Количество атак в абсолютных значениях растет, а их продолжительность снижается - то есть атак больше, но они становятся короче, заметили в Qrator Labs. Так, средняя продолжительность уменьшилась на 29,15%, составив 47 минут. Аналогичный показатель в первом квартале составлял более одного часа. «Максимальная продолжительность также снижается - с 42 часов в I квартале до 20,7 часа во II, - обращают внимание эксперты. - В отличие от I квартала, где самая продолжительная атака пришлась на банковский сектор, на этот раз под удар попала индустрия онлайн-игр». По их словам, злоумышленники стали быстрее менять цели: «Если атака не результативна, они сразу переключаются на другие цели, которых у них огромное количество, и не тратят свое время».
По данным компании, значительно растет использование киберпреступниками UDP flood - сетевых атак, использующих бессеансовый режим одного из ключевых протоколов для интернета UDP (User Datagram Protocol): фиксируется почти двукратный рост UDP flood, с 37,44% до 60,1%. Рост показателей UDP flood - это следствие изменения инфраструктуры большинства бизнесов, которое оказывает большое влияние на характер DDoS-атак, указывают аналитики. Так, с момента наступления пандемии в 2020 году многие компании перешли на удаленный формат работы. Он как раз предполагает зачастую переход на UDP, повышающий производительность приложений и обеспечивающий необходимую масштабируемость, особенно когда клиенты используют мобильный интернет или Wi-Fi для выхода в интернет, к тому же это наиболее дешевый и быстрый способ передачи данных. «Развитие системы удаленных офисов и, как следствие, расширение каналов связи за счет внедрения дополнительных средств коммуникаций - таких, как телефония, ВКС и другие, - влечет за собой другой намечающийся тренд, а именно повышение битрейта (или пакетной интенсивности) атак, так как чем шире каналы, тем больше трафика в них можно пустить», - говорится в исследовании.
В организации DDoS-атак присутствует фактор сезонности. Из года в год II и III квартал получают больше атак, чем I и IV, что можно объяснить повышенной активностью злоумышленников в весенний период и в сентябре - в начале бизнес-сезона, следует из отчета.
Любопытно географическое распределение источников атак. Так, наибольшее количество заблокированных IP-адресов за отчетный период пришлось на Россию - 8,2 млн. США стали вторым по популярности источником атак с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку «лидеров» Китай с 1,4 млн адресов. Всего по итогам II квартала в «черный список» было внесено почти 19,5 млн IP-адресов, с которых совершались атаки. В топ стран также вошли Франция (830 000), Индия (638 000), Индонезия (573 000), Германия (543 000), Бразилия (524 000) и Великобритания (500 000). «Блокировка по гео IP стала менее эффективной, - рассуждают эксперты Qrator Labs. - Причина - в поведении злоумышленников, которые для обхода блокировки стали использовать локальные источники трафика в странах, где располагаются их жертвы».
Разобрать мотив
«Главным драйвером DDoS-атак всегда были прежде всего экономические предпосылки: если сумма затраченных рисков в результате DDoS-атаки ниже, чем выгода от ее проведения, то мы всегда будем сталкиваться с таким явлением, как DDoS», -поясняет Forbes основатель Qrator Labs Александр Лямин. «Единственным исключением с точки зрения мотивов атакующих стал прошлый год: тогда основным драйвером атак был хактивизм, - рассуждает он. - Обычно этот мотив всегда находится где-то на третьих ролях, но в 2022 году он уверенно занимал первое место».
Основная причина, почему новый фон атак настолько высок, заключается, по мнению Лямина, в том, что из-за фрагментации правового поля риски привлечения злоумышленников к ответственности за проведенную атаку при условии ее трансграничности сводятся практически к нулю. «Такая ненаказуемость в сочетании с экономическим плечом атаки делает нападения очень выгодными для злоумышленников, - продолжает Лямин. - Мы со своей стороны прилагаем максимум усилий, чтобы сделать DDoS-атаки экономически нецелесообразными. Нападающая сторона должна потратить столько ресурсов, сколько нужно для условного полета на Луну».
