По сложившейся традиции мы собрали аналитический отчет за 2023 год и подробно расскажем о главных тенденциях DDoS-атак. Эксперты DDoS-Guard выделяют многократный рост пиковых значений, плавный переход с хактивизма на «коммерческие» атаки, распределенность целей и фокусировку на поддоменах.
Также изучили данные, которыми делились коллеги по индустрии, и предлагаем с помощью нашего подробного обзора и сопутствующей информации составить свою картину мира кибербезопасности за 2023 год.
Общие тенденции
Количество атак, их мощность продолжают расти — мы наблюдали это с каждым кварталом, а к концу года зафиксировали максимальный наплыв, он пришелся на ноябрь-декабрь. Мы связываем это с ростом сезонной активности злоумышленников в период больших распродаж. Кроме того, осенью вырос объем клиентского трафика, который проходит через сеть фильтрации DDoS-Guard. Больше клиентов под защитой — больше атак мы наблюдаем и успешно отражаем.
В 2023 году система фильтрации DDoS-Guard зафиксировала рекордное количество — 2 266 198 атак.
Это на 80% больше, чем в 2022 году; на 1224% больше, чем в 2021.
В первом полугодии 2023 злоумышленники столкнулись с кризисом: многие провайдеры защиты позволяют владельцам ресурсов включить геоблокировку и полностью срезать все запросы с любых стран, кроме России. Атакующие быстро нашли решение в виде аренды виртуальных серверов на территории РФ, с которых можно совершать атаки, так как запросы из РФ не блокируются. Но чтобы собрать достаточное количество ресурсов для внушительной волны вредоносного трафика — придется арендовать много серверов, а это влечет за собой серьезные финансовые затраты, на которые будут готовы далеко не все атакующие.
Однако в атаках стабильно стало участвовать больше устройств. Часть из них, как показывает анализ, относится к Интернету вещей (IoT): телевизоры, точки доступа, камеры наблюдения. Здесь тенденция вовлечения подобных устройств в ботнеты стабильно сохраняется в течение последних лет.
Преобладают DDoS-атаки на уровне приложений. Количество атак по протоколам HTTP/HTTPS в 4 раза превышает остальные. При этом такие типы, как NTP amplification, DNS amplification практически полностью исчезли с радаров.
Политически мотивированные атаки уходят как тренд. Началась эпоха возрождения для «коммерческих» атак — DDoS используют как один из наиболее доступных инструментов, чтобы быстро вывести конкурента из игры. Это не обязательно означает заказ в рамках конкурентной борьбы между гигантами индустрии — жертвой мощнейшей атаки в 22,9 млн запросов в секунду (rps), стала небольшая региональная компания по доставке еды.
Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений в DDoS-Guard.
Рост пиковой мощности атак
Злоумышленники стали избегать сайты, использующие сервисы защиты от DDoS. Обнаружив, что атака неэффективна, они перенаправляют свои усилия на веб-ресурсы без защиты. Однако, как только владелец сайта решает, что ему больше ничего не угрожает, атакующие возобновляют вредоносную активность. Видна тенденция повторных атак с перерывом 1-2 месяца. Такое «затишье» может означать тщательную подготовку к мощной атаке на защищаемый сайт с целью максимально повысить шансы нанести ущерб.
Практически с самого начала года мы наблюдали всплески трафика, достигавшие в пике миллионы запросов в секунду. Средняя мощность стала равна пиковым атакам 2022 и продолжает расти. Любопытно, что ранее длительность таких всплесков исчислялась минутами, а теперь они отличаются краткосрочностью — не более нескольких секунд.
10 лет назад крупнейшие атаки достигали 2-3 млн запросов в секунду. Если тогда жертвами становились только такие гиганты, как Youtube, теперь эти объёмы отправляются в адрес рядовых сайтов.
Приведем реальный пример. В феврале 2023 мы нейтрализовали DDoS-атаку с пиковой мощностью 2,8 млн запросов в секунду на небольшой веб-ресурс, посвященный видеоиграм. Длительность атаки составила около 10 минут, в потоке вредоносного трафика участвовали 2 500 уникальных IP-адресов.
