Рекордный ботнет

Эксперты Qrator Labs обнаружили ботнет рекордного масштаба, состоящий из более чем 160 тыс. устройств. Это втрое больше, чем любой другой, который использовали злоумышленники. При этом главной задачей этой зомби-сети была не организация DDoS-атак, а сбор данных, прежде всего, у розничных продавцов. "Ботнеты такого масштаба не ставят рекорды по интенсивности запросов и полосе пропускания: их задача в другом — стабильно и ежедневно извлекать коммерчески значимые данные, не вызывая подозрений у защитных механизмов. Чем меньше доля работы, которую должно сделать каждое отдельное устройство, тем сложнее обнаружить его в массе пользователей и заблокировать. Бороться с этой активностью с помощью репутационного анализа, лимитов по скорости и IP-блокировок затруднительно – "под нож" неизбежно попадут легитимные пользователи. Требуется уметь идентифицировать посетителей, оценивать целостность цифрового окружения их девайсов, которое хорошо умеют подделывать продвинутые боты, и принимать решение о запрете доступа индивидуально для каждого недобросовестного обращения", – комментирует менеджер продукта в Qrator Labs Георгий Тарасов. Тем не менее, в конце 2021 г., по данным Qrator Labs, продолжалась активность злоумышленников в отношении таких отраслей, как онлайн-коммерция и образование. Генеральный директор и основатель Qrator Labs Александр Лямин напрямую связывает это обстоятельство с тем, что DDoS-атаки следуют за бизнесом: в тех отраслях, где наблюдается максимальный рост, пропорционально увеличивается и число нападений: "В IV квартале 2021 г. пользователи продолжили учиться в удаленном режиме, а количество онлайн-заказов товаров бьет все рекорды - поэтому злоумышленники и сфокусировали свое внимание на этих самых прибыльных сегментах рынка". Системный аналитик "Лаборатории Касперского" Александр Гутников также заявил о том, что наблюдается заметный рост количества проявлений DDoS-атак, что во многом связано с сезонным фактором: "Мы наблюдали рост количества атак в полтора раза по сравнению с предыдущим кварталом и более чем четырехкратный рост в сравнении с аналогичным периодом предыдущего года. Такие скачки связаны с двумя факторами. Во-первых, имеет место традиционное для IV квартала сезонное колебание, происходящее каждый год. К концу года традиционно обостряется конкурентная борьба в розничной торговле, наступает время экзаменов у школьников и студентов — все это ведет к росту количества атак. Также объем рынка DDoS обратно пропорционально связан с рынком криптовалют. Связано это с тем, что мощности для организации DDoS и для майнинга криптовалюты хоть и не полностью, но взаимозаменяемы, поэтому владельцы ботнетов склонны перенаправлять мощности на майнинг при расти крипты и на DDoS при ее падении. В IV квартале мы наблюдаем именно это: рост количества DDoS-атак на фоне падения криптовалют. Именно с этим связан пугающий рост в 4 раза по сравнению с прошлым годом: тогда мы наблюдали обратную ситуацию, падение рынка DDoS на фоне резкого скачка криптовалют". Начальник отдела информационной безопасности компании "Сигма" Антон Добасевич видит заметный рост активности злоумышленников по всему фронту: "Сейчас бизнес активно "мигрирует" в онлайн. Еще 5-7 лет назад далеко не каждая компания даже имела свой сайт. Сейчас – это базовая составляющая любой коммерции. Растет трафик, соответственно, увеличивается и количество атак. Только за 2021 г. средний показатель по отраслям вырос в 2-2,5 раза. При этом стоит отметить, что с массовым переходом на удалённую работу многие компании начали активно использовать внешние облачные сервисы. Рост пропускных способностей сетей помогает укреплять стабильность работы внешних ресурсов и минимизировать риски целевых DDoS-атак". По его оценке, наиболее часто атакуют финансовый сектор и систему розничной торговли. За период пандемии к ним отраслям добавились медицинские организации, образовательные ресурсы, государственные учреждения. Но есть и новые тенденции: "Наша компания специализируется на автоматизации энергетического сектора. С увеличением объема онлайн-обслуживания абонентов энергосбыта количество атак возросло в разы. Собственная линейка решений "Сигмы" для