Русский
Русский
English
Статистика
Реклама

Карантинные хроники как рос DDoS

Как известно, лень двигатель прогресса. А самоизоляция двигатель DDoS'а, добавим мы по итогу осмысления былого за март-май 2020 г. Пока кто-то страдал от безвыходности (в буквальном смысле) своего положения, мамкины хакеры страдали фигней от неотвратимости онлайн-обучения и грядущих экзаменов. Деятельно страдали (эту бы энергию да в мирное русло!). По количеству DDoS-атак в сфере образования наблюдалась наибольшая динамика роста. На пике в апреле число попыток устроить отказ в обслуживании образовательным ресурсам (электронным дневникам, сайтам с проверочными работами, площадкам для онлайн-уроков и т.д.) увеличилось в 5,5 раз по отношению к марту и в 17 раз по отношению к январю 2020 г. Всё это были маломощные (и наверняка бесплатные) атаки с использованием простых легкодоступных инструментов. Разумеется, под прицел злоумышленников (правда, уже более продвинутых) попали и другие отрасли, но тут было ожидаемо: онлайн-торговля, госсектор финансовая сфера, телеком и игровой сегмент. Подробности, как всегда, под катом.



Аналитика, которую мы приводим ниже, составлена на основе данных об атаках на сетях Ростелекома с января по май 2020 года.

Как менялось количество атак


Итак. В марте-мае 2020 года количество DDoS-атак увеличилось в 5 раз в сравнении с аналогичным периодом прошлого года. В целом за первые пять месяцев 2020-го общее число подобных атак год к году выросло более чем в 4 раза.

Отчетливо видно, как киберпреступники наращивали свою активность по мере введения карантинных мер. Самый пик пришелся на апрель, когда количество атак в сравнении с январем увеличилось на 88%. Тут стоит отметить, что годом ранее динамика не была такой яркой, а количество атак из месяца в месяц оставалось плюс-минус одинаковым.



В период самоизоляции изменился и характер интернет-трафика. Многие организации, работавшие раньше только в офлайн, запустили собственные интернет-ресурсы, в том числе халявные. Добавим сюда массовую удаленку и получим новую реальность в сети: если раньше интернет-активность плавно нарастала, достигая пика к 17:00-21:00, то теперь резкий рост был отмечен примерно в 10:00 и не снижался раньше 23:00. В целом трафик за пять месяцев 2020 года вырос примерно на 20% (а где трафик там и диверсанты).

Характеристики атак


При резком росте количества DDoS-атак их сложность и мощность в целом снизились. В основном злоумышленники использовали обычную DNS- или NTP-амплификацию небольших объемов (до 3 Гб/с).

Примечательно, что по итогам 2019 года мы фиксировали противоположный тренд: резкий рост мощности и техническую сложность атак. В период пандемии количество таковых не сократилось, но доля в целом упала на фоне резкого роста простых рабоче-крестьянских DDoSов. Это еще раз указывает на то, что во время самоизоляции особенно активными были не профи, а скорее любители, которые решили воспользоваться ситуацией.

На кого охотились


Как мы и говорили выше, в первые пять месяцев резко вырос интерес атакующих к образовательным ресурсам. С учетом того, что в большинстве случаев мусорный трафик отправляли явно любители, выводы об организаторах напрашиваются сами собой (и да это вам не дневник под кровать прятать или греть градусник во избежание контрольной).



Но не школой единой был жив DDoS. Увеличилось количество атак и на госучреждения в апреле более чем в 3 раза в сравнении с мартом.



Третьей отраслью с наиболее выраженной динамикой стал гейминг (рост атак в апреле почти в 3 раза в сравнении с мартом). Режим изоляции привлек в эту индустрию не только множество новых пользователей, но и зооолото деньги (а где деньги там и, ну вы поняли). Словом, нешуточная борьба развернулась на полях гейминга не только среди игроков, но и среди площадок.



Несмотря на то, что в целом за отчетный период мощность атак упала, в общей статистике выделились операторы связи и дата-центры: здесь чаще обычного случались атаки 150+ Гб. DDoS в этих двух сегментах позволяет вывести из строя не один конкретный сайт, а ударить оптом по клиентам оператора и ресурсам, которые обслуживает ЦОД. При этом такие компании лучше защищены, чем, например, госучреждения или образовательный сегмент. Поэтому злоумышленникам приходится применять более совершенные инструменты. В период пандемии атаки на эти два сегмента были быстрыми и мощными и осуществлялись, скорее всего, через реальные хосты, собранные в одну бот-сеть с возможностью за считанные минуты перенаправить ее на новую жертву.

В целом такое разделение по отраслям продолжает тренд, который сформировался еще в 2019 году. Например, в 2018 году на телеком-индустрию приходилось только 10% всех DDoS-атак, а в 2019 уже 31%. Мишенями хакеров становились небольшие региональные интернет-провайдеры, хостинги и дата-центры, которые обычно не располагают необходимыми для отражения атак ресурсами.

Итого


В период действия карантина на фоне распространения COVID-19 (март-май 2020 года) было зафиксировано в пять раз больше DDoS-атак, чем годом ранее.

Доля простых и маломощных атак увеличилась, что указывает на активность непрофессиональных злоумышленников.

В 5,5 раз выросло количество атак на образовательные ресурсы, а самые мощные атаки за отчетный период пришлись на операторов связи и дата-центры.



Наибольший объем атак в марте-мае пришелся на сектор онлайн-торговли (31%), который традиционно является одним из основных объектов для DDoS. Вторым по популярности стал госсектор (21% атак). Далее следуют финансовая сфера (17%), телеком (15%), образование (9%) и игровой сегмент (7%).

Самым сложным для владельцев интернет-ресурсов месяцем стал апрель, когда в России действовал жесткий режим самоизоляции. В мае активность дедосеров постепенно пошла на спад этот тренд сохранится и дальше, если ситуация в России и мире будет стабилизироваться. Также можно прогнозировать сокращение количества атак в сфере образования, когда закончится вступительные и выпускные экзамены.

Однако, как показал минувший карантин, невозможно спрогнозировать наверняка, когда именно в компанию придет DDoS, так что соломку лучше подстелить заранее.
Источник: habr.com
К списку статей
Опубликовано: 02.07.2020 10:04:35
0

Сейчас читают

Комментариев (0)
Имя
Электронная почта

Блог компании ростелеком-солар

Информационная безопасность

Исследования и прогнозы в it

Ddos

Ntp

Dns

Амплификация

Категории

Последние комментарии

© 2006-2020, personeltest.ru