L'ultimo report mensile sulle tendenze degli attacchi DDoS descrive l'attacco DDoS che ha quasi rubato il Natale come il più grande attacco registrato da Fastly del 2025.
La rete globale istantanea di Fastly ha bloccato migliaia di miliardi di tentativi di attacchi DDoS ai livelli 3 e 4. Tuttavia, i nuovi attacchi sofisticati di livello 7 sono più difficili da rilevare e potenzialmente molto più pericolosi. Questa grave minaccia alle prestazioni e alla disponibilità di qualsiasi app o API connessa a Internet mette a rischio gli utenti e le organizzazioni. Fastly utilizza la telemetria della nostra rete globale edge da 498 terabit al secondo* che gestisce 1,8 mila miliardi di richieste al giorno** e Fastly DDoS Protection per fornire una serie unica di approfondimenti sulle "condizioni" DDoS delle applicazioni globali: l'unico report mensile di questo tipo. Sfrutta dati anonimizzati, approfondimenti e linee guida attuabili sulle ultime tendenze in materia di attacchi DDoS alle applicazioni per aiutarti a rafforzare le tue iniziative di sicurezza.
Risultati principali:
Volume di attacco più elevato del 2025: il 25 dicembre ha registrato il picco annuale, con la maggior parte del traffico attribuibile a un singolo evento.
Dimensione degli attacchi superiore ai mesi precedenti: sebbene il numero di attacchi sia simile a quello di novembre, il volume complessivo è stato molto più elevato, indicando attacchi mediamente più grandi.
Gli attacchi sofisticati combinano molteplici vettori di attacchi DDoS: l'attacco massiccio del 25 dicembre ha sfruttato molteplici tipi di attacchi DDoS (sia a livello di rete che a livello di applicazione) nel tentativo fallito di incidere sulle prestazioni.
Tendenze degli attacchi di dicembre
Alla luce di quattro mesi consecutivi di calo del volume degli attacchi DDoS, ci siamo avvicinati a dicembre incerti se la tendenza sarebbe continuata: abbiamo scoperto invece il contrario. A dicembre si è registrato il giorno con il picco di attacchi più marcato dell'anno.
Confrontando dicembre con tutti gli altri mesi del 2025, si nota che non solo si discosta dalla tendenza, ma è di gran lunga il mese con il volume di attacchi più elevato:+37% rispetto a giugno, il secondo classificato.
Sebbene il volume degli attacchi sia stato significativamente più alto a dicembre, il numero di singoli attacchi è rimasto relativamente stabile mese su mese.
Dato che novembre ha registrato uno dei volumi di attacco più bassi del 2025 e dicembre quello più alto, la somiglianza nel numero di attacchi suggerisce un volume complessivo di attacchi più elevato. L'analisi dei dati ha evidenziato che l'elevata dimensione media degli attacchi è dovuta in gran parte al singolo attacco del 25 dicembre, giorno con il maggior volume di attacchi dell'anno. Ecco come si è manifestato quell'attacco.
L'attacco Grinch: il più grande attacco DDoS del 2025
La sicurezza informatica non si ferma mai.
Mentre molti trascorrevano le festività natalizie con i propri cari, in tutto il mondo i team di sicurezza informatica (spesso in deficit di personale) si sono impegnati a mitigare gli attacchi. E a ragione: la sera di Natale negli Stati Uniti, un cliente Enterprise High Technology ha sperimentato in prima persona la piena potenza di una massiccia botnet che ha lanciato il più grande attacco DDoS registrato da Fastly nel 2025.
Mentre sulla costa occidentale degli Stati Uniti molti si godevano la cena di Natale, una botnet di enorme portata ha lanciato un sofisticato attacco DDoS, combinando flussi di rete e applicazione da tutto il mondo nel tentativo di sopraffare un cliente, presupponendo che in quel momento fosse impreparato.
Noi di Fastly abbiamo deciso di chiamare "attacco Grinch" questo tentativo di "rubare il Natale" al team di sicurezza informatica del cliente.
