Отчет о DDoS-атаках за третий квартал 2023 от StormWall

Эксперты StormWall подготовили отчет об особенностях DDoS-атак на наших клиентов в третьем квартале 2023 года.

Читайте также наш более новый годовой отчёт о DDoS-атаках.

Регулярно мы справляемся с различными современными DDoS-атаками. Благодаря центрам очистки, развернутым по всему миру, мы фильтруем до 3500 Гбит/с при пиковых нагрузках. Этот огромный объем данных в сочетании с постоянным анализом угроз дает нам уникальное понимание формирующихся тенденций в области DDoS-атак.

Обзор глобальных тенденций DDoS-атак в третьем квартале 2023 года

Эксперты StormWall отмечают, что количество атак выросло на 43% по сравнению с третьим кварталом 2022 года. За прошедший квартал, согласно анализу, проведенному нашими специалистами, наметились основные тенденции, повлиявшие на всплеск DDoS-атак.

Основные причины, способствующих росту атак

1. Расширяющийся географический охват кибератак привел к резкому росту числа инцидентов на Ближнем Востоке и в Азии. Экономические санкции вытесняют российские компании с рынков ЕС и США в эти новые регионы. Этот факт привлекает два типа участников атак: тех, у кого политические цели, и тех, кто сосредоточен на получении прибыли. Эти недоброжелатели либо занимаются хактивизмом против российских компаний, либо используют слаборазвитую цифровую инфраструктуру для получения финансовой выгоды.
2. Усилились DDoS-атаки религиозных хактивистов, что особенно ощущается в Индии и Израиле. Нападения в основном исходят из таких стран, как Пакистан, Бангладеш и Палестина. Хактивисты заявляют, что их религиозные чувства были оскорблены странами, на которые нацелены их атаки.
3. Произошел всплеск DNS-атак. Более 30% всех зафиксированных нами DDoS-атак были нацелены на DNS. DNS, или система доменных имен, — это телефонная книга Интернета, которая преобразует удобные доменные имена в IP-адреса, позволяя устройствам получать доступ к веб-сайтам. DDoS-атака DNS перегружает эти серверы таким количеством трафика, что они становятся недоступными, нарушая способность цели преобразовывать доменные имена в IP-адреса, что перекрывает доступ к веб-сайтам и онлайн-сервисам для законных пользователей. 
4. Возросла сложность атак. Мы заметили рост числа размещения смешанных DDoS-ботнетов, которые используют различные типы вредоносных программ в рамках одной кампании атак. Каждый тип вредоносного ПО обладает своими собственными возможностями и векторами атак, что делает ботнет одновременно универсальным и устойчивым. Это привело к резкому росту числа атак, нацеленных на несколько протоколов или системных компонентов. В частности, количество многовекторных атак подскочило на 83% в третьем квартале 2023 года по сравнению с аналогичным кварталом 2022 года.
5. Всплеск DDoS-атак, направленных на веб-приложения. Еще одной важной тенденцией является невероятный всплеск DDoS-атак, направленных на веб-приложения компаний в разных странах. Число глобальных атак на веб-приложения в 3 квартале 2023 года выросло на 48% по сравнению с 3 кварталом прошлого года. В России также был обнаружен небольшой всплеск подобных атак на бизнес и госсектор. Рост атак на веб-приложения в России составил 14%, если сравнивать с аналогичным периодом прошлого года.    
6. Использование смешанных ботнетов. Одним из самых ярких трендов 3 квартала 2023 года стало использование смешанных ботнетов, состоящих из нескольких вредоносных программ. Поскольку каждое вредоносное ПО обладает собственными возможностями и имеет собственный вектор атак, это делает ботнеты одновременно универсальными и устойчивыми. Смешанные ботнеты активно использовались злоумышленниками в разных регионах по всему миру, а также в России. Поскольку данный инструмент для запуска атак начал применяться недавно, многие компании еще не имеют надежной защиты от данной угрозы, и хакерам удается причинить бизнесу много вреда. 

Статистика по отраслям

Ситуация в России

Специалисты StormWall выявили, что общее число атак в России в 3 квартале 2023 года уменьшилось на 28% по сравнению с аналогичным периодом прошлого года. В основном, такое уменьшение связано со снижением активности политически мотивированных хактивистов в последнее время. 

