По данным компании Netscout, специализирующейся на вопросах сетевой безопасности, некоторые хакеры научились использовать ПО Plex Media Server для усиления нежелательного трафика, направляемого к целям. Специалисты утверждают, что при правильном подходе Plex может увеличить интенсивность DDoS-атаки почти в пять раз, делая атаки гораздо более опасными.

extremetech.com

Plex — это программа для управления медиаконтентом и его потоковой трансляции, которую можно установить на компьютер или сетевое хранилище. Она способна каталогизировать и упорядочивать аудио- и видеоконтент, а также перекодировать медиафайлы в режиме реального времени, поэтому через клиент Plex их можно просматривать на любом устройстве. Однако приложение способно транслировать контент не только внутри, но и за пределами локальной сети. Этим и пользуются злоумышленники. Хотя пользователям нужна учётная запись для удалённого входа в систему, медиа-сервер Plex всё равно виден в общедоступном Интернете на порту 32414, который открывается через протокол обнаружения служб (SSDP) на совместимых маршрутизаторах.

extremetech.com

Для осуществления атаки не нужно входить на сервер Plex или устанавливать что-либо в локальной сети. DDoS просто заставляет Plex пинговать неверный IP-адрес. Он и является целью злоумышленника. Пакеты могут иметь размер до 281 байта, что в 4,86 раза превышает размер исходных данных. Netscout утверждает, что атаки, проведённые с помощью Plex, могут генерировать 2-3 Гбит данных в секунду, чего достаточно для того, чтобы «положить» небольшой веб-сайт.

Plex заявляет, что не знала об угрозе. В то же время Netscout сообщила, что этот тип атак уже широко распространён. По данным компании, для DDoS-атак используется около 27 тысяч серверов Plex. В данный момент единственным способом обезопасить свой медиа-сервер от использования в DDoS-атаках является отключение удалённого доступа или настройка брандмауэра маршрутизатора для блокировки всего UDP-трафика на порту Plex.

В третьем квартале 2020 года количество распределённых атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS), во всём мире увеличилось в полтора раза по сравнению с аналогичным периодом прошлого года. Об этом свидетельствует исследование «Лаборатории Касперского», базирующееся на данных системы мониторинга DDoS Intelligence (является частью решения Kaspersky DDoS Protection).

Распределение DDoS-атак по странам (источник: «Лаборатория Касперского»)

В плане географического распределения атак в тройке лидеров по-прежнему фигурируют Китай (71,2 %), США (15,3 %) и Гонконг (4,5 %). При этом основными инструментами операторов DDoS продолжают оставаться Linux-ботнеты (94,4 %) и SYN-флуд (94,6 %).

Пиковая нагрузка была зафиксирована 2 июля: тогда решения компании зафиксировали 323 атаки. Предыдущий рекорд — 298 атак в день — был зарегистрирован 1 апреля. В среднем в третьем квартале проводилось 106 атак в день, во втором — на 10 больше. По словам экспертов, это указывает на то, что объём мусорного трафика начал сокращаться, хотя по-прежнему остаётся значительным.

«Во втором квартале мы наблюдали аномальный рост DDoS-атак из-за пандемии и перемещения привычных нам процессов в онлайн-пространство. Нынешняя ситуация, по сравнению с этим скачком, не такая критичная: многие организации уже осознали необходимость внедрения защитных механизмов и пересмотрели отношение к кибербезопасности. К примеру, у нас было несколько запросов от организаций, производителей-масок, которые стали жертвами подобных атак. Раньше этот бизнес даже не думал о защите от DDoS, — комментирует Алексей Киселёв, менеджер проекта Kaspersky DDoS Protection «Лаборатории Касперского». — Мы рекомендуем всем, кто ещё не принял соответствующие защитные меры, не откладывать этот вопрос, тем более что к концу года активность злоумышленников традиционно возрастает».

С развёрнутой версией отчёта «Лаборатории Касперского» можно ознакомиться на сайте securelist.ru.

