DDoSтояние бизнеса: как изменились количество и характер DDoS-атак на компании

Атак в DDoSтатке

Во II квартале 2023 года общее количество DDoS-атак выросло на 40%, при этом больше всего от них пострадал финансовый сектор, на долю которого пришлась почти половина всех атак — 44,34%, следует из отчета Qrator Labs (есть в распоряжении Forbes). Вторую и третью строчки заняли сегменты электронной торговли и онлайн-образования — 13,68% и 11,32% соответственно. «Лето является активным бизнес-сезоном для многих, включая банки, которые начинают активно привлекать вклады и выдавать кредиты на путешествия, строительство и ремонт», — поясняют аналитики.

Количество атак в абсолютных значениях растет, а их продолжительность снижается — то есть атак больше, но они становятся короче, заметили в Qrator Labs. Так, средняя продолжительность уменьшилась на 29,15%, составив 47 минут. Аналогичный показатель в первом квартале составлял более одного часа. «Максимальная продолжительность также снижается — с 42 часов в I квартале до 20,7 часа во II, — обращают внимание эксперты. — В отличие от I квартала, где самая продолжительная атака пришлась на банковский сектор, на этот раз под удар попала индустрия онлайн-игр». По их словам, злоумышленники стали быстрее менять цели: «Если атака не результативна, они сразу переключаются на другие цели, которых у них огромное количество, и не тратят свое время».

По данным компании, значительно растет использование киберпреступниками UDP flood — сетевых атак, использующих бессеансовый режим одного из ключевых протоколов для интернета UDP (User Datagram Protocol): фиксируется почти двукратный рост UDP flood, с 37,44% до 60,1%. Рост показателей UDP flood — это следствие изменения инфраструктуры большинства бизнесов, которое оказывает большое влияние на характер DDoS-атак, указывают аналитики. Так, с момента наступления пандемии в 2020 году многие компании перешли на удаленный формат работы. Он как раз предполагает зачастую переход на UDP, повышающий производительность приложений и обеспечивающий необходимую масштабируемость, особенно когда клиенты используют мобильный интернет или Wi-Fi для выхода в интернет, к тому же это наиболее дешевый и быстрый способ передачи данных. «Развитие системы удаленных офисов и, как следствие, расширение каналов связи за счет внедрения дополнительных средств коммуникаций — таких, как телефония, ВКС и другие, — влечет за собой другой намечающийся тренд, а именно повышение битрейта (или пакетной интенсивности) атак, так как чем шире каналы, тем больше трафика в них можно пустить», — говорится в исследовании.

В организации DDoS-атак присутствует фактор сезонности. Из года в год II и III квартал получают больше атак, чем I и IV, что можно объяснить повышенной активностью злоумышленников в весенний период и в сентябре — в начале бизнес-сезона, следует из отчета.

Любопытно географическое распределение источников атак. Так, наибольшее количество заблокированных IP-адресов за отчетный период пришлось на Россию — 8,2 млн. США стали вторым по популярности источником атак с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку «лидеров» Китай с 1,4 млн адресов. Всего по итогам II квартала в «черный список» было внесено почти 19,5 млн IP-адресов, с которых совершались атаки. В топ стран также вошли Франция (830 000), Индия (638 000), Индонезия (573 000), Германия (543 000), Бразилия (524 000) и Великобритания (500 000). «Блокировка по гео IP стала менее эффективной, — рассуждают эксперты Qrator Labs. — Причина — в поведении злоумышленников, которые для обхода блокировки стали использовать локальные источники трафика в странах, где располагаются их жертвы».

Разобрать мотив

«Главным драйвером DDoS-атак всегда были прежде всего экономические предпосылки: если сумма затраченных рисков в результате DDoS-атаки ниже, чем выгода от ее проведения, то мы всегда будем сталкиваться с таким явлением, как DDoS», —поясняет Forbes основатель Qrator Labs Александр Лямин. «Единственным исключением с точки зрения мотивов атакующих стал прошлый год: тогда основным драйвером атак был хактивизм, — рассуждает он. — Обычно этот мотив всегда находится где-то на третьих ролях, но в 2022 году он уверенно занимал первое место».

