Эксперты Qrator Labs обнаружили ботнет рекордного масштаба, состоящий из более чем 160 тыс. устройств. Это втрое больше, чем любой другой, который использовали злоумышленники. При этом главной задачей этой зомби-сети была не организация DDoS-атак, а сбор данных, прежде всего, у розничных продавцов. "Ботнеты такого масштаба не ставят рекорды по интенсивности запросов и полосе пропускания: их задача в другом — стабильно и ежедневно извлекать коммерчески значимые данные, не вызывая подозрений у защитных механизмов. Чем меньше доля работы, которую должно сделать каждое отдельное устройство, тем сложнее обнаружить его в массе пользователей и заблокировать. Бороться с этой активностью с помощью репутационного анализа, лимитов по скорости и IP-блокировок затруднительно – "под нож" неизбежно попадут легитимные пользователи. Требуется уметь идентифицировать посетителей, оценивать целостность цифрового окружения их девайсов, которое хорошо умеют подделывать продвинутые боты, и принимать решение о запрете доступа индивидуально для каждого недобросовестного обращения", – комментирует менеджер продукта в Qrator Labs Георгий Тарасов.
Тем не менее, в конце 2021 г., по данным Qrator Labs, продолжалась активность злоумышленников в отношении таких отраслей, как онлайн-коммерция и образование. Генеральный директор и основатель Qrator Labs Александр Лямин напрямую связывает это обстоятельство с тем, что DDoS-атаки следуют за бизнесом: в тех отраслях, где наблюдается максимальный рост, пропорционально увеличивается и число нападений: "В IV квартале 2021 г. пользователи продолжили учиться в удаленном режиме, а количество онлайн-заказов товаров бьет все рекорды - поэтому злоумышленники и сфокусировали свое внимание на этих самых прибыльных сегментах рынка".
Системный аналитик "Лаборатории Касперского" Александр Гутников также заявил о том, что наблюдается заметный рост количества проявлений DDoS-атак, что во многом связано с сезонным фактором: "Мы наблюдали рост количества атак в полтора раза по сравнению с предыдущим кварталом и более чем четырехкратный рост в сравнении с аналогичным периодом предыдущего года. Такие скачки связаны с двумя факторами. Во-первых, имеет место традиционное для IV квартала сезонное колебание, происходящее каждый год. К концу года традиционно обостряется конкурентная борьба в розничной торговле, наступает время экзаменов у школьников и студентов — все это ведет к росту количества атак. Также объем рынка DDoS обратно пропорционально связан с рынком криптовалют. Связано это с тем, что мощности для организации DDoS и для майнинга криптовалюты хоть и не полностью, но взаимозаменяемы, поэтому владельцы ботнетов склонны перенаправлять мощности на майнинг при расти крипты и на DDoS при ее падении. В IV квартале мы наблюдаем именно это: рост количества DDoS-атак на фоне падения криптовалют. Именно с этим связан пугающий рост в 4 раза по сравнению с прошлым годом: тогда мы наблюдали обратную ситуацию, падение рынка DDoS на фоне резкого скачка криптовалют".
Начальник отдела информационной безопасности компании "Сигма" Антон Добасевич видит заметный рост активности злоумышленников по всему фронту: "Сейчас бизнес активно "мигрирует" в онлайн. Еще 5-7 лет назад далеко не каждая компания даже имела свой сайт. Сейчас – это базовая составляющая любой коммерции. Растет трафик, соответственно, увеличивается и количество атак. Только за 2021 г. средний показатель по отраслям вырос в 2-2,5 раза. При этом стоит отметить, что с массовым переходом на удалённую работу многие компании начали активно использовать внешние облачные сервисы. Рост пропускных способностей сетей помогает укреплять стабильность работы внешних ресурсов и минимизировать риски целевых DDoS-атак". По его оценке, наиболее часто атакуют финансовый сектор и систему розничной торговли. За период пандемии к ним отраслям добавились медицинские организации, образовательные ресурсы, государственные учреждения. Но есть и новые тенденции: "Наша компания специализируется на автоматизации энергетического сектора. С увеличением объема онлайн-обслуживания абонентов энергосбыта количество атак возросло в разы. Собственная линейка решений "Сигмы" для энергетики в первую очередь нацелена на быструю, точную и безопасную передачу данных (информация о потребителях, договорах энергоснабжения, энергообъектах, приборах учета) в масштабах города, региона и страны".
