В рунете нашли DDoS-атаки продолжительностью почти в два года

Злоумышленники, атакующие интернет-ресурсы, сменили стратегию. В 2023 г. около 5% зафиксированных специалистами DDoS-атак получили длительный – фоновый – характер, говорится в отчете компании Servicepipe (разработчик систем информационной безопасности). Специалисты компании впервые зафиксировали непрекращающиеся атаки, которые длились на протяжении всего года и продолжились в 2024 г., рассказал заместитель генерального директора Servicepipe Даниил Щербаков.

В топ-5 зафиксированных специалистами Servicepipe непрерывных DDoS-атак вошли атаки на окологосударственный ресурс (началась еще 28 февраля 2022 г.), интернет-ресурс региональной власти (3 марта 2022 г.), ресурс, связанный с АЗС, который длится c 26 мая 2022 г., маркетплейс (с 14 июля 2022 г.) и игровой ресурс (с 26 февраля 2023 г.). Таким образом, самые долгие DDoS-атаки продолжаются уже почти два года, тогда как до начала СВО на Украине самые долгие атаки длились всего пару месяцев, пояснил представитель компании. «Заказ на длительную непрерывную атаку не обязательно может быть продиктован исключительно политическими мотивами. Как минимум у двух игроков из пятерки лидеров атака с большой долей вероятности – результат недобросовестной конкурентной борьбы», – добавил собеседник.

Руководитель департамента расследований компании T.Hunter Игорь Бедеров подтверждает, что такие долгие атаки действительно есть: «Мы наблюдаем их с конца февраля 2022 г.». Чаще всего в качестве целей выбирались государственные и банковские сервисы, например «Госуслуги» и «Сбер», говорит эксперт.

Сразу после начала СВО была стихийно образована «украинская IT-армия», которая включала в себя порядка 650 000 интернет-пользователей, которые координировали цели и задачи по DDoS-атакам, напоминает Бедеров. Но к текущему моменту большую часть рисков и угроз, связанных с DDoS, удалось преодолеть, отмечает он. Если в 2022 г. активность злоумышленников показывала эффективность и приводила к сбоям ресурсов, то сейчас на госресурсах она практически сошла на нет, заверяет эксперт.

За прошлый год создаваемая вредоносная нагрузка могла вырасти, а ее эффективность снизилась вследствие того, что российская сторона предпринимала большое количество действий, проводила профилирование атак, уточняет Бедеров.

Самая мощная из зафиксированных ГК «Солар» DDoS-атак составила 300 000 запросов в секунду и была направлена на сервисы форума «Россия – Африка», рассказал руководитель направления Anti-DDoS ГК «Солар» Алексей Пашков. В настоящее время ситуация с DDoS-атаками стабилизируется, в том числе из-за принимаемых в России мер блокировки по географическому признаку, добавил он.

По словам эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Бунина, из наиболее заметных трендов в DDoS-атаках за последний год – увеличение мощности. В компании не фиксировали атаки, которые бы длились более года, но с 2022 г. тренд на увеличение продолжительности атак существует, отмечает эксперт. Если ранее она измерялась часами, то сейчас часто может составлять дни или даже недели, говорит Бунин.

По словам Щербакова, в самом начале длительные атаки достаточно активны и осуществляются на высоких скоростях, а со временем становятся слабее. «Порой атаку ведут оставшиеся от ботнетов «мертвые души», которые продолжают действовать в бесконечном цикле, – добавляет он. – Кроме того, подобная атака может быть своего рода мониторингом эффективности защиты, а в отдельных случаях – попыткой убить сервис в случае ее отключения. Уровень постоянный, но при этом достаточный, чтобы нанести вред ресурсу без защиты».

Еще порядка 20% атак в 2023 г. развивались по нарастающей, рассказывает Щербаков. Злоумышленники совершали несколько попыток, каждая из которых становилась мощнее предыдущей вдвое, и в случае отсутствия результата в итоге отступали, говорит он. В остальных 75% случаев злоумышленники прекращали DDoS-атаку в течение получаса после того, как владелец ресурса подключал новый сервис защиты, продолжил Щербаков.

Среди трендов специалисты Servicepipe также отметили большое количество «заказов» на проведение атак на фиксированный промежуток времени, а также на DDoS-атаки через конкретную уязвимость, что говорит о том, что злоумышленники наладили непрерывный мониторинг защиты компаний. «Это говорит о том, что злоумышленники экономят ресурсы и предпочитают атаковать лишь те цели, где могут добиться результата, «положив» сервис», – пояснил Щербаков.

Опрошенные «Ведомостями» компании не спешат делиться абсолютными показателями по количеству атак за 2023 г. Но о масштабах проблемы можно судить по квартальным показателям. В I квартале 2023 г. эксперты компании DDoS-Guard зафиксировала 385 000 DDoS-атак в России, это в полтора раза больше, чем годом ранее. А во II квартале компания StormWall фиксировала рост атак на треть по сравнению с первыми тремя месяцами года.

Общее число DDoS-атак в России в 2023 г. выросло на 29% по сравнению с 2022 г., уточнил гендиректор и сооснователь StormWall Рамиль Хантимиров. Самыми атакуемыми отраслями в России в 2023 г. стали финансовый сектор (25% от общего числа всех атак), государственный сектор (21%), ритейл (18%).

Вектор DDoS-атак, как и других хакерских атак, постепенно смещается от [федеральных] государственных и окологосударственных ресурсов к среднему и малому бизнесу, учебным заведениям и региональным органам власти, прежде всего законодательной, говорит Бедеров. «Законодательные органы в регионах практически не защищены, исключение составляют те, что находятся в экосистеме органов исполнительной власти», – уточняет эксперт. Еще один возможный тренд этого года – кража данных у малых компаний, которые до этого оставались почти без внимания (например, из медицинских учреждений и небольших интернет-магазинов), так как до этого хакеры били в основном по крупным целям, считает он.

Одним из наиболее ярких трендов в 2023 г. стало использование смешанных ботнетов, состоящих из нескольких вредоносных программ, а также увеличение на 43% DDoS-атак для прикрытия других вредоносных активностей, добавил Хантимиров.