grandes organisations reconnues, mais aussi aux petites entreprises. À l’heure actuelle, toute société dépendant d’un accès Internet, même partiel, devrait disposer d’une protection anti-DDoS. C’est pourquoi nous avons lancé en 2017 une version spéciale de Kaspersky DDoS Protection, visant à répondre aux besoins des petites entreprises, » explique Kirill Ilganaev, chef de Kaspersky DDoS Protection chez Kaspersky Lab.

Kaspersky DDoS Protection combine l’expertise approfondie de Kaspersky Lab dans la lutte contre les cyber-menaces et les développements internes uniques de l’entreprise. Cette solution vous protège contre tous les types d’attaques DDoS indépendamment de leur complexité, de leur force ou de leur durée.

*Le système DDoS Intelligence (appartenant à Kaspersky DDoS Protection) est conçu pour intercepter et analyser les commandes envoyées par les bots depuis les serveurs de commande et de contrôle (C&C) et est capable de récolter des données avant l’infection des appareils de l’utilisateur ou l’exécution des commandes du cybercriminel. Il est à noter que les statistiques de DDoS Intelligence se limitent aux botnets qui ont été détectés et analysés par Kaspersky Lab.