В ходе исследования DDoS-атак на ключевые отрасли нашей страны выяснилось, что больше всего от DDoS-атак в России в 3 квартале 2023 года пострадали государственный сектор (32% всех атак), финансовая отрасль (21% всех атак), транспортная сфера (14% всех атак). Злоумышленники стремились выбрать критически важные отрасли, чтобы причинить наибольший вред экономике страны и создать проблемы для населения. 

По данным специалистов, в 3 квартале 2023 года число DDoS-атак снизилось на финансовую отрасль на 38% по сравнению с аналогичным периодом прошлого года, на государственный сектор — на 26%, на ритейл — на 22%, на телекоммуникационную сферу — на 18%, на индустрию развлечений — на 16%, на сферу образования — на 12%.

Кроме того, эксперты StormWall зафиксировали DDoS-атаки на другие индустрии в России. Злоумышленники атаковали ритейл (7% всех атак), сферу развлечений (5% всех атак), энергетический сектор (4% всех атак), нефтяные компании (3% всех атак), производство (2% всех атак) и остальные отрасли (1% всех атак). Поскольку хактивисты были сконцентрированы на других важных отраслях, в этом году не было зафиксировано традиционного всплеска атак на ритейл во время подготовки к новому учебному году.

Ситуация в мире

Ситуация в мире сильно отличается от ситуации в России. По данным аналитиков StormWall, число DDoS-атак в мире в 3 квартале 2023 года выросло на 43% по сравнению с 3 кварталом 2022 года. По данным экспертов компании, в ТОП-3 самых атакуемых стран мира вошли Китай, Индия и США. Китай занимает 1 место по атакам в мире (14,8% от числа всех атак), Индия удерживает 2 место (14,3% от числа всех атак), а США находится на 3 позиции (12,6% от числа всех атак). Интересно, что во 2 квартале 2023 года США занимали 1 место по атакам на глобальном уровне, а Китай располагался на 3 позиции. Однако в следующем квартале ситуация изменилась: Китай расположился на 1 месте, а США опустились на 3 позицию. 

Китай, Индия и США традиционно являются самыми атакуемыми странами в течение нескольких лет, однако в последнее время аналитики заметили высокую степень интереса хакеров к Европе и Ближнему Востоку. По данным экспертов StormWall, в 3 квартале 2023 года произошел значительный всплеск DDoS-атак на различные организации в странах ЕС, что связано, прежде всего, с политической ситуацией в мире. Общий рост атак на страны ЕС в 3 квартале этого года составил 83% по сравнению с аналогичным периодом прошлого года. Основными целями злоумышленников в Европе стали Германия, Франция и Польша. По итогам 3 квартала этого года Германия находится на 4 месте по числу атак в мире (9,2% от числа всех атак). Франция занимает 5 место (8,7% от числа всех атак), а Польша располагается на 8 позиции (5,3% от числа всех атак). Большинство атак в Германии было направлено на финансовые учреждения, во Франции — на финансовые организации и транспортные системы, а в Польше подверглись атакам федеральные правительственные СМИ, финансовая отрасль и биржи.

Кроме того, был выявлен значительный всплеск DDoS-атак на Ближнем Востоке, причем больше всего атаковали компании, находящиеся в ОАЭ. По нашим данным, число DDoS-атак в ОАЭ в 3 квартале 2023 года выросло на 78% по сравнению с аналогичным периодом прошлого года. Эксперты связывают рост числа атак на Ближнем Востоке с активной экспансией российских компаний в данном регионе, которые ищут новые перспективные рынки для ведения бизнеса. С помощью DDoS-атак хактивисты пытаются помешать российским компаниям развивать бизнес на Ближнем Востоке. Помимо этого, в регионе активизировались обычные злоумышленники, которые рассматривают растущий бизнес в ОАЭ как новую возможность для шантажа и вымогательства. По итогам 3 квартала 2023 года ОАЭ находится на 6 месте по числу атак в мире (7,3% от числа всех атак), Саудовская Аравия занимает 11 позицию (3,6% от числа всех атак), а Катар находится на 12 месте (3,2% от числа всех атак).

