Группа компаний «Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. В результате было установлен существенный рост доли TCP SYN-флуда, т.е. атак на уровне приложений, количество которых составило 60 % от общего числа DDoS-атак. Главными целями атак стали телекоммуникационные операторы.

Источник изображения: markusspiske / Pixabay

«Злоумышленники всё чаще организуют атаки, которым сложнее противодействовать: с использованием протоколов уровня приложений и в шифрованном трафике. Распространение такой практики свидетельствует о её успешности и достижении атакующими поставленных целей», — говорится в сообщении исследователей.

В сообщении сказано, что чаще всего DDoS-атакам в России за отчётный период подвергались сети телеком-операторов. Это объясняется тем, что операторы интенсивно противостоят DDoS-атакам, осуществляя защиту своих объектов и ресурсов клиентов, которые находятся в той же сетевой инфраструктуре.

На втором месте по количеству DDoS-атак в третьем квартале находятся представители сфер транспорта и перевозок. Отмечается, что за три месяца увеличилось количество DDoS-атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, а также железнодорожных перевозчиков. На третьем месте этого рейтинга находятся ресурсы госсектора. Высокие показатели зафиксированы в топливно-энергетическом комплексе и промышленности. Это может указывать на попытки злоумышленников осуществить воздействие на критический сектор экономики. Являющиеся традиционными целями хакеров представители IT и финансового сектора также подвергались атакам в третьем квартале.

Что касается стран, из которых совершаются атаки злоумышленников, то, как и прежде, лидером остаётся Китай (46,45 %). Следом за ним идут Индия (30,41 %) и Южная Корея (3,5 %). Снизились показатели по количеству атак из США, Тайваня и России. При этом выросли показатели Нидерландов (с 1,08 % до 1,53 %) и Боливии (с 0,89 % до 1,46 %).

Google отчиталась об успешно отражённой в минувшем августе самой мощной DDoS-атаке в истории — её интенсивность составила 398 млн запросов в секунду, что в 7,5 раза мощнее антирекорда, установленного в прошлом году. В рамках вредоносной кампании были также отмечены новые методы взлома сайтов и сервисов.

Источник изображений: cloud.google.com

В новой серии DDoS-атак использовалась новая техника Rapid Reset, основанная на мультиплексировании потоков — важнейшей функции протокола HTTP/2. Интенсивность атаки достигала значения в 398 млн запросов в секунду, тогда как прошлогодний рекорд составлял «всего» 46 млн запросов в секунду. Для сравнения, в течение этой двухминутной атаки генерировалось больше запросов, чем было прочитано статей «Википедии» за весь сентябрь 2023 года.

Последняя волна атак началась в конце августа и продолжается по сей день — она нацелена на крупнейших поставщиков инфраструктурных ресурсов, включая сервисы Google, сеть Google Cloud и клиентов Google. Компании удалось сохранить работоспособность сервисов за счёт глобальной инфраструктуры распределения нагрузки. Google скоординировала усилия с отраслевыми партнёрами, что помогло установить механизмы атак и совместными усилиями разработать меры по смягчению последствий.

В ходе отражения атаки была выявлена уязвимость протокола HTTP/2, которой присвоили номер CVE-2023-44487 с рейтингом 7,5 балла из 10 — эта уязвимость помогла злоумышленникам реализовать технику Rapid Reset. Чтобы ограничить влияние этого вектора атаки, Google рекомендует администраторам серверов с поддержкой протокола HTTP/2 убедиться, что были установлены патчи, закрывающие уязвимость CVE-2023-44487.

По итогам II квартала число кибератак на российские ресурсы выросло более чем на 40 % по сравнению с аналогичным периодом прошлого года и на 13 % в сравнении с началом 2023 года. Киберпреступники переключились с развлекательной на аграрную, логистическую и образовательную отрасли. Хакеры часто достигают своих целей, потому что методы защиты от кибератак быстро устаревают.

Источник изображения: B_A / pixabay.com

Во II квартале 2023 года было зафиксировано 176,3 тыс. DDoS-атак, сообщили в компании DDoS-Guard. Это на 46 % больше, чем было во II квартале прошлого года (120 тыс.) и на 13 % больше, чем в I квартале 2023 года. В I квартале приоритетными целями киберпреступников были региональные СМИ, онлайн-кинотеатры и игровые серверы, сейчас же чаще атакуют ресурсы вузов, служб организации путешествий и ресурсы сельскохозяйственных компаний. Эксперты отмечают возросшие сложность и точность кибератак. К примеру, сервис «АгроСигнал» атаковали 20 раз, и вредоносный трафик был выше 5 Гбит/с, хотя обычно каналы рассчитываются на пропуск всего 1 Гбит/с. Это достаточно важный ресурс, долгосрочный выход которого из строя грозит убытками российскому агробизнесу.

