Киберпреступники взялись за старое
"Лаборатория Касперского" представила отчёт о DDoS-атаках через ботнеты во втором квартале 2018 года.
Согласно отчету, киберпреступники стали использовать для своих целей очень давние уязвимости. Например, эксперты сообщили о DDoS-атаках через известную с 2001 года брешь в протоколе Universal Plug-and-Play. А командой Kaspersky DDoS Protection были нейтрализованы нападения, организованные с применением уязвимости в протоколе CHARGEN, описанном еще в 1983 году. Несмотря на длительность существования и ограниченную сферу применения протокола, в интернете можно найти немало открытых CHARGEN-серверов – в основном принтеров и копировальных аппаратов. При этом использование старых приемов не мешает злоумышленникам создавать новые ботнеты. Так, в Японии для проведения DDoS-атак использовались 50 тысяч камер видеонаблюдения.
По данным экспертов "Лаборатории Касперского", за отчётный период DDoS-ботнеты атаковали онлайн-ресурсы в 74 странах. Впервые за историю отчётов на основе статистики DDoS Intelligence в первую тройку самых атакованных стран (а именно – на второе место) попал Гонконг (специальный административный район Китая), чья доля выросла в пять раз (17% от всех атак через ботнеты). На первом и третьем местах остались Китай и США соответственно, тогда как Южная Корея сместилась на четвертое место, а Россия спустились ниже десятого. Наиболее атакованными ресурсами в Гонконге оказались хостинговые сервисы и платформы для облачных вычислений. Интересно, что из первой десятки наиболее активных командных (С&C) серверов Гонконг выбыл, предоставив место Вьетнаму. В лидеры выдвинулись США с почти половиной (45%) всех активных серверов управления ботнетами за второй квартал 2018 года.
Одновременно с этим активность DDoS-ботнетов под Windows сократилась почти в семь раз, а активность ботнетов под Linux выросла на 25%. Таким образом, последние приняли на себя 95% всех DDoS-атак квартала, из-за чего также резко (с 57% до 80%) увеличилась доля атак типа SYN-флуд. SYN-флуд — одна из разновидностей сетевых атак типа отказ от обслуживания, которая заключается в отправке большого количества SYN-запросов (запросов на подключение по протоколу TCP) в достаточно короткий срок.
Одним из самых популярных методов монетизации DDoS-атак во втором квартале 2018 оставались нападения на криптовалютные и валютные биржи. Характерен случай с валютой Verge: хакер атаковал майнинговые пулы и похитил 35 миллионов XVG.
Продолжают страдать и игровые площадки, в частности, во время киберспортивных турниров. Причём, по сведениям "Лаборатории Касперского", DDoS-атаки распространяются не только на игровые серверы (что часто делается ради выкупа под угрозой срыва соревнований), но и на самих игроков, подключающихся с собственных площадок. В этом случае организованная DDoS-атака на ключевых игроков одной из команд может легко привести к её проигрышу и выбыванию из турнира. Аналогичным образом преступники пытаются монетизировать рынок стримов – каналов с трансляцией прохождения видеоигр. Конкуренция в этом сегменте очень высока, а с помощью DDoS-атак злоумышленники могут мешать проведению онлайн-трансляции и, соответственно, заработку стримера.
"У DDoS-атаки могут быть разные мотивы: политический или социальный протест, личная месть, конкурентная борьба. Однако в большинстве случаев они используются для получения прибыли. Именно поэтому преступники чаще всего атакуют те компании и сервисы, где "крутятся" большие деньги, которые можно или украсть, пользуясь DDoS-атакой как дымовой завесой, или получить в качестве выкупа за отмену DDoS-атаки, либо заработать проведя атаку в интересах недобросовестного конкурента. При этом полученные в результате вымогательства или кражи суммы могут составлять десятки, сотни тысяч и даже миллионы долларов. Наиболее выгодной инвестицией в этом контексте выглядит защита от DDoS-атак", – отметил руководитель проекта Kaspersky DDoS Protection в России Алексей Киселёв.