Мощность и продолжительность такого рода атак растет, здесь все как обычно. Однако хакеры применяют новые методы и все чаще делают своей целью «кошельки» компаний и их клиентов. Сегодня мы решили разобраться в обстановке на разных рынках.
Контекст
В 2022 году средняя продолжительность DDoS-атак увеличилась в десятки раз. Многие из них идут по нескольку дней и даже недель. Так, во втором квартале этого года западный телеком, предлагающий услуги хостинга, отражал попытки злоумышленников перегрузить сеть на протяжении двадцати дней. Хакеры не обходят стороной и российский рынок. В первом полугодии число атак на бизнес-инфраструктуру выросло в 15 раз. В феврале средняя продолжительность DDoS составляла семь часов. Уже в марте эта цифра выросла до 29,5 часов.
Однако растет не только продолжительность, но и мощность атак. Масштаб DDoS оценивают или по объему трафика, или по скорости передачи пакетов. Первый тип подразумевает перегрузку сетевых каналов «последней мили», а второй — маршрутизаторов и других аппаратных устройств. Обороты набирают оба этих варианта.
Буквально в июле европейская компания столкнулась с мощнейшим DDoS в регионе. Инфраструктуру перегрузил поток запросов типа RESET, SYN, PSH ACK — на пике скорость передачи достигала 659 млн пакетов/с. По заявлениям ИБ-специалистов, руководивших защитой, злоумышленники использовали глобальный ботнет из скомпрометированных умных и сетевых устройств.
Хотя рекорд продержался недолго. В сентябре те же правонарушители провели повторную атаку на организацию мощностью до 704,8 млн пакетов/с. На этот раз она затронула больше 1800 корпоративных IP-адресов в разных локациях (в том числе в Северной Америке).
Новые подходы
Меняется не только характер DDoS, но и методы злоумышленников. Все чаще их целью становятся «кошельки» пользователей и компаний. За последний год частота атак на банки и кредитные организации увеличилась в два раза — до 35% от их общего числа.
Параллельно злоумышленники начинают все чаще требовать выкуп — то есть деньги в обмен на прекращение атаки — и находят новые точки давления. Например, наносят урон клиентам облачных провайдеров, пользующихся моделью pay as you go. Такого рода деятельности даже дали новое название — Denial of Wallet Attacks.
Распространение DDoS специалисты связывают со снижением стоимости атак. Еще в 2015 году затраты злоумышленников на проведение часового DDoS составляли приблизительно $38. Теперь в Financial Times утверждают, что для более продолжительного и разрушительного «отказа в обслуживании» достаточно $100. Услугу даже можно заказать в фирмах, которые маскируются под пентест-провайдеров.
С другой стороны, некоторые хакеры меняют сферу деятельности и переориентируют ботнеты на майнинг. Один из пользователей Hacker News в тематическом треде поделился своим мнением по этому поводу. Он убежден, что таким образом злоумышленники привлекают меньше внимания к своим операциям.
Что с этим делают
На угрозу, которую несут DDoS-атаки, уже обращают внимание правительства отдельных стран. Так, в начале года в США вступил в силу закон, обязывающий операторов критической инфраструктуры и федеральные агентства сообщать регулятору о кибератаках и выполнении требований выкупа в течение 72 и 24 часов соответственно.
Авторы законопроекта ожидают, что такой подход позволит другим организациям выиграть время на подготовку. Хотя насколько эффективным окажется решение, еще предстоит увидеть. Очевидно, что достоверно предсказать развитие сегмента достаточно сложно.
Что у нас есть по теме в корпоративном блоге VAS Experts:
