В сравнении с прошлым годом количество опубликованных российскими рекламодателями вакансий для борьбы с DDoS-атаками подскочило на 66 %. Об этом пишет РБК со ссылкой на данные исследования сервиса для поиска работы HeadHunter.

Источник изображения: Darwin Laganzon / pixabay.com

Согласно имеющимся данным, в общей сложности с начала 2022 года на сайте hh.ru было размещено более 16 тыс. вакансий в сфере информационной безопасности. В 2 % случаев работодателям непосредственно требовались специалисты, способные противостоять DDoS-атакам. Наибольший спрос на таких специалистов наблюдается в Москве (51 % вакансий от общего количества по стране). В числе лидеров по поиску способных противостоять DDoS-атакам специалистов находятся компании из Ростова-на-Дону, Санкт-Петербурга, а также Свердловской, Нижегородской, Новосибирской и Самарской областей. Наибольший прирост количества таких вакансий наблюдался в Санкт-Петербурге, где спрос на специалистов по защите от DDoS-атак подскочил в 6,5 раз по сравнению с прошлым годом.

Основной объём вакансий такого типа поступает от IT-компаний (51 % от общей массы по стране), финансовых и банковских организаций (8 %) и крупных ретейлеров (6 %). На долю транспортно-логистических и металлургических предприятий приходится по 3 % вакансий такого типа, на госсектор — 1 %. В 95 % случаев работодатели предлагают специалистам по противостоянию DDoS-атакам полный рабочий день и полную ставку. При этом в 54 % вакансий упомянуто в числе требований наличие опыта не менее 3 лет. Медианная предлагаемая зарплата в вакансиях для специалистов по сетевой безопасности в среднем по России составляет 150 тыс. рублей в месяц, максимальная — 400 тыс. рублей в месяц.

Во втором квартале в России был установлен новый рекорд по длительности DDoS-атак, пишет «Коммерсантъ» со ссылкой на данные экспертов. В дополнение к увеличению продолжительности хакерские атаки стали более профессиональными и подготовленными.

Источник изображения: Pixabay

Согласно данным «Лаборатории Касперского», средняя продолжительность хакерских DDoS-атак в мае выросла до 57 часов, что на 17 часов больше чем в апреле. В июне длительность атак стала меньше, но всё равно почти на порядок больше показателя прошлого года, когда самая долгая атака продолжалась 6,5 часа. В течение квартала несколько раз обновлялся рекорд длительности атак, достигнувший почти 29 дней в мае.

По данным отчёта «Лаборатории Касперского», главной целью хакеров во втором квартале были предприятия финансового сектора, хотя их доля снизилась с 70 % в апреле до 37 % в июне. Вместе с тем резко выросла доля государственных организаций среди пострадавших от атак хакеров, на которые в июне пришлось 38 % всех DDoS-атак в России.

Как отметил эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников, с начала 2022 года доля участия в DDoS-атаках хакеров-любителей, выражающих свою позицию, стала меньше, и всё чаще специалисты компании стали фиксировать атаки, подготовленные профессионалами.

Главный специалист блока анализа защищенности Infosecurity a Softline Company Дмитрий Карельский выразил мнение, что активность хакерских группировок будет сохраняться в связи с текущей геополитической ситуацией. Он отметил опасность длительных DDoS-атаки для компаний, так как они влекут за собой простой в работе сервисов.

В результате долгих атак сайты теряют позиции в поисковой выдаче, так как в это время выдают сообщение с ошибкой в ответ на запрос поискового бота, добавил гендиректор интернет-маркетингового агентства Goodsites Николай Курганов. «Исправление ошибок и возврат позиций в рейтинге может занять несколько недель», — предупреждает эксперт.

В случае отсутствия доступа к сайту компании, он опускается в выдаче «Яндекса» или любого другого поисковика, или может исчезнуть из выдачи вообще, если это продолжается длительное время, говорит основатель и гендиректор Qrator Labs Александр Лямин. В свою очередь, в «Яндексе» сообщили, что дообучают алгоритмы, чтобы сайты имели больше времени на восстановление работы.

По словам руководителя группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита» Ильназа Гатауллина, сейчас большое количество компаний занимаются бизнесом в интернете и при больших оборотах «даже десять минут простоя приводят к колоссальным убыткам».

После масштабных DDoS-атак на российские сайты в мае их интенсивность, т.е. число используемых злоумышленниками IP-адресов, уменьшилась вдвое по состоянию на конец июня. По мнению экспертов, это связано с отсутствием явных обострений во внешнеполитической обстановке и усилением блокировок трафика на границе.