энергетики в первую очередь нацелена на быструю, точную и безопасную передачу данных (информация о потребителях, договорах энергоснабжения, энергообъектах, приборах учета) в масштабах города, региона и страны". Александр Гутников также считает, что атакуют в основном те ресурсы, цена атаки которых ниже потерь от их простоя, и отраслевая принадлежность никак не влияет на активность атакующих: "В отчете за I квартал 2020 мы описывали скачок атак, связанный с пандемией, когда в связи с карантином и вводом режима удаленной работы критическими для бизнеса стали ранее второстепенные сервисы, вроде веб-интерфейсов к корпоративной почте и VPN-шлюзов. Так как такие сервисы стали критически важными в один день, защищены они зачастую были все еще не на том уровне, а интерес к ним уже сильно повысился. И их стали атаковать. Атаке может подвергнуться любой ресурс, возможность этого есть всегда и оценить вероятность её возникновения довольно трудно. В любом случае, если бизнес считает простой какого-то сетевого ресурса дорогим или вообще неприемлемым — значит это потенциальная цель для атаки и о защите нужно думать заранее, независимо от отрасли". "В первой половине декабря специалисты компании StormWall зафиксировали шквал DDoS-атак мощностью более 1 Тбит/с, длящихся в течение нескольких суток. В основном, хакеры атаковали компании развлекательного сектора, онлайн-ритейл, издательские дома и финтех-сферу, особенно криптосервисы. Атаки осуществлялись злоумышленниками с помощью нового ботнета, который состоит из нескольких десятков тысяч серверов с разными версиями операционных систем, а также вебкамер, роутеров, умных телевизоров и других умных устройств", - говорится в исследовании компании Stormwall. Наиболее часто с DDoS атаками сталкивались финансовый сектор, розница и игровая индустрия. При этом число атак на финансовые компании в годовом выражении увеличилось на 84%, а на розничные компании – на 75%. Также в Stormwall обращают внимание на то, что атакующие научились объединять ресурсы нескольких ботнетов, что позволяло добиваться рекордных мощностей при атаках. В "Лаборатории Касперского, однако, не видят со стороны организаторов DDoS атак каких-то технологических новаций вроде обнаруженного в 2021 г. ботнета Mēris. Вместе с тем Александр Гутников обращает внимание на постоянное снижение порога входа на этот криминальный рынок: "При этом DDoS-атак становится с каждым годом доступнее, это давно не только удел профессионалов. Предложений по аренде ботнетов становятся больше (зачастую их рекламируют как решения для нагрузочных тестирований), оплата их становится проще благодаря развитию криптовалют, а интерфейсы к ним становятся удобнее. Все это влияет на рост рынка". Однако, по мнению ряда экспертов, ситуация с DDoS-атаками, по крайней мере, классическими, не столь драматична. К примеру, в пресс-службе АО "ЭР-Телеком Холдинг" ситуацию с DDoS в России оценили так: "В настоящее время мы не наблюдаем каких-то существенных изменений или роста количества DDoS-атак". По оценке ряда компаний ситуация и вовсе имеет явную тенденцию к снижению. Как отметил бизнес-консультант по информационной безопасности Cisco Алексей Лукацкий, за последние полгода мы отмечаем скорее снижение числа атак "отказ в обслуживании", чем их рост (по крайней мере по сравнению с 2020 г.): "На наш взгляд это обусловлено тем, что злоумышленники меняют тактику и больше внимания стали уделять не сетевым атакам, а атакам на уровне приложений. Наиболее атакуемыми отраслями в конце прошлого года стали технологический сектор, здравоохранение и операторы связи. Не остались без внимания злоумышленников и игровые сервисы, а также финансовый сектор и сфера образования. В сегменте DDoS-атак очень сложно выявить долгосрочные тенденции - это очень изменчивый рынок, зависящий от множества факторов. Например, осенью прошлого года возросло число атак на сферу образования, это было связано с началом учебного года в школах и вузах. В конце прошлого года также была зафиксирована крупная DDoS-атака на поставщиков услуг IP-телефонии, в которой ее автор выдавал себя за группировку REvil, которая к тому моменту уже прекратила свою активную деятельность". Ссылка на источник