«Лаборатория Касперского» обнародовала отчёт «DDoS-атаки во втором квартале 2018 года», освещающий основные тенденции развития распределённых атак типа «отказ в обслуживании».

Сообщается, что одним из самых популярных методов монетизации остаются DDoS-нападения на сайты, связанные с криптовалютами, и валютные биржи. Причём такие атаки используются не только для того, чтобы помешать конкурентам увеличить число инвесторов, но и как способ получить цифровые деньги незаконным путём.

Исследование говорит о том, что злоумышленники продолжают активно искать пути усиления DDoS-атак через новые и ранее открытые уязвимости в распространённом программном обеспечении. В частности, внимание киберпреступников привлекают экзотические «дыры» в сетевых протоколах.

В прошлом квартале лидирующее положение по числу атак сохранил Китай с результатом 59,03 %. На втором месте оказался Гонконг (17,13 %), а на третьем — Соединённые Штаты (12,46 %).

Среди регионов с наибольшим числом командных серверов ботнетов лидируют Соединённые Штаты (44,75 %), Южная Корея (11,05 %) и Италия (8,84 %).

Распределение командных серверов ботнетов по странам

Самая долгая атака во втором квартале продолжалась 258 часов (почти 11 дней), что немногим уступает рекорду предыдущего квартала — 297 часов (12,4 дня). При этом значительно выросла доля атак с Linux-ботнетов.

«Наиболее выгодными мишенями для злоумышленников, по всей видимости, продолжают оставаться кибервалюты, однако в ближайшее время можно ожидать как громких нападений, связанных со срывом киберчемпионатов, так и относительно мелких вымогательств, нацеленных на отдельных стримеров и игроков», — заключает «Лаборатория Касперского». 

«Лаборатория Касперского» опубликовала отчёт «DDoS-атаки в первом квартале 2018 года», в котором рассматриваются основные тенденции развития распределённых атак типа «отказ в обслуживании».

В январе–марте нынешнего года были зафиксированы атаки в 79 странах. Лидерство по числу атак в прошедшем квартале сохранил Китай с долей около 60 %. На втором и третьем местах находятся соответственно США и Южная Корея с результатом около 18 % и 8 %. Россия в рейтинге находится на десятой позиции с долей менее 1 %.

Распределение командных серверов ботнетов по странам

Основная активность организаторов DDoS-атак пришлась на первую и последнюю трети квартала. Максимальное количество нападений наблюдалось 19 января (666) и 7 марта (687 атак).

Любопытно, что в минувшем квартале зафиксирована самая продолжительная с 2015 года DDoS-атака. Она длилась 297 часов, или более 12 суток. Доля всех остальных относительно продолжительных атак (не менее 50 часов) выросла за квартал более чем в 6 раз — с 0,10 % до 0,63 %.

Соотношение атак с Windows- и Linux-ботнетов

В первую десятку стран по количеству командных серверов ботнетов входят Южная Корея (30,92 %), США (29,32 %), Китай (8,03 %), Италия (6,83 %), Нидерланды (5,62 %), Франция (3,61 %), Германия (3,61 %), Великобритания (2,41 %), Россия (2,01 %) и Гонконг (1,2 %).

Доля Linux-ботнетов в прошедшем квартале слегка уменьшилась по сравнению с концом 2017 года — 66 % вместо 71 %. Соответственно, количество Windows-ботнетов выросло с 29 % до 34 %. 

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в глобальном масштабе в последней четверти 2017 года.

Сообщается, что в октябре–декабре наблюдалось относительное затишье: по сравнению с предыдущим кварталом уменьшились и число, и продолжительность DDoS-атак. Отчасти это объясняется тем, что в последнее время были раскрыты и выведены из строя крупные ботнеты. Так, в начале декабря совместными усилиями ФБР, Microsoft и Европола был уничтожен ботнет Andromeda, существовавший с 2011 года.

Распределение DDoS-атак по странам

В четвертом квартале 2017 года DDoS-атаки затронули 84 страны. Для сравнения: кварталом ранее таким нападениям подверглись 98 государств.