Основная причина, почему новый фон атак настолько высок, заключается, по мнению Лямина, в том, что из-за фрагментации правового поля риски привлечения злоумышленников к ответственности за проведенную атаку при условии ее трансграничности сводятся практически к нулю. «Такая ненаказуемость в сочетании с экономическим плечом атаки делает нападения очень выгодными для злоумышленников, — продолжает Лямин. — Мы со своей стороны прилагаем максимум усилий, чтобы сделать DDoS-атаки экономически нецелесообразными. Нападающая сторона должна потратить столько ресурсов, сколько нужно для условного полета на Луну».

«Лакмусовая бумажка»

По словам руководителя команды web-аналитики Innostage Александра Чернякова, банковская сфера всегда была популярной целью для атак, поэтому их рост — «закономерное явление». Уровень кибербезопасности банков он называет «лакмусовой бумажкой» ИБ страны. «Рост числа атак на образовательные сервисы также ожидаем и логичен. К примеру, в прошлом году сайты многих образовательных учреждений стали крайне популярной мишенью. Тогда из-за действия злоумышленников под угрозой оказалась работа приемной кампании в российские вузы и сузы», — напоминает он.

«Если сравнивать с I кварталом, число DDoS-атак на наших заказчиков сократилось, однако оно все равно почти на 20% выше, чем во II квартале прошлого года, — делится наблюдениями директор центра сервисов кибербезопасности МТС Red Андрей Дугин. — По сравнению с I кварталом интенсивность атак действительно снизилась, а продолжительность увеличилась, но незначительно — с четырех до примерно пяти с половиной часов».

Рост количества DDoS-атак в апреле — июне 2023 года подтверждают эксперты StormWall. По их данным, в России он составил 47% по сравнению с аналогичным периодом прошлого года. Впрочем, по поводу продолжительности атак CEO и сооснователь StormWall Рамиль Хантимиров «поспорил бы». «Важно понимать, что считать атакой. Можно считать ею серию киберинцидентов, когда хакеры тестируют различные методы, атакуя один ресурс, а можно считать отдельной атакой каждую попытку обойти защиту, — продолжает он. — Если смотреть в комплексе, то мы видим по своей статистике, что успешные атаки длятся дольше, чем обычно. Если раньше они шли максимум сутки, то сейчас мы наблюдаем атаки, которые продолжаются по двое-трое суток, на компании с неэффективно работающей защитой».

Ведущий инженер CorpSoft24 Михаил Сергеев указывает также на «огромное количество IoT-устройств (подключенные к интернету холодильники, пылесосы, микроволновки, автомобили и т.д.)», которые при «правильном использовании» вполне могут быть использованы для организации различных атак, в том числе по протоколу UDP. «Поэтому мощность атак и количество атакующих устройств будет только расти из года в год», — отмечает Сергеев. По его словам, значительная часть атак идет из-за рубежа, и многие крупные компании и ресурсы — например, Сбербанк, «Госуслуги» и др. — борются с этим очень просто. «Они заблокировали доступ к своим ресурсам из-за рубежа, и зайти на них можно только из России или через VPN с российским IP-адресом. Подобная блокировка делает большинство атак неэффективными, трафик не «долетает» до целевого ресурса и никак не вредит ему», — говорит Сергеев.

Кроме того, хакеры понимают, что тратить время и вычислительные ресурсы на то, что, скорее всего, не принесет результата, крайне неэффективно. «Поэтому они перешли на целенаправленные атаки, которые могут маскироваться с помощью одновременного DDoS, — рассуждает Черняков. — Защититься от таких атак сложнее, а «пользы» с точки зрения злоумышленника в них больше».

Принципиально новых видов атак, по мнению Сергеева, за последние несколько лет не появилось, растет лишь мощность. «Впрочем, в даркнете распространяется новая услуга по модели SaaS (программное обеспечение как услуга), которая позволяет взять в аренду на некоторое время ботнет для организации DDoS-атаки и успешно атаковать любую цель», — говорит он.

Вместе с ростом числа и интенсивности DDoS-атак растет и российский рынок услуг защиты от них. Так, по оценкам МТС Red («дочки» МТС в сфере кибербезопасности), в 2022 году он составил 762 млн рублей, к 2025 году он может вырасти в три с половиной раза — до 2,7 млрд рублей. В 2023 году рынок увеличится еще примерно на 60%. В числе основных факторов такой динамики в компании в первую очередь указывают на распространенность и рост числа DDoS-атак, а также их широкое распространение в каналах информации и простоту подсчета ущерба от них.