Взрывной рост DDoS-атак

Эксперты Qrator Labs отмечают, что 2021 г. тоже начался взрывным образом - с DDoS-атаки интенсивностью 750 Гбит/с, состоящей в основном из DNS-амплифицированного трафика. Ранее атаки интенсивностью более 1 Тб/с могли длиться несколько часов, были выматывающими, хорошо подготовленными, при этом стоили десятки тысяч долларов и были точечно направлены на конкретную жертву.

В отчете сообщается, что в 2020 г. выросла популярность специальных сервисов для организации DDoS-атак - так называемых бутеров (booters). Владельцы таких сервисов, как правило, принимают оплату кредитной картой и могут организовать атаку на любой IP, установленный в качестве их цели. Теперь терабитные скорости стали доступны через "бутеры", а потому динамичность атак возросла, а время проведения - сократилось.

По сообщению Qrator Labs, если раньше DDoS-атаку скоростью в несколько Тб/с и стоимостью в десятки тысяч долларов злоумышленники должны были отработать на все 100%, то сегодня можно заказать атаку на такой же скорости, но длительностью несколько минут всего за $100, и если она не сработает, то дальше деньги на продолжение нападения можно не тратить.

Подтверждением этого стало снижение длительности атак, наблюдаемое Qrator Labs: медианная продолжительность DDoS-атаки теперь составляет около 5 минут, поскольку в случае неуспеха злоумышленники не тратят время на продолжение атаки, а заказчик - деньги на ее оплату. Этот тренд появился в 2020 г. и продолжит свое развитие в течение ближайших нескольких лет.

В отчете говорится, что распространение вируса COVID-19 по всему миру, а также карантин, в условиях которого оказались страны в 2020 г., заметно сказались на характере DDoS-атак и их распределении по различным индустриям. Наиболее атакуемыми сферами бизнеса оказались электронная коммерция, образование, игровые сервисы и букмекерские конторы, продемонстрировав однозначный рост атак на уровне выше среднего.

"Повышенное внимание злоумышленников к этим индустриям является наглядной иллюстрацией, как в условиях кризиса и сокращающегося рынка некоторые игроки прибегают в том числе к внерыночным методам конкурентной борьбы, то есть к организации DDoS-атак на своих конкурентов", - комментирует основатель и генеральный директор Qrator Labs Александр Лямин.

Серьезный рост числа DDoS-атак показал сегмент онлайн-образования, таким образом, "школьный" DDoS занял почетное второе место в списке, обогнав по своим показателям даже игровую индустрию. Доступность инструментов для организации атак на отказ в обслуживании в комбинации с нежеланием школьников учиться в онлайн-режиме привели к агрессивному росту числа нападений на сектор образования в течение всего 2020 г.

Рост количества атак на сектор онлайн-игр и букмекерских контор также является типичным отражением паттерна карантина, когда пользователи сидят дома и их единственным развлечением становятся игры и различного рода ставки.

В пресс-службе Qrator Labs рассказали, что DDoS-атаки - это явление глобальное, наднациональное, соответственно, и российские тенденции в этой области практически не отличаются от мировых. "Единственное, что можно выделить, - это сегмент e-commerce, который отвечает за оперативную доставку продуктов. В России эта сфера исключительно динамично развивается, гораздо быстрее, чем в Европе и Азии, и высокая конкуренция здесь порождает волны атак. Все остальные тренды в России: атаки на сферы беттинга, игр и образования - схожи с общемировыми", - сообщили в пресс-службе Qrator Labs.

По словам представителя пресс-службы Qrator Labs, в 2021 г. ожидается активный рост динамичных и интенсивных атак. Подобные DDoS-атаки появились в конце прошлого года, а в 2021 г. их скорости в несколько Тб/с уже стали доступны на заказ, а значит, в этом году все онлайн-сервисы неизбежно столкнутся с массивными и выматывающими нападениями. "Минута простоя для всего российского сегмента e-commerce суммарно будет стоить миллиарды рублей. Это прямые потери, не считая репутационных", - сообщили в пресс-службе Qrator Labs.

По данным отчета Group-IB Hi-Tech Trends 2020/2021, основную угрозу DDoS-атаки в 2020 г. представляли для телекоммуникационного сектора. Зафиксированы новые рекорды мощности DDoS-атак: 2,3 Тб/с и 809 млн пакетов в секунду.

"Согласно отчету Amazon за I квартал 2020 г., служба AWS Shield в середине февраля отразила самую крупную DDoS-атаку из когда-либо зафиксированных, объем которой достигал 2,3 Тб/с. Она проведена с использованием взломанных CLDAP веб-серверов и продолжалась в течение трех дней. CLDAP (Connectionless Lightweight Directory Access Protocol) - это альтернатива более старому LDAP, который злоумышленники используют с 2016 г. С помощью CLDAP-сервера они способны отразить и приумножить DDoS-трафик в 76 раз от его первоначального объема. Предыдущий рекорд - 1,7 Тб/с - зафиксирован в марте 2018 г. 21 июня 2020 г. Akamai сообщила об атаке на европейскую финансовую организацию объемом 809 млн пакетов в секунду (MPPS). Важная особенность - подавляющее большинство трафика атаки (96,2%) получено от IP-адресов, которые не зарегистрированы в предыдущих атаках 2020 г., что указывает на появление новой бот-сети. Это нападение примечательно не только своими размерами, но и скоростью, с которой оно достигло своего пика, - примерно за две минуты. В общей сложности сбой продолжался чуть менее 10 минут", - рассказали в пресс-службе Group-IB.

Руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев рассказал, что в 2020 г. рост числа DDoS-атак в мире можно оценить в 20-30%, а в России еще больше. "Такая динамика связана с ростом проникновения в разные сферы устройств интернета вещей - именно уязвимые устройства злоумышленники используют для создания ботнет-сетей - и развитием сетей связи пятого поколения. Кроме того, в период пандемии возросла зависимость многих компаний от онлайн-каналов обслуживания, чем активно пользовались киберпреступники. В зоне наибольшего риска оказались торговые компании, сфера развлечений, ИТ-сервисы. Кроме того, хакеры стали активно атаковать образовательные и медицинские учреждения, а также органы власти", - подчеркнул Андрей Арсентьев.

По его словам, мощность DDoS-атак в прошлом году практически не выросла, поскольку многие атаки были организованы начинающими и малоопытными преступниками, которые зачастую брали в аренду ботнеты небольшой мощности. "Тем не менее зафиксирован ряд рекордных атак мощностью более 2 Тбит/с - например, на компанию Amazon. Судя по всему, в 2020 г. стало больше DDoS-атак, организованных с целью получения выкупа", - рассказал Андрей Арсентьев.

Менеджер по развитию бизнеса Kaspersky DDoS Protection в России Алексей Киселев также сообщает, что в 2020 г. общее количество атак увеличивалось. По его оценке, наибольшее количество пришлось на II квартал из-за пандемии и перемещения привычных процессов в онлайн-пространство. Во второй половине года ситуация выровнялась и стала не такой критичной: многие компании уже осознали необходимость внедрения защитных механизмов и пересмотрели отношение к кибербезопасности.

"В 2020 г. часто DDoS-атакам подвергались ресурсы государственных организаций, СМИ, правозащитников, образовательных учреждений, компаний, связанных со здравоохранением, финансами и телекоммуникациями. Злоумышленники продолжили использовать DDoS-атаки для вымогательства. Например, они рассылают организациям по всему миру письма с требованием выкупа в биткойнах, размер которого варьируется от 5 BTC до 20 BTC, и угрожают мощной и продолжительной DDoS-атакой в случае неуплаты. После этого жертву действительно заваливают мусорным трафиком, чтобы продемонстрировать, что угрозы не пустые", - сообщил Алексей Киселев.

По его словам, в последние годы типичными стали "школьные" DDoS-атаки. Это несложные атаки на ресурсы из сферы образования. Обычно из цели - сорвать онлайн-занятия или экзамены, ограничить доступ к дневникам.

Руководитель направления Anti-DDoS компании "Ростелеком-Солар" Тимур Ибрагимов отмечает, что количество DDoS-атак в 2020 г. показало кратный рост, который, по его мнению, связан с пандемией, самоизоляцией и переводом многих активностей в онлайн-формат. "Отчетливо видно, как с начала года киберпреступники наращивали свою активность. Ее пик пришелся на апрель, когда количество атак в сравнении с январем увеличилось на 88%. И до конца года активность хакеров оставалась умеренно высокой. При этом некоторые методы организации DDoS относительно простые и доступные, и их могут легко использовать в том числе и непрофессиональные хакеры. При этом весь прошлый год мы фиксировали снижение мощности DDoS-атак, что говорит о том, что многие из них организованы именно с использованием таких простых и доступных инструментов хакерами-любителями", - сообщил Тимур Ибрагимов.

По его оценке, основными мишенями злоумышленников при DDoS-атаках в 2020 г. были киберспорт, образование и особенно онлайн-ретейл.

"В сегменте онлайн-торговли мы фиксируем двукратный рост количества DDoS-атак, при этом 40% всех атак в прошлом году пришлись на IV квартал, когда многие продавцы проводят акции "черная пятница" и запускают распродажи к Новому году. DDoS может нарушить не только работу пользовательского сайта, но и внутренних ресурсов компании, остановив некоторые внутренние бизнес-процесс. Исходя из публично доступных данных о выручке крупных игроков рынка, можно предположить, что их ущерб от DDoS-атак в среднем достигает 600 тыс. руб. в день. Для небольшого магазина этот показатель может составлять 50-100 тыс. руб. в день", - рассказал Тимур Ибрагимов.

"В целом 2020 г. запомнился как год карантина и удаленной работы. Во многих сегментах рынка обострилась конкуренция, которой воспользовались мошенники и нечестные конкуренты. Вполне ожидаемо, что первое место по количеству атак - у сегмента электронной коммерции. Среди основных трендов ушедшего года были, конечно, и атаки на сегмент онлайн-образования, в том числе благодаря школьникам и студентам, которым идея учиться удаленно пришлась не по душе. Также увеличилось количество атак на онлайн-игры и сферу развлечений, так как количество пользователей из-за удаленного характера работы выросло", - рассказал главный архитектор проекта Инженерного центра Angara Professional Assistance (входит в группу компаний Angara) Виктор Федотов.

Он подчеркивает, что инструменты для злоумышленников становятся все более доступными и распространенными. Появляется все больше сервисов, которые предоставляют DDoS как услугу. За скромный гонорар данные сервисы - IP-стрессоры или "бутеры" - организуют DDoS-атаку, принимая оплату от любого человека. В 2020 г. их популярность выросла еще больше. Теперь терабитные скорости стали доступны и через них, а потому скорость атаки выросла, а ее длительность сократилась.

"В целом в 2020 г. медианная продолжительность DDoS-атаки составляла около 5 минут, поскольку в случае неуспеха злоумышленники не тратили время на продолжение атаки. Также на сокращение продолжительности DDoS-атак повлиял рост "школьных" атак, так как информации о способах организации атаки и незащищенных серверов меньше не стало. Многие компании осознали необходимость приобретения защиты от DDoS-атак, предпочитая комплексную услугу защиты от DDoS-атак и защиту веб-приложений с помощью WAF", - отмечает Виктор Федотов.