Важнейшим инцидентом стала кибератака на ОАО РЖД, в результате которой наблюдались сбои в работе сайта и мобильного приложения — компания доложила об инциденте утром 5 июня, а к вечеру работа ресурсов была восстановлена. Хакерам удалось достичь своих целей из-за характерной для крупных компаний неповоротливости РЖД — там готовились к «прошлой войне», как выразился источник «Коммерсанта». К примеру, блокировка зарубежного трафика по GeoIP уже утратила свою эффективность, но этим методом защиты в некоторых организациях продолжают пользоваться.

Проблемой массированных DDoS-атак озаботились в подведомственном Роскомнадзору Главный радиочастотный центр (ГРЧЦ) — ведомство заказало разработку Национальной системы противодействия DDoS-атакам. Проект с бюджетом 1,4 млрд руб. должен быть завершён 12 марта 2024 года.

Главный радиочастотный центр (ГРЧЦ), подведомственный Роскомнадзору, заключил договор на разработку системы защиты от DDoS-атак — закупка проведена у единственного поставщика, которым, по сведениям Forbes, является «Ростелеком», а стоимость контракта составляет 1,425 млрд рублей.

Источник изображения: kalhh / pixabay.com

Договор заключён 25 мая, а срок его исполнения — 12 марта 2024 года. Среди целей указываются создание Национальной системы противодействия DDoS-атакам, координационного центра по защите от DDoS-атак, а также доработка ПО для технических средств противодействия угрозам (ТСПУ). ТСПУ — аппаратный комплекс, устанавливаемый на сетях связи операторов в рамках закона о «суверенном Рунете». Это оборудование позволяет централизовано фильтровать трафик и блокировать запрещённые в России интернет-ресурсы. Неисключительную лицензию на ПО для ТСПУ без права доработки ранее предоставил «Ростелеком», поэтому ГРЧЦ мог провести неконкурентную закупку только у одного поставщика, уверены опрошенные Forbes эксперты.

В течение прошлого года ГРЧЦ занимался тестированием системы защиты от DDoS-атак — она осуществлялась посредством блокировки IP-адресов, которые участвовали в этих атаках, кроме того, применялась технология DPI (Deep Packet Inspection, то есть глубокое исследование пакетов трафика).

Схемы защиты от DDoS-атак подразделяются на облачные и магистральные — последние работают на сети операторов связи, и ГРЧЦ предполагает создать систему защиты магистрального типа. Эффективность работы такой системы оценивается экспертами как «умеренная», поскольку она способна противостоять только атакам, нацеленным на «забивание канала». Инциденты типа «атака на приложение» основаны на другой методике — создании множества «тяжёлых» запросов к сервису с ограниченными ресурсами. Когда эти ресурсы исчерпываются, новые запросы обрабатываться уже не могут — в таких случаях эффективна защита на уровне прокси-сервера, например, при помощи технологии Web Application Firewall (WAF), позволяющей пропускать на сервер приложения только легитимный трафик.

По итогам 2022 года Россия оказалась на четвёртом месте в мире по числу DDoS-атак на коммерческие и государственные ресурсы, сообщила ранее компания StormWall. И их число будет только расти — как минимум на 50 % в 2023 году, прогнозируют эксперты Swordfish Security. Только за I квартал 2023 года их число выросло более чем на 50 %: с 226 100 в I квартале прошлого года до 384 800, доложили в DDoS-Guard.

Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в 6 раз с прошлого года и в среднем стала составлять двое суток. Об этом пишет «Коммерсант» со ссылкой на данные квартального отчёта по защите от интернет-угроз компании Qrator Labs, работающей в сфере информационной безопасности.

Источник изображения: Mika Baumeister / unsplash.com

«Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам», — говорится в отчёте Qrator Labs. Наиболее продолжительные атаки были зафиксированы против операторов фискальных данных (22 часа), представителей сферы онлайн-образования (20 часов), медиа (20 часов) и программных сервисов (10 часов). Несмотря на это, за весь 2022 год продолжительность атак значительно выросла: за первые три месяца года неоднократно фиксировалось обновление рекорда по максимальной длительности, а одна из DDoS-атак в мае продолжалась почти 29 дней.