В период действия режима самоизоляции на фоне распространения коронавируса в российском сегменте глобальной сети было зафиксировано в пять раз больше DDoS-атак, чем годом ранее. Такие сведения приводятся в исследовании «Ростелекома», в основу которого положены данные системы мониторинга компании «Ростелеком-Solar».

По мнению аналитиков, столь серьёзный рост числа распределённых атак, направленных на отказ в обслуживании, обусловлен их дешевизной и эффективностью.

Так, в сравнении с январём 2020 года в марте количество атак увеличилось на 56 %, а в апреле, на который пришёлся пик хакерской активности, — уже на 88 процентов. При этом годом ранее динамика не была столь выраженной, а количество атак из месяца в месяц оставалось примерно одинаковым.

Наибольший объем атак в марте-мае пришёлся на сектор онлайновой торговли (31 %), который традиционно является одним из основных объектов для организаторов DDoS. Вторым по популярности стал государственный сектор (21 % атак). Далее следуют финансовая сфера (17 %), телеком (15 %), образование (9 %) и игровой сегмент (7 %).

С развёрнутой версией отчёта «Ростелекома» можно ознакомиться на сайте rt-solar.ru.

В связи с введением с 15 апреля в Москве и Московской области пропускного режима, на сайте мэрии столицы mos.ru началось оформление электронных пропусков для передвижения по городу. Однако желающие оформить разрешение столкнулись с проблемами с доступом к порталу.

Как сообщил оперативный штаб Москвы по борьбе с коронавирусом, проблемы вызваны бот-атакой на серверы портала, начавшейся утром 13 апреля.

«Расследованием источников и причин атаки будут заниматься правоохранительные органы», — сообщили в штабе, добавив, что атака шла в том числе из-за рубежа.

Глава департамента информационных технологий столичного правительства Эдуард Лысенко в интервью радиостанции «Эхо Москвы» отметил, что интенсивные атаки ботов продолжаются последние два квартала. По его словам, «инфраструктура отточена годами, но сложности с доступом возникают».

В оперштабе также предупредили, что в связи с высокой нагрузкой на сервер возможно увеличение времени ожидания ответа по вопросу оформления пропуска.

В свою очередь, гендиректор Group-IB Илья Сачков сообщил ресурсу РБК, что, начиная с февраля, было зафиксировано несколько DDoS-атак на инфраструктуру Москвы, включая портал mos.ru. «На данный момент специалисты Group-IB привлечены к расследованию ряда киберинцидентов, связанных с попыткой вмешательства в работу электронных сервисов Москвы, данные по ним постоянно обновляются», — сообщил Сачков.

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в последней четверти 2019 года.

Отмечается, что по сравнению с четвёртым кварталом 2018-го количество DDoS-кампаний увеличилось практически в два раза. В то же время рост по отношению к третьей четверти 2019 года оказался не слишком большим.

Эксперты зафиксировали значительное увеличение числа «умных» DDoS-атак. Кроме того, в минувшем квартале злоумышленники продолжили осваивать нестандартные протоколы, применение которых повышает вероятность успеха вредоносной кампании.

Прошлый квартал продемонстрировал рост количества пиринговых (P2P) ботнетов. В отличие от классических, они не зависят от командных серверов, поэтому их сложнее обезвредить.

Основная тенденция последнего квартала 2019 года — это увеличение активности ботнетов по воскресеньям. Доля атак именно в этот день недели возросла на 2,5 % — до 13 %. Хотя такие изменения могут показаться незначительными, стоит учитывать, что доля DDoS-атак по воскресеньям составляла около 10–11 % в течение других трёх кварталов прошлого года.

Первое место по количеству атак занял Китай с долей в 58,46 %. На втором месте оказались Соединённые Штаты с результатом в 17,49 %. Замыкает тройку Япония — 4,86 %. Россия в первую десятку не входит.

