И грянул DDos
Такие выводы приводятся в исследовании Qrator Labs о статистике DDoS-атак и BGP-инцидентов во II квартале 2021 г. По данным исследования, именно UDP flood используется для генерации значительного количества флуда из-за большого числа уязвимых серверов. Рост этого сегмента обусловлен увеличением доли атак полосой 10-100 Гбит/с - это класс высокоскоростных атак, для организации которых часто используется техника Amplification публичных UDP-сервисов.
Более сложные атаки, такие как SYN flood, также не сдают своих позиций: их доля во II квартале составила 11,9%. Такие атаки опасны тем, что приводят в беспорядок инфраструктуру, "выключают" отдельные устройства, и бороться с ними путем простого сброса трафика не получается - для этого требуются более "умные" методы фильтрации. Теперь три основных "чистых" вектора атак - это UDP, IP и SYN-флуд, на которые приходится 78% всех DDoS-атак II квартала.
По данным исследования, во II квартале медианное время атаки составило 270 секунд, что близко к наблюдениям за 2020 г., когда этот показатель равнялся 300 секундам. По сравнению с I кварталом 2021 г. медианное время атаки выросло значительно - со 180 секунд. Среднее время атаки выросло еще существеннее - с ~700 секунд в I квартале до почти 2000 секунд во II, увеличившись почти трехкратно. Большая продолжительность была почти универсальным правилом для атак II квартала 2021 г. По сравнению с I кварталом, во II квартале даже самые короткие атаки удвоились в продолжительности.
Средняя пропускная способность всех DDoS-атак II квартала 2021 г. составила 6,5 Гбит/с. В I квартале эта цифра была чуть выше - 9,15 Гбит/с, тогда как в IV квартале 2020 г. данный показатель составил лишь 4,47 Гбит/с. При этом почти во всем мире май и июнь можно считать отпускными месяцами. А с увеличением продолжительности атаки это еще более тревожная, хотя и ожидаемая тенденция. Размер наибольшего наблюдаемого ботнета вырос практически в два раза: с 73 892 машин в I квартале 2021 г. до 137 696 во II квартале. Большинство заблокированных IP-адресов, из которых состоял данный ботнет, были из Вьетнама, Индии, Индонезии и Таиланда.
Проведение Чемпионата Европы по футболу - 2021 оказало влияние на динамику атак на онлайн-ресурсы компаний из различных сфер бизнеса. На ряд индустрий нагрузка действительно упала. Например, атаки на игровой сектор сократились в пять раз - с 11,74% до 2,29%, на сегмент FOREX - в два раза с 5,87% до 2,74%. Однако злоумышленники переключили внимание на другие сферы бизнеса. В частности, доля числа нападений на сегмент беттинга выросла в четыре раза, с 2,2% до 8,38%, продемонстрировав типичный сценарий организации заказных DDoS-атак в конкурентной среде. С началом Чемпионата Европы по футболу игроки индустрии ставок на спорт стали давать активную рекламу услуг в интернете, вкладывая значительные средства в маркетинг.
Основатель и генеральный директор Qrator Labs Александр Лямин рассказал ComNews, что российская специфика DDoS-атак заключается в том, что в период проведения Евро-2020 наблюдался всплеск атак на многие ресурсы, связанные с футболом, такие как медиа, новостные агентства, ставки на спорт. "Все эти ресурсы продемонстрировали резкий рост DDoS-атак, - говорит он. - Наиболее подверженными атакам индустриями во II квартале стали промостраницы, сегмент электронной коммерции и сайты СМИ. Россия соответствует всем мировым трендам в части DDoS-атак и идет даже с некоторым опережением. В частности, атаки, организованные с помощью нового ботнета, появление которого мы выявили в конце прошлого и наблюдали в течение всего первого полугодия 2021 г., направлены именно на российский бизнес".
Руководитель бизнеса кибербезопасности Tet (ранее Lattelecom) Артур Филатов отметил, что в период пандемии увеличились случаи атак на киберпространство, включая различные типы вредоносного ПО в электронных письмах, фишинговые атаки, а также атаки на устройства, используемые для удаленной работы. "Согласно экспертам Tet, самым популярным для DDoS-атак периодом стал II квартал 2020 г. из-за массового перехода на работу из дома. За первое полугодие 2021 г. атаки приобрели более агрессивный характер. Так, теперь DDoS-атаки длятся еще дольше: если ранее они занимали десятки минут, то теперь хакеры могут атаковать компанию несколько часов, а затем повторить нападение. К тому же увеличилась и мощность атак. Согласно данным Tet, за первое полугодие 2021 г. 70% атак были до 1 Гбит/с, 27% атак пришлось на диапазон от 1 Гбит/с до 10 Гбит/с, 3% - свыше 10 Гбит. Максимальный зарегистрированный показатель - 20,7 Гбит/с. Самым серьезным атакам в I и II кварталах 2021 г. подвергались финансовые учреждения и государственные структуры. Основные атаки были направлены не на саму инфраструктуру, а на конечных пользователей. Так, самой распространенной причиной утечки данных стали вредоносные файлы в письмах электронной почты и фишинг. По данным аналитиков Tet, с августа 2020 г. количество вредоносных файлов в электронных письмах выросло почти вдвое. Если на конец 2020 г. количество вирусных писем достигло 140 тыс., то в 2021 г. только за первое полугодие эта цифра составила 74 тыс.", - рассказал Артур Филатов.
Отдельно он выделил скомпрометированное программное обеспечение, которое стало причиной удачных кибератак не только на крупных ИТ-игроков, среди которых Microsoft и VMware, но и на сами компании по обеспечению кибербезопасности - например, Solarwinds и Fireeye. "Так, современное ПО зачастую состоит из решений, написанных на основе открытого кода или созданных небольшими командами разработчиков. Хакеры пользуются этим, чтобы попасть в крупные системы с помощью малых звеньев в цепочке создания продукта. Исходя из данных первого полугодия, а также полученного прошлогоднего опыта, можно говорить, что основная цель киберпреступников - не взлом системы безопасности предприятия, файрволла или облака, а атака на конечного пользователя инфраструктуры - сотрудников, партнеров, руководителей и т.д. Учитывая это, можно с уверенностью сказать, что сейчас многие компании уделяют большое внимание информационной грамотности и внедряют практику ограниченного доступа к служебной информации. Также мы ожидаем увеличения количества атак с помощью вредоносного ПО. Это говорит о том, что организациям, которые сами занимаются разработкой, придется внедрять новые или кардинально менять существующие процессы для контроля компонентов ПО и процесса разработки", - прокомментировал Артур Филатов.