Больше всего атак привычно пришлось на Китай — 59,18 %. На втором и третьем местах находятся США и Южная Корея с результатом 16,00 % и 10,21 % соответственно. Россия находится на шестой позиции: показатель нашей страны — 1,25 %.

Первая тройка стран по количеству командных серверов осталась прежней: Южная Корея (46,43 %), США (17,26 %) и Китай (5,95 %). При этом Поднебесной пришлось разделить третье место с Россией.

Распределение командных серверов ботнетов по странам

В четвертом квартале продолжился рост количества Linux-ботнетов: теперь их доля составляет 71,19 % по сравнению с 69,62 % в предыдущем квартале. Вместе с тем доля Windows-ботнетов уменьшилась с 30,38 % до 28,81 %.

Более подробно с результатами исследования можно ознакомиться здесь. 

«Лаборатория Касперского» опубликовала обзор DDoS-атак (распределённых атак типа «отказ в обслуживании») в третьем квартале нынешнего года.

Отмечается, что в июле–сентябре DDoS-атаки затронули 98 стран против 86 государств в апреле–июне. Чаще всего такие нападения нацелены на Китай: в минувшем квартале на цели в Поднебесной пришлось 63,30 % всех DDoS-кампаний. На втором месте с результатом 12,98 % находятся Соединённые Штаты, а замыкает тройку Южная Корея с 8,70 %. Россия оказалась на четвёртой позиции — 1,58 %. Кроме того, в пятёрку вошла Великобритания с 1,36 %.

Распределение DDoS-атак по странам

В третьем квартале 2017 года количество атак в день менялось от 296 (24 июля) до 1508 (26 сентября). Пиковые значения были также зафиксированы 27 июля (1399) и 24 сентября (1497). Относительное затишье наблюдалось 28 июля (300) и 25 сентября (297).

Основное количество DDoS-атак — 69,62 % — в течение квартала было осуществлено с Linux-ботнетов. Ещё 30,38 % пришлось на системы под управлением Windows.

Соотношение атак с Windows- и Linux-ботнетов

Организаторы нападений, помимо грубой силы, теперь стараются брать умением. Так, в середине августа компания Imperva описала технологию Pulse Wave, которая усиливает мощность DDoS-атаки за счёт уязвимостей в гибридных и облачных технологиях.

Среди особенностей минувшего квартала можно также выделить участившиеся атаки на ICO-платформы — тема криптовалют в последние месяцы активно обсуждается, и злоумышленники пользуются этим.

Более подробно с отчётом «Лаборатории Касперского» можно ознакомиться здесь. 

«Лаборатория Касперского» рассказала о тенденциях развития DDoS-атак (распределённых атак типа «отказ в обслуживании») во втором квартале текущего года.

В период с апреля по июнь DDoS-нападения были зафиксированы по целям из 86 стран мира, что на 14 больше, чем в предыдущем квартале. Наибольшая часть атак пришлась на Китай — 58,07 %. На втором месте находится Южная Корея (14,17 %), а замыкают тройку Соединённые Штаты (14,03 %). Россия с результатом в 1,23 % оказалась на шестой позиции.

Распределение DDoS-атак по странам

Во втором квартале 2017 года количество атак в день менялось от 131 (17 апреля) до 904 (13 апреля). При этом распределение по операционным системам почти сбалансировалось: доля Linux-ботнетов составила 51,23 %, а Windows — 48,77 %.

В прошлом квартале в глобальный арсенал киберпреступников вернулись длительные DDoS-атаки. Рекордная продолжительность составила 277 часов, что на 131 % больше, чем в первом квартале (120 часов), и почти достигает рекорда второго квартала 2016 года (291 час).

Динамика числа DDoS-атак

Другой особенностью квартала стало увеличения количества DDoS-атак, осуществляемых с целью вымогательства. Такой подход получил название Ransom DDoS, или RDoS. Злоумышленники посылают компании-жертве сообщение с требованием выкупа, который может составлять от 5 до 200 биткоинов. В случае неуплаты они обещают организовать DDoS-атаку на критически важный онлайн-ресурс жертвы. Сообщения зачастую сопровождаются кратковременными атаками в качестве демонстрации силы.

