Что такое и как работает DDoS-атака
Основная статья: Distributed Denial-of-Service, DDoS (отказ от обслуживания)
Защита от DDoS-атак
Основная статья: Защита от DDoS-атак
DDoS-атаки на банки в России
Основная статья: DDoS-атаки на банки в России
Национальная система противодействия DDoS-атакам
Основная статья: Национальная система противодействия DDoS-атакам
2024
Новосибирский интернет-провайдер «Сибсети» сообщил о хакерской атаке и остановил работу
2 ноября 2024 года новосибирский интернет-провайдер «Сибсети» сообщил о массированной DDoS-атаке на свою инфраструктуру. Компании пришлось приостановить работу, поскольку серверы не способны справиться с обрушившейся на них нагрузкой. Подробнее здесь.
ИТ-инфраструктура МИД РФ подверглась DDoS-атакам: Сервисы и сайты не работают
23 октября 2024 года стало известно о том, что ИТ-инфраструктура Министерства иностранных дел (МИД) России подверглась массированной DDoS-атаке. В результате, нарушена работа сайтов и сервисов ведомства. Подробнее здесь.
DDoS-атаки на Роскомнадзор. Их мощность достигала 579 Гбит/с
В октябре 2024 года Роскомнадзор зафиксировал массивные DDoS-атаки на свою инфраструктуру. Их мощность достигала 579 Гбит/с. Подробнее здесь.
Крупнейший интернет-провайдер Новосибирска подвергся самой масштабной DDoS-атаке. Абоненты остались без связи
7 октября 2024 года крупнейший интернет-провайдер Новосибирска «Электронный город» сообщил о самой масштабной DDoS-атаке (отказ в обслуживании) на свою инфраструктуру. Абоненты компании остались без связи. Кроме того, нарушена работа ряда сервисов, включая личный кабинет, основной сайт, а также онлайн-кинотеатр «Иви». Подробнее здесь.
ВГТРК подверглась «беспрецедентной хакерской атаке». Онлайн-вещание и сервисы не работают
7 октября 2024 года стало известно о том, что Всероссийская государственная телевизионная и радиовещательная компания (ВГТРК) подверглась массированной хакерской атаке. Онлайн-вещание и внутренние сервисы не работают, а на восстановление систем может потребоваться очень много времени в связи с уничтожением данных. Подробнее здесь.
Rutube столкнулся с крупнейшей DDoS-атакой за последние два года
6 сентября 2024 года российский онлайн-сервис для хостинга и просмотра видео Rutube сообщил о массированной DDoS-атаке на свою инфраструктуру. Пользователи в различных регионах РФ жалуются на проблемы с доступом к платформе. Подробнее здесь.
DDoS-атака на региональные сервисы Курской области
8 августа 2024 года на региональные сервисы Курской области обрушилась массированная DDoS-атака. Она велась с IP-адресов Германии и Британии, а последствиями стала временная недоступность многих ИТ-систем.
Как сообщает Минцифры России, цель злоумышленников заключалась в том, чтобы сорвать процесс предоставления социально значимых услуг. При пропускной способности в 1 Гбит/с количество вредоносного трафика достигало 25 Гбит/с. Нагрузка на сервисы в пиковые периоды варьировалась от 35 тыс. до 105 тыс. запросов в секунду на каждый адрес сети.
Интернет-ресурсы Курской области подверглись массированной DDoS-атаке. В результате многие сервисы вышли из строя и временно недоступны, — говорится в заявлении регионального Министерства цифрового развития и связи. |
Специалисты, как сообщается, прикладывают все усилия, чтобы в кратчайшие сроки восстановить работоспособность ресурсов Администрации Курской области. Отмечается, что нанести ущерб инфраструктуре электронного правительства и получить доступ к персональным данным пользователей киберпреступникам не удалось. В Минцифры заявляют, что вся информация «надежно защищена», а атаки «оперативно отражаются».Бизнес уходит в облако: стратегии и подходы
Ранее правительство Курской области предупредило местных жителей о распространении фейковых материалов в интернете. В частности, появился фальсифицированный видеоролик, в котором врио губернатора Алексей Смирнов якобы призывал мужчин вступать в ополчение. Этот ролик, как отмечает «Парламентская газета», смонтировали украинские спецслужбы, воспользовавшись технологиями искусственного интеллекта для замены звука. На самом деле Смирнов «информировал земляков об обстановке возле границы и призывал соблюдать меры предосторожности во время тревоги».[1]
На НСПК обрушилась DDoS-атака. СБП не работает
20 июня 2024 года Национальная система платежных карт (НСПК, оператор карт «Мир») столкнулась с DDoS-атакой, из-за которой произошел сбой в работе банков. В частности, пользователи столкнулись с проблемами при использовании Системы быстрых платежей (СБП). Подробнее здесь.
Петербургский телеком-оператор ПАКТ второй день переживает мощную DDoS-атаку. Сервисы не работают
16 июня 2024 года петербургский оператор связи ПАКТ сообщил о массированной DDoS-атаке на свою ИТ-инфраструктуру, которая продолжается второй день. Киберпреступники нарушили функционирование систем, некоторые сервисы не работают. Подробнее здесь.
МТС подверглась самой мощной за год DDoS-атаке. Она велась из 5 стран с 20 тыс. устройств
13 июня 2024 года компания МТС сообщила о самой мощной за этот год DDoS-атаке, которая велась одновременно из пяти стран. Атака продолжалась два часа, но благодаря слаженной работе системы защиты «МТС RED» хакерам не удалось взломать сеть оператора. Подробнее здесь.
300 компаний в России за последние два дня подверглись DDoS-атакам мощностью 600 Гбит/с
В начале июня 2024 года участились кибератаки на российские ИТ-ресурсы. Как сообщил генеральный директор группы компаний «Солар» Игорь Ляпунов, за два дня массированным попыткам DDoS-атак подверглись более 300 компаний и организаций, находящихся под защитой «Солар», а также ресурсы «Ростелекома».
Мощность кибератак достигала 600 Гбит/с на канальном уровне и 700 тысяч запросов в секунду на прикладном уровне, привел данные Ляпунов. Такие масштабы создают колоссальную нагрузку на ИТ-инфраструктуру и способны полностью парализовать работу интернет-ресурсов организаций.
В компании «Солар» указали на особую изощренность новой волны киберударов. Злоумышленники применяют комбинированные методы атак, ранее не использовавшиеся при таком масштабе. Кроме того, хакеры постоянно меняют векторы и цели воздействия – в среднем каждые 1-1,5 часа, что существенно затрудняет организацию защитных мер.
Ляпунов рассказал, что в «Солар» уже приступили к усилению мер кибербезопасности в связи с резким ростом хакерской активности. Компания обладает существенным опытом борьбы с DDoS-атаками – в 2023 году ей удалось отразить серию мощнейших киберударов, в том числе на онлайн-трансляцию выступления Президента России. Тогда вредоносные воздействия велись с сотен тысяч IP-адресов единовременно.
Ляпунов убежден, что учитывая обострение политической ситуации, в 2024 году противостояние с киберпреступниками будет намного более жестким. Наблюдаемый всплеск атак на значимые российские инфраструктуры лишь подтверждает эти прогнозы.
По данным «Ростелекома», с января по май 2024 года компания зафиксировала порядка 265 тысяч случаев DDoS-атак на российские организации. Это составляет около 90% от показателя за весь 2023 год. Лидером по числу инцидентов остается Москва с 107 тысячами зафиксированных атак. Серьезный всплеск хакерской активности, по информации экспертов, связан с важными политическими событиями первой половины 2024 года, включая выборы Президента РФ. В целом, нынешняя волна кибератак представляет серьезную угрозу и требует от организаций повышенного внимания к обеспечению защищенности интернет-ресурсов и ИТ-инфраструктуры.[2]
ФТС сообщила о проблемах информобмена с участниками ВЭД из-за DDoS-атаки
3 июня 2024 года Федеральная таможенная служба (ФТС) сообщила о массированной DDoS-атаке на операторов связи. Из-за этого был нарушен информационный обмен с участниками внешнеэкономической деятельности (ВЭД).
Как отмечается в Telegram-канале ФТС, в связи со сбоями специалистам ведомства и операторов пришлось проводить восстановительные работы. Вместе с тем Центр мониторинга и управления сетью связи общего пользования Роскомнадзора (ЦМУ ССОП) уведомил о том, что 3 июня 2024-го возникли проблемы в работе ряда российских государственных сайтов.
ЦМУ ССОП фиксирует частичную недоступность некоторых государственных сайтов. Предварительная причина — сбой на одном из участков магистральной сети связи. Проводится анализ, — говорится в официальном сообщении центра. |
По информации газеты «Коммерсантъ», нарушен доступ к сайтам Министерства финансов, правительства России, Министерства внутренних дел, Министерства юстиции, Министерства промышленности и торговли, Министерства информационных технологий и связи, Министерства образования и науки, а также Министерства по делам гражданской обороны, чрезвычайным ситуациям и ликвидации последствий стихийных бедствий.
Эксперты Positive Technologies отмечают, что на фоне ухудшившейся геополитической обстановки растет количество кибератак на организации. Причем государственные учреждения лидируют по числу инцидентов. Среди всех реализованных успешных атак на организации в 2023 году 15% пришлось именно на государственный сектор. На рост количества кибератак значительно повлияло и расширение теневого рынка: появляются и открыто распространяются новые инструменты для эксплуатации уязвимостей и для проведения DDoS-атак. Количество утечек информации из организаций выросло с 47% в 2022 году до 56% в 2023-м.[3]
На телеком-компанию «Сибирский медведь» идет массированная DDoS-атака. Сервисы отключены, в Кузбассе нет интернета
26 мая 2024 года сразу несколько российских телеком-операторов подверглись массированной DDoS-атаке. В частности, серьезно пострадали компания «Сибирский медведь» из Новосибирска, а также «РиалКом» из Подмосковья. Подробнее здесь.
Зарубежные хакеры научились совершать DDoS-атаки на российские компании через устройства в РФ
Зарубежные хакеры научились совершать кибератаки на российские государственные и коммерческие организации через устройства в РФ. Об этом свидетельствуют обнародованные в середине февраля 2024 года данные компании Qrator Labs, специализирующейся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак.
Как пишет «Коммерсантъ» со ссылкой на материалы Qrator Labs, злоумышленники теперь могут обходить блокировки по GeoIP (блокировка трафика по его географическому происхождению) и генерировать кибератаки локальными источниками, близкими к региону жертв. Атаки все еще реализуются издалека, но с использованием устройств в России, пояснили эксперты. По их словам, хакеры используют «серые прокси-серверы, размещенные в России». В таком качестве, например, может использоваться взломанное сетевое оборудование домашнего интернета и хостингов, а также мобильные гаджеты.
В DDoS-Guard рассказали изданию, что атакующие запросы в половине случаев поступают с российских IP-адресов, остальные — из Китая, Индонезии или США. Блокировка IP-адресов по местоположению помогает ограничивать доступ к ресурсам, работа которых за пределами определенных регионов не предполагается, считает руководитель направления защиты на уровне веб-приложений в DDoS-Guard Дмитрий Никонов.
Возможность аренды недорогих мощностей у российских структур делает атаки дешевле для злоумышленников, отмечает гендиректор хостинг-провайдера RUVDS Никита Цаплин. В компании увидели рост спроса на самые недорогие виртуальные серверы. По мнению источника издания в телекоммуникационной отрасли, ситуация может привести к введению ответственности хостинг-провайдеров за использование их мощностей в противоправных целях.[4]
2023
Снижение числа DDoS-атак на российские компании в 3 раза
Количество DDoS-атак на российские организации в 2023 году снизилось практически в три раза по сравнению с 2022-м. Однако в целом их число, как и прежде, остается достаточно высоким. Об этом говорится в исследовании «Центра стратегических разработок», с результатами которого TAdviser ознакомился в середине ноября 2024 года.
В отчете сказано, что в 2023 году на фоне сформировавшейся геополитической обстановки продолжились интенсивные атаки на ИТ-инфраструктуру российских организаций. При этом число подозрений на инцидент информационной безопасности увеличилось более чем на 60% — до 1,5 млн событий.
По данным компании StormWall, в 2023-м произошел значительный всплеск мультивекторных DDoS-атак на российские организации: количество таких инцидентов увеличилось на 78% по сравнению с предыдущим годом. Подобные нападения направлены на несколько разных сетевых уровней и элементов инфраструктуры предприятия, что позволяет злоумышленникам добиться максимальной эффективности. Одним из трендов 2023 года в России стало использование смешанных ботнетов, состоящих из нескольких вредоносных программ. Кроме того, зафиксировано больше DDoS-атак для прикрытия других вредоносных активностей. Продолжился рост числа DDoS-атак политически мотивированных хактивистов на ключевые отрасли России.
Как отмечает Роскомнадзор, наиболее длительная DDoS-атака, зафиксированная ведомством в 2023 году, продолжалась 23 часа 58 минут. В целом, как отмечается, после начала специальной операции интенсивность DDoS-нападений на ресурсы российских организаций существенно увеличилась. В ответ на эти вызовы Роскомнадзор создал Национальную систему противодействия DDoS-атакам. Она обеспечивает дополнительную защиту ресурсов российского сегмента интернета с использованием возможностей технических средств противодействия угрозам (ТСПУ). Система способна отражать атаки мощностью 133,5 Тбит/с.[5]
Почти половина крупных компаний уязвимы для DDoS-атак на уровне L7
Компания StormWall провела очередное исследование по наличию профессиональной защиты от DDoS-атак среди российских компаний. Эксперты StormWall проанализировали данные компаний, которые входят в ТОП-100 по выручке по итогам 2023 года. Об этом StormWall сообщил 9 апреля 2024 года. В результате исследования выяснилось, что все организации из данного списка используют какие-либо решения для отражения DDoS-атак на уровне L3-L4 (сетевой и транспортный уровни модели OSI), например, применяют защиту от провайдера или от хостинга, но ситуация с защитой на других уровнях стала еще хуже, чем ранее. Подробнее здесь.
37% DDoS-атак пришлось на финансовый сектор
Около 37% DDoS-атак в России за 2023 год пришлось на финансовый сектор. Об этом 14 февраля 2024 года сообщили в ИБ-компании Qrator Labs. По ее данным, в пятерку отраслей, столкнувшихся с наибольшим количеством DDoS-атак, также вошли:
- электронная коммерция (24,95% от общего количества кибернападений в 2023 году);
- образовательные технологии (9,86%);
- онлайн-игры (7,34%);
- ИТ и телеком (6,01%).
Среди сегментов основной целью злоумышленников в 2023 году были банки – 28,31%. Кредитные организации традиционно подвергаются атакам в периоды активного продвижения сезонных банковских продуктов – кредитов и вкладов. В топ-5 также вошли электронные доски объявлений (15,04%), образовательные платформы (9,57%), онлайн-магазины (8%) и платежные системы (7,05%).
Как отмечают эксперты, на протяжении 2023 года доля онлайн-ритейла в общем количестве бот-активности возрастала, увеличившись с 16% до почти 30%. Это связано в первую очередь с ростом интереса ботоводов к данной сфере и повышением общего фона бот-активности. Кроме того, ИИ-боты активнее всего перебирают именно сферу ритейла, поскольку больше всего интересного контента для них сосредоточено именно там, говорится в исследовании Qrator Labs.
Из него также следует, что средняя продолжительность DDoS-атак по итогам 2023 года составила 1,3 часа. В четвертом квартале 2023 года в России было заблокировано 22,3 млн IP-адресов, с которых осуществлялись DDoS-атаки, что соответствует 42% от общего количества в мире. В первую тройку вновь вошли США и Китай с 6,23 (11,76%) и 2,65 (5%) млн блокировок соответственно.
По словам гендиректора Qrator Labs Дмитрия Ткачева, 2023 год стал знаковым с точки зрения атак на уровне приложений. Атаки стали более точечными и хорошо подготовленными, отметил он.
Главные тенденции DDoS-атак
В январе 2024 года компания DDoS-Guard представила главные тенденции DDoS-атак.
Эксперты DDoS-Guard выделяют многократный рост пиковых значений, плавный переход с хактивизма на «коммерческие» атаки, распределенность целей и фокусировку на поддоменах.
Также изучили данные, которыми делились коллеги по индустрии, и DDoS-Guard предлагает с помощью подробного обзора и сопутствующей информации составить картину мира кибербезопасности за 2023 год.
Количество атак, их мощность продолжают расти, а к концу 2023 года зафиксирован максимальный наплыв, он пришелся на ноябрь-декабрь. Связывают это с ростом сезонной активности злоумышленников в период больших распродаж. Кроме того, осенью вырос объем клиентского трафика, который проходит через сеть фильтрации DDoS-Guard. Больше клиентов под защитой — больше атак наблюдается и успешно отражается.
В первом полугодии 2023 злоумышленники столкнулись с кризисом: многие провайдеры защиты позволяют владельцам ресурсов включить геоблокировку и полностью срезать все запросы с любых стран, кроме России. Атакующие быстро нашли решение в виде аренды виртуальных серверов на территории РФ, с которых можно совершать атаки, так как запросы из РФ не блокируются. Но чтобы собрать достаточное количество ресурсов для внушительной волны вредоносного трафика — придется арендовать много серверов, а это влечет за собой серьезные финансовые затраты, на которые будут готовы далеко не все атакующие.
Однако в атаках стабильно стало участвовать больше устройств. Часть из них, как показывает анализ, относится к Интернету вещей (IoT): телевизоры, точки доступа, камеры наблюдения. Здесь тенденция вовлечения подобных устройств в ботнеты стабильно сохраняется в течение последних лет.
Преобладают DDoS-атаки на уровне приложений. Количество атак по протоколам HTTP/HTTPS в 4 раза превышает остальные. При этом такие типы, как NTP amplification, DNS amplification практически полностью исчезли с радаров.