Самыми атакуемыми отраслями на планете стали госсектор (26% от общего числа атак), финансовая сфера (21% от общего числа атак) и сфера развлечений (17% от общего числа атак). Самый значительный рост числа атак был зафиксирован в государственной сфере (136%), развлекательной индустрии (117%) и транспортной сфере (86%). Рост атак на финансовые организации составил 38%, а на телеком-сферу — 32%.

В 3 квартале 2023 года злоумышленники в разных странах продолжали использовать самые прогрессивные инструменты для организации DDoS-атак. Хакеры активно применяли комплексные атаки, а также ботнеты, состоящие из нескольких вредоносных программ. На глобальном уровне произошел всплеск DDoS-атак на DNS-сервера, что создало большие проблемы для компаний. Из-за атак серверы не могли обработать поступающие запросы, в результате чего пользователи не могли получить доступ к сайтам и онлайн-сервисам.

Давайте разберем, что вызвало всплески атак на мировые компании в каждом из секторов.

Государственный сектор

В третьем квартале 2023 года на государственный сектор пришлось 26% всех зафиксированных нами атак. Это означает резкое увеличение числа атак на 136% по сравнению с аналогичным периодом прошлого года. Чтобы представить это в контексте, всего шесть месяцев назад государственный сектор редко попадал даже в топ-10 наших отраслей, подвергшихся наибольшему нападению.

Почему происходят эти атаки?

Этот рост является результатом российско-украинского конфликта, который привел к росту хактивизма со стороны отдельных лиц или групп с обеих сторон. Конфликт служит мотивом для усиления киберактивности, часто направленной на то, чтобы делать политические или социальные заявления, или разрушать правительственную инфраструктуру, а не на получение финансовой выгоды.

Одним из таких исполнителей угроз, хорошо известным своими связями с Россией, является хакерская группа под названием Killnet, которая взяла на себя ответственность за многочисленные DDoS-атаки против США и других стран. На противоположной стороне выделяется ИТ-армия Украины. Они открыто вербуют добровольцев для участия в кибервойнах, включая DDoS-атаки.

Эти противники хорошо скоординированы и подпитывают то, что напоминает гонку вооружений DDoS. Атаки на правительственные учреждения эволюционировали и стали многовекторными, сочетая в себе такие методы, как усиление DNS, прямой путь TCP и атаки прикладного уровня.

Атаки на государственный сектор были не только продвинутыми, но и имели одну из самых продолжительных средних длительностей во всех отраслях, составляющую около 4 часов. Недавние цели включают правительственные серверы Канады, шведские веб-порталы и министерства Норвегии.

В некоторых случаях DDoS-атаки служат дымовой завесой для отвлечения внимания служб безопасности. Пока они заняты устранением последствий DDoS-атаки, могут происходить другие вредоносные действия, такие как установка программ-вымогателей или шпионских программ.

Финансы

Финансовый сектор пострадал от 21% DDoS-атак, а количество инцидентов увеличилось на 38%. Хотя этот показатель может показаться умеренным, важно понимать, что в настоящее время появляются новые секторы, такие как государственное управление и транспорт. Исторически сложилось так, что финансовая индустрия всегда была главной мишенью.

Финансовый сектор становится все более уязвимым для атак со стороны хактивистов. Killnet, REvil и другие хакерские группы объявили, что объединили усилия для запуска DDoS-атак против ключевых финансовых институтов, таких как европейские и американские банки, Федеральная резервная система США и SWIFT. Успешные DDoS-атаки могут вывести эти финансовые сервисы в автономный режим, предотвратив транзакции и обмен данными. Хотя средства, возможно, и не были украдены напрямую, сам по себе простой может обойтись этим учреждениям в миллионы долларов, подорвать доверие клиентов и спровоцировать проверку со стороны регулирующих органов.

Воздействие выходит за рамки только целевых организаций. Учитывая взаимосвязанный характер современных финансовых систем, DDoS-атака на Федеральную резервную систему США или SWIFT может создать эффект "узкого места". Транзакции будут приостановлены, а другие финансовые системы, зависящие от этих сетей, могут столкнуться с задержками или перебоями. Своевременная атака потенциально может посеять хаос в часы высокой частоты торгов, вызвав нестабильность рынка и масштабные финансовые потери.