Распределение командных серверов ботнетов по странам / «Лаборатория Касперского»

Что касается географического распределения ботнетов, то их абсолютное большинство (58,33 %) оказалось зарегистрировано на территории США. На втором месте находится Великобритания (14,29 %), на третьем — Китай (9,52 %).

Более подробно с результатами исследования можно ознакомиться здесь. 

В начале этого месяца Сбербанк подвергся самой мощной DDoS-атаке за всю свою историю. Об этом в беседе с журналистами на Всемирном экономическом форуме в Давосе рассказал заместитель председателя правления банка Станислав Кузнецов.

По словам господина Кузнецова, в начале прошлого года в Сбербанке не видели тенденции к тому, что DDoS-атаки будут усиливаться, но знали, как им противостоять. «Подготовительные мероприятия» злоумышленников были зафиксированы осенью прошлого года. В конце 2019 года в Сбербанке поняли, что использование стандарта 5G фактически выводит на новый уровень риски при проведении атак такого типа.  

Очередная DDoS-атака была проведена 2 января 2020 года. Она оказалась примерно в 30 раз масштабнее, чем самая мощная из атак, зафиксированных в прошлом. Атака проводилась с использованием IoT-устройств (Internet of Things), которые работают автономно, и была направлена на два ресурса Сбербанка, но её удалось отразить в автоматическом режиме.

«Никаких последствий, безусловно, не было. Мы немедленно заявили об этой атаке в правоохранительные органы и передали им всю необходимую информацию», — сказал господин Кузнецов. Он также отметил, что компании из России, которые способны отразить столь мощную атаку, можно пересчитать по пальцам.

В Сбербанке считают, что в текущем году DDoS-атаки будут доставлять неприятности компаниям не только из России, но и по всему миру. По итогам 2019 года количество DDoS-атак на системы Сбербанка выросло на 15-20 % по сравнению с предыдущим аналогичным периодом. Ежедневно специалисты банка фиксируют до 300 атак с использованием так называемых «боевых вирусов», с помощью которых злоумышленники пытаются получить контроль над операционными системами организации.

Компания Ubisoft подала в суд на владельцев сайта, который замешан в организации DDoS-атак на сервера проекта Rainbow Six Siege. Об этом пишет Polygon со ссылкой на исковое заявление, которое получило издание.

В иске указано, что ответчиком выступают несколько человек, которые предположительно управляют сайтом SNG.ONE. На портале за $299,95 можно приобрести пожизненный доступ к серверам. Ежемесячная подписка обойдётся в $30. Согласно скриншоту жалобы, потенциальными жертвами сервиса также являются Fortnite и Call of Duty: Modern Warfare.

Ubisoft утверждает, что владельцы сайта прекрасно осведомлены о вреде, который наносят компании. Кроме этого они заявили, что ответчик насмехался над ними и сослались на публикацию в твиттере с текстом «Отличная работа Ubisoft Support. Продолжайте работать!». На текущий момент запись удалена. Компания потребовала выплатить компенсацию за нанесённый ущерб и судебные сборы.

DDoS-атаки стали большой проблемой для пользователей Rainbow Six Siege. В сентябре 2019 года Ubisoft начал плановую работу по её решению. В октябре 2019 года студия заявила, что им удалось сократить число DDoS-атак на 93 %.

«Лаборатория Касперского» рассказала об особенностях организации и проведения DDoS-атак (распределённых атак типа «отказ в обслуживании») в третьей четверти текущего года.

Для третьего квартала характерно затишье в летние месяцы и резкий рост интенсивности DDoS-атак в сентябре. Объясняется подобная картина началом учебного года: под удар сетевых злоумышленников попадают различные образовательные учреждения.

На этот раз, как отмечается, на сентябрь пришлось 53 % от общего количества DDoS-атак в третьем квартале. При этом число таких нападений поднялось на 35 % по сравнению с сентябрём 2018-го. В целом же, интенсивность DDoS-атак в третьей четверти 2019 года увеличилась на 32 % по сравнению с тем же периодом 2018-го.

