И грянул DDos

Такие выводы следуют из исследования Qrator Labs о статистике DDoS-атак и BGP-инцидентов во втором квартале 2021 г. По данным исследования именно UDP flood используется для генерации большого количества флуда из-за большого количества уязвимых серверов. Рост этого сегмента обусловлен увеличением доли атак полосой 10-100 Гбит/сек – это класс высокоскоростных атак, для организации которых часто используется техника Amplification публичных UDP-сервисов. Более сложные атаки, такие как SYN flood, также не сдают своих позиций: их доля во втором квартале составила 11,9%. Такие атаки опасны тем, что приводят в беспорядок инфраструктуру, "выключают" отдельные устройства, и бороться с ними путем простого сброса трафика не получается – для этого требуются более "умные" методы фильтрации. Теперь три основных "чистых" вектора атак – это UDP, IP и SYN-флуд, на которые приходится 78% всех DDoS-атак второго квартала. По данным исследования во втором квартале медианное время атаки составило 270 секунд, что близко к наблюдениям за 2020 г., когда этот показатель равнялся 300 секундам. По сравнению с первым кварталом 2021 г., медианное время атаки выросло значительно – со 180 секунд. Среднее время атаки выросло еще существеннее - с ~700 секунд в первом квартале до почти 2000 секунд во втором, увеличившись почти трехкратно. Большая продолжительность была почти универсальным правилом для атак второго квартала 2021 г. По сравнению с первым кварталом, во втором даже самые короткие атаки удвоились в продолжительности. Средняя пропускная способность всех DDoS-атак второго квартала 2021 г. составила 6,5 Гбит/с. В первом квартале эта цифра была чуть выше – 9,15 Гбит/с, тогда как в четвертом квартале 2020 г. данный показатель составил лишь 4,47 Гбит/с. При этом почти во всем мире май и июнь можно считать отпускными месяцами. А с увеличением продолжительности атаки это еще более тревожная, хотя и ожидаемая тенденция. Размер наибольшего наблюдаемого ботнета вырос практически в 2 раза: с 73 892 машин в 1 квартале 2021 г. до 137 696 – во втором. Большинство заблокированных IP-адресов, из которых состоял данный ботнет, были из Вьетнама, Индии, Индонезии и Таиланда. Проведение Чемпионата Европы по футболу 2021 оказало влияние на динамику атак на онлайн-ресурсы компаний из различных сфер бизнеса. На ряд индустрий нагрузка действительно упала. Например, атаки на игровой сектор сократились в 5 раз: с 11,74% до 2,29%, на сегмент FOREX – в 2 раза с 5,87% до 2,74%. Однако злоумышленники переключили внимание на другие сферы бизнеса. В частности, доля числа нападений на сегмент беттинга выросла в 4 раза: с 2,20% до 8,38%, продемонстрировав типичный сценарий организации заказных DDoS-атак в конкурентной среде. С началом Чемпионата Европы по футболу игроки индустрии ставок на спорт стали давать активную рекламу услуг в интернете, вкладывая значительные средства в маркетинг. Основатель и генеральный директор Qrator Labs Александр Лямин рассказал ComNews, что российская специфика DDoS-атак заключается в том, что в период проведения Евро-2020 наблюдался всплеск атак на многие ресурсы, связанные с футболом, такие как медиа, новостные агентства, ставки на спорт. "Все эти ресурсы продемонстрировали резкий рост DDoS-атак, говорит он. - Наиболее подверженными атакам индустриями во втором квартале стали промо-страницы, сегмент электронной коммерции и сайты СМИ. Россия соответствует всем мировым трендам в части DDoS-атак и идет даже с некоторым опережением. В частности, атаки, организованные с помощью нового ботнета, появление которого мы выявили в конце прошлого и наблюдали в течение всего первого полугодия 2021 г., были направлены именно на российский бизнес". Руководитель бизнеса кибербезопасности Tet (ранее Lattelecom) Артур Филатов отметил, что в период пандемии увеличились случаи атак на киберпространство, включая различные типы вредоносного ПО в электронных письмах, фишинговые атаки, а также атаки на устройства, используемые для удаленной работы. "Согласно экспертам Tet, самым популярным для DDoS-атак периодом стал второй квартал 2020 г. из-за массового перехода на работу из дома. За первое полугодие 2021 г. атаки приобрели более агрессивный характер. Так, теперь DDoS-атаки длятся еще дольше: если ранее они занимали десятки минут, то теперь хакеры могут атаковать компанию несколько часов, а затем повторить нападение. К тому же увеличилась и мощность атак. Согласно данным Tet, за первое полугодие 2021 г. 70% атак были до 1 гбит/сек, 27% атак пришлось на диапазон от 1 гбит/с до 10 гбит/с, 3% - свыше 10 гбит. Максимальный зарегистрированный показатель - 20,7 гбит/сек. Самым серьезным атакам в первом и втором кварталах 2021 г. подвергались финансовые учреждения и государственные структуры. Основные атаки были направлены не на саму инфраструктуру, а на конечных пользователей. Так, самой распространенной причиной утечки данных стали вредоносные файлы в письмах электронной почты и фишинг. По данным аналитиков Tet, с августа 2020 г. количество вредоносных файлов в электронных письмах выросло почти вдвое. Если на конец 2020 г. количество вирусных писем достигло 140 тыс., то в 2021 г. только за первое полугодие эта цифра составила 74 тыс.", - рассказал Артур Филатов. Отдельно он выделил скомпрометированное программное обеспечение, которое стало причиной удачных кибератак не только на крупных ИТ игроков, среди которых, Microsoft и VMware, но и на сами компании по обеспечению кибербезопастности, например, Solarwinds и Fireeye. "Так, современное ПО зачастую состоит из решений, написанных на основе открытого кода или созданных небольшими командами разработчиков. Хакеры пользуются этим, чтобы попасть в крупные системы с помощью малых звеньев в цепочке создания продукта. Исходя из данных первого полугодия, а также полученного прошлогоднего опыта, можно говорить о том, что основная цель киберпреступников не взлом системы безопасности предприятия, файрволла или облака, а атака на конечного пользователя инфраструктуры — сотрудников, партнеров, руководителей и т. д. Учитывая это, можно с уверенностью сказать, что сейчас многие компании уделяют большое внимание информационной грамотности и внедряют практику ограниченного доступа к служебной информации. Также мы ожидаем увеличения количества атак с помощью вредоносного ПО. Это говорит о том, что организациям, которые сами занимаются разработкой, придется внедрять новые или кардинально менять существующие процессы для контроля компонентов ПО и процесса разработки", - прокомментировал Артур Филатов. Ссылка на источник