Александр Гутников также считает, что атакуют в основном те ресурсы, цена атаки которых ниже потерь от их простоя, и отраслевая принадлежность никак не влияет на активность атакующих: "В отчете за I квартал 2020 мы описывали скачок атак, связанный с пандемией, когда в связи с карантином и вводом режима удаленной работы критическими для бизнеса стали ранее второстепенные сервисы, вроде веб-интерфейсов к корпоративной почте и VPN-шлюзов. Так как такие сервисы стали критически важными в один день, защищены они зачастую были все еще не на том уровне, а интерес к ним уже сильно повысился. И их стали атаковать. Атаке может подвергнуться любой ресурс, возможность этого есть всегда и оценить вероятность её возникновения довольно трудно. В любом случае, если бизнес считает простой какого-то сетевого ресурса дорогим или вообще неприемлемым — значит это потенциальная цель для атаки и о защите нужно думать заранее, независимо от отрасли".
"В первой половине декабря специалисты компании StormWall зафиксировали шквал DDoS-атак мощностью более 1 Тбит/с, длящихся в течение нескольких суток. В основном, хакеры атаковали компании развлекательного сектора, онлайн-ритейл, издательские дома и финтех-сферу, особенно криптосервисы. Атаки осуществлялись злоумышленниками с помощью нового ботнета, который состоит из нескольких десятков тысяч серверов с разными версиями операционных систем, а также вебкамер, роутеров, умных телевизоров и других умных устройств", - говорится в исследовании компании Stormwall. Наиболее часто с DDoS атаками сталкивались финансовый сектор, розница и игровая индустрия. При этом число атак на финансовые компании в годовом выражении увеличилось на 84%, а на розничные компании – на 75%. Также в Stormwall обращают внимание на то, что атакующие научились объединять ресурсы нескольких ботнетов, что позволяло добиваться рекордных мощностей при атаках.
В "Лаборатории Касперского, однако, не видят со стороны организаторов DDoS атак каких-то технологических новаций вроде обнаруженного в 2021 г. ботнета Mēris. Вместе с тем Александр Гутников обращает внимание на постоянное снижение порога входа на этот криминальный рынок: "При этом DDoS-атак становится с каждым годом доступнее, это давно не только удел профессионалов. Предложений по аренде ботнетов становятся больше (зачастую их рекламируют как решения для нагрузочных тестирований), оплата их становится проще благодаря развитию криптовалют, а интерфейсы к ним становятся удобнее. Все это влияет на рост рынка".
Однако, по мнению ряда экспертов, ситуация с DDoS-атаками, по крайней мере, классическими, не столь драматична. К примеру, в пресс-службе АО "ЭР-Телеком Холдинг" ситуацию с DDoS в России оценили так: "В настоящее время мы не наблюдаем каких-то существенных изменений или роста количества DDoS-атак".
По оценке ряда компаний ситуация и вовсе имеет явную тенденцию к снижению. Как отметил бизнес-консультант по информационной безопасности Cisco Алексей Лукацкий, за последние полгода мы отмечаем скорее снижение числа атак "отказ в обслуживании", чем их рост (по крайней мере по сравнению с 2020 г.): "На наш взгляд это обусловлено тем, что злоумышленники меняют тактику и больше внимания стали уделять не сетевым атакам, а атакам на уровне приложений. Наиболее атакуемыми отраслями в конце прошлого года стали технологический сектор, здравоохранение и операторы связи. Не остались без внимания злоумышленников и игровые сервисы, а также финансовый сектор и сфера образования. В сегменте DDoS-атак очень сложно выявить долгосрочные тенденции - это очень изменчивый рынок, зависящий от множества факторов. Например, осенью прошлого года возросло число атак на сферу образования, это было связано с началом учебного года в школах и вузах. В конце прошлого года также была зафиксирована крупная DDoS-атака на поставщиков услуг IP-телефонии, в которой ее автор выдавал себя за группировку REvil, которая к тому моменту уже прекратила свою активную деятельность".
Яков Шпунт