По данным «РТК-Солар», продолжительность атак на российские IT-ресурсы в первом квартале в среднем сократилась в четыре раза по сравнению с аналогичным периодом 2022 года. При этом компания отмечает обнаружение атак длительностью до 32 дней. Целями злоумышленников становились представители разных сфер экономики: страхования, ретейла, промышленности.

В Qrator Labs сокращение максимальной длительности DDoS-атак связывают с расширением спектра целей злоумышленников. Хакеры перестали фокусироваться на отдельно взятых ресурсах и в случае неудачи ищут новые жертвы. В DDoS-Guard согласны с тем, что продолжительность атак значительно снизилась в первом квартале. Отмечается, что атакующие стали лучше анализировать ресурсы, чтобы выбирать жертв, которые не защищены от DDoS или используют слабую защиту. В Softline считают, что снижение продолжительности DDoS-атак связано с тем, что многие компании стали блокировать входящий трафик по геолокации, что делает неэффективными атаки из-за рубежа.

На прошедших выходных американская компания Cloudflare отразила серию атак типа «отказ в обслуживании» (DDoS), включая «крупнейшую на сегодняшний день» DDoS-атаку. Согласно имеющимся данным, в пике мощность атаки превышала 71 млн запросов в секунду.

Источник изображения: Bleeping Computer

«Большинство атак достигали пика в пределах 50-70 млн запросов в секунду, а самая крупная из них превысила 71 млн запросов в секунду. Это крупнейшая HTTP DDoS-атака за всю историю, которая более чем на 35 % превышает зафиксированный в июне 2022 года рекорд в 46 млн запросов в секунду», — говорится в сообщении Cloudflare.

Специалисты компании подсчитали, что в ходе рекордной атаки запросы исходили от 30 тыс. IP-адресов, принадлежащих разным облачным провайдерам. Целями злоумышленников стали клиенты Cloudflare, включая провайдеров облачных игровых сервисов, платформы облачных вычислений, криптовалютные компании и хостинг-провайдеров.

Источник изображения: Cloudflare

Всё более мощные и частые DDoS-атаки согласуются с недавним отчётом Cloudflare об угрозах такого типа. В компании подсчитали, что количество HTTP DDoS-атак увеличилось на 79 % по сравнению с прошлым годом. Количество объёмных атак мощностью более 100 Гбит/с выросло на 67 % по сравнению с предыдущим кварталом. Количество DDoS-атак продолжительностью свыше 3 часов увеличилось на 87 % по сравнению с предыдущим кварталом.

По итогам 2022 года Россия заняла четвёртое место в мире по количеству DDoS-атак на коммерческие и государственные информационные структуры страны. Как сообщают «Известия» со ссылкой на данные компании StormWall, в прошлом году атаки на российский IT-сегмент впервые составили 8,4 % от общего числа киберпокушений во всём мире.

Источник изображения: Markus Spiske/unsplash.com

По данным «Лаборатории Касперского», в прошлом году число атак на российские информационные структуры выросло на 60-70 % в сравнении с 2021 годом. По мнению экспертов, это связано с деятельностью т.н. «хактивистов» — организаторов атак по политическим и иным мотивам.

В прошлом году 28 % атак было направлено на финансовую отрасль России, 18 % — на телекоммуникационную сферу, 14,5 % — на государственный сектор и 12 % — на ретейл. Атаковали и другие сферы. По информации StormWall, из-за высокой активности хактивистов число DDoS-атак в финансовом секторе взлетело в 18 раз, в телеком-сфере — в 12 раз, в госсекторе — в 25 раз, средства массовой информации стали атаковать в 30 раз чаще, ретейл — в 8 раз, развлекательную сферу и логистику — в 4 раза.

В «Лаборатории Касперского» отметили изменение характера DDoS-атак — простые атаки весной позже сменились сложными и продолжительными, одна из них длилась почти 29 дней подряд, пик пришёлся на весну и лето. Прогнозируется, что весной 2023 года число киберинцидентов, связанных с нефтегазовым сектором и энергетикой, в целом может вырасти на 300 %. Не исключается рост атак и на другие отрасли.

Стало известно, что количество DDoS-атак на ресурсы «Роскосмоса» за последние шесть месяцев превысило их число за весь 2021 год. Об этом пишет информационное агентство ТАСС со ссылкой на данные и.о. директора НТЦ «Заря», являющегося головной организацией «Роскосмоса» по защите информации, Ивана Григорова.