«Лакмусовая бумажка»
По словам руководителя команды web-аналитики Innostage Александра Чернякова, банковская сфера всегда была популярной целью для атак, поэтому их рост - «закономерное явление». Уровень кибербезопасности банков он называет «лакмусовой бумажкой» ИБ страны. «Рост числа атак на образовательные сервисы также ожидаем и логичен. К примеру, в прошлом году сайты многих образовательных учреждений стали крайне популярной мишенью. Тогда из-за действия злоумышленников под угрозой оказалась работа приемной кампании в российские вузы и сузы», - напоминает он.
«Если сравнивать с I кварталом, число DDoS-атак на наших заказчиков сократилось, однако оно все равно почти на 20% выше, чем во II квартале прошлого года, - делится наблюдениями директор центра сервисов кибербезопасности МТС Red Андрей Дугин. - По сравнению с I кварталом интенсивность атак действительно снизилась, а продолжительность увеличилась, но незначительно - с четырех до примерно пяти с половиной часов».
Рост количества DDoS-атак в апреле - июне 2023 года подтверждают эксперты StormWall. По их данным, в России он составил 47% по сравнению с аналогичным периодом прошлого года. Впрочем, по поводу продолжительности атак CEO и сооснователь StormWall Рамиль Хантимиров «поспорил бы». «Важно понимать, что считать атакой. Можно считать ею серию киберинцидентов, когда хакеры тестируют различные методы, атакуя один ресурс, а можно считать отдельной атакой каждую попытку обойти защиту, - продолжает он. - Если смотреть в комплексе, то мы видим по своей статистике, что успешные атаки длятся дольше, чем обычно. Если раньше они шли максимум сутки, то сейчас мы наблюдаем атаки, которые продолжаются по двое-трое суток, на компании с неэффективно работающей защитой».
Ведущий инженер CorpSoft24 Михаил Сергеев указывает также на «огромное количество IoT-устройств (подключенные к интернету холодильники, пылесосы, микроволновки, автомобили и т.д.)», которые при «правильном использовании» вполне могут быть использованы для организации различных атак, в том числе по протоколу UDP. «Поэтому мощность атак и количество атакующих устройств будет только расти из года в год», - отмечает Сергеев. По его словам, значительная часть атак идет из-за рубежа, и многие крупные компании и ресурсы - например, Сбербанк, «Госуслуги» и др. - борются с этим очень просто. «Они заблокировали доступ к своим ресурсам из-за рубежа, и зайти на них можно только из России или через VPN с российским IP-адресом. Подобная блокировка делает большинство атак неэффективными, трафик не «долетает» до целевого ресурса и никак не вредит ему», - говорит Сергеев.
Кроме того, хакеры понимают, что тратить время и вычислительные ресурсы на то, что, скорее всего, не принесет результата, крайне неэффективно. «Поэтому они перешли на целенаправленные атаки, которые могут маскироваться с помощью одновременного DDoS, - рассуждает Черняков. - Защититься от таких атак сложнее, а «пользы» с точки зрения злоумышленника в них больше».
Принципиально новых видов атак, по мнению Сергеева, за последние несколько лет не появилось, растет лишь мощность. «Впрочем, в даркнете распространяется новая услуга по модели SaaS (программное обеспечение как услуга), которая позволяет взять в аренду на некоторое время ботнет для организации DDoS-атаки и успешно атаковать любую цель», - говорит он.
Вместе с ростом числа и интенсивности DDoS-атак растет и российский рынок услуг защиты от них. Так, по оценкам МТС Red («дочки» МТС в сфере кибербезопасности), в 2022 году он составил 762 млн рублей, к 2025 году он может вырасти в три с половиной раза - до 2,7 млрд рублей.