С точки зрения волюметрических показателей, объем небольшой — всего 6 Гбит/с. Но с точки зрения количества запросов — это колоссальная нагрузка, с которой сайт без защиты самостоятельно бы не справился. Система фильтрации DDoS-Guard успешно подавила атаку, благодаря чему сайт клиента продолжил работу в штатном режиме.
На верхнем графике видно, что количество атакующих запросов (Blocked requests max = 2,82 mrps) настолько превышает долю легитимного трафика, что даже в пике легитимные запросы практически незаметны (Requests max = 1,7 krps).
Нижний график показывает, что при этом всплеск входящего трафика (Rx) с пиком в 6,3 Гбит/с не оказывает влияния на легитимных пользователей защищаемого ресурса. Объем исходящего трафика (Tx) сохраняется на уровне в 240 Мбит/с, а пиковое значение составляет лишь 286 Мбит/с.
Распределенность целей атак
Из 2022 в 2023 год перешла тенденция к атакам на служебные (корпоративные) сервисы с целью парализовать реальную работу компаний. Каких-либо предпосылок для изменения ситуации не наблюдается — ожидаем, что популярность этого тренда сохранится и в течение 2024 года.
Участились случаи, когда в качестве цели атаки выступает не конкретный домен-два, а все поддомены веб-ресурса. В качестве примера здесь можно привести ситуацию, когда у сайта есть подразделения по городам: zelenograd.example.com, podolsk.example.com и так далее. Обычно расчёт делается на то, что все домены в реальности обслуживаются в одном месте, а фильтровать атаку на множество поддоменов для их владельцев и администраторов бывает затруднительно.
В качестве еще одного паттерна выступает атака на ресурсы, находящиеся в рамках одной подсети. Вероятно, целью здесь является массовое выведение из строя всей инфраструктуры жертвы. В основном такие атаки направлены в адрес крупных компаний с большим количеством сайтов и сетей.
Продолжительность атак
По-прежнему превалируют краткосрочные всплески трафика — до 20 минут. Однако «жемчужина» встретилась нам именно среди длительных атак:
В течение непрерывного 19-часового периода к атакуемому ресурсу было совершено 13,8 млрд вредоносных запросов. По итогам 2023 года это рекордное значение.
Для сравнения, в 2022 году максимальное количество запросов в рамках одной атаки едва превышало 2 млрд. В первом квартале 2023 — составляло менее 1 млрд.
Осенью было небольшое смещение фокуса в пользу атак длительностью более 24 часов — их число выросло в 2,5 раза по сравнению со вторым кварталом 2023. Покажем динамику непрерывной атаки продолжительностью 48 часов 36 минут, которую зафиксировала система защиты DDoS-Guard.
В начале мы видим маломощную, но яркую картину: флуд по протоколам TCP и UDP в сочетании с атакой фрагментированными IP-пакетами. Атака непрерывна, и фрагментированные IP-пакеты составляют ее основную массу — 70%. На вторые сутки объем вредоносного трафика достигает 1,9 Гбит/с. Это далеко не рекордное значение, но с учетом общей продолжительности атаки такие всплески могут окончательно истощить ресурсы жертвы.
Тенденции атак по отраслям
В первом квартале этого года больше всех страдали небольшие региональные СМИ, онлайн-кинотеатры и игровые серверы. Об этом мы писали в дайджесте за Q1 2023. Сайты СМИ несколько месяцев лидировали по популярности у атакующих, однако в итоге уступили первенство развлекательным сервисам. По сравнению с 2022 годом такие онлайн-ресурсы получили в два раза больше атак.
Повышенная активность атак обрушилась на IT-компании, которые предоставляют услуги информационной безопасности и разрабатывают цифровые продукты. Операторы связи заняли третье место в нашем «хит-параде» наиболее атакуемых проектов.
Есть тенденция к росту вредоносной активности в период сдачи квартальной отчетности, когда основной целью злоумышленников является затруднение или невозможность проводить прогнозируемые бюрократические процедуры. Под удар попадали организации, которые занимаются сопровождением компаний в бухгалтерской сфере. Атаки на финансовый сектор были особенно заметны во время важных публичных экономических заявлений, например, о повышении ключевой ставки.
Особый интерес у атакующих вызвала сфера путешествий: количество атак на сервисы по покупке билетов, бронирования отелей и т.д. в три раза превышает показатели 2022 года.
