Google Cloud в июне удалось отразить крупнейшую в истории DDoS-атаку, интенсивность которой достигала 46 млн запросов в секунду (RPS). Атака продолжалась немногим более часа, но позволила экспертам сделать важные выводы: одной из угроз сегодня могут быть даже узлы Tor.

Источник изображений: cloud.google.com

В попытке описать масштабы инцидента сотрудники Google Эмиль Кинер (Emil Kiner) и Сатья Кондуру (Satya Konduru) предложили представить, что значит обрабатывать все поступающие за один день запросы к «Википедии» (входит в десятку самых посещаемых сайтов в мире) всего за 10 секунд. Экспертов Google и других специалистов по кибербезопасности всерьёз беспокоит тот факт, что ситуация с DDoS-атаками неуклонно усугубляется — они производятся всё чаще, а их интенсивность растёт.

Атака на ресурсы Google Cloud началась в 09:45 по времени Тихоокеанского побережья США (19:45 мск) с интенсивности 10 тыс. RPS, а уже через 8 минут усилилась до 100 тыс. RPS. Ещё через 2 минуты она достигла пиковых 46 млн RPS. К тому времени служба защиты Google Cloud Armor обнаружила факт атаки и рекомендовала клиентам внедрить в политику безопасности запросы с вредоносной сигнатурой. После этого атака пошла на спад и окончательно завершилась в 10:54 по местному времени (20:54 мск). Сотрудники Google отметили некоторые «отличительные особенности» инцидента, а также установили связь с недавней атакой на ресурсы Cloudflare и даже нашли признаки ботнета Mēris, от которого в сентябре прошлого года пострадала инфраструктура «Яндекса».

В ходе атаки были зафиксированы 5256 исходных IP-адресов из 132 стран. При атаке использовались HTTPS-запросы — они обходятся дороже, чем HTTP-запросы, поскольку для установки безопасного соединения требуется больше ресурсов. Кроме того, примерно 22 % (или 1169) исходных IP-адресов соответствовали выходным узлам Tor. Объём запросов от них составлял всего 3 % вредоносного трафика, однако экспертам стало ясно, что и они могут теперь создавать серьёзные проблемы для веб-ресурсов и приложений.

В течение первой половины 2022 года в России резко возросла интенсивность DDoS-атак на игровые ресурсы. По оценкам DDoS-Guard, количество инцидентов увеличилось приблизительно в три раза по сравнению с аналогичным периодом прошлого года. В рассмотрение берутся игровые серверы, браузерные игры, информационные сайты игровой тематики, площадки игровых ценностей (внутренняя валюта, наборы предметов), форумы администраторов и разработчиков игровых сервисов.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсант», ссылаясь на исследование DDoS-Guard, в период с января по июнь включительно число атак на игровые ресурсы составило около 6,2 тыс. Для сравнения: в первой половине 2021-го было зафиксировано приблизительно 1,9 тыс. инцидентов.

Эксперты говорят, что целью злоумышленников может быть кража данных и средств пользователей. В частности, киберпреступники получают доступ к игровым ресурсам и выводят оттуда игровые ценности с реальным денежным эквивалентом.

В «Лаборатории Касперского» отмечают, что резкий рост количества DDoS-атак на игровые сайты происходит на фоне общего всплеска данного типа киберпреступной деятельности. При этом зачастую мишенями злоумышленников становятся сами игроки: мошенники стремятся убедить пользователей установить вредоносное ПО под видом загрузки новых игр или обновлений.

«Главные цели злоумышленников — внутриигровые товары, которые можно трансформировать в реальные деньги, и аккаунты геймеров, которые могут открыть доступ к различным данным, вплоть до финансовой информации», — подчёркивают специалисты.

В сравнении с прошлым годом количество опубликованных российскими рекламодателями вакансий для борьбы с DDoS-атаками подскочило на 66 %. Об этом пишет РБК со ссылкой на данные исследования сервиса для поиска работы HeadHunter.

Источник изображения: Darwin Laganzon / pixabay.com

Согласно имеющимся данным, в общей сложности с начала 2022 года на сайте hh.ru было размещено более 16 тыс. вакансий в сфере информационной безопасности. В 2 % случаев работодателям непосредственно требовались специалисты, способные противостоять DDoS-атакам. Наибольший спрос на таких специалистов наблюдается в Москве (51 % вакансий от общего количества по стране). В числе лидеров по поиску способных противостоять DDoS-атакам специалистов находятся компании из Ростова-на-Дону, Санкт-Петербурга, а также Свердловской, Нижегородской, Новосибирской и Самарской областей. Наибольший прирост количества таких вакансий наблюдался в Санкт-Петербурге, где спрос на специалистов по защите от DDoS-атак подскочил в 6,5 раз по сравнению с прошлым годом.