Во втором квартале 2017 года самым «тихим» в отношении DDoS днём остался понедельник (11,74 % атак), а вот наиболее напряженным стало воскресенье (15,57 %), за счёт снизившейся субботней активности (с 16,05 % в первом квартале до 14,39 %). Вторым по активности днём является четверг (15,39 %). 

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в первом квартале 2017 года.

Сообщается, что интенсивность DDoS-кампаний снизилась. В первом квартале были зафиксированы атаки по целям, расположенным в 72 странах мира, что на 8 % меньше, чем в четвёртом квартале 2016 года.

Распределение DDoS-атак по странам

Радикально сократилась продолжительность DDoS-атак: самая долгая длилась 120 часов, что на 59 % меньше, чем в последней четверти 2016-го, когда была отмечена атака в 292 часа. В целом 99,8 % атак длились менее 50 часов.

Больше всего атак зафиксировано в Китае (55,11 %), хотя доля этой страны оказалась на 21,9 % ниже, чем в предыдущем квартале. За счёт этого нарастили свои доли Южная Корея (22,41 % против 7,04 % в четвёртом квартале 2016), занявшая второе место, и Соединённые Штаты (11,37 % против 7,30 %), которые замыкают тройку.

Распределение DDoS-атак по дням недели

По дням число атак в первом квартале 2017 года распределилось в диапазоне от 86 до 994, с пиковыми значениями 1 января (793), 18 февраля (994) и 20 февраля (771). Самыми спокойными днями квартала оказались 3 февраля (86), 6 февраля (95), 7 февраля (96) и 15 марта (91).

В целом, в первом квартале 2017-го самым спокойным днём недели с точки зрения интенсивности DDoS-кампаний остался понедельник, на долю которого пришлось 12,28 % атак, а самым напряжённым — суббота (16,05 %).

Распределение командных серверов ботнетов по странам

Отмечается также, что лидером по числу выявленных серверов управления и контроля остаётся Южная Корея. При этом её доля в квартальном исчислении выросла с 59 % до 66,49 %. На второе место вышли США с 13,78 %, а Нидерланды с долей 3,51 % вытеснили из тройки лидеров Китай (1,35 %). В сумме первая тройка собрала 83,8 % командных серверов.

С полным отчётом «Лаборатории Касперского» можно ознакомиться здесь. 

20-летний британец на два года отправился в заключение за создание программы, с помощью которой было осуществлено более 1,7 миллиона атак на PlayStation Network, Xbox Live, Minecraft и TeamSpeak. Адам Мадд (Adam Mudd) разработал Titanium Stresser, когда ему было 16 лет. Он продавал программу неназванным киберпреступникам, на чём заработал более $494 тысяч.

Bedfordshire police/PA

По данным источника, Мадд признал себя виновным в одном случае совершения несанкционированных действий с намерением нарушить работу компьютеров; одном случае создания, предоставления или предложения предоставить средство для осуществления преступления, противоречащего Закону о неправомерном использовании компьютеров; и одном случае сокрытия собственности, полученной преступным путём.

Судья Майкл Топольски (Michael Topolski) сказал, что приговор должен иметь «реальный элемент сдерживания»: он отказался уменьшить срок, как того попросил адвокат Мадда Бен Купер (Ben Cooper). По словам адвоката, Мадд «был втянут в кибермир онлайн-игр и “потерялся в альтернативной реальности” после ухода из школы из-за издевательств».

«Я полностью удовлетворён вашим полным пониманием того, что это была не просто игра ради развлечения, — сказал Мадду в ходе процесса Топольски. — Это был серьёзный бизнес, который приносил деньги, и ваше программное обеспечение делало то, для чего вы его и создали».

Согласно The Guardian, «Мадд не проявил никаких эмоций, когда его отправили в учреждение для несовершеннолетних правонарушителей».

«Суд выяснил, что у Мадда, который жил с родителями, был ранее не диагностированный синдром Аспергера, и его больше интересовал статус в сообществе онлайн-игроков, чем деньги», — говорится в отчёте.