Также более чем в три раза выросло количество атак на сайты аптек, медицинских центров, лабораторий и других организаций, работающих в сфере здоровья. DDoS-атаки на такого рода ресурсы нередко становятся прикрытием для попытки заполучить конфиденциальные данные пациентов и другую информацию.
Наблюдения коллег по индустрии
Мы с интересом следим за отчетами, которые выпускают другие провайдеры защиты, и сопоставляем их со своими наблюдениями — так получается более полная картина событий в среде защиты от кибератак.
1 квартал
В Stormwall отметили резкий прирост DDoS-атак на сектор промышленности. В первом квартале 2023 года больше всех пострадали финансовые сервисы — на них пришлось 32% атак, а за год число возросло на 62%.
Эксперты Positive Technologies считают, что количество успешных кибератак на финансовый сектор растет каждый год: так в первые три квартала 2023 года доля вредоносных воздействий составила 9% от от общего количества успешных атак на организации. Также отмечают вдвое больше уникальных киберинцидентов по сравнению с 2022 годом. Прогнозы аналитиков говорят о сохранении пристального внимания преступников к экономической отрасли.
2 квартал
Во втором квартале 2023 года векторы атак изменились, и злоумышленники сконцентрировались на эксплуатации уязвимостей. Тенденцию зафиксировали в Ростелеком-Солар: ее связывают с массовым переходом компаний на отечественное ПО, которое стали активно атаковать хакеры. Специалисты заметили, что действия злоумышленников стали более высокопрофессиональными и точечными.
3 квартал
Qrator Labs третий год подряд отмечают динамичный рост DDoS-атак на протокол UDP. Динамика за период 2021-2023 гг показывает изменения средних показателей с 29,31% до 51,45%. Эксперты считают, что это может быть связано с летним сезоном в ряде сегментов бизнеса.
В третьем квартале снизились количество и мощность адресных DDoS-атак на конкретные организации. Злоумышленники сосредоточились на массовых атаках, — следует из данных отчетов сервиса Ростелеком-Солар. Также специалисты зафиксировали самую длительную атаку, которая продолжалась 9 месяцев.
По результатам аналитического исследования ГК «Гарда» чаще всего атакам в третьем квартале подвергались сферы телеком и транспорта. Наибольший объем атак пришелся на сети телеком-операторов, за ними идут ресурсы авиаперевозчиков и системы бронирования Ж/Д.
Глобальные тренды
В 2023 году явно прослеживался тренд, который перешел к нам из 2022 — рост количества атак при снижении их продолжительности. По данным Qrator Labs, средняя продолжительность атак уменьшилась на 29,15% по сравнению с 2022 годом.
Еще одним глобальным трендом 2023 года можно назвать рост количества многовекторных атак. Согласно отчету Stormwall они возросли сразу на 108%. Большая часть приходится на хакерские группировки, которые спонсируют государства. Их отличает более профессиональный подход и доступ к высокотехнологичным инструментам.
К чему готовиться в 2024 году
DDoS-атаки стали более продуманными, хакеры тщательнее выбирают своих жертв. Раньше они направляли массовые атаки на сайты определенной тематики, например СМИ, без анализа защищенности. Теперь они проверяют наличие защиты и ее устойчивость. Это многократно повышает шансы вывести сайт из строя и не тратить ресурсы впустую.
Злоумышленники пробуют разные подходы, разрабатывают новые механизмы атак. Не все из них эффективны, но отдельные практики в организацию новых угроз попадают. Какого-то однозначного выделенного источника атак нет — достаточно равномерно используется инфраструктура по всему миру, ботнеты растут за счет умных устройств и недорогих серверов.
DDoS-Guard внимательно следит за трендами и развивает свои технологии, чтобы средства защиты всегда оставались актуальными. Узнать о последних разработках можно из новостей в нашем блоге по тегу «Обновления»
Эксперты прогнозируют, что в 2024 году мир ждет новая волна крупных утечек данных, а также повышение активности вымогателей и хактивистов. Ожидается усложнение атак, многовекторность и увеличение мощности. Тенденция атак на отрасли, которым особенно важна стабильная работа ресурсов в определенный период времени, с высокой вероятностью сохранится.
