Эксперты компании «Ростелеком-Солар» подготовили отчет по активности организаторов DDoS-атак за первые три квартала 2021 года. За отчетный период число DDoS-атак на российские компании увеличилось в 2,5 раза в сравнении с аналогичным периодом прошлого года.
Основными целями злоумышленников стали организации финансового сектора, государственного и электронной торговли — традиционные цели нормально работающего рынка. Число же DDoS-атак на ЦОДы и игровые сервисы, которые оказались в фокусе внимания хакеров во время пандемии, сократилось. Вместе с количеством атак выросла и их средняя мощность – на 26%. А объем самой мощной атаки (462 Гбит/с), на треть превышает пиковое значение первых трех кварталов 2020 года. Самая долгая атака в отчетный период длилась почти 4,5 дня — годом ранее этот показатель составил около 3 дней.
DDoS-атака как инструмент конкуренции
В первые 9 месяцев 2021 г. количество DDoS-атак на банки (в том числе из двадцатки крупнейших) увеличилось в 3,5 раза, однако почти 90% из них произошли в сентябре. Всплеск DDoS-атак на финансовые организации в этот период фиксировали и другие провайдеры сервисов кибербезопасности, в то же время публичные источники отмечали, что ряд банковских структур столкнулся с простоями своих онлайн-сервисов. Подобная активность продавцов ресурсов зомби-сетей для организации атак характерна для ситуации усиления конкуренции между финансовыми организациями — новые игроки не особенно заботятся о своей репутации, и поэтому позволяют себе в том числе и покупку услуг с черного рынка. Такие атаки не всегда достигают целей, хотя бы потому, что все опытные игроки уже заручились поддержкой профессиональных сервисов защиты, и поэтому клиенты самого «Ростелекома», скорее всего, даже и не заметили роста атак, которые были своевременно отражены.
Второй по накалу конкуренции электронной отраслью традиционно является электронная торговля: число DDoS-атак в этом сегменте выросло на 20% за отчетный период. Пик активности хакеров пришелся на начало года, а наибольшее количество инцидентов было зафиксировано в марте. После небольшого затишья, с августа уровень атак начал расти. Можно предположить, что до нового года мы увидим традиционный возрастающий тренд по количеству DDoS-атак, связанный с акцией «Черная пятница» и предновогодними распродажами, которые начинаются в ноябре и продолжаются до февраля следующего года. Однако в классическое распределение может вмешаться пандемия — если в России ужесточаться ограничения на посещение торговых центров или будут введены еще большие ограничения, то структура DDoS-атак может сильно измениться, причем непредсказуемо — DDoS-атаки на электронные магазины могут усилиться, а могут и изменить свою структуру на «пандемийную», где приоритетными целями хакеров стали другие отрасли.
Третьей отраслью, которая показала очевидный рост атак (на 17%) стал госсектор. В частности, в 2 раза увеличилось число DDoS-атак в августе и сентябре в сравнении с аналогичным периодом предыдущего года. Не исключено, что атаки на государственные ресурсы в этот период могли быть связаны с подготовкой к выборам в Государственную думу РФ и вмешательством в этот процесс со стороны спецслужб иностранных государств. Впрочем, ускоренная цифровизация государственной системы управления, которая была пристегнута пандемией, делает государственные ресурсы привлекательными мишенями для уникальной категории хакеров — спонсируемых государственными службами. Такие атаки регулируются уже не рыночными процессами, как в ранее описанных отраслях, но политическими. Поэтому количество DDoS-атак на государственные ресурсы — это не показатель конкуренции, но уровня цифровизации государственного управления.
«С каждым годом мощность и сложность DDoS-атак увеличивается, — посетовал в пресс-релизе руководитель направления Anti-DDoS и WAF платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар» Тимур Ибрагимов. — Это происходит за счет активного использования хакерами более масштабных зомби-сетей. Они состоят из множества зомбированных устройств, для взлома которых используются все новые уязвимости. В частности, в сентябре злоумышленники организовали крупнейшую DDoS-атаку с помощью зомби-сети Meris, предположительный масштаб которой составляет 200 тыс. устройств. Такие сложные атаки направлены уже на хорошо защищенные организации и компании, ресурсы которых может вывести из строя только очень мощный DDoS. Например, это могут быть банки, крупные промышленные и энергетические предприятия».
Региональные аспекты
Традиционно наибольшее количество атак приходится на организации, расположенные в Москве, хотя основные жертвы хакеров и их инструменты в разных регионах схожи. В отчетный период доля «столичных» атак составила 60% от общего числа инцидентов. Доли остальных регионов не превышают 7%. Также столица лидирует по средней мощности DDoS-атак, которая оставляет более 70 Гбит/с. Такое распределение может быть связано с тем, что в регионах не так много вычислительных ресурсов — большинство региональных компаний стараются купить облачные или IaaS услуги у столичных провайдеров. Поэтому хакеры, даже атакуя сайты региональных организаций, на самом деле направляют свои силы против столичных облачных операторов. С другой стороны в регионах не так широки каналы связи, как в столицах, поэтому их проще вывести из строя. Впрочем, у значительной части региональных клиентов оператором является «Ростелеком», который в состоянии очистить свои каналы с помощью сервисов, расположенных в столичных ЦОДах.
В заключении хотелось бы отметить, что сейчас появляются крупные проекты по созданию региональной сети ЦОДов, реализация которых, скорее всего, изменит в том числе и региональное распределение DDoS-атак.
