Организаторы DDoS-атак побили очередные антирекорды

Такой результат показала глобальная статистика ООО "Эйч-Эль-Эль" (Qrator Labs) по итогам III квартала 2023 г. По оценке аналитиков Qrator Labs, основным мотивом для атак в III квартале 2023 г. стала конкурентная борьба. "Коммерческие атаки в этом году возвращают популярность. DDoS-атаки стали действенным инструментом влияния на бизнес для злоумышленников со всеми вытекающими последствиями: репутационные риски, прямые финансовые потери, упущенная прибыль, сорванные маркетинговые акции, затраченные на восстановление работоспособности систем ресурсы и т.д.", - комментирует генеральный директор Qrator Labs Дмитрий Ткачев.

Как показала глобальная статистика Qrator Labs по итогам трех кварталов 2023 г., наиболее часто атакуемым стал микросегмент "Банки" - 27,74% всех атак. На второй строчке расположились "Электронные доски объявлений" - 16,16%, а третью строчку занял сегмент онлайн-образования - 9,5%. В пятерку лидеров также вошел сегмент "Платежные системы" - 6,71% и практически разделившие между собой пятую строчку сферы "Онлайн-магазины" и "Медиа" (4,53% и 4,78% соответственно). По итогам II квартала финансовый сектор также лидировал по числу атак. Однако в Qrator Labs ожидают всплеска атак на сегмент электронной коммерции в сезон распродаж ноября-декабря, так что распределение в конце года может заметно измениться.

https://www.comnews.ru/content/227786/2023-07-31/2023-w31/qrator-labs-v…

По оценке Qrator Labs, главной тенденцией III квартала 2023 г. стал рост продолжительности атак. Средняя продолжительность атак составила 66 минут, что больше показателя II квартала на 19 минут и сопоставимо с результатом I квартала. Самая длительная атака на один из объектов транспортной инфраструктуры продолжалась без малого трое суток, что стало абсолютным рекордом за весь период наблюдения.

Руководитель направления защиты от DDoS на уровне веб-приложений ООО "ДДОС-ГВАРД" (DDoS-Guard) Дмитрий Никонов считает, что, как и в первой половине года, по итогам девяти месяцев 2023 г. короткие атаки (до 20 минут) преобладают, однако налицо тенденция к росту популярности атаки длительностью более 24 часов: "Их число в III квартале 2023 г. более чем удвоилось по сравнению со II. К примеру, DDoS-Guard зафиксировал атаку продолжительностью 48 часов 36 минут. В целом мы наблюдаем, что сейчас злоумышленники делают упор не на новые сложные механизмы атак, а предпочитают наращивать их количество, мощность и продолжительность".

Аналитики Qrator Labs также зафиксировали снижение доли атак на уровень L7, которое составило 34% по сравнению с началом 2023 г.: "Для увеличения количества атак на уровне L7 нужны уязвимости, позволяющие создавать дешевые L7-атаки с возможностью генерации большого количества запросов в секунду. Без уязвимостей стоимость организации атак очень высока, поскольку арендовать реальные устройства и создать из них ботнет - очень дорого. Кроме того, нужно быть уверенным, как обойти механизмы защиты жертвы и насколько это выгодно с экономической точки зрения для нападающего".

По данным исследования ООО "Сторм Системс" (StormWall), за III квартал 2023 г. количество атак на российские организации уменьшилось на 28%. Основной целью DDoS-атак были критически важные отрасли, такие как госсектор (32% всех атак в России), финансовая отрасль (21%), транспортная сфера (14%). Как считают в StormWall, злоумышленники тем самым стремились причинить наибольший вред экономике страны и создать проблемы для населения.

https://www.comnews.ru/content/229531/2023-10-18/2023-w42/1009/iii-kvar…

Статистика по России, как отметили в пресс-службе Qrator Labs для ComNews, демонстрирует некоторое снижение, обратной стороной которого является усложнение атак: "Если прошлый год был беспрецедентным с точки зрения числа массовых атак, то сейчас этот тренд пошел на убыль, уступив место целевым атакам. Продолжается "соревнование брони и снаряда" - борьба мер защиты и способов нападения. Теперь вместо массовости перед злоумышленниками стоит задача обеспечения результативности. Количество атак падает, а их сложность и изощренность растут".