Политически мотивированные атаки уходят как тренд. Началась эпоха возрождения для «коммерческих» атак — DDoS используют как один из наиболее доступных инструментов, чтобы быстро вывести конкурента из игры. Это не обязательно означает заказ в рамках конкурентной борьбы между гигантами индустрии — жертвой мощнейшей атаки в 22,9 млн запросов в секунду (rps), стала небольшая региональная компания по доставке еды, — отметил Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений в DDoS-Guard. |
Злоумышленники стали избегать сайты, использующие сервисы защиты от DDoS. Обнаружив, что атака неэффективна, они перенаправляют свои усилия на веб-ресурсы без защиты. Однако, как только владелец сайта решает, что ему больше ничего не угрожает, атакующие возобновляют вредоносную активность. Видна тенденция повторных атак с перерывом 1-2 месяца. Такое «затишье» может означать тщательную подготовку к мощной атаке на защищаемый сайт с целью максимально повысить шансы нанести ущерб.
Практически с самого начала года наблюдаются всплески трафика, достигавшие в пике миллионы запросов в секунду. Средняя мощность стала равна пиковым атакам 2022 и продолжает расти. Любопытно, что ранее длительность таких всплесков исчислялась минутами, а теперь они отличаются краткосрочностью — не более нескольких секунд.
10 лет назад крупнейшие атаки достигали 2-3 млн запросов в секунду. Если тогда жертвами становились только такие гиганты, как Youtube, теперь эти объёмы отправляются в адрес рядовых сайтов.
В феврале 2023 была нейтрализована DDoS-атака с пиковой мощностью 2,8 млн запросов в секунду на небольшой веб-ресурс, посвященный видеоиграм. Длительность атаки составила около 10 минут, в потоке вредоносного трафика участвовали 2 500 уникальных IP-адресов.
С точки зрения волюметрических показателей, объем небольшой — всего 6 Гбит/с. Но с точки зрения количества запросов — это колоссальная нагрузка, с которой сайт без защиты самостоятельно бы не справился. Система фильтрации DDoS-Guard подавила атаку, благодаря чему сайт клиента продолжил работу в штатном режиме.
На верхнем графике видно, что количество атакующих запросов (Blocked requests max = 2,82 mrps) настолько превышает долю легитимного трафика, что даже в пике легитимные запросы практически незаметны (Requests max = 1,7 krps).
Нижний график показывает, что при этом всплеск входящего трафика (Rx) с пиком в 6,3 Гбит/с не оказывает влияния на легитимных пользователей защищаемого ресурса. Объем исходящего трафика (Tx) сохраняется на уровне в 240 Мбит/с, а пиковое значение составляет лишь 286 Мбит/с.
Из 2022 в 2023 год перешла тенденция к атакам на служебные (корпоративные) сервисы с целью парализовать реальную работу компаний. Каких-либо предпосылок для изменения ситуации не наблюдается — в компании ожидают, что популярность этого тренда сохранится и в течение 2024 года.
Участились случаи, когда в качестве цели атаки выступает не конкретный домен-два, а все поддомены веб-ресурса. В качестве примера здесь можно привести ситуацию, когда у сайта есть подразделения по городам: zelenograd.example.com, podolsk.example.com и так далее. Обычно расчёт делается на то, что все домены в реальности обслуживаются в одном месте, а фильтровать атаку на множество поддоменов для их владельцев и администраторов бывает затруднительно.
В качестве еще одного паттерна выступает атака на ресурсы, находящиеся в рамках одной подсети. Вероятно, целью здесь является массовое выведение из строя всей инфраструктуры жертвы. В основном такие атаки направлены в адрес крупных компаний с большим количеством сайтов и сетей.
По-прежнему превалируют краткосрочные всплески трафика — до 20 минут. Однако «жемчужина» встречается именно среди длительных атак: В течение непрерывного 19-часового периода к атакуемому ресурсу было совершено 13,8 млрд вредоносных запросов. По итогам 2023 года это рекордное значение.
Для сравнения, в 2022 году максимальное количество запросов в рамках одной атаки едва превышало 2 млрд. В первом квартале 2023 — составляло менее 1 млрд.
Осенью было небольшое смещение фокуса в пользу атак длительностью более 24 часов — их число выросло в 2,5 раза по сравнению со вторым кварталом 2023. Покажем динамику непрерывной атаки продолжительностью 48 часов 36 минут, которую зафиксировала система защиты DDoS-Guard.
В начале видна яркая картина: флуд по протоколам TCP и UDP в сочетании с атакой фрагментированными IP-пакетами. Атака непрерывна, и фрагментированные IP-пакеты составляют ее основную массу — 70%. На вторые сутки объем вредоносного трафика достигает 1,9 Гбит/с. Это далеко не рекордное значение, но с учетом общей продолжительности атаки такие всплески могут окончательно истощить ресурсы жертвы.
В первом квартале 2023 года больше всех страдали небольшие региональные СМИ, онлайн-кинотеатры и игровые серверы. Сайты СМИ несколько месяцев лидировали по популярности у атакующих, однако в итоге уступили первенство развлекательным сервисам. По сравнению с 2022 годом такие онлайн-ресурсы получили в два раза больше атак.
Повышенная активность атак обрушилась на ИТ-компании, которые предоставляют услуги информационной безопасности и разрабатывают цифровые продукты. Операторы связи заняли третье место в «хит-параде» наиболее атакуемых проектов.
Есть тенденция к росту вредоносной активности в период сдачи квартальной отчетности, когда основной целью злоумышленников является затруднение или невозможность проводить прогнозируемые бюрократические процедуры. Под удар попадали организации, которые занимаются сопровождением компаний в бухгалтерской сфере. Атаки на финансовый сектор были особенно заметны во время важных публичных экономических заявлений, например, о повышении ключевой ставки.
Особый интерес у атакующих вызвала сфера путешествий: количество атак на сервисы по покупке билетов, бронирования отелей и т.д. в три раза превышает показатели 2022 года.
Также более чем в три раза выросло количество атак на сайты аптек, медицинских центров, лабораторий и других организаций, работающих в сфере здоровья. DDoS-атаки на такого рода ресурсы нередко становятся прикрытием для попытки заполучить конфиденциальные данные пациентов и другую информацию.
В компании следят за отчетами, которые выпускают другие провайдеры защиты, и сопоставляем их со своими наблюдениями — так получается более полная картина событий в среде защиты от кибератак.
1 квартал
В Stormwall отметили резкий прирост DDoS-атак на сектор промышленности. В первом квартале 2023 года больше всех пострадали финансовые сервисы — на них пришлось 32% атак, а за год число возросло на 62%.
Эксперты Positive Technologies считают, что количество успешных кибератак на финансовый сектор растет каждый год: так в первые три квартала 2023 года доля вредоносных воздействий составила 9% от от общего количества успешных атак на организации. Также отмечают вдвое больше уникальных киберинцидентов по сравнению с 2022 годом. Прогнозы аналитиков говорят о сохранении пристального внимания преступников к экономической отрасли.
2 квартал
Во втором квартале 2023 года векторы атак изменились, и злоумышленники сконцентрировались на эксплуатации уязвимостей. Тенденцию зафиксировали в Ростелеком-Солар: ее связывают с массовым переходом компаний на отечественное ПО, которое стали активно атаковать хакеры. Специалисты заметили, что действия злоумышленников стали более высокопрофессиональными и точечными.
3 квартал
Qrator Labs третий год подряд отмечают динамичный рост DDoS-атак на протокол UDP. Динамика за период 2021-2023 гг показывает изменения средних показателей с 29,31% до 51,45%. Эксперты считают, что это может быть связано с летним сезоном в ряде сегментов бизнеса.
В третьем квартале снизились количество и мощность адресных DDoS-атак на конкретные организации. Злоумышленники сосредоточились на массовых атаках, — следует из данных отчетов сервиса Ростелеком-Солар. Также специалисты зафиксировали самую длительную атаку, которая продолжалась 9 месяцев.
По результатам аналитического исследования ГК «Гарда» чаще всего атакам в третьем квартале подвергались сферы телеком и транспорта. Наибольший объем атак пришелся на сети телеком-операторов, за ними идут ресурсы авиаперевозчиков и системы бронирования Ж/Д.
В 2023 году явно прослеживался тренд, который перешел из 2022 — рост количества атак при снижении их продолжительности. По данным Qrator Labs, средняя продолжительность атак уменьшилась на 29,15% по сравнению с 2022 годом.
Еще одним глобальным трендом 2023 года можно назвать рост количества многовекторных атак. Согласно отчету Stormwall они возросли сразу на 108%. Большая часть приходится на хакерские группировки, которые спонсируют государства. Их отличает более профессиональный подход и доступ к высокотехнологичным инструментам.
DDoS-атаки стали более продуманными, хакеры тщательнее выбирают своих жертв. Раньше они направляли массовые атаки на сайты определенной тематики, например СМИ, без анализа защищенности. Теперь они проверяют наличие защиты и ее устойчивость. Это многократно повышает шансы вывести сайт из строя и не тратить ресурсы впустую.
Злоумышленники пробуют разные подходы, разрабатывают новые механизмы атак. Не все из них эффективны, но отдельные практики в организацию новых угроз попадают. Какого-то однозначного выделенного источника атак нет — достаточно равномерно используется инфраструктура по всему миру, ботнеты растут за счет умных устройств и недорогих серверов.
DDoS-Guard внимательно следит за трендами и развивает свои технологии, чтобы средства защиты всегда оставались актуальными.
Эксперты прогнозируют, что в 2024 году мир ждет волна крупных утечек данных, а также повышение активности вымогателей и хактивистов. Ожидается усложнение атак, многовекторность и увеличение мощности. Тенденция атак на отрасли, которым особенно важна стабильная работа ресурсов в определенный период времени, с высокой вероятностью сохранится.
Центр Роскомнадзора за год заблокировал 185 массированных DDoS-атак
В течение 2023 года специалисты подведомственного Роскомнадзору Центра мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) отразили 185 массированных DDoS-атак. Кроме того, были заблокированы 4222 фишинговых ресурса и 48 сайтов, через которые распространялось вредоносное ПО. Об этом говорится в отчете ЦМУ ССОП, опубликованном 24 января 2024 года.
В 2023-м были выявлены и устранены 9598 нарушений маршрутизации трафика. Специалисты направили 808 бюллетеней безопасности операторам связи о выявленных уязвимостях в ПО с рекомендациями по их устранению.
По состоянию на конец 2023 года более 500 операторов связи подключились к системе «Антифрод», которая предназначена для сбора данных обо всех звонках и SMS с целью борьбы с мошенниками. В течение указанного года данная система проверила 90 млрд звонков, а количество предотвращенных звонков с подменой номера достигло 622 млн. Чтобы в России блокировались все вызовы с подменных номеров, к платформе должны присоединиться все операторы, количество которых превышает 1,3 тыс.
По данным «Лаборатории Касперского», в 2023 году число заблокированных фишинговых ссылок в России выросло в пять раз по сравнению с предыдущим годом. Одной из наиболее распространенных целей фишеров являются аккаунты пользователей в мессенджерах. Злоумышленники применяют их в ходе многоступенчатых схем телефонного мошенничества и для реализации атак на людей из списка контактов жертв. Кроме того, в 2023 году в России в 2,5 раза увеличилось количество вредоносных ссылок. В 2023-м на высоком уровне остался объем телефонного мошенничества: с различными спам-звонками столкнулись 94% абонентов. Злоумышленники продолжают развивать свои тактики и разрабатывать сложные схемы выманивания данных, например, ссылаться на сферу деятельности жертвы.[6]
Российские компании столкнулись с новым видом DDoS-атак — они ведутся непрерывно
В 2023 году российские компании столкнулись с новым видом DDoS-атак — они ведутся непрерывно в фоновом режиме. Об этом в январе 2024 года рассказал заместитель гендиректора Servicepipe Даниил Щербаков.
По его словам, в некоторых случаях непрерывные DDoS-атаки продолжаются почти два года. Причем такие атаки не всегда происходят по политическим мотивам, подчеркнул Щербаков. Например, две структуры из топ-5 пострадали в результате недобросовестной конкурентной борьбы.
В топ-5 самых длительных DDoS-атак вошли нападения на государственный ресурс — атака началась 28 февраля 2022 года, интернет-портал региональной власти — с 3 марта 2022 года, сайт, связанный с АЗС — с 26 мая 2022 года, онлайн-маркетплейс — с 14 июля 2022 года, игровой портал — с 26 февраля 2023 года.
По данным специалистов по информационной безопасности, продолжительные DDoS-атаки имеют максимальную мощность только в начале инцидента. После они становятся слабее.
Подобная атака может быть своего рода мониторингом эффективности защиты, а в отдельных случаях – попыткой убить сервис в случае ее отключения, – сказал Даниил Щербаков. |
Руководитель направления по развитию продуктов защиты сетевой и ИТ-инфраструктуры от DDoS-атак компании Servicepipe Даниил Бобрышев также рассказал, что хакеры изменили тактику проведения атак на российские банки, стали нападать одновременно на все ресурсы кредитных организаций. Кроме того, по словам эксперта, злоумышленники стали искать самые уязвимые интернет-сервисы кредитных организаций, например точки входа VPN или сервисов дистанционного обслуживания, и именно на них направлять основные объемы атак.
Аналитики Servicepipe также отметили в числе трендов большое количество «заказов» на проведение атак на фиксированный промежуток времени, а также на DDoS-атаки через конкретную уязвимость.
Это говорит о том, что злоумышленники экономят ресурсы и предпочитают атаковать лишь те цели, где могут добиться результата, «положив» сервис, — сообщили в компании.[7] |
«Росводоканал» сообщил о кибератаке на его ИТ-системы
21 декабря 2023 года «Росводоканал» сообщил о кибератаке на свою ИТ-инфраструктуру. Компания сделала заявление в ответ на появившуюся в СМИ информацию о значительном ущербе технологическим системам, который якобы нанесли хакеры. Подробнее здесь.
Число DDoS-атак на телеком-компании в России выросло в 4 раза
В середине декабря 2023 года в аналитическом центре компании StormWall сообщили о 4-кратном увеличении DDoS-атак на российский телекоммуникационный сектор по сравнению с 2022 годом. В основном атаки направлены на интернет-провайдеров в южных регионах РФ - в Краснодаре, Ставрополе, Ростове-на-Дону, а также в Крыму. Также было зафиксировано несколько атак в центральном регионе страны.
Как отмечается в исследовании, хакеры атакуют телеком-компании сразу на нескольких уровнях и элементах инфраструктуры. Самая продолжительная атака велась три дня, самая короткая — 20 минут. В результате от киберпреступников значительно пострадали клиенты интернет-провайдеров, которые не могли воспользоваться сайтами региональных операторов связи, онлайн-магазинов, СМИ, финансовых учреждений и туристических компаний. Хакеры вывели из строя ИТ-инфраструктуру многих компаний.
В StormWall говорят, что для отражения подобных атак необходима профессиональная защита, которой не было у многих региональных провайдеров. В компании StormWall посоветовали провайдерам озаботиться вопросами защиты.
Мы уже довольно долго наблюдаем за DDoS-атаками, направленными на телеком-сферу в России. Большинство атак нанесли большой ущерб региональным интернет-провайдерам и их клиентам. Для отражения мультивекторных атак необходима профессиональная защита, а у многих региональных провайдеров ее не было, - отметил сооснователь и генеральный директор StormWall Рамиль Хантимиров. |
Эксперты добавляют, что во второй половине 2023 года злоумышленники в разных странах продолжали использовать самые прогрессивные инструменты для организации DDoS-атак. Хакеры активно применяли комплексные атаки, а также ботнеты, состоящие из нескольких вредоносных программ. На глобальном уровне произошел всплеск DDoS-атак на DNS-сервера, что создало большие проблемы для компаний.[8]
"Рег.ру" отразил новый вид массированной DDoS-атаки
Регистратор доменных имён Рег.ру заблокировал продолжительную DDoS-атаку нового типа. Она длилась 72 часа, а суммарная ёмкость атаки составила более 40 Гб/с. Системы защиты хостинг-провайдера зафиксировали участие более 40 000 уникальных IP-адресов ботнета. Об этом компания сообщила 8 ноября 2023 года. Подробнее здесь.
Зафиксирован спад DDoS-активности против операторов Рунета
Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) опубликовал данные о противодействии угрозам за сентябрь 2023 года, из которых видно сокращение DDoS-активности против операторов Рунета. Всего за месяц было зафиксировано только две подобные атаки, хотя среднее их количество за месяц - 4, а пик вредоносной активности пришелся на май-июнь этого года, когда ежемесячно фиксировалось порядка 10 атак.
Также фиксируется и сокращение количества обнаруженных и заблокированных фишинговых доменов – всего в сентябре их было заблокировано 152, хотя среднее ежемесячное значение составляет 368 серверов. По этому показателю пиковое значение было достигнуто в августе, когда было обнаружено и снято с делегирования 996 фишинговых ресурсов различной направленности.
В то же время количество разосланных участникам системы предупреждений об атаках (бюллетеней) находилось в сентябре на достаточно высоком уровне 87 сообщений при среднем ежемесячном значении в 74. Количество исправлений в таблицах маршрутизации – это основная задача ЦМУ ССОП по обеспечению стабильности маршрутизации в Рунете – находилось в сентябре близко к среднему уровню: 793 при среднемесячном значении в 819.
ЦМУ ССОП был создан на базе Федерального государственного унитарного предприятия «Главный радиочастотный центр» (ФГУП «ГРЧЦ») для реализации требования закона `О суверенном Рунете` (от 1 мая 2019 года № 90-ФЗ). Этот закон предписывал установить всем операторам и точкам обмена трафиком на своих сетях специализированное оборудование, которое предназначено для стабилизации таблиц маршрутизации внутри России и мониторинг стабильности в интернете. В рамках этого закона ЦМУ ССОП обеспечивает поиск нарушений в маршрутных таблицах операторов связи и предписывает исправить соответствующие записи. Кроме того, Центр мониторинга выявляет уязвимости в информационных системах отечественных операторов и рассылает предупреждения об их исправлении – это и есть те самые бюллетени безопасности.