Источник изображения: Darwin Laganzon / pixabay.com

«DDoS-атаки занимают третье место по распространению среди компьютерных атак (на первых местах — попытки внедрения вредоносного ПО и сетевое сканирование). Обращает на себя внимание динамика: за последние полгода их зафиксировано больше, чем за весь 2021 год», — сообщил Григоров.

Отметим, что после обострения ситуации на Украине «Роскосмос» неоднократно сообщал о DDoS-атаках на свои информационные ресурсы. Например, в конце июня IT-специалисты сумели отбить массированную DDoS-атаку, которая была организована вскоре после публикации «Роскосмосом» снимков центров принятия решений стран, входящих в блок НАТО. Примечательно, что та атака, по данным пресс-службы госкорпорации, была предпринята из Екатеринбурга.

В конце прошлого месяца возросшую мощность DDoS-атак на российские ресурсы отметили в Роскомнадзоре. По данным ведомства, средняя продолжительность DDoS-атак в мае достигла 57 часов, тогда как в феврале-марте прошлого года этот показатель составлял 12 минут. Также отмечалось, что количество значимых атак на российскую информационную инфраструктуру выросло в 4,5 раза.

Компания Cloudflare рассказала об атаках на ресурсы клиентов, которые удалось отразить в III квартале. Крупнейшая DDoS-атака за отчётный период оказалась направленной на Wynncraft — популярный сервер Minecraft, на котором игра превращается в полноценную MMORPG.

Источник изображения: blog.cloudflare.com

DDoS-атака представляет собой бомбардировку сервера потоком входящих запросов, которые генерируются сетью из скомпрометированных, то есть заражённых компьютеров и коммуникационных устройств, — ботнетом. Ботнет может состоять из тысяч таких машин, что даёт злоумышленникам возможность обрушивать на ставшие мишенями серверы десятки миллионов запросов в секунду. В число наиболее мощных ботнетов входят сети устройств, заражённых вирусом Mirai и его вариантами.

Один из таких Mirai-ботнетов произвёл атаку на Wynncraft, забрасывая его UDP- и TCP-запросами, на пике достигая мощности 2,5 Тбит/с. Однако, с гордостью рассказали в Cloudflare, службе удалось не пропустить ботнет к серверу Wynncraft, и на геймеров инцидент не повлиял. Атака длилась немногим дольше минуты, и злоумышленник, видимо, увидел её тщетность и остановил нападение.

Впрочем, не все геймеры оказались в последнее время столь же везучими: на прошлой неделе при запуске Overwatch 2 мощной DDoS-атаке подверглись серверы Blizzard, и пользователи несколько часов не могли войти в игру. Разработчик приложил все усилия, но оперативно справиться с проблемой не удалось, что омрачило дебют популярного шутера.

Google Cloud в июне удалось отразить крупнейшую в истории DDoS-атаку, интенсивность которой достигала 46 млн запросов в секунду (RPS). Атака продолжалась немногим более часа, но позволила экспертам сделать важные выводы: одной из угроз сегодня могут быть даже узлы Tor.

Источник изображений: cloud.google.com

В попытке описать масштабы инцидента сотрудники Google Эмиль Кинер (Emil Kiner) и Сатья Кондуру (Satya Konduru) предложили представить, что значит обрабатывать все поступающие за один день запросы к «Википедии» (входит в десятку самых посещаемых сайтов в мире) всего за 10 секунд. Экспертов Google и других специалистов по кибербезопасности всерьёз беспокоит тот факт, что ситуация с DDoS-атаками неуклонно усугубляется — они производятся всё чаще, а их интенсивность растёт.

Атака на ресурсы Google Cloud началась в 09:45 по времени Тихоокеанского побережья США (19:45 мск) с интенсивности 10 тыс. RPS, а уже через 8 минут усилилась до 100 тыс. RPS. Ещё через 2 минуты она достигла пиковых 46 млн RPS. К тому времени служба защиты Google Cloud Armor обнаружила факт атаки и рекомендовала клиентам внедрить в политику безопасности запросы с вредоносной сигнатурой. После этого атака пошла на спад и окончательно завершилась в 10:54 по местному времени (20:54 мск). Сотрудники Google отметили некоторые «отличительные особенности» инцидента, а также установили связь с недавней атакой на ресурсы Cloudflare и даже нашли признаки ботнета Mēris, от которого в сентябре прошлого года пострадала инфраструктура «Яндекса».