(Sì, è la versione migliore: non voglio contestazioni.)
Mentre analizziamo i dettagli degli attacchi per fornire una panoramica della potenza e delle capacità di cui queste botnet dispongono, è importante fare chiarezza sui diversi tipi di attacchi DDoS che possono lanciare. La maggior parte degli attacchi si presenta in tre forme:
Attacchi a pacchetto per secondo (PPS) : sono spesso progettati per sovraccaricare la CPU e le tabelle di stato, esercitando pressione sulla capacità di elaborazione dei pacchetti e avvengono generalmente ai Livelli 3/4
Attacchi da terabit al secondo (TBPS) : si concentrano sull'esaurimento della larghezza di banda ai Livelli 3/4, saturando i canali di trasmissione indipendentemente dal numero di pacchetti
Richieste al secondo (RPS) : esercitano pressione a livello applicativo (Livello 7) inondando applicazioni e API con richieste completamente formate
Spesso, scopriamo che un attacco si concentra su uno solo di questi tre metodi, ma con la crescente sofisticazione, gli aggressori combinano più metodi per sovraccaricare sia le risorse hardware sia il personale che deve contrastare l'attacco. Nel caso dell'attacco Grinch, i malintenzionati hanno combinato simultaneamente un attacco RPS di alto livello con un attacco PPS di basso livello per causare più danni.
La fase dell'attacco DDoS dell'applicazione del Grinch
La sera di Natale, gli hacker hanno preso di mira più applicazioni e API di una grande azienda High Technology con una scala senza precedenti. Nel giro di un minuto, Il Grinch ha raggiunto oltre 10 milioni di richieste al secondo, per poi mantenere un picco sostenuto di oltre 100 milioni di richieste al secondo per tre minuti poco dopo. Per contesto, nei report dei mesi precedenti abbiamo descritto attacchi massicci da 1 milione e 15 milioni di RPS che avevano battuto ogni record, ma questo non solo ha raggiunto una portata 7-8 volte superiore, è anche andato avanti per altre 48 ore circa .
Il grafico qui di seguito utilizza una scala logaritmica; i passi verticali uguali rappresentano variazioni del traffico di ordini di grandezza, non conteggi fissi di richieste. Con questo formato riusciamo a vedere sia il traffico normale che i picchi estremi rappresentati nello stesso grafico. Il grafico mostra non solo la portata massiccia raggiunta dall'attacco all'inizio, ma anche la sua durata prolungata nei giorni successivi.
In totale, questa fase del Grinch ha comportato oltre 220 miliardi di richieste, molto più di qualsiasi altro attacco registrato nello stesso mese.
Approfondendo ulteriormente, abbiamo esplorato i tipi di regole che Fastly DDoS Protection ha generato automaticamente per mitigare l'attacco. Mitigare attacchi di questa sofisticazione senza impattare il traffico legittimo è complesso, ma l'Adaptive Threat Engine della nostra soluzione ha creato oltre mille regole per distinguere gli attacchi dal traffico legittimo. Da un esame olistico emergono alcune tendenze.
Il 75% delle regole è stato in grado di isolare l'attacco in un solo paese. Il traffico dell'attacco Grinch proveniva principalmente dagli Stati Uniti (25%), dal Brasile (22%) e dal Messico (21%).
Secondo quanto riportato, molti dei principali paesi coinvolti nell'attacco coincidono con quelli citati nell'analisi di XLab sulla botnet Kimwolf, recentemente finita sotto i riflettori. Ciò induce il nostro team a ritenere che, data la grande portata e le somiglianze geografiche, possa essere stata questa botnet a lanciare il Grinch. Se non hai mai sentito parlare di questa botnet, dai un'occhiata al recente articolo di Brian Krebs qui.