Руководитель отдела по информационной безопасности RooX Ольга Карпова, несмотря на это, считает, что прицельные атаки на российскую инфраструктуру не исчезли: "Недавний пример - атака на платежную систему "Мир".

Алексей Пашков, руководитель направлений WAF и Anti-DDoS ГК "Солар", также видит тенденцию на уменьшение средней мощности и средней продолжительности DDoS-атак, однако охват атак при этом увеличивается: "Мы видим существенный рост количества DDoS-атак - их число в III квартале 2023 г. выросло почти в два раза. Это означает, что злоумышленники стали уделять меньше внимания и времени атакам на конкретные организации - сегодня они преследуют цель атаковать как можно больше компаний. По нашим данным, злоумышленники в III квартале чаще атаковали отрасли телекома, госсектора и ИТ: в среднем по этим отраслям количество DDoS-атак на одну организацию за месяц с начала квартала выросло примерно в три раза. В III квартале также выросло число атак на организации, работающие в сфере строительства".

Дмитрий Никонов считает, что в III квартале и вовсе имел место рост числа DDoS-атак в России: "В 2023 г. система защиты DDoS-Guard уже отразила более 1,4 млн атак, побив внутренний антирекорд прошлого года. В III квартале 2023 г. количество атак увеличилось на 15% в сравнении со II кварталом и на 30,5% - с I кварталом".

"Основная специфика атак на российские организации заключается в том, что большинство атакующих не заинтересованы в финансовой прибыли от атак - они атакуют исключительно из-за своей гражданской позиции и являются так называемыми хактивистами. Однако профессиональные хакеры среди атакующих также присутствуют, они делятся на тех, кто хочет создать инфоповод, и тех, кто реально нацелен на недоступность систем", - такой видит российскую специфику руководитель команды направления web-аналитики Innostage Александр Черняков. Количество атак на российские организации, по его оценке, несколько снизилось, однако все равно оно остается кратно более высоким по сравнению с 2021 г.

По мнению руководителя направления экспертизы и аналитики ООО "Гарда Технологии" Алексея Семенычева, наиболее активно атакуют телеком-отрасль, с небольшим отставанием за ней следуют "транспорт и перевозки" и госсектор, замыкают пятерку топливно-энергетический комплекс и промышленность. По его оценке, российской спецификой является слабая активность злоумышленников в отношении ИТ-компаний: "Тут могут быть разные причины: с одной стороны, отечественные ИТ-гиганты больше не рассматриваются как конкуренты западным и, с точки зрения бизнеса, с ними не надо больше бороться подобными методами. С другой стороны, отечественные ИТ-корпорации не являются определяющими с точки зрения бюджета страны, а значит, атаки на них - дело своего рода престижа, но не более".

Алексей Семенычев считает, что основной мотивацией злоумышленников является политика, а не проявления конкурентной борьбы, как за рубежом.

Руководитель исследовательской группы ПАО "Группа Позитив" (Positive Technologies) Ирина Зиновкина также обращает внимание, что политически мотивированные DDOS-атаки остались актуальной проблемой для российских организаций - подобные инциденты характеризуются более разрушительным воздействием на инфраструктуру жертвы. При этом, по ее оценке, помимо классических DDOS-атак, хакеры используют смешанные (когда применяется сразу несколько типов вредоносного ПО) и многовекторные (когда атакуется не один ресурс, а несколько частей инфраструктуры - например, одновременно сеть и сайт компании) DDOS-атаки, что становится серьезной проблемой для организаций не только в России, но и по всему миру.

"Политически мотивированные хактивисты по-прежнему в деле и сменили тактику: к DDoS-атакам добавилась эксплуатация уязвимостей для взлома веб-ресурсов", - такую тенденцию видит Дмитрий Никонов.