Источник изображения: Gerd Altmann / pixabay.com

По данным Qrator Labs, интенсивность DDoS-атак на российские сайты сократилась с 2,2 млн IP-адресов, которые были задействованы на пике активности злоумышленников 27 мая, до 1 млн IP-адресов к 20 июня. Наиболее заметный всплеск фиксировался в период с конца февраля по начало марта, когда количество используемых для проведения DDoS-атак IP-адресов достигало 3,5 млн единиц. В «Лаборатории Касперского» также подтвердили более чем двукратное снижение интенсивности DDoS-атак.

Эксперты уточняют, что обычно в июне не наблюдается всплеска активности хакеров, но в нынешнем году динамику снижения интенсивности DDoS-атак нельзя объяснить сезонностью, поскольку они, как правило, проводятся кампаниями и привязаны к определённым внешним событиям. «Долго держать всплеск на одной интенсивности невозможно. Но если будет обострение во внешнеполитической обстановке, то атаки снова вернутся к пикам», — считает основатель и генеральный директор Qrator Labs Александр Лямин.

Напомним, после обострения ситуации на Украине российская инфраструктура подверглась масштабным атакам. Даже если не учитывать мартовские пики, интенсивность DDoS-атак планомерно росла в период с апреля по май и увеличилась за это время на 100 % — с 1 млн используемых IP-адресов до более чем 2 млн. Эксперты отмечают, что в основном такие атаки проводили непрофессиональные хакеры, которые генерировали трафик собственными браузерами или простыми DDoS-инструментами.

Нынешний спад активности злоумышленников также связывают с тем, что значительная часть ресурсов Anti-DDoS блокирует иностранные IP-адреса, которые и используются для создания существенного объёма вредоносного трафика. Об этом рассказал директор центра противодействия кибератакам Solar JSOC компании «РТК-Солар» Владимир Дрюков.

Руководитель направления по компьютерной криминалистике компании «Информзащита» Никита Панов также отметил, что на активность хакеров может влиять стоимость криптовалют, которая часто используется для оплаты их услуг. Поскольку в настоящее время криптовалютный рынок переживает не лучшие время, а стоимость биткоина колеблется в районе $20 тыс. за единицу, интерес хакеров к DDoS-атакам, которые традиционно являются одной из самых дешёвых услуг, в значительной степени сократился.

Компания Cloudflare, занимающаяся интернет-инфраструктурой, на прошлой неделе зафиксировала и отразила крупнейшую в истории HTTPS DDoS-атаку с частотой до 26 млн запросов в секунду. Злоумышленники атаковали веб-сайт неназванного клиента компании, использующего бесплатный тарифный план.

Источник изображения: Pixabay

Согласно имеющимся данным, в ходе упомянутой атаки для генерации запросов использовалась небольшая, но мощная ботнет-сеть из 5067 устройств. Для сравнения, ранее компания отслеживала значительно более крупный ботнет, состоящий из более чем 730 тыс. устройств, но при этом неспособный генерировать более 1 млн запросов в секунду.

Источник изображения: Cloudflare

Нынешняя атака проведена с использованием ботнета, преимущественно состоящего из виртуальных машин и серверов. Отмечается, что речь идёт о HTTPS DDoS-атаке, организация которой обходится дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установки безопасного зашифрованного соединения TLS. Это означает, что для злоумышленника организация такой атаки обходится дороже, но и для противостояния ей также требуется больше средств. В прошлом фиксировались очень крупные DDoS-атаки через незашифрованный HTTP, но данная атака выделяется на их фоне из-за масштабов ресурсов, которые были необходимы для её организации.

Источник изображения: Cloudflare

Менее чем за 30 секунд ботнет сгенерировал свыше 212 млн HTTPS-запросов из более чем 1500 сетей в 121 стране мира. Наибольшее количество запросов поступало из Индонезии, США, Бразилии и России. При этом около 3 % от общей мощности пришлось на узлы сети Tor. Наибольший объём трафика шёл из сетей французского провайдера OVH, индонезийской компании Telkomnet, американской iboss и ливийской Ajeel.

Стало известно, что в мае интенсивность DDoS-атак на уровне приложений (Application Layer или L7, когда осуществляется имитация обращений пользовательских приложений, например, просмотр веб-страниц или работа мессенджера) к серверам жертв увеличилась на 200 % относительно апреля. Об этом пишет «Коммерсантъ» со ссылкой на данные компании Qrator Labs.

Источник изображения: Pixabay

В сообщении сказано, что всплеск атак на российскую IT-инфраструктуру впервые фиксировался в феврале-марте. Количество IP-адресов для ведения злонамеренной активности в этот период достигало 3,5 млн единиц. В апреле этот показатель не превышал 1 млн IP-адресов за месяц, тогда как в марте снова вырос до 2 млн единиц.

Основатель и генеральный директор Qrator Labs Александр Лямин рассказал, что во многих случаях оборудование, предназначенное для противодействия DDoS-атакам, успешно справляется с атаками другого типа. «В их числе угрозы, когда вредоносный трафик переполняет пропускную полоску», — сообщил господин Лямин.