Основной объём вакансий такого типа поступает от IT-компаний (51 % от общей массы по стране), финансовых и банковских организаций (8 %) и крупных ретейлеров (6 %). На долю транспортно-логистических и металлургических предприятий приходится по 3 % вакансий такого типа, на госсектор — 1 %. В 95 % случаев работодатели предлагают специалистам по противостоянию DDoS-атакам полный рабочий день и полную ставку. При этом в 54 % вакансий упомянуто в числе требований наличие опыта не менее 3 лет. Медианная предлагаемая зарплата в вакансиях для специалистов по сетевой безопасности в среднем по России составляет 150 тыс. рублей в месяц, максимальная — 400 тыс. рублей в месяц.

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными.

Источник изображения: Pixabay

Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше чем в апреле. В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

В случае отсутствия доступа к сайту компании, он опускается в выдаче «Яндекса» или любого другого поисковика, или может исчезнуть из выдачи вообще, если это продолжается длительное время, говорит основатель и гендиректор Qrator Labs Александр Лямин. В свою очередь, в «Яндексе» сообщили, что дообучают алгоритмы, чтобы сайты имели больше времени на восстановление работы.

По словам руководителя группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназа Гатауллина, сейчас большое количество компаний занимаются бизнесом в интернете и при больших оборотах «даже десять минут простоя приводят к колоссальным убыткам».

После масштабных DDoS-атак на российские сайты в мае их интенсивность, т.е. число используемых злоумышленниками IP-адресов, уменьшилась вдвое по состоянию на конец июня. По мнению экспертов, это связано с отсутствием явных обострений во внешнеполитической обстановке и усилением блокировок трафика на границе.

Источник изображения: Gerd Altmann / pixabay.com

По данным Qrator Labs, интенсивность DDoS-атак на российские сайты сократилась с 2,2 млн IP-адресов, которые были задействованы на пике активности злоумышленников 27 мая, до 1 млн IP-адресов к 20 июня. Наиболее заметный всплеск фиксировался в период с конца февраля по начало марта, когда количество используемых для проведения DDoS-атак IP-адресов достигало 3,5 млн единиц. В «Лаборатории Касперского» также подтвердили более чем двукратное снижение интенсивности DDoS-атак.

Эксперты уточняют, что обычно в июне не наблюдается всплеска активности хакеров, но в нынешнем году динамику снижения интенсивности DDoS-атак нельзя объяснить сезонностью, поскольку они, как правило, проводятся кампаниями и привязаны к определённым внешним событиям. «Долго держать всплеск на одной интенсивности невозможно. Но если будет обострение во внешнеполитической обстановке, то атаки снова вернутся к пикам», — считает основатель и генеральный директор Qrator Labs Александр Лямин.

Напомним, после обострения ситуации на Украине российская инфраструктура подверглась масштабным атакам. Даже если не учитывать мартовские пики, интенсивность DDoS-атак планомерно росла в период с апреля по май и увеличилась за это время на 100 % — с 1 млн используемых IP-адресов до более чем 2 млн. Эксперты отмечают, что в основном такие атаки проводили непрофессиональные хакеры, которые генерировали трафик собственными браузерами или простыми DDoS-инструментами.

Нынешний спад активности злоумышленников также связывают с тем, что значительная часть ресурсов Anti-DDoS блокирует иностранные IP-адреса, которые и используются для создания существенного объёма вредоносного трафика. Об этом рассказал директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков.

Руководитель направления по компьютерной криминалистике компании «Информзащита» Никита Панов также отметил, что на активность хакеров может влиять стоимость криптовалют, которая часто используется для оплаты их услуг. Поскольку в настоящее время криптовалютный рынок переживает не лучшие время, а стоимость биткоина колеблется в районе $20 тыс. за единицу, интерес хакеров к DDoS-атакам, которые традиционно являются одной из самых дешёвых услуг, в значительной степени сократился.

Компания Cloudflare, занимающаяся интернет-инфраструктурой, на прошлой неделе зафиксировала и отразила крупнейшую в истории HTTPS DDoS-атаку с частотой до 26 млн запросов в секунду. Злоумышленники атаковали веб-сайт неназванного клиента компании, использующего бесплатный тарифный план.