Sebbene il codice del paese abbia contribuito a isolare parti dell'attacco, questo attributo di regola è sempre utilizzato in combinazione con altri per distinguere in sicurezza gli attacchi dal traffico legittimo. Nel caso del Grinch, sono stati necessari in media più di 4 attributi in ogni regola per isolare il traffico dell'attacco da tutto il resto. Le combinazioni di attributi come IP specifici (28% delle regole), ASN (57%) e impronte generali di browser/intestazioni (99%) hanno permesso a Fastly DDoS Protection di isolare automaticamente il traffico del Grinch per tutta la durata dell'attacco, oltre 48 ore.
La fase di attacco DDoS di rete del Grinch
Non appena l'attacco DDoS applicativo del Grinch ha cominciato a stabilizzarsi (mantenendosi incredibilmente a circa 1 milione di RPS) e a mostrare un lento calo dopo poche ore dall'inizio dell'attacco (probabilmente a causa del successo limitato riscontrato dagli hacker), è stata rapidamente introdotta una nuova variabile: un attacco DDoS di rete. Questa fase, attribuibile principalmente ad attacchi provenienti dal Sud America, è durata circa mezz'ora e ha tentato di inondare i servizi con quasi 70 milioni di PPS. È interessante notare, osservando l'attacco L7 con questa prospettiva, che subito dopo l'avvio dell'attacco DDoS di rete, l'attacco L7 ha iniziato a rallentare e subito dopo ha registrato un calo significativo degli RPS.
Sebbene non sia possibile dire con certezza cosa l'abbia causato, ciò potrebbe indicare che gli hacker hanno raggiunto limiti di capacità e risorse, poiché la botnet dispone di una potenza limitata in un dato momento se i dispositivi infettati non sono disponibili per l'uso. Questo non è in alcun modo un risultato definitivo, in quanto vi sono decine di possibili spiegazioni. L'attacco potrebbe aver raggiunto il limite di risorse, gli hacker potrebbero aver colpito altre organizzazioni che non sono clienti di Fastly e infinite altre risposte, ma vedere come si presenta questa fase degli attacchi nel loro complesso fornisce almeno qualche spunto di riflessione.
Linee guida attuabili
Quindi, cosa dovresti ricavare da tutte queste informazioni? Come puoi rendere la tua organizzazione a prova di Grinch?
Gli hacker sono astuti e mirano a interrompere le operazioni quando ritengono che le difese siano basse. Prendere di mira un'organizzazione con focus sugli Stati Uniti a Natale è stato intenzionale e sottolinea la necessità di soluzioni automatizzate o di un provider di Managed Security in grado di mitigare gli attacchi anche con personale ridotto durante le festività.
l Grinch, verificatosi dopo diversi mesi consecutivi di basso volume di attacchi, dimostra perché le organizzazioni abbiano bisogno di una soluzione sempre attiva o disponibile on-demand per mitigare gli attacchi quando inevitabilmente si presentano. Ciò garantisce flessibilità di budget senza compromettere la sicurezza.
Le dimensioni, la portata e la complessità degli attacchi su larga scala richiedono una soluzione automatica in grado di separare in modo sicuro il traffico di attacco da quello normale. Fastly DDoS Protection ha creato oltre un migliaio di regole nel corso dell'attacco Grinch, un risultato che gli esseri umani non sarebbero in grado di ottenere con la stessa portata, velocità ed efficacia.
Mitiga automaticamente gli attacchi distruttivi e distribuiti
Sebbene siano i grandi attacchi a fare notizia, abbiamo osservato un volume costante di attacchi DDoS che prendono di mira organizzazioni di tutti i settori. Proprio a causa della natura imprevedibile di questi attacchi, le organizzazioni dovrebbero adottare una soluzione in grado di contrastare automaticamente gli attacchi distribuiti e multivettoriali descritti in questo rapporto Lascia che la nostra tecnologia adattiva assorba il prossimo picco, così non dovrai farlo tu. Contatta il nostro team o inizia la tua prova gratuita oggi.
* Al 31/03/2025
** Al 31/07/2023