При этом он отметил, что от атак на уровне приложений такое оборудование не помогает. «Интерес злоумышленников к новому типу атак возрастает в разы, поскольку в таком случае трафик максимально похож на легитимный», — отметил гендиректор Qrator Labs. По его словам, для выявления атак такого типа требуется осуществлять анализ поведения всех пользователей, заходящих в моменте на ресурс. Однако используемые операторами связи средства могут анализировать только паттерн трафика: откуда он идёт, есть ли нетипичные IP-адреса, наблюдается ли аномальный всплеск активности.

В Qrator Labs считают, что атаки уровня L7 станут трендом в 2022 году. В прошлом атаки такого типа также проводились, но это были единичные случаи. Одной из самых масштабных атак с обращениями через приложения была атака на сервисы «Яндекса» в 2021 году. В ходе этой атаки к ресурсу отправлялось 21,8 млн запросов в секунду.

После того, как для блокировки зарубежного трафика по географическому признаку в России начали использовать оборудование для фильтрации на сетях связи, хакеры стали искать альтернативные способы организации DDoS-атак. Злоумышленники используют для проведения вредоносных кампаний VPN- и Proxy-сервисы, а также ботнет-сети, состоящие из скомпрометированных сетевых устройств, таких как роутеры и умные камеры, с российскими IP-адресами.

Источник изображения: Pixabay

В апреле этого года было объявлено о намерении Роскомнадзора создать национальную систему защиты от DDoS-атак, для чего планировалось обновить оборудование для глубокой фильтрации трафика (DPI), используемое при исполнении закона о суверенном интернете. По данным источника, это оборудование применяется для фильтрации трафика по географическому признаку на границах России. Официальные представители Роскомнадзора воздерживаются от комментариев по данному вопросу.

С момента начала спецоперации на Украине 24 февраля Россия столкнулась с волной кибератак на госсектор и бизнес. В «Лаборатории Касперского» сообщили, что в конце февраля компания отразила в 4,5 раза больше DDoS-атак, чем за аналогичный период годом ранее.

«При борьбе с DDoS-атаками механизм блокировки по географическому обращению для ряда сервисов является быстрым и действенным», — считает директор экспертного центра безопасности Positive Technologies (PT Expert Security Center) Алексей Новиков. Когда злоумышленники понимают, что ресурс включил такую блокировку, они начинают использовать в атаках IP-адреса, находящиеся на территории России. «Это можно сделать, арендовав VPN, Proxy или VPS (виртуальный выделенный сервер) у провайдеров, расположенных в РФ, или использовать различные ботнеты, объединяющие заражённые устройства на территории РФ. Большинство ботнет-сетей на данный момент собраны из различных заражённых умных устройств или просто персональных компьютеров», — добавил эксперт.

Основатель компании Qrator Labs (специализируется на защите от DDoS-атак) Александр Лямин согласен, что на фоне блокировок трафика из-за рубежа атакующие стали использовать устройства, расположенные в российском адресном пространстве. «Подобная схема обхода блокировок по IP существовала и раньше, это доказывает, что фильтрация трафика по геолокации неэффективна», — уверен господин Лямин.

На этой неделе компания Cloudflare, занимающаяся интернет-инфраструктурой, рассказала об обнаружении DDoS-атаки, мощность которой на пике составила 15,3 млн запросов в секунду. Одна из крупнейших HTTPS DDoS-атак за всё время наблюдения была зафиксирована в начале месяца и направлена против одного из клиентов Cloudflare, использующего площадку для запуска криптовалют.

Источник изображений: Cloudflare

Согласно имеющимся данным, DDoS-атака длилась всего 15 секунд, а для её организации использовался ботнет из примерно 6 тыс. скомпрометированных устройств из 112 стран мира. По данным Cloudflare, около 15 % трафика исходило из Индонезии. Также большое количество трафика фиксировалось из России, Бразилии, Индии, Колумбии и США. Отмечается, что это была не самая крупная атака на уровне приложений, которую фиксировали в Cloudflare, но она стала крупнейшей с использованием HTTPS.

«HTTPS DDoS-атаки обходятся дороже с точки зрения требуемых вычислительных ресурсов из-за более высокой стоимости установления безопасного зашифрованного соединения TLS. Поэтому злоумышленнику обходится дороже запуск такой атаки, а жертве — противостояние ей. В прошлом мы видели очень крупные атаки через незашифрованное соединение по HTTP, но эта атака выделяется из-за объёма ресурсов, которые потребовались для её организации», — говорится в сообщении Cloudflare.

В компании также отметили, что преимущественно «атака происходила из дата-центров». При этом использовалось более 1300 сетей по всему миру, а наибольший объём трафика шёл из сетей немецкого провайдера Hetzner Online GmbH, колумбийского Azteca Communicaciones Colombia и французского OVH.