С декабря 2013 года по март 2015 года Мадд совершил 594 DDoS-атаки на 181 IP-адрес. Под прицел, в частности, попал онлайн-проект RuneScape — на его серверы обрушилось 25 тысяч атак. Издатель игры Jagex потратил на борьбу с ними почти $7,7 миллиона.

«Лаборатория Касперского» изучила структуру киберпреступного рынка DDoS-атак — распределённых атак типа «отказ в обслуживании».

DDoS-нападения являются одним из самых популярных инструментов в арсенале сетевых злоумышленников. Такие атаки обычно проводятся с заражённых вредоносным программным обеспечением компьютеров и устройств. В случае успешного нападения доступ к предоставляемым ресурсам оказывается сильно затруднён или вообще невозможен.

Как установила «Лаборатория Касперского», DDoS-атаки сегодня становятся всё более недорогим и эффективным инструментом в руках злоумышленников. Процесс организации таких нападений по уровню сервиса уже вполне сравним с обычным бизнесом. Главное отличие состоит в том, что у исполнителя и заказчика нет прямого контакта друг с другом: заказ атаки осуществляется с помощью веб-систем, через которые можно выбрать нужную услугу, внести оплату и даже получить отчёт о проделанной работе.

Себестоимость организации подобной атаки составляет примерно 7 долларов в час, тогда как ущерб достигает тысяч и миллионов долларов. На стоимость влияет множество факторов — в частности, сценарий нападения и источник: так, ботнет из IoT-устройств стоит дешевле, чем ботнет, организованный из серверов. Кроме того, имеет значение длительность инцидента и местонахождение заказчика: к примеру, организация DDoS-атаки на англоязычных ресурсах стоит дороже аналогичных предложений на русскоязычных.

Большое значение имеют особенности конкретной жертвы. Атаки на государственные сайты, а также на ресурсы, защищаемые от DDoS с помощью специальных решений, стоят в разы дороже, потому что атаковать первые рискованно, а вторые — технически сложно.

Злоумышленники также практикуют шантаж, требуя выкуп за то, чтобы не начинать DDoS-атаку или прекратить уже идущую. Сумма выкупа может составлять тысячи долларов в биткойнах.

Более подробно о киберпреступном рынке DDoS-атак можно узнать здесь. 

В конце минувшей недели официальный сайт Минздрава РФ подвергся массивной хакерской атаке, из-за чего пришлось временно (на 14 минут) отключить портал.

Министр здравоохранения РФ Вероника Скворцова

«Технические службы Минздрава России отразили самую масштабную за последние годы хакерскую атаку, — сообщил в воскресенье журналистам директор департамента общественного здоровья и коммуникаций министерства Олег Салагай. — Вчера ночью информационные ресурсы министерства подверглись массированной хакерской DDoS-атаке, которая в пиковом режиме достигала 4 миллионов запросов в минуту».

Салагай подчеркнул, что никаких последствий хакерская атака не имела, персональные данные, составляющие врачебную тайну, затронуты не были, так как находятся в защищённой части сети, не связанной с Интернетом. По его словам, в субботу по поручению министра здравоохранения РФ Вероники Скворцовой были протестированы все информационные ресурсы министерства — все службы ведомства работают в штатном режиме.

«Доктор Веб» сообщил о проведении DDoS-атаки на свой корпоративный сайт, в связи с чем некоторые онлайновые сервисы стали недоступны.

DDoS-атаки, или распределённые атаки типа «отказ в обслуживании», обычно проводятся с заражённых вредоносным программным обеспечением компьютеров и устройств. В случае успешного нападения добросовестные пользователи системы не могут получить доступ к предоставляемым ресурсам, либо этот доступ серьёзно затруднён.

Именно такой результат наблюдался в случае атаки на серверы «Доктора Веба». В минувший четверг, 26 января, корреспондентам 3DNews получить доступ к основному сайту компании не удавалось.

Впрочем, сейчас работоспособность ресурса восстановлена. По состоянию на 27 января каких-либо проблем с работой онлайновых служб «Доктора Веба» не наблюдалось. Однако сама компания говорит о возможных затруднениях с доступом к отдельным сервисам.

