Всплеск DDoS-атак в 2022 году: успокоились ли хактивисты?

Со второй половины февраля в рунете выросло количество DDoS-атак. Злоумышленники‎ атаковали не только государственные организации, но и банки, СМИ, сервисы дистанционного образования и другие компании. Эксперты отмечают рекордные показатели.

Подробнее о том, какие ресурсы пострадали от кибернападений, а также какие существуют источники атак и становится ли их меньше со временем, рассказываем в тексте. И приводим данные систем безопасности Selectel.

DDoS-атаки — не «новинка»‎ в сфере информационной безопасности. Однако методы их реализации год от года становятся все более ухищренными.

В этом феврале от DDoS-атак пострадали многие российские ресурсы. Например, государственные — Госуслуги, РЖД, Роскосмос, сайты федерального и регионального уровней. Под удар также попали СМИ, телеком-провайдеры, онлайн-магазины и другие веб-сервисы.

Досталось и банковской инфраструктуре. 12 апреля зампред Центробанка Герман Зубарев заявил, что, по сравнению с событиями до второй половины февраля, количество DDoS-инцидентов на финансовые организации увеличилось в 22 раза.

Он также отметил, что к началу апреля ситуация стабилизировалась — тогда ЦБ заменил иностранное программное обеспечение на российское. О каком ПО идет речь и как именно стабилизировалась ситуация, не уточняется. Зато известно, что на первую половину апреля на финансовые веб-сервисы приходилось 9% всех атак. Об этом сообщил руководитель направления защиты от DDoS L7, представитель компании DDoS-Guard Дмитрий Никонов.

Весной эксперты из «Лаборатории Касперского»‎ провели исследование. Согласно результатам, в этом марте число DDoS-атак на российские компании оказалось в восемь раз больше, чем в марте прошлого года. Средняя продолжительность атак за февраль-март 2022 года составила 29,5 часов, тогда как в феврале-марте прошлого года атаки длились не более 12 минут.

В целом, тенденция к росту кибератак была зафиксирована еще в конце IV квартала прошлого года. Тогда, по словам эксперта по кибербезопасности «Лаборатории Касперского»‎ Александра Гутникова, были рекордные показатели активности злоумышленников. Нынешние цифры их значительно превосходят.

«По косвенным признакам видно, что в начале всплеска DDoS-атак в них принимало участие большое количество так называемых “хактивистов”‎ — непрофессиональных хакеров. Со временем их доля в общем числе атакующих снизилась. При этом сами атаки стали более мощными, подготовленными и длительными», — отмечает эксперт.

Ответственность за часть атак взяли на себя хактивисты из группировки Anonymous. Например, за «нападения»‎ на ресурсы некоторых СМИ — среди них RT, ТАСС, «Известия», «Фонтанка», РБК, «Коммерсантъ», NEWS.ru, «Мел», Е1.ru и другие.

В список пострадавших попала и сеть фастфуда «Бургер Кинг»‎: в марте инфраструктура компании была атакована. Этот случай интересен тем, что к подготовке ответа злоумышленникам короли бургеров подошли с юмором.

Видимо, их обращение сработало — больше новостей об атаках на инфраструктуру сети фастфуда не появлялось.

Однако вышеупомянутая группировка — не единственный источник кибератак. Ближе к марту 2022 года в сети появились сайты, позволяющие всем желающим содействовать DDoS-атакам на целевые российские веб-ресурсы. «Хакерам» было достаточно зайти на сайт, чтобы вредоносный скрипт начал отправлять флуд-запросы на российские порталы. Появились даже «развлекательные» инструменты для атак, среди которых сайты с игрой в «2048».

Есть и другие способы вступить в хакерский «кружок»‎. В сети можно найти программы, после установки которых компьютер подключается к вредоносному ботнету. Так, только одно приложение для атаки российских сайтов disBalancer установили 900 пользователей Avast (возможно, уже больше). Как много таких программ сегодня – вопрос открытый.