Источник изображения: Pixabay

Согласно имеющимся данным, в ходе упомянутой атаки для генерации запросов использовалась небольшая, но мощная ботнет-сеть из 5067 устройств. Для сравнения, ранее компания отслеживала значительно более крупный ботнет, состоящий из более чем 730 тыс. устройств, но при этом неспособный генерировать более 1 млн запросов в секунду.

Источник изображения: Cloudflare

Нынешняя атака проведена с использованием ботнета, преимущественно состоящего из виртуальных машин и серверов. Отмечается, что речь идёт о HTTPS DDoS-атаке, организация которой обходится дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установки безопасного зашифрованного соединения TLS. Это означает, что для злоумышленника организация такой атаки обходится дороже, но и для противостояния ей также требуется больше средств. В прошлом фиксировались очень крупные DDoS-атаки через незашифрованный HTTP, но данная атака выделяется на их фоне из-за масштабов ресурсов, которые были необходимы для её организации.

Источник изображения: Cloudflare

Менее чем за 30 секунд ботнет сгенерировал свыше 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране мира. Наибольшее количество запросов поступало из Индонезии, США, Бразилии и России. При этом около 3 % от общей мощности пришлось на узлы сети Tor. Наибольший объём трафика шёл из сетей французского провайдера OVH, индонезийской компании Telkomnet, американской iboss и ливийской Ajeel.

Стало известно, что в мае интенсивность DDoS-атак на уровне приложений (Application Layer или L7, когда осуществляется имитация обращений пользовательских приложений, например, просмотр веб-страниц или работа мессенджера) к серверам жертв увеличилась на 200 % относительно апреля. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Qrator Labs.

Источник изображения: Pixabay

В сообщении сказано, что всплеск атак на российскую IT-инфраструктуру впервые фиксировался в феврале-марте. Количество IP-адресов для ведения злонамеренной активности в этот период достигало 3,5 млн единиц. В апреле этот показатель не превышал 1 млн IP-адресов за месяц, тогда как в марте снова вырос до 2 млн единиц.

Основатель и генеральный директор Qrator Labs Александр Лямин рассказал, что во многих случаях оборудование, предназначенное для противодействия DDoS-атакам, успешно справляется с атаками другого типа. «В их числе угрозы, когда вредоносный трафик переполняет пропускную полоску», — сообщил господин Лямин.

При этом он отметил, что от атак на уровне приложений такое оборудование не помогает. «Интерес злоумышленников к новому типу атак возрастает в разы, поскольку в таком случае трафик максимально похож на легитимный», — отметил гендиректор Qrator Labs. По его словам, для выявления атак такого типа требуется осуществлять анализ поведения всех пользователей, заходящих в моменте на ресурс. Однако используемые операторами связи средства могут анализировать только паттерн трафика: откуда он идёт, есть ли нетипичные IP-адреса, наблюдается ли аномальный всплеск активности.

В Qrator Labs считают, что атаки уровня L7 станут трендом в 2022 году. В прошлом атаки такого типа также проводились, но это были единичные случаи. Одной из самых масштабных атак с обращениями через приложения была атака на сервисы «Яндекса» в 2021 году. В ходе этой атаки к ресурсу отправлялось 21,8 млн запросов в секунду.

После того, как для блокировки зарубежного трафика по географическому признаку в России начали использовать оборудование для фильтрации на сетях связи, хакеры стали искать альтернативные способы организации DDoS-атак. Злоумышленники используют для проведения вредоносных кампаний VPN- и Proxy-сервисы, а также ботнет-сети, состоящие из скомпрометированных сетевых устройств, таких как роутеры и умные камеры, с российскими IP-адресами.

Источник изображения: Pixabay

В апреле этого года было объявлено о намерении Роскомнадзора создать национальную систему защиты от DDoS-атак, для чего планировалось обновить оборудование для глубокой фильтрации трафика (DPI), используемое при исполнении закона о суверенном интернете. По данным источника, это оборудование применяется для фильтрации трафика по географическому признаку на границах России. Официальные представители Роскомнадзора воздерживаются от комментариев по данному вопросу.

С момента начала спецоперации на Украине 24 февраля Россия столкнулась с волной кибератак на госсектор и бизнес. В «Лаборатории Касперского» сообщили, что в конце февраля компания отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период годом ранее.