«Обращаем ваше внимание на то, что DDoS-атака не несёт опасности для личных данных пользователей или каких-либо ресурсов компании, так как представляет собой большое количество автоматически сгенерированных запросов к сетевому ресурсу с целью затруднить к нему доступ. Внутренние ресурсы компании также не испытывают перебоев в работе, так что вирусные базы составляются и обновляются оперативно, защите наших пользователей от вредоносного программного обеспечения ничто не угрожает», — говорится в сообщении компании. 

В ходе спецоперации, которую провела Международная организация уголовной полиции (Интерпол), были задержаны тридцать четыре человека, в том числе и подростки. Все они обвиняются в использовании инструментов для DDoS-атак.

DDoS-атаки становятся всё сложнее и масштабнее

Проведение подобных спецопераций вызвано необходимостью, поскольку количество масштабных кибератак в последнее время выросло до слишком высокого уровня. Среди последних крупных DDoS-атак можем отметить атаку на сеть Европейской комиссии, на провайдера Dyn. Такие атаки не редкость и в России. Уже неоднократно отмечались попытки дестабилизировать работу банков. А не так давно «Лаборатория Касперского» зафиксировала первые в России DDoS-атаки, осуществлённые через соединения, защищённые шифрованием.

Во многих DDoS-атаках участвуют подростки

Двенадцать подозреваемых были арестованы в Великобритании в рамках расследования, которое ведёт Национальное антикриминальное агентство (NCA). Также силовые структуры в 13 странах провели задержания в период с пятого по девятое декабря. По словам NCA, она охотилась на злоумышленников, использующих компьютерную программу Netspoof. Эта утилита позволяет направлять огромные объёмы трафика на веб-сайты и веб-серверы, временно блокируя их работу.

Среди задержанных — 27-летний житель Шотландии, который обвиняется в нарушении Computer Misuse Act. Также в рамках международной спецоперации арестован гражданин США за участие в DDoS-атаке, приостановившей работу чат-сервиса в Сан-Франциско. Шон Шарма (Sean Sharma), 26-летний студент из Калифорнии, поступил в магистратуру в Университет Южной Калифорнии и имел все шансы построить беззаботную карьеру, но теперь ему грозит 10 лет тюрьмы. Его дело ведёт ФБР.

Интерпол ставит перед собой задачу не только наказать злоумышленников, но и попытаться оградить молодых начинающих хакеров от становления на криминальный путь. В ходе расследований более 100 юных дарований были допрошены и предупреждены. Многие из них не старше 20 лет. Были проведены обыски в их домах, а соответствующие уведомления вручены родителям.

«Лаборатория Касперского» зафиксировала первые в России DDoS-атаки, осуществлённые через соединения, защищённые шифрованием.

Эксперты отмечают, что шифрование серьёзно усложняет работу специализированных систем, предназначенных для защиты от DDoS-атак. В ходе таких нападений раскодирование трафика «на лету» для анализа содержимого сетевых пакетов зачастую попросту невозможно по техническим причинам. А это означает, что эффективность атак существенно возрастает.

Зафиксированные в России DDoS-атаки с шифрованием были нацелены на одно из известных СМИ. Злоумышленники задействовали метод Wordpress Pingback, суть которого сводится к эксплуатации уязвимости в платформе WordPress.

Схема нападения предусматривает вовлечение сайтов, построенных с применением Wordpress CMS с включенным режимом Pingback, изначально созданным для автоматического оповещения авторов об обновлениях в их постах. Киберпреступники отправляют на такие сайты специально созданный http-запрос с ложным обратным адресом (адресом жертвы), на который сервер отсылает ответы. Атака формируется из потока подобных ответов, в результате чего возникают сбои в работе веб-ресурса жертвы.

В данном случае атака была дополнена шифрованием потока трафика в направлении жертвы. Такие нападения могут создавать большую нагрузку на атакованный ресурс, чем стандартные, поскольку установка зашифрованного соединения является более сложной с технологической точки зрения. 