В Avast также отметили, что использование таких программ небезопасно для пользователей. Приложение регистрирует информацию о пользовательской операционке и местоположении хоста, а потом передает по незашифрованному HTTP-протоколу на C&C-сервер.

По информации специалиста компании DDoS-Guard Дмитрия Никонова, весомое количество атак идет из Европы — в меньшей степени из северной части. Также с восточной и западной частей Северной Америки. Еще участвуют Южная Америка и Азия. Часть атак исходит из России.

Нельзя сказать, что карта точно отображает первоисточники атак. Есть часть, которая организована через VPN-серверы. Кроме того, трудно оценить полный масштаб ботнетов из-за ротации устройств. Сами атаки L7 очень сложны в обнаружении и фильтрации.

Тем не менее, 2 марта Национальный координационный центр по компьютерным инцидентам опубликовал список из 17,5 тыс. IP-адресов. Предположительно, их применяют для проведения DDoS-атак на российские ресурсы. С помощью этих данных и геоблокировки можно отсечь значительную часть нелегитимного трафика.

24 марта на сайте РБК было опубликовано заявление основателя компании Qrator Labs Александра Лямина. По его словам, интенсивность DDoS-атак на российские компании начала снижаться примерно с 9–10 марта. Но сохранилась ли тенденция на спад?

Ситуацию помогли прокомментировать сотрудники технической поддержки Selectel. Они поделились отчетами за март и апрель по DDoS-инцидентам на уровнях L3 и L4. Данные об атаках собирали платформа DDoS-Guard и комплекс защиты Selectel от DDoS-атак, отражающий DDoS на уровне сети.

DDoS-инциденты L3-L4

По полученным данным можно проследить тенденцию DDoS-атак. Для начала посмотрим на график количества DDoS-инцидентов на уровнях L3-L4.

Действительно, на вторую половину февраля приходится большая доля атак. Но пошла ли на спад их интенсивность?

Ниже изображен график только с вредоносным трафиком:

Трафик DDoS-атак в первую половину марта не превышал 250 тыс. Мбит/c. Остальной трафик система классифицировала как легитимный.

После 12 марта и до 28 апреля комплекс защиты Selectel от DDoS не регистрировал более 50 Гбит/c нелегитимного трафика. Специалисты считают, что это закономерно: длительные и мощные по объему трафика DDoS-атаки на уровнях L3-L4 – недешевая и сложная в реализации забава.

Может показаться, что если легитимного трафика гораздо больше чем вредоносного, значит, DDoS-атак мало. Но это не так. На графиках представлена информацияпо разным клиентам Selectel, и на всех приходятся разные доли легитимного и нелегитимного трафика.

Продолжительность DDoS-атак

По данным DDoS-Guard, с 1 февраля по 18 мая не было атак продолжительнее 7 часов 26 минут, а 79,5% инцидентов длилось не более 8 минут.

Интересно, сокращалось ли время атак с февраля до второй половины мая? Посмотрим на сводную таблицу за февраль-май 2022 года:

Данные неоднозначны. С одной стороны, видно, что среднее время атак уменьшилось и спад начался со второй половины марта. В первой половине месяца среднее время атак составляло 17,42 минут, а во второй – 8,35 минут, то есть оно сократилось более чем в два раза.

С другой стороны, тенденция нелинейна, так как с апреля по май среднее время выросло на 2,5 минуты. Но и тут нужно учитывать моду, которая сократилась на одну минуту в сравнении с апрелем.

Сейчас сложно сказать с уверенностью, налаживается ситуация или нет. Нужно больше данных, в том числе и от других провайдеров. Исследователи из Qrator Labs обозначили, что для прогнозов нужно собирать информацию за второй квартал.

«Ранее мы писали о наличии устойчивой тенденции сокращения длительности атак, однако похоже, что все изменилось в первом квартале 2022 года ввиду повсеместно растущей вредоносной активности. Во втором квартале 2022 года мы увидим, сохранится ли такая обстановка», — говорится в блоге компании.

Читайте также:

#selectel #ddos_атаки #безопасность #хакеры