По данным «Лаборатории Касперского», школьники оказались ответственны почти за половину DDoS-атак в третьем квартале. Любопытно, что Россия оказалась в топе стран, где были обнаружены DDoS-атаки на образовательные ресурсы.

«Отчасти именно активизация DDoS-дилетантов в третьем квартале 2019 года привела к тому, что за эти три месяца ощутимо сократилось число "умных" атак — технически более сложных и требующих от злоумышленников большей изобретательности», — говорится в исследовании.

Лидером по числу командных серверов ботнетов остаются США (47,55 %). На втором месте находятся Нидерланды (22,06 %), на третьем — Китай (6,37 %). Россия в этом рейтинге занимает пятую позицию с результатом 3,92 %.

Географическое распределение ботнетов / «Лаборатория Касперского»

Первое место по числу атак удерживает Китай с долей в 62,97 %. Далее следуют США и Гонконг с показателями 17,37 % и 5,44 % соответственно.

Самая длинная атака прошедшего квартала продолжалась 279 часов (11,6 суток) и была направлена против китайского провайдера связи. Статистическое большинство атак происходило в понедельник (18 %), а наиболее безопасным с точки зрения DDoS днём оказалось воскресенье (в этот день совершалось чуть менее 11% атак).

Более детально с результатами исследования можно ознакомиться здесь. 

«Лаборатория Касперского» обнародовала отчёт, посвящённый развитию DDoS-атак (распределённых атак типа «отказ в обслуживании») во второй четверти текущего года.

Сообщается, что сетевые злоумышленники резко активизировались. Так, интенсивность DDoS-атак в прошлом квартале увеличилась по сравнению с аналогичным периодом прошлого года на 18 %. Рост по сравнению со второй четвертью 2017-го и вовсе составил 25 %.

Более того, в прошлом квартале установлен новый рекорд продолжительности DDoS-атак: он составил 509 часов, или 21 день. Предыдущий рекорд равнялся 329 часам.

Ещё одной особенностью прошлого квартала стал рост интенсивности технически сложных атак. Их доля выросла на 32 % по сравнению с аналогичным периодом 2018 года и составила почти половину (46 %) от общего числа этих киберугроз.

В области географического распределения командных серверов ботнетов лидерство по-прежнему остаётся за США (44,14 %). Кроме них в первую тройку вошли Нидерланды (12,16 %) и Великобритания (9,46 %).

«Обычно злоумышленники, которые пытаются "положить" сайты для развлечения, уходят на каникулы до сентября. А вот профессионалы, которые стоят за технически сложными атаками, наоборот, как показала наша статистика, работают летом ещё интенсивнее», — отмечает «Лаборатория Касперского».

С полным отчётом можно ознакомиться здесь. 

Основатель Telegram Павел Дуров предположил, что за DDoS-атакой на мессенджер, которая была проведена в среду и привела к сбоям в работе сервиса, может стоять правительство Китая.

Основатель Telegram написал в Twitter, что для DDoS-атаки преимущественно использовались китайские IP-адреса. Он также подчеркнул, что традиционно самые масштабные DDoS-атаки на Telegram совпадают по времени с проведением протестов в Гонконге и этот случай не стал исключением.

Мессенджер Telegram активно используется жителями Гонконга, поскольку он позволяет избежать обнаружения в процессе организации и координации протестов. Атака на Telegram может означать, что такими действиями китайское правительство пытается нарушить работу мессенджера и ограничить его эффективность в роли инструмента организации многотысячных протестов.

Исследование, проведённое «Лабораторией Касперского», говорит о том, что интенсивность распределённых атак типа «отказ в обслуживании» (DDoS) в первом квартале текущего года резко выросла.

В частности, число DDoS-атак в январе–марте увеличилось на 84 % по сравнению с последним кварталом 2018-го. Более того, такие нападения стали гораздо более длительными: средняя продолжительность возросла в 4,21 раза.