В ходе атаки были зафиксированы 5256 исходных IP-адресов из 132 стран. При атаке использовались HTTPS-запросы — они обходятся дороже, чем HTTP-запросы, поскольку для установки безопасного соединения требуется больше ресурсов. Кроме того, примерно 22 % (или 1169) исходных IP-адресов соответствовали выходным узлам Tor. Объём запросов от них составлял всего 3 % вредоносного трафика, однако экспертам стало ясно, что и они могут теперь создавать серьёзные проблемы для веб-ресурсов и приложений.

В течение первой половины 2022 года в России резко возросла интенсивность DDoS-атак на игровые ресурсы. По оценкам DDoS-Guard, количество инцидентов увеличилось приблизительно в три раза по сравнению с аналогичным периодом прошлого года. В рассмотрение берутся игровые серверы, браузерные игры, информационные сайты игровой тематики, площадки игровых ценностей (внутренняя валюта, наборы предметов), форумы администраторов и разработчиков игровых сервисов.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсант», ссылаясь на исследование DDoS-Guard, в период с января по июнь включительно число атак на игровые ресурсы составило около 6,2 тыс. Для сравнения: в первой половине 2021-го было зафиксировано приблизительно 1,9 тыс. инцидентов.

Эксперты говорят, что целью злоумышленников может быть кража данных и средств пользователей. В частности, киберпреступники получают доступ к игровым ресурсам и выводят оттуда игровые ценности с реальным денежным эквивалентом.

В «Лаборатории Касперского» отмечают, что резкий рост количества DDoS-атак на игровые сайты происходит на фоне общего всплеска данного типа киберпреступной деятельности. При этом зачастую мишенями злоумышленников становятся сами игроки: мошенники стремятся убедить пользователей установить вредоносное ПО под видом загрузки новых игр или обновлений.

«Главные цели злоумышленников — внутриигровые товары, которые можно трансформировать в реальные деньги, и аккаунты геймеров, которые могут открыть доступ к различным данным, вплоть до финансовой информации», — подчёркивают специалисты.

В сравнении с прошлым годом количество опубликованных российскими рекламодателями вакансий для борьбы с DDoS-атаками подскочило на 66 %. Об этом пишет РБК со ссылкой на данные исследования сервиса для поиска работы HeadHunter.

Источник изображения: Darwin Laganzon / pixabay.com

Согласно имеющимся данным, в общей сложности с начала 2022 года на сайте hh.ru было размещено более 16 тыс. вакансий в сфере информационной безопасности. В 2 % случаев работодателям непосредственно требовались специалисты, способные противостоять DDoS-атакам. Наибольший спрос на таких специалистов наблюдается в Москве (51 % вакансий от общего количества по стране). В числе лидеров по поиску способных противостоять DDoS-атакам специалистов находятся компании из Ростова-на-Дону, Санкт-Петербурга, а также Свердловской, Нижегородской, Новосибирской и Самарской областей. Наибольший прирост количества таких вакансий наблюдался в Санкт-Петербурге, где спрос на специалистов по защите от DDoS-атак подскочил в 6,5 раз по сравнению с прошлым годом.

Основной объём вакансий такого типа поступает от IT-компаний (51 % от общей массы по стране), финансовых и банковских организаций (8 %) и крупных ретейлеров (6 %). На долю транспортно-логистических и металлургических предприятий приходится по 3 % вакансий такого типа, на госсектор — 1 %. В 95 % случаев работодатели предлагают специалистам по противостоянию DDoS-атакам полный рабочий день и полную ставку. При этом в 54 % вакансий упомянуто в числе требований наличие опыта не менее 3 лет. Медианная предлагаемая зарплата в вакансиях для специалистов по сетевой безопасности в среднем по России составляет 150 тыс. рублей в месяц, максимальная — 400 тыс. рублей в месяц.

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными.

Источник изображения: Pixabay

Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше чем в апреле. В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

В случае отсутствия доступа к сайту компании, он опускается в выдаче «Яндекса» или любого другого поисковика, или может исчезнуть из выдачи вообще, если это продолжается длительное время, говорит основатель и гендиректор Qrator Labs Александр Лямин. В свою очередь, в «Яндексе» сообщили, что дообучают алгоритмы, чтобы сайты имели больше времени на восстановление работы.