Также ЦМУ ССОП собирает информацию о фишинговых сайтах, которая поступает от общественных организаций, обрабатывает ее и принимает действия по снятию этих доменов с делегирования, чтобы их в дальнейшем не могли использовать злоумышленники для своей вредоносной деятельности. Центр мониторинга и управления также защищает ключевую инфраструктуру Рунета - доменные сервера и ключевые маршрутизаторы – от DDoS-атак, чтобы обеспечить их постоянную доступность для всех участников информационного обмена в рамках сети Интернет. В целом, сотрудники ЦМУ ССОП обеспечивают координацию действий всех операторов в целях обеспечения непрерывного и устойчивого функционирования российского сегмента интернета.
Российская система бронирования авиабилетов Leonardo подверглась массированной DDoS-атаке из-за рубежа
В российской системе бронирования авиабилетов Leonardo произошел глобальный сбой. Соответствующее сообщение было опубликовано на сайте «Аэрофлота» 28 сентября 2023 года. Как уточнили РБК в госкорпорации «Ростех», система подверглась массированной DDоS-атаке из-за рубежа. Подробнее здесь.
На «Золотую корону» обрушились DDoS-атаки мощностью 10 Гбит/с
В конце августа 2023 года система денежных переводов «Золотая корона» (KoronaPay) подверглась массированной DDoS-атаке. Информация об этом стала распространяться на теневых форумах и профильных Telegram-чатах. Подробнее здесь.
Житель ДНР получил 2 года колонии за DDoS-атаки
Ленинский районный суд Ростова-на-Дону приговорил к двум годам колонии-поселения и денежному штрафу в размере 600 тыс. рублей украинца Романа Носачева, который устроил хакерские атаки на российские ресурсы. Об этом в середине августа 2023 года сообщила пресс-служба УФСБ России по Ростовской области. Подробнее здесь.
Стали известны детали кибератаки на РЖД, из-за которой не работали сайт и мобильное приложение
В июле 2023 года стали известны детали кибератаки на РЖД, из-за которой не работали сайт и мобильное приложение компании. По словам источника «Ведомостей» в компании-разработчике решений по информбезопасности, скорее всего, речь идет о DDoS-атаке. С собеседником газеты согласился эксперт инжинирингового центра SafeNet «Национальной технологической инициативы» Игорь Бедеров. Подробнее здесь.
Многие российские компании не обладают профессиональной защитой от DDoS-атак на уровне L7
Компания StormWall провела аналитическое исследование по наличию профессиональной защиты от DDoS-атак среди 100 крупнейших по выручке российских компаний, о чем сообщила 4 июля 2023 года. По данным экспертов, все ведущие компании используют внешние решения для защиты от атак на уровне L3-L4 (уровень сети), однако ситуация с защитой на других уровнях вызывает опасения. Эксперты выявили, что 30% компаний из списка ТОП-100 не имеют никакой профессиональной защиты от атак на уровне L7 (уровень приложений). В этом случае, компании либо совсем никак не защищены, либо пытаются бороться с атаками самостоятельно, что не всегда эффективно.
Эксперты также проанализировали данные по наличию профессиональной защиты от атак на уровне L7 у крупнейших компаний из разных отраслей и сделали интересные выводы. Как оказалось, 38% компаний телекоммуникационной отрасли, 26% организаций энергетического сектора, 18% нефтяных корпораций, 16% финансовых организаций, 12% транспортных компаний и 9% производственных предприятий не используют профессиональные решения по защите от атак на уровне L7.
Большинство DDoS-атак на сайты осуществляется именно на уровне L7. Поскольку у многих российских компаний из списка ТОП-100 полностью отсутствует профессиональная защита на уровне L7, сайты организаций являются незащищенными и все время находятся под угрозой. В случае DDoS-атаки может быть нарушена работа онлайн-ресурсов, сайты могут перестать функционировать в течение нескольких дней и даже недель. В результате компания может столкнуться с финансовыми и репутационными потерями.
Бороться с DDoS-атаками на уровне L7 довольно сложно. Борьба с подобными атаками подразумевает более сложный процесс отделения легитимных пользователей от ботов. Дело в том, что боты способны устанавливать легитимное соединение и имитировать поведение настоящего пользователя. Обычных методов проверки в этой ситуации недостаточно. Для осуществления фильтрации на уровне L7 используются интерактивные проверки браузера на валидность, а также сигнатурный и поведенческий анализ, позволяющий выявить, насколько поведение бота отличается от поведения обычного посетителя. При этом важно не замедлить работу сайта. Профессиональные решения по защите от DDoS-атак на уровне L7 сочетают разные методы фильтрации и используют большие вычислительные ресурсы. Это позволяет создать эффективную защиту.
Роскомнадзор создает систему противодействия DDoS-атакам за 1,4 млрд рублей
В середине июня 2023 года стало известно о создании в России национальной системы противодействия DDoS-атакам. Соответствующий контракт стоимостью 1,43 млрд рублей заключил подведомственный Роскомнадзору Главный радиочастотный центр (ГРЧЦ). Подробнее здесь.
Рост числа атак на 58% до 384,8 тыс. случаев
В первом квартале 2023 года эксперты компании DDoS-Guard зафиксировала 384,8 тыс. DDoS-атак в России, что на 58% больше, чем годом ранее (226,1 тыс.). Такие данные были обнародованы в конце мая 2023 года.
В Qrator Labs изданию подтвердили тенденцию к росту атак. Согласно данным этой компании, пик интенсивности пришёлся на февраль 2023 года. Отмечается, что количество задействованных IP-адресов в атаках превысило 12 млн.
По оценкам компании «МТС RED», объем DDoS-атак в России по итогам первых трех месяцев 2023 года вырос в десять раз по сравнению с аналогичным периодом 2022-го. Если в начале 2022 года количество выявленных DDoS-атак измерялось сотнями, то в первой четверти 2023-го – уже тысячами. Самым активным в плане реализации атак стал январь 2023 года: в этом месяце зарегистрировано 79% от общего числа DDoS-атак за квартал, на февраль пришлось 14% атак, а на март – 6%. Январь традиционно является самым активным месяцем первого квартала с точки зрения реализации атак типа распределенного отказа в обслуживании, поясняют эксперты.
Наибольшее число DDoS-атак (40%) в первой четверти 2023 года осуществлялось в ночное время, с 12 часов до 6 утра. Чуть меньше – 37% атак – было реализовано до полудня. Затем активность злоумышленников снижалась: 13% атак пришлось на время с полудня до 18.00, еще 10% - на вечернее время до наступления полуночи.
Самая продолжительная из выявленных в первом квартале 2023 года DDoS-атак была направлена на интернет-ресурсы одной из компаний из Петербурга. Наиболее интенсивная атака мощностью 61 Гбит/с была зарегистрирована в Дальневосточном федеральном округе, она велась на компанию, базирующуюся в Хабаровске. Самыми популярными целями DDoS-атак стали финансовый сектор, госсектор и ритейл.[9]
ИТ-специалист в Ростове получил 3 года колонии за атаку на госсайты
18 мая 2023 года Ростовский областной суд вынес приговор в отношении ИТ-специалиста Евгения Котикова, который подозревался в организации кибератак на российские информационные ресурсы. Фигурант дела приговорён к лишению свободы сроком на три года с отбыванием наказания в колонии-поселении. Подробнее здесь.
В феврале произошел всплеск DDoS-атак на инфраструктуру ритейлеров
Эксперты компании StormWall выявили волну DDoS-атак на инфраструктуру ритейлеров в феврале 2023 года в России. По данным специалистов, большинство атак было направлено на целый ряд сервисов, которые обеспечивают полноценную работу компании: платежные системы, онлайн-кассы, сервисы доставки товаров. Всплеск DDoS-атак на инфраструктуру ритейлеров наблюдался с 3 по 25 февраля, а максимальная мощность атак составила 600 Гбит/с. Об этом компания StormWall сообщила 20 марта 2023 года.
По мнению экспертов, киберинциденты были организованы политически мотивированными хактивистами, которые использовали ботнеты для запуска таких мощных атак. Больше всего атак было направлено на платежные системы (48% от общего числа атак), также сильно пострадали онлайн-кассы (26% от общего числа атак) и сервисы доставки товаров (22% от общего числа атак). Атаки на остальные сервисы составили 4% от всех киберинцидентов.
Запуская атаки на инфраструктуру онлайн-ритейлеров, политически мотивированные хактивисты стремились не только нанести вред экономике России, но также навредить обычным людям. Злоумышленники организовали серию атак на инфраструктуру крупных продуктовых онлайн-ритейлеров. В частности, от атак пострадали такие известные продуктовые сети, как «Перекресток» и «Пятерочка». В результате DDoS-атак ритейлеры испытывали ряд сложностей, связанных с ведением бизнеса, Интернет-магазины компаний не работали какое-то время, покупатели не могли оформлять и оплачивать заказы, а также было невозможно обеспечить доставку товаров клиентам.
В конце 2022 года наблюдался спад DDoS-атак политически мотивированных хактивистов на российские компании, однако в 2023 году хактивисты снова начали активно атаковать различные отрасли в России. Ритейл является одной из самых важных целей для хактивистов, и они используют самые последние инструменты для запуска DDoS-атак, чтобы навредить российским ритейлерам.
Мы уже сталкивались с DDoS-атаками на ритейл ранее, и они всегда были очень мощными. В этот раз ритейлеры пострадали особенно сильно, ведь хактивисты атаковали их инфраструктуру, что привело к нарушению рабочих процессов. К счастью, атаки не причинили серьезного вреда компаниям, поскольку они использовали профессиональные решения для защиты от атак. Мы рекомендуем всем ритейлерам подключить профессиональную защиту от DDoS-атак, поскольку в будущем их число будет расти. По нашим прогнозам, следующий всплеск атак на инфраструктуру ритейлеров может произойти на майских праздниках, причем количество атак может вырасти в 2-3 раза, — отметил Рамиль Хантимиров, CEO и сооснователь StormWall. |
ФТС сообщила о DDoS-атаках. Сервисы отключены
28 февраля 2023 года Федеральная таможенная служба (ФТС) России сообщила о DDoS-атаках на ее технологическую инфраструктуру, в результате возникли проблемы в работе внешних информационных сервисов. Подробнее здесь.
DDoS-атаки в России начали использовать для прикрытия других вредоносных активностей
DDoS-атаки в России начали использовать для прикрытия других вредоносных активностей. Об этом в конце февраля 2023 года сообщили в компании StormWall, специализирующейся на технологих информационной безопасности.
По словам экспертов, хакеры применяют DDoS-атаку для отвлечения внимания от проникновения внутрь организации или вывода уже полученной информации. Если в компании не было надежного решения для отражения DDoS-атаки, отдел информационной безопасности вынужден направить все силы на защиту ИТ-инфраструктуры от атаки, ослабляя защиту систем от других опасностей, говорится в исследовании.
Чтобы предотвратить инциденты взлома под прикрытием DDoS-атаки, мы рекомендуем компаниям подключить профессиональную защиту от DDoS-атак, чтобы отдел информационной безопасности мог сосредоточиться на обороне ИТ-инфраструктуры от других более сложных атак, — заявил сооснователь StormWall Рамиль Хантимиров. |
Специалисты выявили, что наибольшее число DDoS-атак для отвлечения внимания в январе 2023 года осуществлялось на финтех-сферу, ритейл и игровую индустрию. За этот месяц число DDoS-атак, служащих прикрытием, выросло на финтех-компании на 83%, на ритейлеров на 62%, а на игровые компании на 53% по сравнению с январем 2022 года. Также число атак для прикрытия выросло на ряд других индустрий. Рост подобных атак в январе 2023 года на образовательную сферу составил 18%, на медицинскую отрасль 14% и на телеком-сектор 10% по сравнению с аналогичным периодом 2022-го.
По мнению экспертов, основной целью атакующих являлся вывод из строя ИТ-инфраструктуры организации или взлом системы для получения несанкционированного доступа к данным пользователей или компаний. Злоумышленники планировали использовать полученные данные с целью вымогательства или шантажа.[10]
В России нашли ботнет из 55 тыс. зараженных устройств. Через них осуществляют DDoS-атаки мощностью 1,4 Тбит/связи
Эксперты компании StormWall, специализирующейся на технологиях информационной безопасности, нашли ботнет из 55 тыс. зараженных устройств, которые используются для мощных DDoS-атак. Об этом в StormWall рассказали в середине февраля 2023 года.
С 5 по 31 января 2023 года ИБ-специалисты зафиксировали большое количество DDoS-атак на ведущие отрасли в России. Мощность атак достигала в пике 1,4 Тбит/с, что стало «настоящей сенсацией на рынке», говорится в пресс-релизе. Эксперты считают, что атаки на российские компании были организованы хакерами с целью вымогательства и шантажа.
Разрушительный ботнет состоял из компьютеров, мобильных телефонов, серверов и роутеров. Армия ботов нанесла огромный ущерб всем отраслям, но больше всего пострадала сфера развлечений. В результате атак на игровые хостинги игроки испытывали проблемы с подключением к онлайн-играм, а пользователей постоянно выбрасывало из игры. Это приводило к потере доверия со стороны клиентов и нанесло ущерб репутации игровых компаний. Помимо этого, владельцы игровых серверов и хостеры понесли большие убытки. Также пострадали ресурсы иных тематик, использующие те же вычислительные мощности и каналы подключения к интернету.
Эксперты StormWall проанализировали показатели DDoS-атак на самые атакуемые отрасли и обнаружили, что в январе 2023 года максимальная мощность атак выросла на финансовую отрасль на 92%, на телеком-сферу на 63%, а на игровые хостинги на 48% по сравнению с аналогичным периодом 2022-го. Количество атак тоже увеличилось. Число атак выросло на финансовые организации на 120%, на телеком - на 82%, на игровые хостинги - на 74%.
Поскольку эти атаки обладают огромной мощностью, справиться с ними могут только облачные сервисы DDoS-защиты, обладающие достаточной емкостью сети фильтрации. Отразить такие атаки самостоятельно невозможно, - заявил гендиректор и сооснователь StormWall Рамиль Хантимиров.[11] |
Установлен новый рекорд DDoS-атак — мощность достигла 1,3 Тбит/с
В начале февраля 2023 года компания Qrator Labs сообщила о рекордной по скорости DDoS-атаке в России. Она обрушилась на ИТ-инфраструктуру разработчика решений в сфере кибербезопасности Bi.Zone. На пике мощность DDoS-атаки, которая произошла 28 января 2023 года, достигала 1,3 Тб/с. Подробнее здесь.
На сектор e-commerce в России обрушилась лавина DDoS-атак
В январе 2023 года на сферу e-commerce в России обрушилась лавина DDoS-атак, что стало большой неожиданностью для компаний, работающих в этом секторе. Об этом 26 января 2023 года сообщила компания StormWall.
Специалисты компании StormWall зафиксировали ряд мощнейших DDoS-атак на производителей торгового оборудования, ИТ-компании, занимающиеся разработкой решений по автоматизации торговли, а также на склады и логистические компании. По данным экспертов StormWall, атаки на сектор e-commerce длились с 10 по 20 января 2023 года, а максимальная мощность атак составила 400 тыс запросов в секунду.
Поскольку большинство компаний, работающих в сфере онлайн-ритейла уже имеют хорошую защиту, злоумышленники ищут сервисы e-commerce, чтобы нанести вред бизнес-процессам ритейлеров. Эксперты считают, что атаки были организованы политически мотивированными хактивистами, которые из последних сил пытаются навредить российской экономике. В телеграм-каналах ИТ-армии Украины были обнаружены призывы атаковать российские компании сектора e-commerce. Всего было атаковано больше 30 компаний электронной коммерции, среди которых такие крупные организации как МойСклад. Дримкас, Азур Пос, Штрих-М и другие.
В результате атак злоумышленников сайты некоторых компаний сектора e-commerce не работали в течение нескольких часов. Интернет-магазины также пострадали от атак на сопутствующие сервисы. Пользователи не могли оформить заказы, не могли оплатить товары, а также были проблемы с доставкой товаров покупателям. Однако, серьезных последствий удалось избежать, поскольку большинство компаний были готовы к атакам и использовали профессиональные решения для защиты от DDoS-атак.
Специалисты выявили, что больше всего в январе 2023 года от атак хактивистов пострадали компании, занимающиеся производством торгового оборудования, доля атак на эти компании составляет 43% от всех атак на e-commerce. Доли атак на другие категории компаний распределились следующим образом: атак на компании, занимающиеся разработкой программных продуктов для автоматизации торговли - 36%, доля атак на склады - 14%, доля атак на логистические компании - 7%.
На январь 2023 года мы наблюдаем очередную тенденцию в области организации DDoS-атак на российском рынке. Суть этой тенденции заключается в запуске DDoS-атак сразу на разные типы компаний сектора e-commerce - и на склады, и на логистические организации, и на производителей торгового оборудования, и даже на разработчиков решений по автоматизации торговли. Хактивисты пытаются нанести максимальный вред всей индустрии e-commerce, пытаясь создать проблемы в работе сервисов с разными видами деятельности. Мы делаем все, чтобы помочь нашим клиентам отразить атаки хактивистов, которые продолжают изобретать новые стратегии организации атак на бизнес - отметил Рамиль Хантимиров, CEO и со-основатель StormWall. |
С 23 января 2023 года эксперты StormWall зафиксировали очередную волну DDoS-атак, направленную на операторов фискальных данных (ОФД). Специалисты изучают природу этих атак. По предварительным данным, эти атаки тоже были организованы хактивистами. По мнению специалистов компании, атаки на ОФД могут продлиться до конца января 2023 года.
2022
DDoS-атаки все чаще происходят с российских IP-адресов
В 2022 году в РФ участились DDoS-атаки с росссийских IP-адресов. Злоумышленники используют их для обхода блокировок зарубежного трафика, сообщили в компании Qrator Labs в феврале 2023 года.
