Хакеры отказываются от политики в пользу коммерческих атак
Политически мотивированные интернет-хакеры уходят в прошлое. Эксперты DDoS-Guard говорят, что в России началась эпоха «коммерческих» атак: DDoS теперь чаще всего используют как один из наиболее доступных инструментов, чтобы быстро вывести конкурента из игры.
Кибермошенники не были оригинальны в 2023 году: бо́льшая часть их атак пришлась на российский финансовый сектор. Однако появился новый тренд: интернет-нападения теперь могут длиться по несколько дней, а небольшие DDos воспринимаются уже как белый шум.
Аналитики Qrator Labs рассказали, что развитие искусственного интеллекта повлекло увеличение активности ботов, что сильно сказалось на коммерческом секторе, появились признаки вновь начавшего набирать популярность коммерческого DDoS-а, внедрение технологий удаленного офиса привело к расширению каналов связи и, как следствие, к повышению интенсивности атак.
Лакомые индустрии
В 2023 году интернет-злоумышленники чаще всего атаковали сектор финансовых технологий — 36,88%. На втором месте расположился сегмент электронной коммерции с долей 24,95%. В топ-5 объектов для атак также вошли образовательные проекты (9,86%), онлайн-гейминг (7,34%), IT и телеком (6,01%).
На уровне микросегментов основной целью хакеров остаются банки — 28,31%, они атакуют их в периоды активного продвижения сезонных продуктов — кредитов и вкладов. В топ-5 также вошли электронные доски объявлений — 15,04%, образовательные платформы — 9,57%, онлайн-магазины — 8% и платежные системы — 7,05%.
География атак
Общее число IP-адресов, заблокированных в мире от атак, к концу года по сравнению с третьим кварталом увеличилось на 32,15%, с 40,15 млн до 53,06 млн. Это максимальный показатель за весь 2023 год. Россия — лидер по количеству блокировок, в 2023 году их было 22,3 млн, или 42,03% от общего числа в мире. В первую тройку также входят США и Китай с 6,23 млн (11,76%) и 2,65 млн (5%) блокировок соответственно. Также в этом списке Сингапур (1,49 млн), Германия (1,44 млн), Индонезия (1,17 млн), Бразилия (1,14 млн) и Индия (1,08 млн).
Долгая мучительная атака
Самой продолжительной непрерывной атакой по итогам 2023 года стал инцидент третьего квартала — атака на сегмент аэропортов. Мультивекторная атака длилась почти 3 дня — 71,58 часа, с 24 по 27 августа 2023 года. Вторую строчку по непрерывной продолжительности заняла атака, зафиксированная в первом квартале года в банковском секторе. Общая продолжительность атаки составила более 42 часов. Замыкает тройку лидеров атака на онлайн-магазины, которая произошла в четвертом квартале и продлилась почти 30 часов. Средняя продолжительность атак по итогам года составила 1,3 часа.
Эксперты по кибербезопасности очень редко раскрывают названия конкретных компаний, которых затронули атаки. Однако, например, известно, что одна из крупных DDoS-атак осенью прошлого года пришлась на «Аэрофлот», она была направлена на систему бронирования авиабилетов Leonardo. Это совместная разработка компании «Сирена-трэвэл» и «Ростеха». Тогда из-за сбоя было задержано более 16 рейсов в «Шереметьево».
«В феврале 2023 мы нейтрализовали DDoS-атаку с пиковой мощностью 2,8 млн запросов в секунду на небольшой веб-ресурс, посвященный видеоиграм. Длительность атаки составила около 10 минут, в потоке вредоносного трафика участвовали 2,5 тыс. уникальных IP-адресов. — привел еще один пример руководитель направления защиты на уровне веб-приложений в компании DDoS-Guard Дмитрий Никонов. — С точки зрения волюметрических показателей объем небольшой — всего 6 Гбит/с, но с точки зрения количества запросов это колоссальная нагрузка, с которой сайт без защиты самостоятельно бы не справился. Система фильтрации успешно подавила атаку».
«2023 год стал знаковым с точки зрения атак на уровне приложений, — объяснил генеральный директор Qrator Labs Дмитрий Ткачев. — Атаки стали более точечными и хорошо подготовленными. И не всегда их единственной целью является только отказ в обслуживании ресурсов жертвы. Например, злоумышленники с помощью L7-атак могут заставлять ресурсы жертвы горизонтально масштабироваться. Часто таким атакам подвергаются компании, арендующие серверы в облаке. При проведении атаки по формальным признакам ресурс жертвы не деградирует, поскольку при возрастании объемов трафика сервер начинает моментально масштабироваться и не допускает отказа в обслуживании. Однако по итогам периода заказчику это может грозить существенными финансовыми убытками, так как плата за утилизацию ресурсов облака может увеличиться в десятки раз».
Атакуют все!
Невероятно, но факт: до событий февраля-марта 2022 года DDoS-атак, длящихся годами, не было в принципе. Как говорят эксперты компании Servicepipe, раньше 90% атак развивались по принципу нарастания скорости. Тактика отказа от атаки из-за того, что компания встала под защиту, наблюдалась лишь в каждом десятом случае. При этом атаки прекращались не мгновенно, а спустя 3-4 часа.
В 2023 году 20% атак развивались по нарастающей: злоумышленники атаковали, и если не было результата, то увеличивали мощность вдвое. Если снова не было результата, увеличивали мощность ещё в несколько раз. Если и это не приводило к отказу сервиса в обслуживании, отступали. При этом 5% фиксируемых атак длились месяцами. Наиболее длительной в феврале 2024-го исполнилось 2 года.
Например, по данным Servicepipe, с 26 мая 2022 года длится атака на ресурс, связанный с АЗС. Один из маркетплейсов постоянно страдает от киберпреступников с 14 июля 2022 года, а игровой ресурс — с 26 февраля 2023 года.
Дмитрий Никонов из DDoS-Guard утверждает, что необязательно заказ убрать конкурента идет в рамках борьбы между гигантами индустрии. Например, жертвой мощнейшей атаки в 22,9 млн запросов в секунду (rps) стала небольшая региональная компания по доставке еды.
«10 лет назад крупнейшие атаки достигали 2-3 млн запросов в секунду. Если тогда жертвами становились только такие гиганты, как YouTube, теперь эти объемы отправляются в адрес рядовых сайтов», — говорит Дмитрий Никонов.
«DDoS-атаки стали более продуманными, хакеры тщательнее выбирают жертв. Раньше они направляли массовые атаки на сайты определенной тематики, например СМИ, без анализа защищенности. Теперь они проверяют наличие защиты и ее устойчивость. Это многократно повышает шансы вывести сайт из строя и не тратить ресурсы впустую», — подытоживает Дмитрий Никонов.