Почти половина DDoS-атак в III квартале проведена из России

Злоумышленники удвоили активность DDoS-атак и стали генерировать вредоносный трафик внутри российских сетей. Об этом говорится в исследовании компании Qrator Labs, специализирующейся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак. «Ведомости» ознакомились с выводами исследования.

DDoS-атака представляет собой массу одновременных запросов к какому-либо интернет-ресурсу, идущих с различных зараженных устройств – так называемого ботнета, который может включать от сотен до десятков тысяч IP-адресов. Сайт не успевает обработать запросы и «ложится». Если IP-адреса, участвующие в DDoS-атаке, можно объединить по какому-либо признаку, например аномальный трафик идет из определенной страны, то специалисты в области киберзащиты блокируют IP-адреса этого государства. Если компания вовремя принимает меры, то обычный пользователь может ничего не заметить.

Общее число заблокированных IP-адресов в III квартале 2023 г. по сравнению со II кварталом увеличилось на 116% до 40,15 млн, причем почти 47% (18,7 млн) пришлось на Россию, подсчитали в Qrator Labs. Киберпреступники стали активнее использовать локальные источники трафика, максимально близкие к региону своих жертв, зафиксировали аналитики. «Теперь существенная доля трафика DDoS-атак генерируется внутри российских сетей, и блокировки пакетов [трафика] из-за рубежа перестали быть результативными», – пояснил генеральный директор Qrator Labs Дмитрий Ткачев.

Действительно, есть смещение объемов трафика, атакующих по геопризнаку, в сторону локализации источника, подтверждает эксперт по кибербезопасности «Лаборатории Касперского» Дмитрий Бунин. Это может быть связано с увеличением доступности аренды виртуальных систем, которые расположены ближе к жертве, считает эксперт. Смещение атак в Россию подтвердил и заместитель директора Центра компетенций НТИ «Технологии доверенного взаимодействия» на базе Томского университета систем управления и радиоэлектроники Руслан Пермяков.

Многие российские компании фокусируются на блокировке сервисов с зарубежными IP-адресами, именно поэтому злоумышленникам приходится использовать российские IP-адреса, в том числе прокси-серверы, добавляет технический директор iTPROTECT Максим Головлев. Ранее больше всего злоумышленников концентрировалось в США, Китае, Европе, Индии, а атаки на российскую инфраструктуру осуществлялись с устройств в Европе, США и Азии, продолжает Пермяков. В этом году, по словам руководителя департамента расследований T.Hunter, эксперта рынка НТИ SafeNet Игоря Бедерова, для мошеннических действий на территории России арендуются мощности, компьютеры, виртуальные серверы, дата-центры.

«Ботнеты для DDoS-атак всегда распределены, а вредоносное ПО живет на устройствах во всех странах, особенно там, где процветает пиратство», – подтверждает Ткачев. Руководитель направления экспертизы и аналитики компании «Гарда технологии» (входит в группу «Гарда») Алексей Семенычев связывает лидерство США в атаках на Россию с большим объемом вычислительных ресурсов.

В III квартале 2023 г. США и Китай все же остались в тройке лидеров по блокировкам IP-адресов, на них пришлось 5,7 млн (14%) и 5 млн (12%) соответственно, указано в исследовании Qrator Labs. Среди стран с наибольшим количеством заблокированных IP-адресов за последний месяц можно выделить Россию, США, Германию, Сингапур и Великобританию, подтвердил специалист «Лаборатории Касперского».

Злоумышленники стараются совершать DDoS-атаки так, чтобы зараженные устройства, с которых идут запросы, было сложно сгруппировать, отмечает коммерческий директор «Кода безопасности» Федор Дбар. В таком случае их придется блокировать вручную, а это адский труд, говорит он. Если использовать локальные IP-адреса, тогда заблокировать атаку по геопризнаку не получится, иначе встанет вся страна, объясняет эксперт. Но в этой истории тоже есть свои минусы, потому что при атаке из-за рубежа в силу маршрутизации трафика иногда сложнее заблокировать устройства, а в локальной сети маршрутизация более простая, указывает Дбар.

В июле – сентябре от DDoS-атак больше всего страдал финансовый сегмент, на который пришлось 42% от всех атак, говорится в исследовании Qrator Labs. На втором месте электронная коммерция (30%), на третьем – IT и телеком (6%). Рост числа блокировок является вполне ожидаемым, так как в этот период произошел ряд крупных атак, особенно в транспортном и государственном секторах, подтверждает данные Qrator Labs Семенычев. По данным Kaspersky DDoS Protection, растет и общее количество трафика, который проходит через центры фильтрации этой системы, и количество блокировок. Увеличивается количество зараженных устройств, с которых производятся атаки, и доступность виртуальных серверов, добавляет Бунин.

Средняя продолжительность атак за анализируемый период по сравнению со II кварталом выросла на 19 минут до 66 минут. А атака на сегмент транспорта и логистики (аэропорты) в конце августа стала самой продолжительной непрерывной атакой в этом году, продлившейся почти три дня (71 час 58 минут), подсчитали аналитики Qrator Labs. Как уточнили в компании, это была сложная, мультивекторная атака, имеющая признаки коммерческой (заказной). Одна из известных мощных DDoS-атак пришлась на «Аэрофлот» и была направлена на систему бронирования авиабилетов Leonardo («Леонардо», разработка компании «Сирена-трэвэл» совместно с «Ростехом»), писали «Ведомости» 28 сентября. Из-за этого сайт авиакомпании не открывался для пользователей, и из-за сбоя было задержано более 16 рейсов в «Шереметьево».

Вторая по продолжительности атака была зафиксирована в сентябре в сегменте общественного питания, которая длилась более 22 часов, говорится в исследовании. Причиной атаки могла стать масштабная маркетинговая акция, запущенная одной из сетей быстрого питания, допустили аналитики. Также в топ по продолжительности атак попали банки (в среднем более 10 часов), хостинги (около 10 часов), государственные порталы (почти 8 часов). Конкретных компаний Qrator Labs не называет, атаки удалось нейтрализовать.

В будущем атакующие сфокусируются на конкретных интернет-ресурсах: будут атаковать только важные сервисы, ожидает руководитель направлений WAF и Anti-DDoS ГК «Солар» Алексей Пашков. Увеличение DDoS-атак к концу года может быть связано с востребованностью онлайн-сервисов – от сдачи отчетности до онлайн-покупок под длинные праздники, прогнозирует Пермяков.