«При борьбе с DDoS-атаками механизм блокировки по географическому обращению для ряда сервисов является быстрым и действенным», — считает директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Когда злоумышленники понимают, что ресурс включил такую блокировку, они начинают использовать в атаках IP-адреса, находящиеся на территории России. «Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие заражённые устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных заражённых умных устройств или просто персональных компьютеров», — добавил эксперт.

Основатель компании Qrator Labs (специализируется на защите от DDoS-атак) Александр Лямин согласен, что на фоне блокировок трафика из-за рубежа атакующие стали использовать устройства, расположенные в российском адресном пространстве. «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна», — уверен господин Лямин.

На этой неделе компания Cloudflare, занимающаяся интернет-инфраструктурой, рассказала об обнаружении DDoS-атаки, мощность которой на пике составила 15,3 млн запросов в секунду. Одна из крупнейших HTTPS DDoS-атак за всё время наблюдения была зафиксирована в начале месяца и направлена против одного из клиентов Cloudflare, использующего площадку для запуска криптовалют.

Источник изображений: Cloudflare

Согласно имеющимся данным, DDoS-атака длилась всего 15 секунд, а для её организации использовался ботнет из примерно 6 тыс. скомпрометированных устройств из 112 стран мира. По данным Cloudflare, около 15 % трафика исходило из Индонезии. Также большое количество трафика фиксировалось из России, Бразилии, Индии, Колумбии и США. Отмечается, что это была не самая крупная атака на уровне приложений, которую фиксировали в Cloudflare, но она стала крупнейшей с использованием HTTPS.

«HTTPS DDoS-атаки обходятся дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установления безопасного зашифрованного соединения TLS. Поэтому злоумышленнику обходится дороже запуск такой атаки, а жертве — противостояние ей. В прошлом мы видели очень крупные атаки через незашифрованное соединение по HTTP, но эта атака выделяется из-за объёма ресурсов, которые потребовались для её организации», — говорится в сообщении Cloudflare.

В компании также отметили, что преимущественно «атака происходила из дата-центров». При этом использовалось более 1300 сетей по всему миру, а наибольший объём трафика шёл из сетей немецкого провайдера Hetzner Online GmbH, колумбийского Azteca Communicaciones Colombia и французского OVH.

По сообщениям сетевых источников, в работе сервисов «1С» наблюдаются сбои с 21 апреля. Об этом свидетельствуют пользовательские обращения, в которых говорится о недоступности обновлений, проблемах с авторизацией в личном кабинете и на сервере ИТС, а также сбоях в работе ЭДО и «1С:Отчётность». Позднее в Telegram-канале «1С:Франчайзи» появилось сообщение, что проблемы с работой сервисов «1С» обусловлены с DDoS-атаками.

Источник изображения: Aymane Jdidi / pixabay.com

«В связи DDoS-атаками на различные сервисы для учёта и отчётности в организациях, в том числе на ресурсы «1С», часть наших сайтов и сервисов может быть временно недоступна или работать медленно и неустойчиво. Технические специалисты «1С» отслеживают ситуацию и принимают усилия для её стабилизации и восстановления нормального функционирования. Угрозы для данных пользователей не наблюдается, они не пострадали и надёжно защищены», — говорится в сообщении «1С».

Согласно имеющимся данным, к настоящему моменту «1С» восстановила нормальное функционирование многих веб-ресурсов и сервисов. Соответствующее уведомление появилось на сайте компании.

«На данный момент восстановлено нормальное функционирование большинства интернет-ресурсов и сервисов «1С», включая «1С:ЭДО» и «1С-Отчётность». DDoS-атаки продолжаются, технические специалисты «1С» отслеживают ситуацию и предпринимают усилия для обеспечения нормального функционирования интернет-ресурсов и сервисов», — говорится в сообщении компании.

На базе оборудования, предназначенного для исполнения закона о суверенном интернете, в России планируется развернуть модернизированную систему защиты от DDoS-атак. С соответствующей инициативой Роскомнадзор (РКН) выступил после того, как российские компании и ведомства столкнулись с массовыми атаками злоумышленников на свои ресурсы из-за рубежа.

Источник изображения: geralt/pixabay.com

В рамках плана РКН ожидается создание национальной системы защиты от DDoS-атак, которая, по данным Forbes, должна появиться уже осенью 2022 года — для этого будет обновлено оборудование для глубокой фильтрации трафика (Deep Packet Inspection, DPI), которое используется во исполнение закона о суверенном интернете.