Специалисты также отмечают, что организаторы DDoS-атак совершенствуют свои приёмы, что приводит к усложнению таких киберкампаний.

Китай остаётся лидером по количеству исходящих атак. Наибольшее же количество ботнетов, использующихся для организации нападений, находится на территории Соединённых Штатов.

Максимальное количество DDoS-атак в первом квартале отмечено во второй половине марта. Самым тихим периодом оказался январь. В течение недели наиболее опасным с точки зрения DDoS-атак днём стала суббота, воскресенье же по-прежнему остаётся самым спокойным.

Географическое распределение ботнетов / «Лаборатория Касперского»

«Рынок DDoS меняется. На смену площадкам по продаже инструментов и услуг по их проведению, закрытым правоохранительными органами, приходят новые. Атаки стали гораздо более продолжительными, а во многих организациях внедрены только базовые контрмеры, которых в данной ситуации недостаточно. Трудно сказать, будет ли продолжаться рост числа DDoS-атак, но становиться проще, похоже, они не будут. Мы советуем организациям подготовиться к отражению DDoS-атак повышенной сложности», — говорят эксперты.

Более подробно с результатами исследования можно ознакомиться здесь. 

«Лаборатория Касперского» обнародовала отчёт «DDoS-атаки во втором квартале 2018 года», освещающий основные тенденции развития распределённых атак типа «отказ в обслуживании».

Сообщается, что одним из самых популярных методов монетизации остаются DDoS-нападения на сайты, связанные с криптовалютами, и валютные биржи. Причём такие атаки используются не только для того, чтобы помешать конкурентам увеличить число инвесторов, но и как способ получить цифровые деньги незаконным путём.

Исследование говорит о том, что злоумышленники продолжают активно искать пути усиления DDoS-атак через новые и ранее открытые уязвимости в распространённом программном обеспечении. В частности, внимание киберпреступников привлекают экзотические «дыры» в сетевых протоколах.

В прошлом квартале лидирующее положение по числу атак сохранил Китай с результатом 59,03 %. На втором месте оказался Гонконг (17,13 %), а на третьем — Соединённые Штаты (12,46 %).

Среди регионов с наибольшим числом командных серверов ботнетов лидируют Соединённые Штаты (44,75 %), Южная Корея (11,05 %) и Италия (8,84 %).

Распределение командных серверов ботнетов по странам

Самая долгая атака во втором квартале продолжалась 258 часов (почти 11 дней), что немногим уступает рекорду предыдущего квартала — 297 часов (12,4 дня). При этом значительно выросла доля атак с Linux-ботнетов.

«Наиболее выгодными мишенями для злоумышленников, по всей видимости, продолжают оставаться кибервалюты, однако в ближайшее время можно ожидать как громких нападений, связанных со срывом киберчемпионатов, так и относительно мелких вымогательств, нацеленных на отдельных стримеров и игроков», — заключает «Лаборатория Касперского». 

«Лаборатория Касперского» опубликовала отчёт «DDoS-атаки в первом квартале 2018 года», в котором рассматриваются основные тенденции развития распределённых атак типа «отказ в обслуживании».

В январе–марте нынешнего года были зафиксированы атаки в 79 странах. Лидерство по числу атак в прошедшем квартале сохранил Китай с долей около 60 %. На втором и третьем местах находятся соответственно США и Южная Корея с результатом около 18 % и 8 %. Россия в рейтинге находится на десятой позиции с долей менее 1 %.

Распределение командных серверов ботнетов по странам

Основная активность организаторов DDoS-атак пришлась на первую и последнюю трети квартала. Максимальное количество нападений наблюдалось 19 января (666) и 7 марта (687 атак).

Любопытно, что в минувшем квартале зафиксирована самая продолжительная с 2015 года DDoS-атака. Она длилась 297 часов, или более 12 суток. Доля всех остальных относительно продолжительных атак (не менее 50 часов) выросла за квартал более чем в 6 раз — с 0,10 % до 0,63 %.

