Взрывной рост DDoS-атак

Эксперты из Qrator Labs отмечают, что 2021 год тоже начался взрывным образом — с DDoS-атаки интенсивностью 750 Гбит/с, состоящей в основном из DNS-амплифицированного трафика. Ранее атаки интенсивностью более 1 Тб/с могли длиться несколько часов, были выматывающими, хорошо подготовленными, при этом стоили десятки тысяч долларов и были точечно направлены на конкретную жертву. В отчете сообщается, что в 2020 году выросла популярность специальных сервисов для организации DDoS-атак – так называемых "бутеров" (booters). Владельцы таких сервисов, как правило, принимают оплату кредитной картой и могут организовать атаку на любой IP, установленный в качестве их цели. Теперь терабитные скорости стали доступны через "бутеры", а потому динамичность атак возросла, а время проведения – сократилось. По сообщению Qrator Labs, если раньше DDoS-атаку скоростью в несколько Тб/с и стоимостью в десятки тысяч долларов злоумышленники должны были отработать на все 100%, то сегодня можно заказать атаку на такой же скорости, но длительностью несколько минут всего за 100 долларов, и если она не сработает, то дальше деньги на продолжение нападения можно не тратить. Подтверждением этого стало снижение длительности атак, наблюдаемое Qrator Labs: медианная продолжительность DDoS-атаки теперь составляет около 5 минут, поскольку в случае неуспеха злоумышленники не тратят время на продолжение атаки, а заказчик – деньги на ее оплату. Этот тренд появился в 2020 году и продолжит свое развитие в течение ближайших нескольких лет. В отчете говорится, что распространение вируса COVID-19 по всему миру, а также карантин, в условиях которого оказались страны в 2020 году, заметно сказались на характере DDoS-атак и их распределении по различным индустриям. Наиболее атакуемыми сферами бизнеса оказались электронная коммерция, образование, игровые сервисы и букмекерские конторы, продемонстрировав однозначный рост атак на уровне выше среднего. "Повышенное внимание злоумышленников к этим индустриям является наглядной иллюстрацией того, как в условиях кризиса и сокращающегося рынка некоторые игроки прибегают в том числе к внерыночным методам конкурентной борьбы, то есть к организации DDoS-атак на своих конкурентов", – основатель и генеральный директор Qrator Labs комментирует Александр Лямин. Достаточно серьезный рост числа DDoS-атак показал сегмент онлайн-образования, таким образом, "школьный" DDoS занял почетное второе место в списке, обогнав по своим показателям даже игровую индустрию. Доступность инструментов для организации атак на отказ в обслуживании в комбинации с нежеланием школьников учиться в онлайн-режиме привели к агрессивному росту числа нападений на сектор образования в течение всего 2020 года. Рост количества атак на сектор онлайн-игр и букмекерских контор также является типичным отражением паттерна карантина, когда пользователи сидят дома, и их единственным развлечением становятся игры и различного рода ставки. В пресс-службе Qrator Labs рассказали, что DDoS-атаки – это явление глобальное, наднациональное, соответственно, и российские тенденции в этой области практически не отличаются от мировых. "Единственное, что можно выделить, – это сегмент e-commerce, который отвечает за оперативную доставку продуктов. В России эта сфера исключительно динамично развивается, гораздо быстрее, чем в Европе и Азии, и высокая конкуренция здесь порождает волны атак. Все остальные тренды в России: атаки на сферы беттинга, игр и образования – схожи с общемировыми", - сообщили в пресс-службе Qrator Labs. По словам представителя пресс-службы Qrator Labs, в 2021 году ожидается активный рост динамичных и интенсивных атак. Подобные DDoS-атаки появились в конце прошлого года, а в 2021 году их скорости в несколько Тб/с уже стали доступны на заказ, а значит, в этом году все онлайн-сервисы неизбежно столкнутся с массивными и выматывающими нападениями. "Минута простоя для всего российского сегмента e-commerce суммарно будет стоить миллиарды рублей. Это прямые потери, не считая репутационных", - сообщили в пресс-службе Qrator Labs. По данным отчета Group-IB Hi-Tech Trends 2020/2021, основную угрозу DDoS-атаки в 2020 году представляли для телекоммуникационного сектора. Были зафиксированы новые рекорды мощности DDoS-атак: 2,3 Тб/с и 809 млн пакетов в секунду. "Согласно отчету Amazon за I квартал 2020 года, служба AWS Shield в середине февраля отразила самую крупную DDoS-атаку из когда-либо зафиксированных, объем которой достигал 2,3 Тб/с. Она проведена с использованием взломанных CLDAP веб-серверов и продолжалась в течение трех дней. CLDAP (Connectionless Lightweight Directory Access Protocol) - это альтернатива более старому LDAP, который злоумышленники используют с 2016 года. С помощью CLDAP-сервера они способны отразить и приумножить DDoS-трафик в 76 раз от его первоначального объема. Предыдущий рекорд - 1,7 Тб/с - зафиксирован в марте 2018 года. 21 июня 2020 года Akamai сообщила об атаке на европейскую финансовую организацию объемом 809 млн пакетов в секунду (MPPS). Важная особенность - подавляющее большинство трафика атаки (96,2%) получено от IP-адресов, которые не зарегистрированы в предыдущих атаках 2020 года, что указывает на появление новой бот-сети. Это нападение примечательно не только своими размерами, но и скоростью, с которой оно достигло своего пика, - примерно за две минуты. В общей сложности сбой продолжался чуть менее 10 минут", - рассказали в пресс-службе Group-IB. Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев рассказал, что в 2020 году рост числа DDoS-атак в мире можно оценить в 20-30%, а в России еще больше. "Такая динамика связана с ростом проникновения в разные сферы устройств интернета вещей (именно уязвимые устройства злоумышленники используют для создания ботнет-сетей) и развитием сетей связи пятого поколения. Кроме того, в период пандемии, с одной стороны, возросла зависимость многих компаний от онлайн-каналов обслуживания, чем активно пользовались киберпреступники. В зоне наибольшего риска оказались торговые компании, сфера развлечений, ИТ-сервисы. Кроме того, хакеры стали активно атаковать образовательные и медицинские учреждения, а также органы власти", - подчеркнул Андрей Арсентьев. По словам Андрея Арсентьева, мощность DDoS-атак в прошлом году практически не выросла, поскольку многие атаки были организованы начинающими и малоопытными преступниками, которые зачастую брали в аренду ботнеты небольшой мощности. "Тем не менее, были зафиксированы ряд рекордных атак, мощностью более 2 Тбит/с (например, на компанию Amazon). Судя по всему, в 2020 году стало больше DDoS-атак, организованных с целью получения выкупа", - рассказал Андрей Арсентьев. Менеджер по развитию бизнеса Kaspersky DDoS Protection в России Алексей Киселев также сообщает, что в 2020 общее количество атак увеличивалось. По его оценке, наибольшее количество пришлось на второй квартал из-за пандемии и перемещения привычных процессов в онлайн-пространство. Во второй половине года ситуация выровнялась и стала не такой критичной: многие компании уже осознали необходимость внедрения защитных механизмов и пересмотрели отношение к кибербезопасности. "В 2020 году часто DDoS-атакам подвергались ресурсы государственных организаций, СМИ, правозащитников, образовательных учреждений, компаний, связанных со здравоохранением, финансами и телекоммуникациями. Злоумышленники продолжили использовать DDoS-атаки для вымогательства. Например, они рассылают организациям по всему миру письма с требованием выкупа в биткойнах, размер которого варьируется от 5 BTC до 20 BTC, и угрожают мощной и продолжительной DDoS-атакой в случае неуплаты. После этого жертву действительно заваливают мусорным трафиком, чтобы продемонстрировать, что угрозы не пустые", - сообщил Алексей Киселев. По словам Алексея Киселева, в последние годы типичными стали "школьные" DDoS-атаки. Это не сложные атаки на ресурсы из сферы образования. Обычно из цели – сорвать онлайн-занятия или экзамены, ограничить доступ к дневникам. Руководитель направления Anti-DDoS компании "Ростелеком-Солар" Тимур Ибрагимов отмечает, что количество DDoS-атак в 2020 году показало кратный рост, который, по его мнению, связан с пандемией, самоизоляцией и переводом многих активностей в онлайн-формат. "Отчетливо видно, как с начала года киберпреступники наращивали свою активность. Ее пик пришелся на апрель, когда количество атак в сравнении с январем увеличилось на 88%. И до конца года активность хакеров оставалась умеренно высокой. При этом некоторые методы организации DDoS относительно простые и доступные и их могут легко использовать в том числе и непрофессиональные хакеры. При этом весь прошлый год мы фиксировали снижение мощности DDoS-атак, что говорит о том, что многие из них были организованы именно с использованием таких простых и доступных инструментов хакерами-любителями", - сообщил Тимур Ибрагимов. По его оценке, основными мишенями злоумышленников при DDoS-атаках в 2020 году были киберспорт, образование и, особенно, онлайн-ритейл. "В сегменте онлайн-торговли мы фиксируем двукратный рост количества DDoS-атак, при этом 40% всех атак в прошлом году пришлось на IV квартал, когда многие продавцы проводят акции "Черная пятница" и запускают распродажи к Новому году. DDoS может нарушить не только работу пользовательского сайта, но и внутренних ресурсов компании, остановов некоторые внутренние бизнес-процесс. Исходя из публично доступных данных о выручке крупных игроков рынка, можно предположить, что их ущерб от DDoS-атак в среднем достигает 600 тыс. руб. в день. Для небольшого магазина этот показатель может составлять 50–100 тыс. руб. в день", - рассказал Тимур Ибрагимов. "В целом 2020 год запомнился как год карантина и удаленной работы. Во многих сегментах рынка обострилась конкуренция, которой воспользовались мошенники и нечестные конкуренты. Вполне ожидаемо, что первое место по количеству атак – у сегмента электронной коммерции. Среди основных трендов ушедшего года были, конечно, и атаки на сегмент онлайн-образования, в том числе благодаря школьникам и студентам, которым идея учиться удаленно пришлась не по душе. Также увеличилось количество атак на онлайн-игры и сферу развлечений, так как количество пользователей из-за удаленного характера работы выросло", - рассказал главный архитектор проекта Инженерного центра Angara Professional Assistance (входит в группу компаний Angara) Виктор Федотов. Он подчеркивает, что инструменты для злоумышленников становятся все более доступными и распространенными. Появляется все больше сервисов, которые предоставляют DDoS как услугу. За скромный гонорар данные сервисы – IP-стрессоры или booters (бутеры) – организуют DDoS-атаку, принимая оплату от любого человека. В 2020 году их популярность выросла еще больше. Теперь терабитные скорости стали доступны и через них, а потому скорость атаки выросла, а ее длительность сократилась. "В целом в 2020 году медианная продолжительность DDoS-атаки составляла около 5 минут, поскольку в случае неуспеха злоумышленники не тратили время на продолжение атаки. Также на сокращение продолжительности DDoS-атак повлиял рост "школьных" атак, так как информации о способах организации атаки и незащищенных серверов меньше не стало. Многие компании осознали необходимость приобретения защиты от DDoS-атак, предпочитая комплексную услугу защиты от DDoS-атак и защиту WEB-приложений с помощью WAF", - подчеркивает Виктор Федотов. Ссылка на источник