Ранее предполагалось, что такая система позволит обеспечить работу российского сегмента Сети даже в случае её отключения от глобального интернета или кибератак. При этом действия злоумышленников после начала событий на Украине показали, что существующая инфраструктура слабо готова к отражению угроз. В прошлом месяце Минцифры рассказывало о «беспрецедентных» кибератаках на государственные сайты.

Как сообщает Forbes со ссылкой на экспертное мнение Алексея Лукацкого, технически возможна защита на действующем DPI-оборудовании, но возможность масштабировать систему защиты на все каналы связи остаётся под вопросом. Кроме того, от обычного наплыва большого числа «мусорного» трафика на сайты оно не поможет, для этого РКН придётся самостоятельно создавать специальные центры очистки трафика, поскольку операторы связи предоставлять такую услугу всем и на безвозмездной основе откажутся. Для защиты от DDoS с использованием уязвимостей в веб-приложениях и на сайтах придётся готовить больше разнообразных сценариев атак для DPI-систем.

В РКН намерены дополнить национальную систему защиты от атак увеличением пропускной способности DPI-оборудования. По данным Forbes, действующее оборудование способно фильтровать до 100 Гбайт/с, ведомство намерено увеличить пропускную способность в несколько раз. По некоторым данным это может быть связано и с общим ростом трафика — в последнее время он заметно увеличился за счёт роста потребления видеоконтента. Впрочем, эксперты прогнозируют, что уход из России многих зарубежных сервисов, а также отмена безлимитных тарифов у операторов мобильной связи приведут к тому, что трафик расти не будет, по крайней мере — в 2022 году.

Сообщается, что за последнее время число кибератак на российские ресурсы выросло многократно, намного увеличилась и их интенсивность. Примечательно, что под атаки попадают ресурсы самой разной направленности — от сайтов государственных учреждений до коммерческих компаний и СМИ, никак не связанных с государством. Эксперты отмечают, что организаторы ориентировались строго по российским IP-адресам, по косвенным признакам — зачастую даже не понимая, о каких именно ресурсах идёт речь.

По данным «Лаборатории Касперского», в марте число DDoS-атак на российские компании увеличилось восьмикратно в сравнении с февралём 2022 года. Увеличилась и средняя продолжительность атак — с 12 минут в феврале-марте прошлого года до 29,5 часов в сопоставимый период текущего.

Источник изображения: 8385/pixabay.com

Как сообщает ТАСС со ссылкой на данные исследования, рекордная по продолжительности DDoS-атака длилась 145 часов — т. е. более 6 суток. Известно, что большая часть нападений пришлась на финансовые организации (35 %), государственные органы (33 %) и учреждения образования (9 %). Также пострадали СМИ (3 %) и другие сферы (20 %).

В «Лаборатории Касперского» отметили, что рекордных показателей количество атак достигло ещё в последнем квартале прошлого года, но тот уровень был несопоставим с текущими показателями угроз. Эксперты отметили, что активное участие в атаках по некоторым признакам принимали т. н. хактивисты-непрофессионалы. Впрочем, со временем их число уменьшилось, зато сами атаки стали более мощными, длительными и хорошо подготовленными.

По данным Минцифры, показатели для государственных органов ещё хуже: количество атак выросло десятикратно в сравнении 2021 годом, а основной целью преступников стали попытки нарушить работоспособность и доступность ресурсов. С учётом того, что профили атак меняются постоянно, ответственным за защиту лицам и структурам приходится постоянно адаптировать механизмы защиты, что может вызывать временные перебои в работе ресурсов. Впрочем, в последнее время отмечается некоторое снижение интенсивности атак.

Ранее Qrator Labs сообщала о снижении интенсивности действий злоумышленников с 9-10 марта. По данным «Лаборатории Касперского», наиболее активны они были 23-25 февраля.

Служба доставки Boxberry сообщила о значительном сбое своих внутренних сервисов, который был вызван массированной DDoS-атакой. Частично приостановлена работа службы, включая контактный центр.

Источник изображения: Gerd Altmann / pixabay.com

Как сообщили в компании, из-за сбоя могут наблюдаться сложности в оформлении заказов, затруднена работа личных кабинетов для физических и юридических лиц, кроме того, не исключены проблемы с отправкой заказов через пункты, а также с получением посылок.

В компании подчеркнули, что, несмотря на массированную DDoS-атаку, отсутствует угроза для пользовательских данных в системе — риска утечки нет. Специалисты Boxberry работают над устранением возникшей проблемы, однако ориентировочные сроки возобновления штатного режима работы пока не называются.