Как рассказал «Ведомостям» основатель Qrator Labs Александр Лямин, в 2022 году DDoS-атаки с использованием ботнетов, созданных внутри России, стали одним из наиболее популярных хакерских сценариев. По его словам, злоумышленники выбирали для проведения атак серверы, расположенные на территории России, что позволяло им обходить блокировки зарубежного трафика.
Эксперт отдела анализа защищенности МТС Вадим Шелест, ведущий эксперт группы мониторинга ботнетов «Лаборатории Касперского» Олег Купреев и технический директор АО «Синклит» Лука Сафонов подтвердили изданию тенденцию к увеличению количества атак с использованием «российских» ботнетов. Большая часть атак с использованием «российских» ботнетов была осуществлена на субъекты критической информационной инфраструктуры, уточнил директор по развитию бизнеса центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Алексей Павлов.
В «Ростелеком-Солар» отметили, что на фоне общего роста атак во второй половине 2022 года снизилось их число со стороны хактивистов — непрофессиональных хакеров, действующих по политическим, а не коммерческим мотивам с применением простых инструментов, например массовых DDoS-атак или атак на веб-серверы. В хактивистских Telegram-каналах еще появляются призывы атаковать те или иные российские организации, но отклик стал слабее, отметил в разговоре с «Коммерсантом» технический руководитель отдела анализа защищенности «МТС Кибербезопасности» Алексей Кузнецов.
Если раньше, после того как организаторы атак обозначали очередную цель DDoS, мы видели атаку со скоростью 20 Гбит/с, то сейчас — 3 Гбит/с, - добавил он.[12] |
Мощность DDoS-атак увеличилось вдвое
Мощность и продолжительность DDoS-атак в России в 2022 году существенно увеличились. Об этом свидетельствуют данные компании «РТК-Солар», развивающей технологии информационной безопасности.
По данным специалистов, самая долгая DDoS-атака в 2022 году продолжалась 3 месяца (2 тыс. часов), тога как годом ранее рекордные атаки длились «всего несколько дней». Самая мощная DDoS-атака в 2022 году достигла 760 Гбит/с, что почти вдвое больше показателя годичной давности.
Согласно исследованию, самым атакуемым регионом в России стала Москва — на неё пришлось более 500 тыс. DDoS-атак. Следом идут Уральский федеральный округ (около 100 тыс. атак) и Центральный федеральный округ (более 50 тыс. инцидентов).
Всего 2022 году экспертами компании «РТК-Солар» было зафиксировано 21,5 млн атак на веб-ресурсы с высокой степенью критичности. Большая их часть (30%) была направлена на сайты органов власти и госкомпаний, 25% — на финансовый сектор. Кроме того, хакеры пытались взламывать сайты образовательных учреждений, ИТ-компаний, организаций культуры и спорта.
Сообщается, что число DDoS-атак на российский госсектор в 2022 году относительно 2021-го в какой-то момент увеличивалось в 2 раз. Эта отрасль всегда была в фокусе внимания хакеров: недоступность госресурсов, когда люди не могут увидеть важную информацию или получить услугу, создает нервное напряжение в обществе, а дефейс таких порталов вызывает не только раздражение и панику пользователей, но и имиджевые потери госвласти в целом, пояснили в компании «РТК-Солар».
За отчетный период была зафиксирована рекордная по мощности и продолжительности DDoS-атака. Однако в целом хакеры вели «ковровые бомбардировки» несложными и массовыми атаками. При атаках на веб злоумышленники продолжали эксплуатировать известные уязвимости и дыры в безопасности, многие из которых имеют высокую степень критичности и могут привести к полному контролю хакеров над приложением и краже данных пользователей... Конец года компенсировал резкий всплеск первых двух кварталов – злоумышленники сконцентрировались на целевых более сложных атаках на конкретные компании и отрасли. При этом уровень сетевых атак остается высоким и превышает средние показатели предыдущих лет, поэтому угроза остается актуальной, - сказано в докладе. |
Как отметил руководитель направления Anti-DDoS и WAF компании Николай Рыжов, сразу после начала специальной военной операции РФ на Украине злоумышленники использовали массовые DDoS- и веб-атаки в основном в целях хактивизма. Они делали недоступными социально-значимые ресурсы и взламывали сайты для размещения провокационных сообщений (дефейса). Однако к середине года атаки стали более сложными и целевыми, а хакеры взламывали сайты не столько ради дефейса, сколько для размещения вредоносного ПО, проникновения в инфраструктуру и доступа к ценным данным, сказал эксперт, добавив, что веб-ресурсы остаются под угрозой хакеров.
В мае 2022 года зафиксирована самый высокий объем DDoS-атак в России, что, вероятно, связано с празднованием Дня Победы. Хактивисты пытались «забить» мусорным трафиком каналы связи ресурсов, имеющих отношение к праздничным и патриотическим мероприятиям. В дальнейшем DDoS-активность начала постепенно снижаться. К третьему кварталу 2022 года эксперты фиксировали спад массовых атак и переориентацию злоумышленников на более сложные целевые удары. DDoS же скорее отыграл аномальный рост первой половины года и вернулся к более стандартным значениям, поясняют специалисты.[13]
Число DDoS-атак в России взлетело на 700%
Количество DDoS-атак в России в 2022 году увеличилось на 700% в сравнении с показателем годичной давности. Такие данные приводятся в отчете компании DDoS-Guard, специализирующейся на услугах по обеспечению защиты от DDoS-атак, доставки контента и веб-хостинга. Исследование было опубликовано в январе 2023 года.
В течение 2022 года эксперты зафиксировали в общей сложности 1 255 573 DDoS-атаки в Рунете. Среднее число таких кибернападений за сутки выросло в 10 раз относительно 2021 года, а количество атак в час - в 11 раз. Самыми «горячими» месяцами стали март и август, указано в докладе.
По сравнению с 2021 годом длительность атак сократилась, но их частота выросла в 3-4 раза. Дело в том, что для атак на российские сайты не используют мощные ботнеты — это слишком дорого. Вместо этого хактивисты объединяются в сообщества и делятся инструкциями по запуску вредоносных скриптов и софта для участия в атаках. Сети такого рода способны на массовые, но непродолжительные атаки.
Абсолютное большинство DDoS-атак занимали до 20 минут, также значительное количество занимали от 20 минут до 1 часа. Атаки длиной в сутки и больше составили менее 1% от общего количества инцидентов.
По словам специалистов, организовать атаку стало намного проще. Теперь даже не обязательно устанавливать специальное ПО, чтобы сделать свое устройство частью ботнета и генерировать вредоносный трафик. Хактивисты создали целый сегмент сайтов, предназначенных специально для организации DDoS-атак. Пользователю достаточно просто зайти на такой ресурс, и он примет участие в массовом киберпреступлении.
В исследовании отмечается кардинальное изменение природы кибератак в 2022 году из-за геополитических сдвигов. Если в начале года общая тенденция прослеживалась в виде однотипных длительных атак, то уже в феврале картина оказалась совсем иной.
Раньше наиболее распространенными причинами DDoS-атак были конкуренция за доступность в поисковой выдаче и сезонность — например, перед праздниками, когда пользователи делают больше всего покупок онлайн. Злоумышленники атакуют сайты в моменты пиковых посещений и требуют выкуп за прекращение атаки. Владельцам сайтов приходится делать выбор между тем, чтобы платить без гарантий окончания атаки, и тем, чтобы наблюдать, как пользователи уходят к конкурентам из-за недоступности сайта.
Главной мотивацией для DDoS-атак в 2022 году стал хактивизм — ангажированные киберпреступления, которые совершают в поддержку и для демонстрации тех или иных политических идей. В ходе своих кампаний хактивисты использовали все известные им методы и инструменты. Первое время паттерны атак были хаотичными, но весной их организаторы стали действовать более слаженно, появились в том числе специализированные сообщества, цель которых — массовые кибератаки на российский сегмент интернета.
В начале 2022 основной мишенью киберпреступников были развлекательные сайты. Эта категория с двукратным отрывом превосходила показатели по бизнес-порталам, образовательным и телеком-ресурсам, которые были в нашем топе. Все эти цели оставались в фокусе, динамика атак в них выросла многократно — например, развлекательные сайты атаковали в 6 раз чаще — 44 тысячи инцидентов против 7700 в 2021.
Однако главные объекты интереса хакеров сменились во втором полугодии. В итоге чаще всего под лавиной вредоносного трафика были новостные сайты — количество DDoS-атак на СМИ выросло в рекордные 76 раз (51 842 инцидентов против 670 в 2021). Веб-ресурсы, связанные с госорганами, показали рост в 55 раз (20 766 инцидентов против 370), а на сайты банков и финансовых организаций пришлось в 20 раз больше атак, чем в 2021 году (27 600 инцидентов против 1318). [14]
Минцифры сообщило о 35 тыс. атак на систему электронного голосования
11 сентября 2022 года в Минцифры РФ сообщили о многом численных хакерских нападениях на систему электронного голосования. Как заявил замглавы ведомства Олег Качанов, ни одна из атак не была успешной. Подробнее здесь.
Обрушение кибератак на российские системы
На российские системы электронного документооборота 1 сентября 2022 года обрушились массированные DDoS-атаки. Об этом пишет «Коммерсантъ» со ссылкой на пострадавших производителей ИТ-решений, а также на Минпромторг. Подробнее здесь.
Региональные СМИ подверглись DDoS-атакам хактивистов
Компания StormWall 23 августа 2022 года сообщила о том, что в июле 2022 года злоумышленники устроили массовые DDoS-атаки на сайты региональных российских изданий. По предварительной оценке специалистов, DDoS-атаки произошли с 20 по 30 июля 2022 года и были организованы хактивистами, которые стремились помешать региональным изданиям публиковать информацию о событиях, происходящих в мире. По данным аналитиков компании, ранее уже наблюдались DDoS-атаки на сайты региональных СМИ в мае 2022 года.
По предварительной оценке экспертов компании в июле 2022 года хактивисты атаковали более 70 региональных изданий в 14 городах России. Атаки были направлены на СМИ в таких крупных городах, как Брянск, Калуга, Челябинск, Псков, Омск, Тюмень, Сочи и другие. В запуске разрушительных DDoS-атак приняли участие тысячи мотивированных пользователей. Они воспользовались доступными в сети инструментами для организации атак, которые позволяют любому желающему запустить атаку с помощью собственных или арендованных ресурсов. По данным экспертов, средняя мощность DDoS-атаки составила свыше 18000 запросов в секунду, а средняя длительность атаки была 20 часов.
В результате атак сайты некоторых региональных изданий оказались недоступны в течение нескольких часов. Издания, которые использовали профессиональные решения для защиты от DDoS-атак, смогли успешно отразить все атаки хактивистов. Однако региональные СМИ, которые пытались справиться с атаками самостоятельно, потерпели неудачу и были вынуждены срочно обратиться за помощью к специалистам для подключения профессиональной защиты.
В июле 2022 года мы зафиксировали ряд мощнейших атак на сайты СМИ в регионах России. Это не первый случай, когда хактивисты пытаются атаковать российские издания, стремясь помешать их работе. Мы уже наблюдали подобные атаки на сайты региональных СМИ в мае 2022 года, но тогда было атаковано более 200 сайтов изданий в 46 городах России. В июле 2022 года было организовано меньше атак на сайты СМИ, что указывает на то, что активность хактивистов постепенно снижается. Однако, я допускаю, что осенью будут организованы новые атаки на СМИ, поэтому изданиям нужно обязательно позаботиться о защите своих ресурсов, - отметил Рамиль Хантимиров, CEO и сооснователь StormWall. |
Число DDoS-атак на российские компании в первом полугодии выросло в 15 раз
Компания StormWall сообщила 14 июля 2022 года о том, что специалисты проанализировали DDoS-атаки, направленные на российские компании в I полугодии 2022 года и выявили, что общее количество атак выросло в 15 раз по сравнению с аналогичным периодом 2021 года. Самыми атакуемыми отраслями в 1 половине 2022 года стали финансовый сектор (32% от общего числа атак), ритейл (14% от общего числа атак), логистическая сфера (10% от общего числа атак), страховая отрасль (8%) и государственный сектор (18% от общего числа атак). Также DDoS-атакам подверглись образовательный сектор (7%), сфера развлечений (5%), туристическая индустрия (4%) и другие отрасли (2%). Для анализа были использованы данные клиентов компании.
Эксперты сравнили количество DDoS-атак в I полугодии 2022 года и в I полугодии 2021 года и выявили, что число DDoS-атак на ключевые отрасли в 2022 году значительно выросло. Число DDoS-атак на финансовый сектор в I полугодии 2022 года увеличилось в 12,8 раз по сравнению с аналогичным периодом 2021 года, число атак на ритейл выросло в 11 раз, рост атак на логистическую отрасль увеличился в 16 раз, в страховой отрасли число атак выросло в 15 раз, а количество атак на государственный сектор увеличилось в 17 раз.
По мнению экспертов, такой сильный рост количества DDoS-атак на российские компании в 1 половине 2022 года связан, прежде всего, с нестабильной политической ситуацией в России и во всем мире. Как следствие этой ситуации, в феврале 2022 года возникли группировки так называемых хактивистов, целью которых является нанесение вреда экономике и социальной сфере России. Эти группировки состоят из нескольких сотен тысяч мотивированных хакеров. В I полугодии 2022 года хактивисты атаковали крупные российские компании в разных отраслях, а также государственные онлайн-сервисы. В феврале 2022 года участники группировки организовали ряд DDoS-атак на ключевые российские компании топливно-энергетического сектора, финансовой отрасли, производственной сферы и телеком-индустрии. Атакам подверглись даже такие крупные компании, как Газпром, Лукойл, Норникель, Сибур, Яндекс, Сбербанк. В июне 2022 года злоумышленники пытались сорвать приемную кампанию в российских университетах, атаковав не только сайты вузов, но и сайт Госуслуг.
Аналитики StormWall выявили, что в I полугодии 2022 года максимальная мощность зафиксированной атаки была 700 тыс. HTTP-запросов в секунду. Также увеличилась длительность атак. В начале 2022 года атаки длились в среднем 7 часов и потом прекращались, а в конце 2021 года атаки длились в среднем 3 часа. Сейчас эксперты компании наблюдают, что некоторые атаки длятся неделями.
По мнению специалистов, для организации киберинцидентов хакеры использовали как стандартные общедоступные инструменты, изначально предназначенные для тестирования, а не для проведения атак, так и специально разрабатываемые утилиты, которые доступны для скачивания любому желающему в Интернете и каждую неделю получают обновления, повышающие эффективность атак. Инструменты можно получить бесплатно, нужны только вычислительные ресурсы, которые в большинстве случаев уже есть у атакующих.
В первом полугодии 2022 года хакеры были особенно агрессивны и упорны во время запуска DDoS-атак на российские компании. Многие компании, не использующие профессиональные решения по защите от DDoS-атак, сильно пострадали от действий киберпреступников и были вынуждены срочно подключать защиту. Мы рекомендуем заранее позаботиться о защите онлайн-ресурсов. Поскольку хактивисты используют актуальные инструменты, позволяющие организовать мощнейшие DDoS-атаки, последствия могут быть разрушительными, отметил Рамиль Хантимиров, CEO и сооснователь StormWall.
|
Сайт «Роскосмоса» отключился после массированной DDoS-атаки, которая началась после публикации снимков центров принятия решений
29 июня 2022 года сайт «Роскосмоса» перестал работать после массированной DDoS-атаки, которая началась после публикации госкорпорацией снимков центров принятия решений нескольких стран-членов НАТО. Как отметили в «Роскосмосе», атака на официальный ресурс компании была совершена из Екатеринбурга. Подробнее здесь.
Число DDoS-атак на университеты с 10 по 23 июня увеличилось год к году в 8 раз
Специалисты компании StormWall, обеспечивающей защиту бизнеса от DDoS-атак, с 10 июня 2022 года и по 27 июня противостоят огромной лавине DDoS-атак, направленных на российские университеты. Об этом компания StormWall сообщила 27 июня 2022 года. По данным экспертов количество DDoS-атак на университеты с 10 по 23 июня 2022 года увеличилось в 8 раз по сравнению с аналогичным периодом 2021 года. Большинство атак шли по протоколу HTTP, при этом мощность атак доходила до 300 тыс запросов в секунду, что в 15 раз больше максимальной мощности атак такого же периода 2021 года, составлявшей 20 тыс запросов в секунду. Для анализа были использованы данные клиентов компании.
В результате масштабных DDoS-атак, для ряда университетов, которые не использовали профессиональную защиту, последствия были достаточно серьезными: не работали сайты учебных заведений, а также были недоступны важные сервисы, например сервис подачи документов на поступление. Таким вузам пришлось срочно подключать профессиональную защиту, и специалистам StormWall удалось достаточно быстро восстановить работоспособность онлайн-ресурсов учебных заведений. Вузы, использующие профессиональную защиту от DDoS, смогли успешно отразить атаки и работа их ресурсов не была нарушена.
В России во время работы приемной комиссии традиционно возрастает количество DDoS-атак на университеты. Рост DDoS-атак на образовательные учреждения наблюдался в июле 2021 года и в июле 2020 года, причем атаки были организованы плохо подготовленными абитуриентами, чтобы помешать другим выпускникам подать документы на поступление в вузы. Однако, никогда ранее не было такого целенаправленного потока огромного количества DDoS-атак большой мощности.
По данным экспертов, 70% DDoS-атак на вузы осуществлялись с территории Европы, 20% с территории США и только 10% с территории России. По мнению экспертов, в 2022 году атаки запускаются хактивистами ИТ-армии Украины, которая стремится сорвать приемную кампанию в российских вузах, которая началась 20 июня 2022 года. Только небольшая часть DDoS-атак на университеты в 2022 году была организована абитуриентами. Из-за действий ИТ-армии Украины абитуриентам не пришлось даже прилагать усилий.
Помимо этого, 23 июня 2022 года хактивисты также организовали ряд DDoS-атак на сайт Госуслуг, чтобы заблокировать возможность подачи документов на поступление на этом портале.