Масштабные DDoS-атаки стали настолько частым явлением, что практически каждый пользователь Интернета хотя бы раз слышал о подобных инцидентах. В конце октября сообщество взбудоражила новость об атаке на провайдера Dyn, в которой участвовали до 100 тысяч устройств, а работа многих популярных сайтов и сервисов была нарушена в течение нескольких часов. Не так давно мы сообщали о массовой атаке на несколько крупных российских банков. И вот ещё одна жертва киберпреступников — Европейская комиссия.

DDoS-атаки стали распространённым явлением

Как отмечает издание Politico, мощная DDoS-атака на несколько часов лишила доступа в Интернет сотрудников Европейской комиссии. Технический отдел организации в четверг в шесть часов вечера разослал пользователям уведомления, в которых причина отключения Интернета объясняется атакой типа «отказ в обслуживании».

На этот раз от киберпреступников пострадала Еврокомиссия

К счастью, все данные остались неповреждёнными. Атака быстро была отражена, хотя доступ к Сети на некоторое время всё же прервался. Самым крупным убытком стали упущенные человеко-часы, так как после обеда никто не мог полноценно работать.

Атака началась в три часа дня по местному времени. Миллионы запросов были отправлены на сайт Еврокомиссии, а также сетевые шлюзы, отвечающие за доступ к Интернет, в одночасье. В настоящее время специалисты технического отдела ведут подготовительные действия к отражению потенциальных следующих волн атаки, которые часто следуют в таких случаях.

Пока что основной источник атаки остаётся неизвестным, либо специалисты не пожелали разглашать имеющуюся информацию.

«Доктор Веб» обнаружил ботнет, который используется злоумышленниками для организации атак на российские финансовые учреждения. Предположительно, именно эта сеть зомбированных устройств была задействована в ходе недавней DDoS-кампании против ряда крупнейших отечественных банков.

Как мы сообщали, на прошлой неделе DDoS-атакам подверглись как минимум пять известных финансовых организаций из рейтинга Топ-10. Это, в частности, «Сбербанк» и «Альфа-банк».

«Доктор Веб» отмечает, что идентифицированный ботнет причастен к атакам на «Росбанк» и «Росэксимбанк». Злоумышленники применяют троянскую программу BackDoor.IRC.Medusa.1, которая относится к категории IRC-ботов (Internet Relay Chat). Подключаясь к определённому чат-каналу, зловред ожидает от злоумышленников специальных директив. Основное предназначение трояна заключается в выполнении DDoS-атак.

Обнаруженная вредоносная программа может выполнять несколько типов атак, а также по команде злоумышленников загружать и запускать на заражённом компьютере исполняемые файлы.

Киберпреступники активно продвигают BackDoor.IRC.Medusa.1 на подпольных форумах, заявляя, что ботнет из 100 зараженных компьютеров способен генерировать до 20–25 тыс. запросов в секунду с пиковым значением в 30 тыс. В качестве доказательства приводится график тестовой атаки на http-сервер NGNIX: 

Нажмите для увеличения

Несколько крупных российских банков подверглись распределённым атакам типа «отказ в обслуживании» (DDoS), о чём сообщает сетевое издание «РИА Новости» со ссылкой на источники, близкие к ЦБ.

Отмечается, что атаки начались ещё 8 ноября ориентировочно в 16:00 по московскому времени. Нападениям подверглись веб-сайты как минимум пяти известных финансовых организаций из рейтинга Топ-10. В частности, информацию об атаках подтвердили представители «Сбербанка» и «Альфа-банка».

По данным «Лаборатории Касперского», киберпреступники применяют многовекторные атаки типов syn-flood (атаки на исчерпание ресурсов операционной системы) и http-flood (атаки на веб-сервер с целью вызвать перегрузку и прекращение доступа к ресурсу). «Это сложные атаки, которые практически невозможно отбить стандартными средствами защиты, которые используют операторы связи», — отмечают эксперты.

Серия зафиксированных атак — это первая в нынешнем году DDoS-волна, направленная на российские банки. Мощность атак достигает 660 тысяч запросов в секунду. Они генерируются при помощи ботнета — сети зараженных устройств, расположенных в 30 странах по всему миру. В общей сложности эта сеть насчитывает более 24 тыс. инфицированных машин.