Служба доставки Boxberry сотрудничает с доской объявлений «Авито», и из-за временных трудностей отправка посылок через сервис пока недоступна, поэтому придётся пользоваться другими вариантами: «Почтой России», постаматами Pick Point, доставкой через «Курьер сервис экспресс», а внутри городов можно воспользоваться сервисами «Яндекс.Доставка» и «Достависта».

Напомним, специализирующаяся на кибербезопасности компания Qrator Labs ранее сообщила, что с 9–10 марта интенсивность DDoS-атак по российскому сегменту Сети начала снижаться.

Стало известно, что интенсивность DDoS-атак, проводимых против российских компаний и организаций, начала снижаться 9-10 марта. Об этом пишет РБК со ссылкой на слова основателя компании Qrator Labs Александра Лямина.

Источник изображения: vicky gharat / Pixabay

Массовые DDoS-атаки на сайты российских компаний начались после обострения конфликта между Россией и Украиной 24 февраля. Наиболее сложную и многочисленную по количеству задействованных устройств (более 3,5 млн устройств) зафиксировали 7 марта. Напомним, в ходе DDoS-атак злоумышленники направляют на целевой сайт большое количество запросов, превышающее пропускную способность сети, что блокирует работу ресурса частично или полностью.

«Особенность наблюдаемых атак заключается также в том, что это атаки уровня приложения (Application Layer, L7), трафик которых может максимально походить на активность обычных пользователей. В таких нападениях используется шифрованный HTTPS-трафик, для очистки которого требуется большое количество ресурсов и вычислительных мощностей, поскольку к обработке незашифрованных запросов добавляется криптографическая нагрузка», — пояснил Александр Лямин. Он также отметил, что на данном этапе рано говорить о том, что спад активности организаторов DDoS-атак является окончательным.

В «Лаборатории Касперского» также подтвердили тенденцию к снижению количества DDoS-атак. По словам представителя компании, пик активности пришёлся на 23-25 февраля. Также было отмечено изменение характера атак. «В первые дни мы отмечали, что в атаках одновременно с профессиональными злоумышленниками участвовало большое количество пользователей, не обладающих компетенциями и инструментами для сложных атак, хактивистов. Со временем их число сократилось, но их всё ещё довольно много. Кроме того, сейчас в основном проходят сверхдлинные атаки, продолжающиеся сутками», — прокомментировал данные вопрос Александр Гутников, сотрудник «Лаборатории Касперского». Он добавил, что по сравнению с периодом до 24 февраля, до сих пор проводится в разы больше атак на сайты российских компаний и организаций.

Напомним, ранее компания «Ростелеком-Солар» сообщала, что основной мишенью проводимых злоумышленниками DDoS-атаки стали ресурсы органов власти. В период с 7 по 10 марта на один из госпорталов было совершено около 1700 атак такого типа. При этом в коммерческом сегменте в период с 1 по 10 марта было зафиксировано и отражено 1100 DDoS-атак, что превысило показатель за весь февраль целиком.

Подведомственный Федеральной службе безопасности РФ Национальный координационный центр по компьютерным инцидентам (НКЦКИ) опубликовал информационное сообщение об угрозах, которые таят в себе браузерные расширения.

Каталог расширений Chrome Web Store

По данным НКЦКИ, в настоящее время зафиксированы факты распространения вредоносных плагинов для широко востребованного в сетевой среде веб-обозревателя Google Chrome. Такие расширения используются злоумышленниками не только для кражи пользовательских данных, но также с целью формирования бот-сетей и организации распределённых DDoS-атак.

«В большинстве случаев надстройки для веб-обозревателей являются программными продуктами с открытым исходным кодом. Перед добавлением подобных продуктов в официальные каталоги расширений проводится внешний аудит содержащегося в них кода. Однако, несмотря на проведение проверки перед первичной публикацией программного продукта, при его последующем обновлении возможно внедрение вредоносного кода, обеспечивающего выполнение недекларируемых функций», — поясняют в центре кибербезопасности ФСБ России.

НКЦКИ рекомендует пользователям минимизировать или отказаться от использования расширений браузеров, если в этом отсутствует прямая необходимость.

Национальный координационный центр по компьютерным инцидентам был сформирован ФСБ России в сентябре 2018 года и решает довольно широкий спектр задач. В частности, структура отвечает за обмен сведениями об ИБ-инцидентах между субъектами критической информационной инфраструктуры. Кроме того, специалисты центра занимаются обнаружением, предупреждением и ликвидацией последствий компьютерных атак.