По мнению аналитиков StormWall, атаки продлятся до окончания работы приемных комиссий, до середины августа 2022 года. Поскольку многие абитуриенты активно используют для подачи документов сервис Госуслуг, то он тоже находится в зоне риска до окончания приемной кампании в российских вузах.
Мы много лет занимаемся защитой учебных заведений от DDoS-атак. Есть определенные периоды, когда происходят всплески атак на вузы, мы всегда к ним готовы. Однако, ситуация, которую мы наблюдаем на июнь 2022 года вызываем большие опасения, поскольку очевидно, что это целенаправленные атаки, организованные хакерами, которые используют все доступные инструменты для организации разрушительных атак против российских университетов. И это только начало, в дальнейшем мощность атак может составить до 1 Тбит/с. Я рекомендую университетам срочно позаботиться о подключении профессиональных решений защиты, чтобы эффективно противостоять атакам злоумышленников, - отметил Рамиль Хантимиров, CEO и сооснователь StormWall. |
На портал Госуслуг обрушились мощные DDoS-атаки
23 июня 2022 года на портал Госуслуг обрушились мощные DDoS-атаки. Как сообщили в Минцифры РФ, нападение инициировано Украиной. Подробнее здесь.
Отключение сайта Роспотребнадзор из-за DDoS-атаки
9 июня 2022 года Роспотребнадзор сообщил о хакерской атаке на свой сайт. В результате кибернападения официальный ресурс ведомства перестал работать. По состоянию на 14:00 мск 10 июня 2022 года сайт все еще не открывается. В этом убедился журналист TAdviser. Подробнее здесь.
Хакеры научились использовать видеоняни для обхода защиты от DDoS атак по геолокации
Хакеры начали искать способы обхода фильтрации трафика для совершения DDoS-атак на Россию. Для этого они все чаще используютVPN, прокси-сервисы и пользовательские устройства с российскими IP-адресами. Об этом стало известно 23 мая 2022 года.
Киберпреступники ищут новые векторы атак на росссийские информресурсы. В условиях, когда основные каналы оказались заблокированы (зарубежный трафик отсекается оборудованием операторов на границе страны), хакеры начали использовать российские IP-адреса.
С 24 февраля 2022 года, российские информационные ресурсы и правительственные сайты столкнулись с ростом DDoS атак. В Минцифры РФ указывали, что вредоносные запросы поступали из-за рубежа — в основном с IP-адресов, зарегистрированных в США, Германии и на Украине. Чтобы противодействовать угрозе, в конце марта 2022 года Минцифры и Роскомнадзор начали использовать оборудование на сетях связи для фильтрации трафика по географическому признаку на границах России.
Чтобы обойти фильтрацию трафика для совершения DDoS-атак на Россию, хакеры стали использовать VPN и Proxy-сервисы, а также пользовательские устройства.
Очень быстрым и действенным при борьбе с DDoS-атаками оказался механизм блокировки по географическому обращению. Метод оказался действенным, однако теперь хакеры начали использовать в своих атаках российские IP-адреса, что делает фильтрацию трафика по геолокации неэффективной, рассказали эксперты в области кибербезопасности, опрошенные "Коммерсантом".
|
Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие зараженные устройства на территории РФ. Большинство ботнет-сетей собраны из различных зараженных умных устройств или просто персональных компьютеров, отметил директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков.
|
Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна, рассказал основатель Qrator Labs Александр Лямин.
|
Злоумышленники все чаще прибегают к VPN- и прокси-сервисам, а также задействуют пользовательские устройства (такие как роутеры, "умные" камеры, видеоняни), находящиеся на территории РФ. Эти приборы объединяются в ботнеты ("зомби"-сети, состоящие из зараженных устройств), которые впоследствии используются для организации кибератак.
В апреле 2022 года стало известно, что Роскомнадзор планирует модернизировать оборудование, используемое для исполнения закона об изоляции Рунета, и создать на его основе федеральную систему защиты от DDoS-атак из-за рубежа. Система защиты от DDoS-атак может появиться осенью 2022 года[15].
Зафиксирован всплеск DDoS-атак на ключевые российские отрасли на майских праздниках
Эксперты компании StormWall выявили всплеск DDoS-атак на майских праздниках на важные отрасли экономики в России. Об этом компания сообщила 20 мая 2022 года. По данным специалистов, с 1 по 10 мая 2022 года количество DDoS-атак на сектор e-commerce увеличилось в 2,5 раза, число атак на сферу развлечений выросло в 4 раза, а количество атак на медиа-ресурсы увеличилось в 9,5 раз по сравнению с аналогичным периодом 2021 года. Также эксперты обнаружили, что рост числа DDoS-атак на различные российские онлайн-сервисы на майских праздниках увеличился в 2 раза по сравнению с аналогичным периодом 2021 года. Для анализа ситуации были использованы данные клиентов StormWall.
Такая небывалая активность хакеров связана с тем, что интернет-магазины, сайты развлечений, медиа и онлайн-сервисы невероятно востребованными во время майских праздников. Проблемы в работе различных онлайн-ресурсов компаний приводят к потере клиентов, прибыли и репутации, и киберпреступники стремятся вывести сайты из строя с целью вымогательства денег. Кроме того, росту хакерской активности способствует нестабильная экономическая ситуация во всем мире.
В связи с атаками хакеров, у интернет-магазинов и онлайн-сервисов были проблемы с формированием заказов, платежами и формирование бухгалтерских документов, а доступ к функционалу сайтов развлечений был ограничен.
Эксперты обнаружили, что мощность DDoS-атак на онлайн-ресурсы компаний во время праздников оставалась на том же уровне, что и последние два месяца, но при этом атаки длились несколько дней подряд. По мнению специалистов StormWall, проблемы в работе ряда сайтов возникли по причине плохо выстроенной защиты от DDoS-атак. Многие компании, не использующие профессиональную защиту, были вынуждены срочно обращаться за помощью к специалистам, чтобы отразить атаки.
Достаточно трудно предугадать какая сфера бизнеса станет новой целью хакеров, т.к. с конца февраля мы наблюдаем массированный всплеск DDoS-атак на российские компании и в 75% случаев атаки идут на те компании, которые ранее никогда им не подвергались. Поэтому абсолютно всем компаниям необходимо заранее заботиться о защите своих онлайн-ресурсов - отметил Рамиль Хантимиров, CEO и сооснователь StormWall. |
Зарегистрирована самая длительная DDoS-атака в России, которая продолжалась 29 дней
21 июля 2022 года «Лаборатория Касперского» сообщила о самой продолжительной DDoS-атаке в России. Она длилась почти 29 дней и началась в мае 2022 года.
По данным экспертов антивирусной компании, во втором квартале 2022 года выросла средняя продолжительность DDoS-атак: в апреле она составила 40 часов, в мае — 57, и лишь в июне этот показатель пошёл на спад.
Общее количество атак при этом постепенно снижается. В июне 2022 года решения «Лаборатории Касперского» зафиксировали почти в четыре раза меньше таких инцидентов, по сравнению с пиковыми показателями марта, однако это всё равно в два раза больше, чем в июне прошлого года.
Главной целью DDoS-атак в апреле-июне 2022 года стал финансовый сектор. Доля кибернападений на финансовые организации варьировалась от 70% в апреле до 37% в июне. В начале лета среди компаний-мишеней резко выросла доля государственных организаций: в июне на них пришлось 38% всех DDoS-атак в России.
Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, в начале 2022 года в DDoS-атаках участвовало большое количество так называемых хактивистов, но затем их доля в общем количестве сократилась, компания стала чаще фиксировать нападения, подготовленные профессиональными злоумышленниками. Об этом свидетельствует увеличившаяся в разы длительность атак и уровень их исполнения.
В том числе мы наблюдаем целевые атаки, в ходе которых злоумышленники учитывают мельчайшие детали и специфику архитектуры конкретных сайтов. На подготовку подобных акций обычно уходит много времени, они требуют высокого уровня технической подготовки организаторов, их сложнее предотвратить, выявить и остановить. Растущее количество таких атак выводит DDoS-угрозу на новый уровень, - рассказал он. [16] |
DDoS-атаки на ЕГАИС, из-за которых возникли проблемы с поставками алкоголя в России
Из-за DDoS-атаки на Единую государственную автоматизированную информационную систему учета алкоголя (ЕГАИС) производители и поставщики не могут отгружать алкоголь в России. Об этой проблеме стало известно в начале мая 2022 года. Подробнее здесь.
Россия 145 часов непрерывно находилась под DDoS-атаками
В начале апреля 2022 года «Лаборатория Касперского» сообщила о рекордной продолжительности DDoS-атак в России. Одно из таких нападений в марте длилось 145 часов, то есть чуть более шести дней.
По данным специалистов, которые были обнародованы 1 апреля 2022 года, средняя продолжительность атак в последние два месяца превышала сутки, составив 29,5 часа, тогда как в тот же период 2021 года этот показатель был не более 12 минут.
Хуже всего в марте 2022 года пришлось финансовым организациям – доля нападения на банки достигает 35%. А вот СМИ, которым было непросто в феврале, смогли выдохнуть – на них в первом весеннем месяце выпали обычные 3-4% кибератак. Треть нападений пришлись на госорганы, 9% – на школы и вузы.
По косвенным признакам мы отмечаем, что в начале всплеска DDoS-атак в них принимало участие большое количество так называемых хактивистов, непрофессиональных хакеров. Со временем их доля в общем числе атакующих снизилась. При этом сами атаки стали более мощными, подготовленными и длительными, — приводит пресс-служба слова эксперта по кибербезопасности Александра Гутникова. |
С конца февраля и по начало апреля 2022 года ФинЦЕРТ Банка России фиксирует рост числа DDoS-атак, направленных на информационные ресурсы финансовых организаций, заявили «Известиям» в ЦБ, подчеркнув, что это не привело к существенному прерыванию работоспособности сервисов. Регулятор непрерывно взаимодействует с участниками рынка по вопросу противодействия компьютерным атакам и применяет меры, направленные на повышение защищенности и отказоустойчивости объектов информационной инфраструктуры, в том числе при осуществлении переводов денежных средств, добавили там.
Количество DDoS-атак на государственные органы десятикратно увеличилось по сравнению с показателями 2021 года, подтвердили газете в Минцифры.[17]
Резкий рост числа DDoS-атак на бизнес
Специалисты «Ростелеком-Солар» отметили значительный рост DDoS-атак в коммерческом сегменте: с 1 по 10 марта 2022 года здесь зафиксировано и отражено свыше 1100 таких атак, что уже превышает показатели за весь февраль. Об этом компания сообщила 11 марта 2022 года. Наиболее атакуемым бизнес-сегментом являются банки, где выявлено свыше 450 атак, что более чем в 4 раза превышает показатели февраля. При этом главной мишенью злоумышленников по-прежнему остаются ресурсы органов власти. Только за прошедшие трое суток на один из госпорталов совершено около 1700 DDoS-атак.
Еще 22-23 февраля эксперты «Ростелеком-Солар» отметили повышенную активность на хакерских форумах. А уже 25 февраля начались массовые атаки на интернет-ресурсы госвласти. Число атак в сотни раз превышало обычные показатели, а их мощность была в 2–3 раза выше. Наряду с этим трендом в марте начался заметный рост атак на бизнес и в первую очередь на банковский сектор. В целом DDoS осуществляется непрерывно: один ресурс могут атаковать в течение 12–14 часов. Географически большая часть атак идет с IP-адресов США.
В случае с DDoS речь идет не о взломе того или иного портала, а только о его доступности – данным пользователей ничто не угрожает. Об этом важно помнить, чтобы не поддаваться на провокации хакеров, – подчеркнул руководитель направлений Anti-DDoS и WAF компании «Ростелеком-Солар» Егор Валов. – Мы непрерывно и в беспрецедентно сжатые сроки адаптируем механизмы защиты под быстро меняющиеся векторы атак – соответствующие меры принимаются в течение десятков минут. В ходе этого противостояния пользователи могут замечать временные перебои в работе интернет-ресурсов, но через короткое время ресурсы возвращаются к обычному режиму работы. |
На март 2022 года «Ростелеком-Солар» обеспечивает защиту от DDoS для более 400 компаний и организаций из госсектора, банков, ТЭК, промышленности, ритейла и др. отраслей. Среди защищаемых объектов – большое количество ключевых российских интернет-ресурсов. Центр противодействия кибератакам Solar JSOC (а это свыше 400 специалистов по кибербезопасности) работает в круглосуточном режиме.
Система быстрых платежей подверглась DDoS-атаке
Банк России 5 марта 2022 года отметил замедление работы Системы быстрых платежей (СБП) из-за повышенного фона DDoS-атак на каналы телеком-провайдеров, на сохранность средств это не повлияло, сказано в сообщении регулятора. Подробнее здесь.
На портал Госуслуг обрушились десятки кибератак мощностью 1 Тбайт/с
В конце февраля 2022 года Министерство цифрового развития, связи и массовых коммуникаций РФ сообщило о масштабных DDoS-атаках на портал Госуслуг. Сбой фиксируется на фоне начавшейся российской спецоперации. Подробнее здесь.
DDoS-атаки на российские СМИ
В феврале 2022 года хакеры из Anonymous объявили «кибервойну» России из-за спецоперации.
Коллектив Anonymous официально ведет кибервойну против российского правительства, — говорилось в заявлении хакеров. |
Первой жертвой их атаки стал сайт RT — 24 февраля 2022 года телеканал подвергся DDoS-атаке. В тот же вечер с затруднениями работали сайты Кремля, правительства РФ, Госдумы и Совета Федерации.
25 февраля 2022 года сайты РБК и других СМИ подверглись DDoS-атакам. В ходе таких атак хакеры направляют на сайт большое количество запросов, превышающих пропускную способность сети, — это блокирует работу ресурса.[18]
Зафиксирована крупнейшая DDoS-атака на российских ритейлеров
В конце января 2022 года стало известно о крупнейшей DDoS-атаке на российских ритейлеров. По данным компании Qrator Labs, которая специализируется на обеспечении доступности интернет-ресурсов, кибернападение с использованием ботнета, состоящего из более 160 тыс. устройств, имело место в конце 2021 года.
Как пишет «Коммерсантъ» со ссылкой на основателя и генерального директора Qrator Labs Александра Лямина, цель этих массированных DDoS-атак - не нарушение работы ИТ-инфраструктуры, а сбор внутренних данных в компаниях. Жертвами ботнета стали крупные розничные сети, рассказал он.
Отмечается, что основная опасность дата-майнинга для компаний из сферы ритейла заключается в том, что на основе собранной информации можно провести конкурентный анализ. Также дата-майнинг используется зачастую в мошеннических схемах с кражей или накруткой бонусных баллов, в качестве инструмента недобросовестной конкуренции.
В розничной сети «Лента» сообщили, что количество кибератак на ритейл возросло, но компания смогла защитить данные.
Эксперт по кибербезопасности «Крок» Дмитрий Старикович считает, что справиться с угрозой поможет анализ сетевого трафика и контроль процессов на конечных точках сети. Таким способом можно выявить аномалии и определить зараженные ботнетом серверы.
Сфера ритейла хорошо для этого подходит, поскольку у всех сетевых магазинов есть интернет-версии, и анализ наличия товара на сайте, отзывов покупателей или изменения цен позволяет конкурентам эффективнее выстраивать свой бизнес, - отметил руководитель департамента аудита информационной безопасности Infosecurity a Softline Company Сергей Ненахов. |
По данным Qrator Labs, в конце 2021 года жертвами кибератак, в том числе DDoS, стали сервисы для создания сайтов, организации из сферы образования и электронной коммерции.[19]
2021
Минцифры Новосибирской области пережило мощнейшую DDoS-атаку за 2 года
Министерство цифрового развития и связи Новосибирской области пережило мощнейшую DDoS-атаку за 2 года, в результате которой сайты правительства не работали или функционировали с перебоями. Об этом в ведомстве сообщили 20 февраля 2022 года. Подробнее здесь.
Больше всех пострадавшие от DDoS-атак отрасли в России
26 января 2022 года специализирующаяся на информационной безопасности Stormwall компания опубликовала исследование, в котором перечислило отрасли в России, столкнувшиеся с наибольшим количеством DDoS-атак. Больше всех в 2021 году пострадали:
- финансовый сектор (43%);
- ритейл (31%);
- игровая индустрия (18%);
- телеком (4%);
- образовательный сектор (3%);
- остальные (1%).
По данным специалистов, количество DDoS-атак на финансовый сектор в 2021 году увеличилось на 84% относительно 2020-го. По словам исследователей, финансовая отрасль всегда привлекательна для хакеров, и они постоянно стараются находить новые инструменты организации кибератак. В 2021 году такими инструментами стали новые ботнеты, с помощью которых злоумышленники смогли организовать атаки на финансовые организации мощностью до 1,2 Тбит/с.
Кибернападений на онлайн-ритейл стало на 75%. В отчете отмечается, что количество DDoS-атак на ритейл в августе 2021 года выросло на 62% по сравнению с аналогичным периодом предыдущего года, а число атак в ноябре увеличилось на 330% по сравнению с ноябрем 2020 года из-за невероятной активности хакеров во время проведения «Черной пятницы».
Аналитики отмечают, что также увеличилось число атак на игровую индустрию (на 62% в сравнении с 2020 годом). Здесь была зафиксирована рекордная для отрасли мощность DDoS-атаки — 2 Тбит/с. Чаще стали тревожить и сферу образования (рост в 36%), но большинство атак были организованы самими учащимися.
Сооснователь StormWall Рамиль Хантимиров отметил, что киберпреступники стали более изобретательными. В частности, они научились объединять ботнеты, что делает атаку еще более разрушительной. По его мнению, из-за продолжающейся пандемии и сложной экономической ситуации в 2022 г. DDoS-атаки будут направлены на финансовый сектор, ритейл, телеком и сферу медицины.