По словам руководителя группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназа Гатауллина, сейчас большое количество компаний занимаются бизнесом в интернете и при больших оборотах «даже десять минут простоя приводят к колоссальным убыткам».

После масштабных DDoS-атак на российские сайты в мае их интенсивность, т.е. число используемых злоумышленниками IP-адресов, уменьшилась вдвое по состоянию на конец июня. По мнению экспертов, это связано с отсутствием явных обострений во внешнеполитической обстановке и усилением блокировок трафика на границе.

Источник изображения: Gerd Altmann / pixabay.com

По данным Qrator Labs, интенсивность DDoS-атак на российские сайты сократилась с 2,2 млн IP-адресов, которые были задействованы на пике активности злоумышленников 27 мая, до 1 млн IP-адресов к 20 июня. Наиболее заметный всплеск фиксировался в период с конца февраля по начало марта, когда количество используемых для проведения DDoS-атак IP-адресов достигало 3,5 млн единиц. В «Лаборатории Касперского» также подтвердили более чем двукратное снижение интенсивности DDoS-атак.

Эксперты уточняют, что обычно в июне не наблюдается всплеска активности хакеров, но в нынешнем году динамику снижения интенсивности DDoS-атак нельзя объяснить сезонностью, поскольку они, как правило, проводятся кампаниями и привязаны к определённым внешним событиям. «Долго держать всплеск на одной интенсивности невозможно. Но если будет обострение во внешнеполитической обстановке, то атаки снова вернутся к пикам», — считает основатель и генеральный директор Qrator Labs Александр Лямин.

Напомним, после обострения ситуации на Украине российская инфраструктура подверглась масштабным атакам. Даже если не учитывать мартовские пики, интенсивность DDoS-атак планомерно росла в период с апреля по май и увеличилась за это время на 100 % — с 1 млн используемых IP-адресов до более чем 2 млн. Эксперты отмечают, что в основном такие атаки проводили непрофессиональные хакеры, которые генерировали трафик собственными браузерами или простыми DDoS-инструментами.

Нынешний спад активности злоумышленников также связывают с тем, что значительная часть ресурсов Anti-DDoS блокирует иностранные IP-адреса, которые и используются для создания существенного объёма вредоносного трафика. Об этом рассказал директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков.

Руководитель направления по компьютерной криминалистике компании «Информзащита» Никита Панов также отметил, что на активность хакеров может влиять стоимость криптовалют, которая часто используется для оплаты их услуг. Поскольку в настоящее время криптовалютный рынок переживает не лучшие время, а стоимость биткоина колеблется в районе $20 тыс. за единицу, интерес хакеров к DDoS-атакам, которые традиционно являются одной из самых дешёвых услуг, в значительной степени сократился.

Компания Cloudflare, занимающаяся интернет-инфраструктурой, на прошлой неделе зафиксировала и отразила крупнейшую в истории HTTPS DDoS-атаку с частотой до 26 млн запросов в секунду. Злоумышленники атаковали веб-сайт неназванного клиента компании, использующего бесплатный тарифный план.

Источник изображения: Pixabay

Согласно имеющимся данным, в ходе упомянутой атаки для генерации запросов использовалась небольшая, но мощная ботнет-сеть из 5067 устройств. Для сравнения, ранее компания отслеживала значительно более крупный ботнет, состоящий из более чем 730 тыс. устройств, но при этом неспособный генерировать более 1 млн запросов в секунду.

Источник изображения: Cloudflare

Нынешняя атака проведена с использованием ботнета, преимущественно состоящего из виртуальных машин и серверов. Отмечается, что речь идёт о HTTPS DDoS-атаке, организация которой обходится дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установки безопасного зашифрованного соединения TLS. Это означает, что для злоумышленника организация такой атаки обходится дороже, но и для противостояния ей также требуется больше средств. В прошлом фиксировались очень крупные DDoS-атаки через незашифрованный HTTP, но данная атака выделяется на их фоне из-за масштабов ресурсов, которые были необходимы для её организации.

Источник изображения: Cloudflare

Менее чем за 30 секунд ботнет сгенерировал свыше 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране мира. Наибольшее количество запросов поступало из Индонезии, США, Бразилии и России. При этом около 3 % от общей мощности пришлось на узлы сети Tor. Наибольший объём трафика шёл из сетей французского провайдера OVH, индонезийской компании Telkomnet, американской iboss и ливийской Ajeel.