Всплеск DDoS-атак в 2022 году: успокоились ли хактивисты?

Со второй половины февраля в рунете выросло количество DDoS-атак. Злоумышленники‎ атаковали не только государственные организации, но и банки, СМИ, сервисы дистанционного образования и другие компании. Эксперты отмечают рекордные показатели.

Подробнее о том, какие ресурсы пострадали от кибернападений, а также какие существуют источники атак и становится ли их меньше со временем, рассказываем в тексте. И приводим данные систем безопасности Selectel.

Всплеск DDoS-атак в 2022 году: успокоились ли хактивисты?

Пострадавшие

DDoS-атаки — не «новинка»‎ в сфере информационной безопасности. Однако методы их реализации год от года становятся все более ухищренными.

В этом феврале от DDoS-атак пострадали многие российские ресурсы. Например, государственные — Госуслуги, РЖД, Роскосмос, сайты федерального и регионального уровней. Под удар также попали СМИ, телеком-провайдеры, онлайн-магазины и другие веб-сервисы.

Досталось и банковской инфраструктуре. 12 апреля зампред Центробанка Герман Зубарев заявил, что, по сравнению с событиями до второй половины февраля, количество DDoS-инцидентов на финансовые организации увеличилось в 22 раза.

Он также отметил, что к началу апреля ситуация стабилизировалась — тогда ЦБ заменил иностранное программное обеспечение на российское. О каком ПО идет речь и как именно стабилизировалась ситуация, не уточняется. Зато известно, что на первую половину апреля на финансовые веб-сервисы приходилось 9% всех атак. Об этом сообщил руководитель направления защиты от DDoS L7, представитель компании DDoS-Guard Дмитрий Никонов.

Интенсивность и антирекорды

Весной эксперты из «Лаборатории Касперского»‎ провели исследование. Согласно результатам, в этом марте число DDoS-атак на российские компании оказалось в восемь раз больше, чем в марте прошлого года. Средняя продолжительность атак за февраль-март 2022 года составила 29,5 часов, тогда как в феврале-марте прошлого года атаки длились не более 12 минут.

Рекордный по времени инцидент длился больше шести суток – 145 часов.

В целом, тенденция к росту кибератак была зафиксирована еще в конце IV квартала прошлого года. Тогда, по словам эксперта по кибербезопасности «Лаборатории Касперского»‎ Александра Гутникова, были рекордные показатели активности злоумышленников. Нынешние цифры их значительно превосходят.

Согласно данным DDoS-Guard за первую четверть 2022 года, интенсивность DDoS-атак уровня L7 превысила 10 000 rps.
Согласно данным DDoS-Guard за первую четверть 2022 года, интенсивность DDoS-атак уровня L7 превысила 10 000 rps.

«По косвенным признакам видно, что в начале всплеска DDoS-атак в них принимало участие большое количество так называемых “хактивистов”‎ — непрофессиональных хакеров. Со временем их доля в общем числе атакующих снизилась. При этом сами атаки стали более мощными, подготовленными и длительными», — отмечает эксперт.

Подробнее о том, какие еще российские компании оказались под ударом, а также к каким сценариям защиты стоит подготовиться, рассказали на митапе Selectel. Посмотрите его в записи.

Ответственные

Ответственность за часть атак взяли на себя хактивисты из группировки Anonymous. Например, за «нападения»‎ на ресурсы некоторых СМИ — среди них RT, ТАСС, «Известия», «Фонтанка», РБК, «Коммерсантъ», NEWS.ru, «Мел», Е1.ru и другие.

В список пострадавших попала и сеть фастфуда «Бургер Кинг»‎: в марте инфраструктура компании была атакована. Этот случай интересен тем, что к подготовке ответа злоумышленникам короли бургеров подошли с юмором.

Заявление компании из группы «ВКонтакте».
Заявление компании из группы «ВКонтакте».

Видимо, их обращение сработало — больше новостей об атаках на инфраструктуру сети фастфуда не появлялось.

Однако вышеупомянутая группировка — не единственный источник кибератак. Ближе к марту 2022 года в сети появились сайты, позволяющие всем желающим содействовать DDoS-атакам на целевые российские веб-ресурсы. «Хакерам» было достаточно зайти на сайт, чтобы вредоносный скрипт начал отправлять флуд-запросы на российские порталы. Появились даже «развлекательные» инструменты для атак, среди которых сайты с игрой в «2048».

Исследователи Avast рассказали, какие сайты участвовали в DDoS-атаках уровня L7.

Есть и другие способы вступить в хакерский «кружок»‎. В сети можно найти программы, после установки которых компьютер подключается к вредоносному ботнету. Так, только одно приложение для атаки российских сайтов disBalancer установили 900 пользователей Avast (возможно, уже больше). Как много таких программ сегодня – вопрос открытый.

В Avast также отметили, что использование таких программ небезопасно для пользователей. Приложение регистрирует информацию о пользовательской операционке и местоположении хоста, а потом передает по незашифрованному HTTP-протоколу на C&C-сервер.

