Elles reviennent ! Après trois trimestres de recul, le rapport Akamai sur l'état des lieux d'Internet au deuxième trimestre 2017 mentionne une croissance de 28% des attaques DDoS. Mais l'innovation n'est clairement plus de mise. Les vieilles recettes font, par contre, un retour en force, notamment grâce au vieux maliciel Pbot, source majeure des attaques de ce trimestre.

Le record provient d'une attaque via Pbot qui a atteint 75 Gbit/s à partir de seulement 400 noeuds. Les pirates avaient tiré partie d'un code PHP très ancien. Toujours dans le domaine des vieilles soupières dans lesquelles on fait la meilleure soupe, les algorithmes de génération de domaine pour l'infrastructure de commande et de contrôle des logiciels malveillants redeviennent un socle des réseaux de bots. Les taux de consultation des DNS sont ainsi multipliés par 15 par rapport à un réseau sain, la plupart des domaines consultés n'étant évidemment pas enregistrés. Ce système est apparu avec Conficker en 2008.

Le nombre de sources s'est pourtant effondré de 98%

Découvert en septembre dernier, Mirai a fortement ciblé les infrastructures d'Akamai ce dernier trimestre, les équipes du prestataire en ayant donc profité pour l'étudier plus particulièrement. Mirai semble bien être mis à disposition de nombreux commanditaires qui ciblent chacun des adresses IP sélectionnées et précises, éventuellement durant peu de temps avant de changer de cible selon un principe de CaaS, de crime à la demande.

Les DDoS sont, de plus, souvent orientées vers des cibles récurrentes. En moyenne, chaque cible a été attaquée 32 fois durant le trimestre, le record étant de 558 fois (six fois par jour en moyenne !). 32% des adresses IP sources se situaient en Egypte, qui détrône donc les Etats-Unis alors que le pays n'était pas dans les principaux pays sources jusqu'à présent. La masse d'adresses IP sources des DDoS s'est d'ailleurs effondrée de 98%: 11 000 au lieu de 595 000 le trimestre précédent !