На портал Госуслуг обрушилась рекордная DDoS-атака
11 ноября 2021 года на портал Госуслуг обрушилась рекордная DDoS-атака. Об этом сообщили в Министерстве цифрового развития, связи и массовых коммуникаций РФ. По данным ведомства, мощность кибернападения составила 680 Гбит/с. Подробнее здесь.
Госцентр управления сетью связи в РФ займется борьбой с DDoS-атаками
20 октября 2021 года стало известно о том, что Центр мониторинга и управления сетей связи общего пользования (ЦМУ), созданный в рамках закона «о суверенном рунете», будет использоваться в борьбе с DDoS- и другими хакерскими атаками в дополнении к своей основной функции — блокировке запрещенного в России контента. Подробнее здесь.
Рост числа DDoS-атак на образовательные учреждения на 118%
Аналитики компании StormWall, которая специализируется на защите онлайн-ресурсов от кибератак, 15 октября 2021 года сообщили о выявлении всплеска DDoS-атак на онлайн-сервисы образовательных учреждений в сентябре 2021 года в России. В сентябре 2020 года эксперты также наблюдали шквал атак на сферу образования, но в этом году количество DDoS-инцидентов значительно выросло. По данным экспертов, в сентябре 2021 года количество DDoS-атак на образовательные учреждения увеличилось на 118% по сравнению с сентябрем 2020 года.
По мнению экспертов, повышенная хакерская активность связана с началом учебного года. Несмотря на то, что большинство образовательных учреждений России работают в обычном режиме, они продолжают активно использовать цифровые платформы в рамках учебного процесса. DDoS-атаки на онлайн-ресурсы школ и университетов могут быть организованы учащимися, которые стремятся вывести из строя информационные системы и избежать выполнения домашних заданий.
Специалисты проанализировали природу киберинцидентов и определили, что большинство DDoS-атак имеют небольшую мощность (10-20 Гбит/с). Это указывает на то, что для организации атак использовались дешевые доступные инструменты, которыми могли воспользоваться неопытные хакеры. Однако также были зафиксированы DDoS-атаки мощностью до 300 Гбит/с, и в этом случае киберпреступникам потребовались более дорогие инструменты, например ботнеты стоимостью от $100-200 в сутки.
"Сфера образования всегда была одной из самых атакуемых отраслей. Во время пандемии российские образовательные учреждения начали более активно использовать инновационные информационные системы, что значительно повышает качество образования. Однако большинство образовательных цифровых платформ обладают недостаточной защищенностью от киберугроз, что делает их легкой добычей для хакеров", - отметил Рамиль Хантимиров, CEO и сооснователь StormWall. |
«Яндекс» раскрыл детали «крупнейшей в истории» DDoS-атаки Mēris
9 сентября 2021 года «Яндекс» раскрыл детали DDoS-атаки, которую компания назвала «крупнейшей в истории». Сообщается, что кибернападение осуществлено с использованием нового ботнета Mēris («чума» по-латышски). Подробнее здесь.
«Яндекс» подвергся крупнейшей в истории рунета кибератаке
7 сентября 2021 года стало известно о том, что несколькими днями ранее «Яндекс» подвергся крупнейшей в истории рунета кибератаке. О случившемся «Ведомостям» рассказал источник в компании. Информацию подтвердили в «Яндексе» и американской компании Cloudflare, которая специализируется на отражении кибератак и сотрудничает с «Яндексом». Подробнее здесь.
Сайт Минобороны России вышел из строя из-за кибератаки
16 июля 2021 года сайт российского Министерства обороны столкнулся с кибератаками, которые, по «подтвержденным данным» ведомства, организованы из-за рубежа. Подробнее здесь.
Число DDoS-атак на онлайн-ресурсы компаний увеличится минимум на 20%
По данным специалистов компании StormWall, в 2021 году количество DDoS-атак на онлайн-ресурсы компаний увеличится в минимум на 20% по сравнению с прошлым годом. DDoS-атаки уже несколько лет подряд демонстрируют устойчивый рост, который в 2021 году еще больше усилится за счет ряда факторов: увеличение количества начинающих киберпреступников среди студентов и школьников в связи с организацией дистанционного обучения во время пандемии, повышение критичности интернет-сервисов из-за того, что многие сотрудники работают удаленно, в то время как большинство компаний продолжают активно развивать онлайн-бизнес. Об этом 30 марта 2021 года сообщили в StormWall.
Кроме того, интернет стал более "DDoS-агрессивной" средой: в начале 2021 года в интернете появились мощные инструменты для организации DDoS-атак, доступные широкому кругу потребителей, например, возможность получить доступ к атаке на 400 Гбит/сек, запущенной с реальных устройств, за $500 в неделю через Telegram. Организовать такую мощную атаку зачастую можно бесплатно - представившись потенциальным покупателем и запросив тест на несколько минут, в то время как атака с большой вероятностью затронет не только саму "жертву", но и сразу несколько интернет-провайдеров на пути к ней, оставив без доступа к интернету тысячи пользователей и онлайн-ресурсов.
Эксперты предупреждают, что в 2021 году мощность DDoS-атак также увеличится благодаря развитию сетей 5G. Используя эту технологию, можно будет запустить DDoS-атаку мощностью более 1 Гбит/сек с каждого мобильного устройства. Если атакующий будет располагать десятками или сотнями тысяч зараженных смартфонов, планшетов и IoT-устройств, то объем атаки может достигать нескольких Тбит/сек и отразить ее будет невероятно сложно.
Специалисты отмечают, что в последнее время хакеры стали действовать более интеллектуально, они все чаще запускают атаки с использованием ботов, которые умеют автоматически обходить распространенные методы защиты. Эксперты ожидают появления новых типов DDoS-атак, которые предположительно будут направлены на протокол UDP, поскольку защита UDP-приложений зачастую не так эффективна, как для приложений, использующих протокол TCP. А это, в первую очередь, онлайн-игры, голосовые сервисы и протокол QUIC, который используют Google и Facebook для ускорения работы своих веб-ресурсов.
В связи с новыми угрозами, ожидается интеграция различных типов решений по защите от DDoS-атак (AntiDDoS, WAF, антибот, IDS/IPS) в единый комплекс, который сможет обеспечить безопасность интернет-периметра заказчиков. Также для защиты онлайн-ресурсов все активнее будет использоваться технологии искусственного интеллекта, поскольку атакующего бота становится все сложнее отличить от реального пользователя.
2020
Увеличение количества DDoS-атак на интернет-магазины в РФ в 2 раза, средний ущерб - 600 тыс. руб в день
Число DDoS-атак на российские интернет-магазины в 2020 году удвоилось, а около 40% из них пришлось на последние три месяца, что связано с активностью россиян в онлайн-покупках при подготовке к новогодним праздникам. Такие данные собрали эксперты направления «Кибербезопасность» компании «Ростелеком».
В компании отметили, что онлайн-торговля — традиционная мишень хакеров. Но в 2020 году особенно привлекательной для злоумышленников её сделали карантинные ограничения, на фоне которых резко выросла востребованность отрасли у людей.
При этом киберпреступники стали искать быстрые и дешёвые методы организации DDoS-атак. Часто они делали ставку на их «штурма», чтобы «измотать» жертву и вывести из строя её ресурсы, рассказали в «Ростелекоме».
На фоне резкого увеличения спроса на онлайн-услуги злоумышленники стали искать быстрые и дешевые методы организации DDoS «здесь и сейчас», — говорит руководитель направления Anti-DDoS сервисов Solar MSS компании «Ростелеком» Тимур Ибрагимов. — При этом киберпреступники делали ставку на длительность атак, чтобы «измотать» жертву и наверняка вывести из строя ее ресурсы. Использование простых технологий для организации DDoS в целом отличает прошедший год. Этот тренд прослеживается в контексте атак не только на онлайн-ритейл, но и на другие отрасли. |
По оценкам экспертов, в случае успешной реализации ущерб от DDoS-атак мог составить в среднем около 600 тыс. рублей в день для крупного онлайн-магазина и 50-100 тыс. рублей в день — для небольшого.
В исследовании говорится, что хакеры в 2020 году отдавали предпочтение простым методам организации DDoS, однако их инструментарий стал более разнообразным. Если раньше более чем 80% атак на онлайн-ритейл приходилось на UDP-flood, то в 2020 году его доля сократилась до четверти. Суть метода заключается в том, что сервер-жертва получает огромное количество UDP-пакетов, которые занимают всю полосу пропускания. В итоге канал сервера оказывается перегружен и не может обрабатывать другие запросы.[20]
StormWall: Большинство DDoS-атак были направлены на развлекательный сектор, телеком-сферу и онлайн-ритейл
Эксперты компании StormWall провели анализ DDoS-атак, направленных на различные индустрии в России в 2020 году. Согласно результатам анализа, опубликованным специалистами StormWall 23 декабря 2020 года, наиболее атакуемыми отраслями оказались сфера развлечений (40,76%), телекоммуникационная сфера (29,27%) и онлайн-ритейл (11,94%). Также в течение года были атакованы такие сферы бизнеса, как строительство (6,26%), финансы (4,56%), образование (3,61%), услуги (2,58%) и другие (1,02%). Для анализа были использованы данные клиентов StormWall из разных отраслей.
Сектор развлечений чаще других подвергался DDoS-атакам в 2020 году. Число DDoS-атак, направленных на развлекательные сайты, выросло в текущем году на 7% по сравнению с 2019 годом. Игровой сектор традиционно являлся наиболее целевым для хакеров, поскольку они имеют возможность быстро получить прибыль путем шантажа владельцев развлекательного ресурса. Количество DDoS-атак на телекоммуникационную отрасль выросло на 35% по сравнению с прошлым годом. Значительный рост атак на телеком-компании произошел в связи с заметно повысившейся конкуренцией на этом рынке: с переходом на "удаленку" возросли требования клиентов к непрерывности интернет-доступа, а также критичность этой инфраструктуры, чем и воспользовались конкуренты.
Количество DDoS-атак на онлайн-ритейл выросло в текущем году на 400% по сравнению с прошлым годом, при этом атаки использовались в основном при нечестной конкурентной борьбе, а также с целью вымогательства денег.
Доля DDoS-атак на банки и финансовые учреждения увеличилась в 2020 году на 27% по сравнению с прошлым годом. Главной причиной атак на финансовый сектор стала кража данных, самый большой интерес для хакеров представляли персональные данные пользователей и данные банковских карт.
На основе проведенного анализа эксперты компании StormWall смогли выделить несколько основных тенденций развития DDoS-атак в 2020 году.
- Атакующие пытаются найти уязвимости, позволяющие вывести ресурс из строя небольшим числом запросов в секунду, что требует применения интеллектуальной DDoS-защиты, способной к проактивному анализу и обучению.
- Атаки становятся все более мощными, поэтому компаниям придется менять тактики защиты и выходить за рамки базовых стратегий безопасности для обнаружения и устранения уязвимостей в онлайн-сервисах и сетях.
- Продолжающийся рост DDoS-атак заставит компании заранее продумывать защиту от подобных киберугроз. Наметилась тенденция, что компании стремятся подключить защиту от DDoS-атак чаще всего тогда, когда атака уже случилась, нужно ее отобразить или продумать план защиты на будущее.
Из-за пандемии и массового использования онлайн-сервисов в 2020 году количество атак значительно выросло по сравнению с 2019 годом. В текущем году атакам подвергся даже образовательный сектор, на который ранее атаки почти не совершались. Из-за сложной экономической ситуации и обострения конкуренции в 2021 году могут возникнуть DDoS-атаки на компании из тех индустрий, которые раньше редко подвергались нападениям хакеров, например, недвижимость, логистика, медицина, - отметил Рамиль Хантимиров, CEO и со-основатель компании StormWall. |
На сервисы РХТУ осуществлена крупномасштабная DDoS-атака
24 августа 2020 года Российский химико-технологический университет им. Д.И. Менделеева сообщил о том, что уже второй день подряд его сервисы подвергаются крупномасштабной DDoS-атаке. Первые сбои ИТ-инфраструктуры были зафиксированы 23 августа в 15.20, когда в результате продолжающейся атаки серверное оборудование университета было перегружено и временно не работоспособно. Из-за этого для внешних пользователей стали недоступны онлайн-ресурсы (основной сайт muctr.ru) и сервис электронной почты университета. Подробнее здесь.
Ростелеком-Солар: Во время карантина объем DDoS-атак в Рунете вырос в 5 раз
В период действия режима самоизоляции на фоне распространения COVID-19 (март-май 2020 года) было зафиксировано в пять раз больше DDoS-атак, чем годом ранее. Это следует из отчета, подготовленного экспертами «Ростелеком-Солар» на основе данных об атаках, наблюдаемых в первые пять месяцев 2020 года. Об этом «РОстелеко-Солар» сообщил 2 июля 2020 года.
Отчетный период позволяет детально проследить, как злоумышленники наращивали свою активность по мере введения карантинных мер. Так, в сравнении с январем 2020 года в марте количество атак увеличилось на 56%, а в апреле, на который пришелся пик хакерской активности, — уже на 88%. При этом в 2019 года ранее динамика не была столь выраженной, а количество атак из месяца в месяц оставалось примерно одинаковым.
При драматическом росте числа атак их мощность и сложность заметно снизились. В большинстве случаев злоумышленники прибегали к простым и легкодоступным инструментам, например, DNS-амплификации или NTP-амплификации. Мощность таких DDoS-атаки не превышает 3 Гб/с, а для их проведения используются незащищенные серверы с доступом в интернет, эксплуатация которых доступна фактически любому заинтересованному лицу. Примечательно, что по итогам 2019 года эксперты «Ростелеком-Солар» фиксировали противоположный тренд: резкий рост мощности атак и их технический прогресс. В период пандемии количество сложных атак не сократилось, но их доля в целом упала на фоне резкого роста простых. Это может означать, что в отчетный период за DDoS в большинстве случаев стояли скорее «хакеры-любители», чем профессионалы.
Наибольший объем атак в марте-мае пришелся на сектор онлайн-торговли (31%), который традиционно является одним из основных объектов для DDoS. Вторым по популярности стал госсектор (21% атак). Далее следуют финансовая сфера (17%), телеком (15%), образование (9%) и игровой сегмент (7%).
Несмотря на то, что онлайн-торговля стала самой атакуемой сферой, образование продемонстрировало наиболее выраженную динамику с точки зрения роста количества атак. В пиковый период – в апреле – интерес хакеров к образовательным ресурсам (в том числе различным электронным дневникам, сайтам с проверочными работами, площадками для онлайн-уроков и т.п.) вырос в 5,5 раз по отношению к марту и в 17 раз по отношению к январю 2020 года. Если вспомнить, что «мусорный» трафик отправляли в основном «хакеры-любители», можно предположить, что в этом случае за DDoS стояли школьники, которые хотели сорвать учебный процесс, отмечают эксперты «Ростелекома».
Также наблюдалось значительное увеличение количества атак на государственные учреждения и игровой сегмент — в обоих случаях рост примерно в 3 раза в апреле в сравнении с мартом. В случае с госсектором пик атак пришелся на период, когда заработали платформы для мониторинга передвижения граждан, оказания услуг по выплате пособий и т.п. Резкий рост интереса к геймингу со стороны хакеров связан со значительным увеличением аудитории онлайн-игр и киберспорта в период самоизоляции, что обострило конкуренцию между площадками. Поэтому такой инструмент, как DDoS, позволяющий вывести из строя конкурирующий онлайн-ресурс, оказался весьма востребован.
DDoS-атаки становятся все популярнее у злоумышленников, в первую очередь, из-за низкой стоимости их организации: достаточно найти в интернете уязвимые серверы-амплификаторы. В то же время для защиты от подобных атак нужно закупить дорогие вычислительные и канальные мощности. В период самоизоляции рост числа DDoS был ожидаем. Во многих отраслях произошла форсированная цифровизация инструментов получения дохода. За пять месяцев 2020 года объем интернет-трафика на сети «Ростелекома» увеличился примерно на 20%, что подтолкнуло злоумышленников к активным действиям. Самым сложным для владельцев онлайн-ресурсов стал апрель, когда в России действовал жесткий режим самоизоляции. В мае интенсивность DDoS постепенно начала спадать. Этот тренд сохранится некоторое время и дальше, но возврата к «доковидным» значениям, скорее всего, ожидать не стоит, так как карантин дал мощный толчок для перевода бизнес-процессов в интернет и пропорционального роста активности киберпреступников, – считает Иван Мирошниченко, руководитель группы развития сервисов защиты web-приложений направления кибербезопасности компании «Ростелеком». |
«Ростелеком-Солар» отметил резкий рост DDoS-атак на образовательные учреждения и телеком-компании
Хакеры стали намного чаще применять DDoS-атаки в отношении телеком-компаний, образовательных учреждений и госструктур. Это следует из отчета, подготовленного на основе данных об атаках, наблюдаемых и нейтрализуемых на сети «Ростелекома» в 2019-м и начале 2020 года. Об этом 30 апреля 2020 года сообщил «Ростелеком-Солар».
Чуть больше года назад на телеком-индустрию приходилось только 10% всех DDoS-атак, теперь же этот показатель вырос до 31%. Чаще всего мишенями хакеров становятся небольшие региональные интернет-провайдеры, хостинги и дата-центры, которые обычно не располагают необходимыми для отражения мощных атак ресурсами.
Доля государственных организаций и образовательных учреждений в общем объеме DDoS-атак ранее составляла 2% и 1% соответственно, но за год выросла до 5% для каждого из сегментов. Это связано с цифровизацией и запуском собственных интернет-ресурсов, от которых все больше зависит деятельность таких организаций особенно в период самоизоляции.
Наибольший рост (на 153%) числа атак показали образовательные ресурсы, включая электронные дневники, сайты с проверочными работами и т.п. Эксперты «Ростелеком-Солар» не исключают, что инициаторами таких атак могут быть сами ученики, что еще раз демонстрирует, насколько доступной стала организация DDoS при относительно слабой защищенности некоторых сайтов.