Соотношение атак с Windows- и Linux-ботнетов

В первую десятку стран по количеству командных серверов ботнетов входят Южная Корея (30,92 %), США (29,32 %), Китай (8,03 %), Италия (6,83 %), Нидерланды (5,62 %), Франция (3,61 %), Германия (3,61 %), Великобритания (2,41 %), Россия (2,01 %) и Гонконг (1,2 %).

Доля Linux-ботнетов в прошедшем квартале слегка уменьшилась по сравнению с концом 2017 года — 66 % вместо 71 %. Соответственно, количество Windows-ботнетов выросло с 29 % до 34 %. 

«Лаборатория Касперского» проанализировала основные тенденции развития DDoS-атак (распределённых атак типа «отказ в обслуживании») в глобальном масштабе в последней четверти 2017 года.

Сообщается, что в октябре–декабре наблюдалось относительное затишье: по сравнению с предыдущим кварталом уменьшились и число, и продолжительность DDoS-атак. Отчасти это объясняется тем, что в последнее время были раскрыты и выведены из строя крупные ботнеты. Так, в начале декабря совместными усилиями ФБР, Microsoft и Европола был уничтожен ботнет Andromeda, существовавший с 2011 года.

Распределение DDoS-атак по странам

В четвертом квартале 2017 года DDoS-атаки затронули 84 страны. Для сравнения: кварталом ранее таким нападениям подверглись 98 государств.

Больше всего атак привычно пришлось на Китай — 59,18 %. На втором и третьем местах находятся США и Южная Корея с результатом 16,00 % и 10,21 % соответственно. Россия находится на шестой позиции: показатель нашей страны — 1,25 %.

Первая тройка стран по количеству командных серверов осталась прежней: Южная Корея (46,43 %), США (17,26 %) и Китай (5,95 %). При этом Поднебесной пришлось разделить третье место с Россией.

Распределение командных серверов ботнетов по странам

В четвертом квартале продолжился рост количества Linux-ботнетов: теперь их доля составляет 71,19 % по сравнению с 69,62 % в предыдущем квартале. Вместе с тем доля Windows-ботнетов уменьшилась с 30,38 % до 28,81 %.

Более подробно с результатами исследования можно ознакомиться здесь. 

«Лаборатория Касперского» опубликовала обзор DDoS-атак (распределённых атак типа «отказ в обслуживании») в третьем квартале нынешнего года.

Отмечается, что в июле–сентябре DDoS-атаки затронули 98 стран против 86 государств в апреле–июне. Чаще всего такие нападения нацелены на Китай: в минувшем квартале на цели в Поднебесной пришлось 63,30 % всех DDoS-кампаний. На втором месте с результатом 12,98 % находятся Соединённые Штаты, а замыкает тройку Южная Корея с 8,70 %. Россия оказалась на четвёртой позиции — 1,58 %. Кроме того, в пятёрку вошла Великобритания с 1,36 %.

Распределение DDoS-атак по странам

В третьем квартале 2017 года количество атак в день менялось от 296 (24 июля) до 1508 (26 сентября). Пиковые значения были также зафиксированы 27 июля (1399) и 24 сентября (1497). Относительное затишье наблюдалось 28 июля (300) и 25 сентября (297).

Основное количество DDoS-атак — 69,62 % — в течение квартала было осуществлено с Linux-ботнетов. Ещё 30,38 % пришлось на системы под управлением Windows.

Соотношение атак с Windows- и Linux-ботнетов

Организаторы нападений, помимо грубой силы, теперь стараются брать умением. Так, в середине августа компания Imperva описала технологию Pulse Wave, которая усиливает мощность DDoS-атаки за счёт уязвимостей в гибридных и облачных технологиях.

Среди особенностей минувшего квартала можно также выделить участившиеся атаки на ICO-платформы — тема криптовалют в последние месяцы активно обсуждается, и злоумышленники пользуются этим.

Более подробно с отчётом «Лаборатории Касперского» можно ознакомиться здесь.