Источники атак

По информации специалиста компании DDoS-Guard Дмитрия Никонова, весомое количество атак идет из Европы — в меньшей степени из северной части. Также с восточной и западной частей Северной Америки. Еще участвуют Южная Америка и Азия. Часть атак исходит из России.

Распределение источников атак. Данные от 14 апреля 2022 года.
Распределение источников атак. Данные от 14 апреля 2022 года.

Нельзя сказать, что карта точно отображает первоисточники атак. Есть часть, которая организована через VPN-серверы. Кроме того, трудно оценить полный масштаб ботнетов из-за ротации устройств. Сами атаки L7 очень сложны в обнаружении и фильтрации.

Тем не менее, 2 марта Национальный координационный центр по компьютерным инцидентам опубликовал список из 17,5 тыс. IP-адресов. Предположительно, их применяют для проведения DDoS-атак на российские ресурсы. С помощью этих данных и геоблокировки можно отсечь значительную часть нелегитимного трафика.

Выводы и тенденции

24 марта на сайте РБК было опубликовано заявление основателя компании Qrator Labs Александра Лямина. По его словам, интенсивность DDoS-атак на российские компании начала снижаться примерно с 9–10 марта. Но сохранилась ли тенденция на спад?

Ситуацию помогли прокомментировать сотрудники технической поддержки Selectel. Они поделились отчетами за март и апрель по DDoS-инцидентам на уровнях L3 и L4. Данные об атаках собирали платформа DDoS-Guard и комплекс защиты Selectel от DDoS-атак, отражающий DDoS на уровне сети.

DDoS-инциденты L3-L4

По полученным данным можно проследить тенденцию DDoS-атак. Для начала посмотрим на график количества DDoS-инцидентов на уровнях L3-L4.

Данные по инцидентам на L3-L4 DDoS-Guard.
Данные по инцидентам на L3-L4 DDoS-Guard.

Действительно, на вторую половину февраля приходится большая доля атак. Но пошла ли на спад их интенсивность?

Изменения объемов легитимного и вредоносного трафиков, Мбит/с.
Изменения объемов легитимного и вредоносного трафиков, Мбит/с.

Ниже изображен график только с вредоносным трафиком:

Всплеск DDoS-атак в 2022 году: успокоились ли хактивисты?

Трафик DDoS-атак в первую половину марта не превышал 250 тыс. Мбит/c. Остальной трафик система классифицировала как легитимный.

После 12 марта и до 28 апреля комплекс защиты Selectel от DDoS не регистрировал более 50 Гбит/c нелегитимного трафика. Специалисты считают, что это закономерно: длительные и мощные по объему трафика DDoS-атаки на уровнях L3-L4 – недешевая и сложная в реализации забава.

Может показаться, что если легитимного трафика гораздо больше чем вредоносного, значит, DDoS-атак мало. Но это не так. На графиках представлена информацияпо разным клиентам Selectel, и на всех приходятся разные доли легитимного и нелегитимного трафика.

Продолжительность DDoS-атак

По данным DDoS-Guard, с 1 февраля по 18 мая не было атак продолжительнее 7 часов 26 минут, а 79,5% инцидентов длилось не более 8 минут.

Показания длительности атак на уровне L3-L4.
Показания длительности атак на уровне L3-L4.

Интересно, сокращалось ли время атак с февраля до второй половины мая? Посмотрим на сводную таблицу за февраль-май 2022 года:

Мода – это значение из выборки, которое встречается наиболее часто.
Мода – это значение из выборки, которое встречается наиболее часто.

Данные неоднозначны. С одной стороны, видно, что среднее время атак уменьшилось и спад начался со второй половины марта. В первой половине месяца среднее время атак составляло 17,42 минут, а во второй – 8,35 минут, то есть оно сократилось более чем в два раза.

С другой стороны, тенденция нелинейна, так как с апреля по май среднее время выросло на 2,5 минуты. Но и тут нужно учитывать моду, которая сократилась на одну минуту в сравнении с апрелем.

Сейчас сложно сказать с уверенностью, налаживается ситуация или нет. Нужно больше данных, в том числе и от других провайдеров. Исследователи из Qrator Labs обозначили, что для прогнозов нужно собирать информацию за второй квартал.

«Ранее мы писали о наличии устойчивой тенденции сокращения длительности атак, однако похоже, что все изменилось в первом квартале 2022 года ввиду повсеместно растущей вредоносной активности. Во втором квартале 2022 года мы увидим, сохранится ли такая обстановка», — говорится в блоге компании.

Увы, кибератаки были, есть и будут. В прошлом много поучительного опыта, на основании которого провайдеры строят современные системы защиты от DDoS-атак.

В Selectel организовали механизм автоматической нейтрализации DDoS-атак (от L3 до L7). Весь трафик проходит через нашу систему фильтрации, а клиенты получают легитимный трафик.

Читайте также:

1717
реклама
разместить
Начать дискуссию