Несмотря на резкий рост DDoS в отдельных сегментах, лидером по этому показателю пока еще остается игровая индустрия. За 2019-й и начало 2020 года 34% атак было направлено на игровые серверы (против 64% в 2018 году).
В целом за отчетный период количество DDoS-атак на российские компании выросло на 63%. При этом злоумышленники сменили тактику: они больше не «выматывают» жертву продолжительными маломощными атаками, предпочитая короткие спринты с большим объемом паразитного трафика. Самая мощная DDoS-атака 2019 года составила 405 Гбит/с, что меньше рекорда последних лет – 450 Гбит/с. Несмотря на то, что рекорд пока «не побит», в среднем за год мощность DDoS увеличилась.
Рост мощности атак связан с существенным технологическим прогрессом, который демонстрируют злоумышленники. В частности, они стали активно использовать IoT-устройства, которые позволяют создавать большие бот-сети и усиливать атаки. В 2019 году была зафиксирована рекордная по мощности атака c помощью IoT на сети «Ростелекома» – 178 Mpps. Она была направлена на букмекерскую компанию и реализована с помощью ботнета из 8 000 реальных устройств.
Как объясняют эксперты «Ростелеком-Солар», когда хакеры обрушивают на жертву быструю и мощную волну запросов, не все сервисы anti-DDoS успевают определить IP-адреса задействованных устройств. Тогда `нераскрытые` адреса могут использоваться в следующих атаках.
Исходя из текущих трендов, мы прогнозируем дальнейший рост количества DDoS-атак в этом году. Злоумышленники будут активно использовать существующие методы и их комбинации, продолжая искать новые технологии. При этом на фоне развертывания сетей 5G и протоколов IPv6 будет расширяться использование IoT-устройств для организации более мощных атак. При таком нарастании агрессивности интернет-среды компаниям в глобальной сети лучше как можно быстрее осознать, что встраивание процессов информационной безопасности, включая противодействие DDoS, в регулярные бизнес-процессы организации является жизненно необходимым для дальнейшего эффективного развития, — считает Иван Мирошниченко, руководитель группы развития сервисов защиты web-приложений компании «Ростелеком-Солар». |
2019
В четвёртом квартале число DDoS-атак увеличилось почти вдвое
14 февраля 2020 года компания «Лаборатория Касперского» сообщила, что количество DDoS-атак в четвёртом квартале 2019 года составило 56% от числа атак, заблокированных решением Kaspersky DDoS Protection, в течение последних трёх месяцев 2019 года. А дальнейшее исследование активности ботнетов показало, что около 28% атак происходило в выходные дни. Среди стран, на территории которых было зарегистрировано большое число ботнетов, Россия заняла четвёртое место (около 4%).
Согласно отчёту, основная тенденция последнего квартала 2019 года – это увеличение активности ботнетов по воскресеньям. Доля атак именно в этот день недели возросла на два с половиной процентных пункта – до 13%. Хотя такие изменения могут показаться незначительными, стоит учитывать, что доля DDoS-атак по воскресеньям составляла порядка 10-11% в течение других трёх кварталов прошлого года. Днём наименьшей активности DDoS-атак в четвёртом квартале 2019 года оказался четверг. При этом разница между наиболее и наименее спокойным днём недели составила всего около двух с половиной процентных пунктов (в предыдущем квартале этот показатель составлял семь процентных пунктов).
Хотя количество DDoS-атак, обнаруженных решением «Лаборатории Касперского», значительно увеличилось по сравнению с аналогичным периодом в 2018 году, рост относительно третьего квартала 2019 года незначителен (атаки в третьем квартале составили 92% от их числа в четвёртом квартале). Более заметно то, что увеличилось число так называемых умных DDoS-атак (атаки в третьем квартале составили 73% от их числа в четвёртом квартале), которые осуществляются очень опытными киберпреступниками. Подобный рост по мнению «Лаборатории Касперского» вполне предсказуем, поскольку ноябрь и декабрь традиционно являются временем для большого количества онлайн-продаж и расцвета розничной торговли.
«Значительный всплеск DDoS-активности в последнее время демонстрирует то, что этот тип атак по-прежнему очень распространён среди злоумышленников, которые ищут финансовую выгоду или действуют в соответствии с какими-либо другими мотивами. Более того, киберпреступность – это не стандартная работа в офисе с девяти до пяти, поэтому необходимо непрерывное использование защитного решения по предотвращению DDoS-атак. Все организации должны быть готовы к таким атакам и понимать вектор их развития», |
Для защиты от DDoS-атак «Лаборатория Касперского» рекомендует организациям принимать следующие меры:
- проводить стресс-тесты и аудит веб-приложений, привлекая своих сотрудников или сторонних специалистов, чтобы выявлять наиболее слабые места в инфраструктуре компании;
- нанимать специалистов, отвечающих за поддержание работы веб-ресурсов. Убедиться, что они точно знают, как действовать в случае DDoS-атаки, и могут реагировать на подобные инциденты в нерабочее время;
- проверять соглашения с третьими лицами и контактную информацию. Это касается в том числе договорённостей с интернет-провайдером и возможности оперативно обращаться к нему в случае атаки;
- внедрять профессиональные решения для защиты организации от подобных атак.
Российские школьники устраивают массовые DDoS-атаки
11 ноября 2019 года «Лаборатория Касперского» обнародовала результаты исследования, которые показали 32-процентный рост числа DDoS-атак в мире по итогам третьего квартала относительно аналогичного периода 2018-го. Примерно такой же всплеск кибернападений произошёл в сравнении со второй четверти 2019 года. Подробнее здесь.
2018
Рост числа DDoS-атак на российские компании вырос почти в 2 раза
27 марта 2019 года «Ростелеком» сообщил о проведении исследования DDoS-атак, осуществлявшихся на российский сегмент интернета в 2018 году. Как свидетельствует отчет, в 2018 году произошел резкий рост не только количества DDoS-атак, но и их мощности.
По сравнению с 2017 годом количество атак выросло почти в два раза – на 95%. Аналитики полагают, что во многом это связано с их дешевизной и эффективностью. При этом мощность DDoS-атак также резко возросла. Самая серьезная атака, зафиксированная «Ростелекомом» в 2018 году, осуществлялась на телеком-оператора Dtel.ru. Ее интенсивность достигала 450 Гбит/с, тогда как рекорд 2017 года – всего 54 Гбит/с. Самая продолжительная DDoS-атака длилась 280 часов (11 суток и 16 часов). Для сравнения, в среднем такие атаки длятся 1,5-2 часа.
Несмотря на интенсивную работу американских и европейских правоохранительных органов по закрытию публичных сервисов организации DDoS, таких как известный Webstresser.org, заметного снижения количества потенциально опасных атак на российские компании в 2018 году не произошло. Поэтому мы и далее будем активно развивать эшелонированную защиту от DDoS на всех уровнях интернет-инфраструктуры наших клиентов - от каналов и до бизнес-логики защищаемых приложений. Превентивное подключение к ней гарантирует доступность и безопасность бизнеса наших клиентов в ставшей агрессивной интернет-среде, – сообщил Иван Мирошниченко, руководитель направления развития MSSP-сервисов компании Ростелеком-Solar. |
Чаще всего злоумышленники атакуют компании, относящиеся к сферам игровой индустрии и электронной коммерции. Доля атак на игровые серверы составила 64%. По прогнозам аналитиков, данная картина не изменится в ближайшие годы, а с развитием киберспорта можно ожидать уеличения числа атак на отрасль. Предприятия электронной коммерции стабильно «удерживают» второе место (16%). Доля DDoS-атак на телеком выросла с 5% до 10%, а доля образовательных учреждений, напротив, резко сократилась – с 10% до 1%. Рост среднего числа атак на одного клиента составил 45% для игрового сегмента, 19% - для игровой коммерции.
Пик DDoS-атак в 2018 году пришелся на ноябрь-декабрь. Эти месяцы считаются ключевыми с точки зрения продаж в сегменте электронной коммерции – покупательская активность растет в связи с предпраздничным периодом и стартом крупных распродаж. DDoS позволяет на время заблокировать ресурсы конкурента или может использоваться злоумышленниками в качестве орудия шантажа тех компаний, которые в ноябре-декабре получают большую часть выручки.
Наиболее популярным методом DDoS является UDP-флуд – почти 38% всех атак осуществляется именно этим способом. Также отмечается резкий рост доли атак с амплификацией и атак типа SYN-флуд. Их объединяет то, что как первые не требуют наличия ботнета (и соответственно, затрат на его организацию/покупку), так и вторые могут осуществляться как с использованием ботнета, так и без него.
«Коммерсантъ» пережил DDoS-атаку
Сайт газеты «Коммерсантъ» вечером 30 мая 2018 года подвергся интенсивной DDoS-атаке, более чем на час сделавшей ресурс недоступным. Как сообщил ИА RNS главный редактор издания Сергей Яковлев, атака началась незадолго до восьми вечера и продлилась около 70 минут. К 21:10 по московскому времени работоспособность сайта была восстановлена, но ближе к десяти вечера СМИ снова отметили проблемы с доступом. По состоянию на 31 мая, сайт работает в штатном режиме. Подробнее здесь.
2016
DDoS-атаки на сайты RT продолжаются более семи дней
Подробнее: RT TV (Russia Today)
Nexusguard: Россия лидирует по числу целей для DDoS-атак
В конце июля 2016 года компания Nexusguard, специализирующаяся на разработке решений защиты от киберугроз в интернете, опубликовала отчет о совершении DDoS-атак по всему миру. Больше всего нападений зафиксировано в России.
По итогам второго квартала 2016 года в Nexusguard насчитали 182 900 DDoS-атак в глобальном масштабе, что на 83% больше показателя годичной давности. Россия заняла первое место по количеству таких нападений. Сколько их было совершено в нашей стране, эксперты не уточнили, но отметили, что свыше 40% атак были адресованы абонентам провайдера «Старлинк». В данном случае злоумышленники атаковали DNS-серверы в течение длительного времени, в результате чего средняя продолжительность DDoS-атак в мире начала измеряться часами, а не минутами, как в январе-марте 2016 года.
В Nexusguard говорят, что целенаправленные атаки на российские компании организовали националистические хакеры-активисты. При этом речь не шла о нападениях по заказу конкурентов.
В тройку стран, на которые обрушилось больше всего DDoS-атак во второй четверти 2016 года, помимо России, вошли Соединенные Штаты и Китае. В десятке осталась Бразилия, однако количество атак в этой стране уменьшилось более чем наполовину.
Мы были удивлены увеличением числа DDoS-атак в этом квартале, особенно, когда хакеры экспериментировали с программами-вымогателями, фишинговыми схемами и другими методами получения денежной наживы, — говорит главный научный сотрудник Nexusguard Терренс Гаро (Terrence Gareau). — В 2016 году частота атак на организации может продолжить рост, особенно в связи с большим вниманием к летним Олимпийским играм и выбору президента в США в ноябре. |
В рамках DDoS-атак хакеры чаще всего использовали NTP- и DNS-серверы — в 85,8 тыс. и 80,9 тыс. случаев соответственно во втором квартале 2016 года, говорится в отчете Nexusguard.[21]
2015
Данные Qrator Labs
Каждый четвертый банк РФ сталкивался с DDoS-атаками в 2015 году
8 июня 2016 года компания Qrator Labs сообщила о росте числа DDoS-атак в мире и России, в частности[22].
DDoS-атаки в России по качеству опережают подобные вредоносные кампании в мире на 1-1,5 года, именно поэтому жертвами таких «мусорных» кибератак чаще становятся российские банки и финансовые организации. |
По мнению эксперта, в мире наблюдается рост числа инцидентов с использованием DDoS-атак. В 2015 году количество таких кампаний возросло на 18%. В России ситуация обстоит гораздо хуже. Согласно результатам исследования Qrator Labs, в 2015 году каждый четвертый российский банк столкнулся с этой проблемой (согласно сведениям Банки.ру на 15 июня 2016 года в РФ действуют 733 банковских учреждения - прим. TAdviser).
По сравнению с 2014 годом, рост числа DDoS-атак на финансовые учреждения - 50%, на предприятия сектора электронной коммерции - 70%, туристической сферы – 150%. Самым атакуемым стал рынок недвижимости, здесь число DDoS-атак возросло на 170%.
Согласно отчету компании Imperva, в первом квартале 2016 года усилилась активность DDoS-ботнетов. Злоумышленники чаще используют имитирующие работу браузеров DDoS-боты, которые могут обходить системы безопасности с настройками "по умолчанию".
Угрозы 2015 года в онлайн-ритейле
23 декабря 2015 года компания Qrator Labs сообщила о результатах ноябрьского 2015 года исследования агентства 42Future по заказу Qrator Labs, в результате которого проведен опрос двадцати крупных онлайн-ритейлеров на тему "DDoS-атака и ее последствия".
В документе представлены тренды киберугроз в индустрии онлайн-ритейла, выявленные специалистами Wallarm (Валарм) Онсек (Onsec) и Qrator Labs.
В результате опроса представителей 20 крупных онлайн-ритейлеров РФ в ноябре 2015 года, на вопрос - сталкивались ли с DDoS-атаками за последний год, четверть опрошенных подтвердили - сайты компаний подвергались DDoS-атакам в течение 2015 года. При этом 40% респондентов допускают, что их атаковали, но компания атаку не регистрировала. В частности, так может происходить потому что компания использует внешние средства противодействия DDoS-атакам, работающие эффективно.
Оценка мотивов атаки
По мнению участников опроса, DDoS-атаки представляют собой серьёзную угрозу для их бизнеса - об этом сообщили 65% респондентов. Почти все использовали формулировку "очень серьёзна" или "серьёзна" при ответе на вопрос о значительности киберугрозы.
Компании, которые подвергались DDoS-атакам и не использовали средства противостояния, отметили значимость финансовых потерь для бизнеса, которые они понесли в результате нападения.
Все опрошенных имеют мнение о причинах организации атак на их бизнес:
- подавляющее большинство считают основным мотивом заказчиков подобных нападений недобросовестную конкуренцию
- одна пятая опрошенных отметила - атаки могут быть инициированы с целью нанесения убытков по разным причинам, в том числе личным мотивам (месть, неприязнь и т.п.).
- шантаж - так определили мотивы атак 45% опрошенных
- развлечение - мнение 10% респондентов.
Все без исключения участники опроса подтвердили наличие средств постоянной защиты от DDoS у компаний, их постоянное использование:
- 90% опрошенных используют решения сторонних поставщиков.
- 10% - собственные разработки для этих целей.
Компании редко полагаются на защиту, предоставляемую провайдером телекоммуникационных услуг. Некоторые из опрошенных отметили - специальные средства предоставляет партнёр, системный интегратор, с которым сотрудничает компания по вопросам, связанным с ИТ.
Программные средства противодействия DDoS использует 50% опрошенных компаний, 35% — аппаратные. Остальные 15% не уточнили, какого типа решения используются. При этом 95% заявили об удовлетворенности выбранными решениями и уровнем защиты.
DDoS в сегменте малых и средних компаний онлайн-ритейла РФ
По наблюдениям специалистов Qrator Labs, в сегменте малого онлайн-ритейла ситуация сложилась противоположная: небольшие интернет-магазины в большинстве своём не используют средства противодействия DDoS-атакам.
Как заявила компания, DDoS как инструмент нечестной конкурентной борьбы активно применяется в этом секторе рынка в силу своей эффективности и доступности. Некоторые небольшие компании, испытав DDoS-атаку и потеряв деньги, пытаются заниматься разработкой собственных средств противодействия. При этом, как правило, используются устаревшие алгоритмы и неэффективные приёмы фильтрации, которые ведут к отключению реальных клиентов вместо ботов.
Регулярность атак
Крупные онлайн-ритейлеры относительно редко подвергаются DDoS-атакам, отметила Qrator Labs - -в среднем не более десятка раз за год. Однако, рост их количества в среднем на одного клиента Qrator Labs в 2015 году по сравнению с 2014 составил около 50%.
Исключение составляют периоды сезонной активности и распродаж. В это время нагрузки на сетевые ресурсы ритейлеров растут в результате наплыва покупателей. По данным Qrator Labs, объёмы "живого" трафика в среднем вырастают в такие дни вдвое.
Тренды 2015 года в области DDOS и интернет-безопасности в России и в мире
Сложность атак растет. Хакеры комбинируют различные подходы, прибегая одновременно к DDoS-атакам и атакам на уязвимости приложений.
Главное наблюдение 2015 года — понижение пиковых скоростей DDoS-атак, что, впрочем, не придает оптимизма — поскольку компенсируется ростом их сложности.
Если ранее злоумышленники, как правило, ограничивались одним видом DDoS, то сегодня атаки носят мультивекторный характер (то есть могут быть направлены сразу на несколько сетевых уровней и элементов инфраструктуры), становятся комплексными.
Хакеры наращивают сложность и объединяют DDoS с `взломом`, т.е. атаками на уязвимости приложения. В 84% случаев атака DDoS сопровождается попытками взлома сайта. Таким образом, средства, обеспечивающие только защиту от DDoS, сегодня оказываются недостаточными для обеспечения доступности интернет-ресурса.
Тем не менее, компаниям с комплексным подходом к организации системы противодействия атакам повышенной сложности удается нейтрализовать данные риски вполне успешно (см. кейс платёжного сервиса QIWI ниже в главе `Комбинированные атаки`).
Минимальная стоимость и простота реализации атак.
Устроить DDoS атаку еще никогда не было так дешево: это мероприятие сегодня стоит от $5 в час. Как результат — по сравнению с 2014 годом среднее количество атак на один сайт в 2015 году увеличилось в два раза. Злоумышленники активно используют облачных провайдеров для быстрого получения ресурсов, в том числе бесплатно, с использованием бонусных и триальных программ.
Схожая картина с хакерскими атаками. Благодаря доступности инструментов для поиска и эксплуатации уязвимостей, успешные атаки во многих случаях уже не требуют серьезной экспертизы: за атаками все чаще стоят не профессиональные хакеры, а `середнячки`, которые ищут и эксплуатируют известные уязвимости готовыми инструментами, руководствуясь статьями и видео инструкциями.
Основным вызовом с точки зрения защиты от DDoS стали атаки на уровне приложений (L7).
В 2015 году участились атаки на уровень приложений (L7), которые часто сопровождают DDoS-атаки на канальный уровень (L2). Защита от DDoS-атак на уровне приложений — наиболее сложный случай, требующий максимальной экспертизы и скорости реакции на изменение вектора атаки. При этом хакеры используют интеллектуальные автоматизированные средства, которые исключают возможность противодействия отдельным специалистом на стороне обороны. Сегодня можно говорить о том, что эффективно противостоят DDoS только системы, работающие на основе алгоритмов машинного обучения. Системы, работающие под контролем человека-оператора не в состоянии справиться с современными многовекторными атаками в режиме реального времени без существенных перерывов в обслуживании пользовательского трафика.
Наиболее частым вектором хакерских атак, направленных на `взлом` сайта по-прежнему являются уязвимости типа `SQL-инъекции`. Массовые атаки перебора стали новым вызовом.
Наиболее популярными атаками по-прежнему являются атаки на уязвимости типа SQL-инъекций (37,75% от общего числа атак), когда из-за специальным образом сформированного запроса можно выполнить произвольный запрос к базе данных приложения. Простые в реализации за счет автоматизированных инструментов, они открывают злоумышленникам прямой доступ к базам данных ресурса. Для обхода защитных решений все чаще используют различные способы обфускации (маскировки) вредоносных запросов, что оказывается эффективным в случае WAF’ов, не учитывающих структуру и специфику приложений. В прошедшем году серьезно увеличилось количество атак перебора, в том числе направленных на перебор паролей (21,85%). В России это особенно коснулось интернет-ритейлеров, где злоумышленники в массовых количествах получали доступ к учетным записям, используя базы `логин-пароль`, утекшие из других ресурсов.
Различные группы используют техники массового сканирования интернета.
Массовые сканирования всего интернета перестали быть уделом Google и других поисковых гигантов, и теперь с различными целями осуществляются разными группами людей. Злоумышленники пытаются найти веб-ресурсы, маршрутизаторы, устройства IoT с известными уязвимостями для быстрого и автоматизированного захвата контроля. Эти ресурсы в дальнейшем активно используются для реализации мощных DDoS-атак, анонимизации, майнинга криптовалют и т.д.
Qrator Labs нейтрализовала 9 347 DDoS-атак в первой половине года
В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак. В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — c 15 до 51, соответственно.
Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак – с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.
По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак – более 100 Гб/с – с 45 до 67, соответственно.
Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.
Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.
Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример – атаки с использованием серверов Wordpress.
В первой половине 2015 года компания Wallarm (Валарм) Онсек (Onsec) зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.
Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.
Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.
Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.
Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.
Рекламные сети испытывали пик интереса со стороны хакеров в 2005-2008 годах. В первом полугодии 2015 эта отрасль сместилась с 5 на 2 позицию. Злоумышленники питают особый интерес к СРА ввиду своей безопасности. Сама партнерская сеть, будучи взломанной, не несет экономические потери, а, напротив, только выигрывает. Хакер, получив доступ к базе данных партнерской сети, увеличивает число показов для своих сайтов. Таким образом, взломщик повышает свои выплаты, не оказывая на самом деле услугу показа рекламных материалов на эту сумму. Система получает комиссию, а расплачиваться за все приходится рекламодателю. Получается интересная ситуация – если произошел взлом СРА сети, то пострадали ее рекламодатели, а сама сеть только заработала больше. Разумеется, в долгосрочной перспективе это несет репутационный ущерб сети, но до этого времени может пройти несколько лет.
Аналитики Qrator Labs прогнозируют, что количество DDoS-атак вырастет на 20%. Эксперты отмечают, что выросли средние и максимальные размеры ботнетов. И хотя число атак класса DNS/NTP Amplification (ранее занимавшие 50% в структуре атак) снизилось, то теперь злоумышленники акцентируют внимание на сетевой инфраструктуре провайдеров.
В 2015 году эксперты компании предсказывают рост количества атак на ресурсы, использующие облачную инфраструктуру (в том числе Amazon Web Services), взлом и заражение устройств Internet of Things - Интернета вещей, появление новых уязвимостей SSL, а также атаки на базы данных NoSQL.
Неблагоприятные тенденции в экономике также найдут свое отражение в статистике DDoS-атак. DDoS может стать инструментом мести за увольнение или же число атак может увеличится из-за новых сотрудников департаментов ИТ, не имеющих достаточного опыта.
Также ожидается, что российские компании последуют курсом импортозамещения и будут приобретать решения отечественных вендоров, сертифицированных ФСТЭК и ФСБ.
2014: «Лаборатория Касперского»: новый скачок DDoS-атак весной
«Лаборатория Касперского (Kaspersky)» зафиксировала весной 2014 года новый скачок мощности DDoS-атак в рунете. Во время весенней «кампании» злоумышленников, избравших в качестве своей цели сразу несколько ведущих российских банков, крупных компаний и государственных учреждений, средняя мощность атаки составляла 70-80 Гбит/с. Год назад самая мощная DDoS-атака в рунете не превышала порога в 60 Гбит/с.
В антивирусной компании считают, что увеличение мощности DDoS-атак стало следствием распространения среди киберзлоумышленников нового метода NTP Amplification. Атаки этого типа имеют коэффициент усиления до 556 раз. Для сравнения, нашумевшие год назад атаки типа DNS Amplification имеют коэффициент усиления в 10 раз меньше — до 54 раз.
Именно атаки типа NTP Amplification наряду с широко распространенными SYN Flood применялись киберпреступниками во время весенней волны DDoS-атак, затронувшей крупнейшие банковские структуры России, в том числе Альфа-Банк и ВТБ24, федеральные министерства, одну из крупнейших российских авиакомпаний «Аэрофлот», телеканал Russia Today и другие организации. В пиковые моменты мощность атак доходила до 120 Гб/с.
Жертвами DDoS-атак за 2013-2014 годы (октябрь-ноябрь) стали 52% российских компаний, онлайн-сервисы которых критичны для бизнеса – среди них интернет-магазины, СМИ и финансовые учреждения. Таковы результаты исследования, проведенного «Лабораторией Касперского» совместно с компанией B2B International. Это свидетельствует о том, что атаки типа DDoS набирают популярность и уже стали привычным явлением для интернет-бизнеса.
Количество пострадавших варьируется в зависимости от географической принадлежности и сферы деятельности компаний. В России в список наиболее страдающих от DDoS-атак отраслей входят финансы, электронная коммерция и СМИ. Так, среди финансовых организаций 42% опрошенных сообщили, что столкнулись с подобными инцидентами за последний год.
Последствия DDoS-атак могут быть различными в зависимости от их мощности и длительности. Даже если злоумышленникам не удается полностью лишить пользователя доступа к информационным ресурсам компании, их частичная недоступность также является серьезной проблемой. Почти половина респондентов (43%) заявили, что атакованный сайт был недоступен в течение нескольких часов, а 19% опрошенных отметили недоступность веб-ресурса в течение двух дней.
12 марта 2015 года «Лаборатория Касперского» и B2B International поделились результатами исследования размеров убытков в результате DDoS-атаки на онлайн-ресурс компании[23].
% компаний, столкнувшихся с разновидностями DDOS-атак за 12 месяцев, 2015
Согласно этому исследованию, в котором приняли участие 3,9 тыс. респондентов из 27 стран, убытки могут составить в среднем от $52 тыс. до $444 тыс., в зависимости от размера компании. К расходам по устранению последствий подобных атак добавляются репутационные потери и издержки, вызванные недоступностью публичного онлайн-ресурса для партнеров и клиентов.
Рассчитанная экспертами сумма убытков включает несколько статей:
- 61% пострадавших компаний временно теряли доступ к критичной для бизнеса информации из-за DDoS-атаки,
- 38% не имели возможности продолжать основную деятельность,
- 33% сообщили об упущенных бизнес-возможностях и контрактах.
Кроме того, в 29% случаев успешные атаки негативно сказались на кредитном рейтинге, у 26% компаний выросли страховые взносы.
В среднюю сумму ущерба от DDoS-атаки вошли расходы на устранение последствий инцидента. Например, 65% компаний вынуждены были воспользоваться услугами консультантов по информационной безопасности, 49% оплачивали работы по изменению собственной ИТ-инфраструктуры, 46% обращались к юристам, 41% — к консультантам по риск-менеджменту. И это только самые распространенные статьи расходов.
Полный текст исследования (англ.)
«Успешная DDoS-атака может вывести из строя критически важные для бизнеса сервисы, что влечет за собой серьезные последствия для компании. Например, мы фиксируем случаи, когда атаки на банки приводили не только к нарушению работы онлайн-сервисов в течение нескольких дней, но и к перебоям в обслуживании банковских карт и нарушению работы банкоматов», - рассказал «Российской Газете» менеджер направления Kaspersky DDoS Prevention «Лаборатории Касперского» Алексей Киселев.
По мнению экспертов, со второй половины 2014 года DDoS-атаки стали средством борьбы с конкурентами: «Стоимость атаки не велика, контакты исполнителей легко можно найти, при этом заказчик, как правило, остается неузнанным. Так, начиная с сентября 2014 года количество обращений к нам со стороны организаций, подвергшихся подобного рода атакам, сильно возросло, чего не наблюдалось ранее. Также на рост подобных атак, безусловно, влияет политическая ситуация в стране и в мире и возможные попытки сэкономить на решениях по безопасности в условиях кризиса», - добавляет руководитель направления Kaspersky DDoS Prevention «Лаборатории Касперского» Евгений Виговский.
2013
НАИРИТ: Число DDoS-атак на объекты в РФ в 2013 г. выросло на 178%
Количество DDoS-атак на государственные и коммерческие инфраструктурные институты России в 2013 г. выросло на 178%, тогда как в прежние годы их темпы роста не превышали в среднем 15%, согласно данным Национальной ассоциации инноваций и развития информационных технологий (НАИРИТ).
Доклад об угрозах информационной безопасности объектов инфраструктуры российской экономики был подготовлен экспертами НАИРИТ совместно с Институтом системного анализа РАН и Институтом социально-экономической модернизации. Результаты исследования были доложены на заседании комиссии Государственной думы РФ по развитию стратегических информационных систем.
Как следует из доклада, общий объем потерь отечественной экономики от попыток незаконного электронного вмешательства за 2013 г. превысил 1,3 трлн руб.
Количество DDoS-атак на банки и финансовый сектор в 2013 году выросло на 112% по сравнению с 2012 годом. Об этом рассказала президент Национальной ассоциации инноваций и развития информационных технологий Ольга Ускова в ходе «круглого стола» в Госдуме на тему «Проблемы развития стратегических информационных систем в банковской и финансовой сферах. Законодательные аспекты».
Ранее количество DDoS-атак на финансовый сектор росло умеренными темпами. В 2012 год показатель вырос всего на 11%, в 2011 году — на 8%.
Kaspersky DDoS Prevention: усиление мощности атак в России и увеличение их продолжительности
Специалисты «Лаборатории Касперского» подвели осенью 2013 года итоги DDoS-активности в Рунете за последние 12 месяцев. Сравнив данные, полученные с помощью защитного сервиса Kaspersky DDoS Prevention и собственной системы мониторинга ботнетов во втором полугодии 2012 года и первой половине 2013 года, эксперты выявили две тенденции: усиление мощности атак и увеличение их продолжительности.
Так, во второй половине 2012 года средняя мощность атаки составляла 34 Мб/с, а в начале этого года планка поднялась до 2,3 Гб/с. При этом максимальная мощность атак в этом полугодии доходила до 60 Гб/с «благодаря» набирающим в этому году популярность атакам типа DNS Amplification. Для сравнения: максимальная мощность DDoS-атаки во втором полугодии 2012 года составила всего лишь 196 Мб/с.
Продолжительность DDoS-атак в Рунете также выросла в текущем году. Если в прошлом отчетном периоде специалисты «Лаборатории Касперского» установили, что средняя атака на защищаемые сервисом Kaspersky DDoS Prevention ресурсы длилась 7 часов, то в 2013 году они отметили, что этот показатель вырос до 14 часов.
Как свидетельствуют данные, полученные экспертами «Лаборатории Касперского» на основе срабатывания сервиса Kaspersky DDoS Prevention, большинство ботов или хостов, атакующих веб-ресурсы Рунета, расположены непосредственно на территории России (около 44%). Немалая часть атак также «приходит» в русскоязычное интернет-пространство из США (около 7,5%) и с Украины (чуть больше 5%). В целом из 10 стран, занявших верхние строчки этого нерадостного рейтинга, 7 находятся в Азии.
Злоумышленники, чтобы обеспечить недоступность ресурса и заработать деньги, используют различные виды атак, зачастую их комбинируя. Большинство видов атак воздействуют только на конкретный ресурс. Но в погоне за наживой злоумышленники готовы применить инструмент, способный сделать в Интернете недоступным все, что угодно: от отдельного провайдера до сегмента сети. Это своего рода виртуальное оружие массового поражения.
Распространение атак типа DNS Amplification и усиление мощности и размаха DDoS-инцидентов позволяет специалистам говорить о смене тенденции: судя по всему, Рунет перестает быть своего рода «заповедником», где мощные атаки были редки, а интернет-провайдеры и хостеры могли обходиться без интеллектуального контроля трафика. Отличие показателей по DDoS-активности в Рунете и в остальном интернет-мире стремительно сокращается.
2012
Снижение прибыльности DDoS-атак
Эксперты по информационной безопасности отмечали, что количество `чистых` DDoS-атак как средства кибернападения в России в 2012 году уменьшалось. Они связывают это со снижением их прямой прибыльности для преступников. Предполагается, что в ближайшие год-два эти атаки переместятся в сферу политики, как внутренней, так и внешней, где и будут в `чистом` виде преимущественно применяться.
Основным же способом использования DDoS-атак станут комплексные кибератаки, среди которых наибольшую опасность для атакуемых представляют так называемые Advanced Persistent Threats — целенаправленные многоплановые продолжительные угрозы. Сегодня разновидности таких атак доказывают свою разрушительность в сфере дистанционного банковского обслуживания, где DDoS-атаки используются как `дымовая завеса`, блокирующая взаимодействие банка и жертвы в процессе проведения атаки и выигрыша времени атакующими для успешного завершения кражи денег и принятия мер к заметанию следов.
Что думают о DDos-атаках в России
Еженедельник PC Week/RE провел весной 2012 года среди своих читателей опрос с целью выяснить, насколько корпоративные компьютерные пользователи России нуждаются в защите от DDoS-атак.
Более половины (56%) ответивших считают, что защита им нужна, и готовы организовать ее на стороне своей корпоративной сети передачи данных. Примерно 25% опрошенных предъявили еще более высокие требования к защите от DDoS-атак — они хотят иметь ее как на своей стороне, так и на стороне обслуживающего их оператора связи. Около 5% принявших участия в опросе представителей российских компаний хотят потреблять эту защиты в виде услуги и всецело полагаются в ее организации на силы внешних провайдеров.
По результатам опроса можно сделать однозначный вывод, что защита от DDoS-атак российским компаниям нужна — ведь только 12% принявших участие в опросе готовы отказаться от нее (оставшиеся 2% респондентов пока еще не определились с этим). Существенно, что 59% опрошенных работают в крупных (по российским масштабам) структурах, в которых количество компьютеризированных рабочих мест превышает 500; 32% респондентов опроса представляли фирмы с количеством рабочих компьютеров от 25 до 500; 9% участников опроса относятся к сегменту небольших организаций с количеством компьютеров менее 25. Наибольшую активность в опросе проявили госслужащие — их 63%; 29% участников из частного сектора; оставшиеся 8% респондентов работают в структурах с иной формой собственности.
Примечания
- ↑ Отражена кибератака на сервисы Курской области
- ↑ ГК "Солар" видит существенный рост кибератак на ИТ-ресурсы РФ
- ↑ ФТС сообщила о проблемах информобмена с участниками ВЭД из-за DDoS-атаки
- ↑ Хакеры заходят с тыла
- ↑ Прогноз развития рынка кибербезопасности в Российской Федерации на 2024-2028 годы
- ↑ Круглосуточное противодействие угрозам: итоги 2023 года
- ↑ В рунете нашли DDoS-атаки продолжительностью почти в два года
- ↑ Назван сектор российской IT-сферы, пострадавший от рекордных DDoS-атак в 2023 году
- ↑ Хакеры работают по площадям
- ↑ Названа неочевидная опасность DDoS-атак
- ↑ Хакеры в январе начали новую волну атак на российские компании с рекордом по мощности
- ↑ DDoS-атаки все чаще происходят с российских IP-адресов
- ↑ [https://rt-solar.ru/upload/iblock/02e/nns12uwyw3k2olfwq13o52aabrjrun2z/Otchet-ob-atakakh-na-onlayn_resursy-rossiyskikh-kompaniy.pdf Отчет об атаках на онлайн-ресурсы российских компаний за 2022 год]
- ↑ Аналитический отчет за 2022 год
- ↑ Хакеры научились использовать видеоняни для обхода защиты от DDoS атак по геолокации
- ↑ "Лаборатория Касперского" отследила самую продолжительную DDoS-атаку в России
- ↑ В марте в РФ зафиксировали рекордную 145-часовую DDos-атаку
- ↑ Хакеры Anonymous взломали сайты российских СМИ
- ↑ В России зафиксировали крупнейшую ботнет-атаку на ритейл
- ↑ «Ростелеком»: на фоне пандемии количество DDoS-атак на онлайн-торговлю выросло в два раза
- ↑ DDoS attacks increase 83%, Russia top victim
- ↑ Каждый четвертый российский банк столкнулся с DDoS-атаками в 2015 году
- ↑ «Лаборатория Касперского» оценила, во сколько обходится устранение последствий DDoS-атак