Развлечения

В третьем квартале 2023 года индустрия развлечений столкнулась с резким скачком числа атак, показав рост на 117% по сравнению с аналогичным периодом прошлого года. На долю этого сектора приходилось 17% всех целевых отраслей. В отличие от других секторов, атаки здесь в первую очередь мотивированы финансами.

Индустрия развлечений является ценной мишенью для финансово мотивированных злоумышленников. В этом секторе игровая индустрия подверглась наиболее серьезной атаке.

Одной из угроз, с которой сталкиваются компании игровой индустрии, является новый ботнет под названием Dark Frost. Этот ботнет представляет собой смесь различных вредоносных программ, таких как Gafgyt, QBot и Mirai. Потенциал атаки ботнета оценивается в 629,28 Гбит/с посредством UDP-флуд-атаки.

Игры, пострадавшие от DDoS-атак, включали Destiny 2, Diablo 4, Minecraft и множество других более мелких игр.

Для игроков DDoS-атака обычно означает простой игры. Это проявляется в резких задержках, отключениях и, в худшем случае, невозможности получить доступ к игре в течение длительного времени. Для бизнеса DDoS-атаки приводят к немедленным операционным расходам и могут привести к долгосрочной потере доходов из-за оттока игроков.

cta1

Телекоммуникации

На телекоммуникационный сектор пришлось 14% DDoS-атак, а количество инцидентов увеличилось на 32% по сравнению с аналогичным периодом прошлого года.

Телекоммуникационный сектор часто становится мишенью, в основном потому, что он имеет решающее значение для подключения. Когда телекоммуникационный провайдер выходит из строя, это выводит из строя каналы связи, нарушая как бизнес-операции, так и повседневную жизнь. По этой причине телекоммуникационный сектор часто выбирают хактивисты, которые стремятся максимизировать ущерб.

Мы заметили, что злоумышленники используют все более изощренные методы, применяя передовую тактику, такую как ковровые бомбардировки и атаки DNS с применением пыток водой.

Транспорт

На транспортный сектор пришлось 9% всех атак в третьем квартале 2023 года, а количество инцидентов увеличилось на 86%.

В третьем квартале 2023 года произошли значительные кибератаки на транспортный сектор Канады и ЕС, включая железные дороги, авиацию и морское судоходство. Эти атаки связаны как с финансируемыми государством, так и с независимыми группами хактивистов, возникшими в результате украинско-российского конфликта.

Каковы последствия DDoS-атак для транспортного сектора?

Успешная DDoS-атака на транспортную компанию приводит к немедленному сбою в обслуживании. Например, системы онлайн-бронирования могут выйти из строя, что сделает невозможным для клиентов покупку билетов или проверку расписания. 

Помимо систем, ориентированных на клиентов, DDoS-атака может быть направлена и на внутренние операции. Это может повлиять на отслеживание груза или логистическое планирование, что приведет к задержкам, неэффективности и увеличению эксплуатационных расходов. В худшем случае могут быть затронуты критически важные для безопасности системы, такие как сигнализация или маршрутизация, что создает прямую угрозу для жизни людей.

Онлайн-торговля

На сектор электронной коммерции пришлось 6% всех DDoS-атак в третьем квартале 2023 года, что на 28% больше по сравнению с аналогичным периодом 2022 года.

Что характеризует атаки, с которыми сталкивается сектор электронной коммерции?

Преступники и конкурирующие компании усиливают свои атаки на платформы электронной коммерции. Мы ожидаем, что эта тенденция сохранится и мы увидим дальнейший всплеск атак во время мероприятий с интенсивным движением, таких как "Черная пятница" и Рождественский сезон.

Атаки на предприятия электронной коммерции обычно преследуют две цели: либо выводить из строя конкурентов, подавляя их ресурсы, либо вымогать деньги. 

Последствия успешной DDoS-атаки на розничную компанию проявляются незамедлительно. Если веб-сайты выйдут из строя, компании электронной коммерции столкнутся со значительными убытками, причем по некоторым данным, каждая минута простоя может стоить до 5600 долларов. (Подробнее: чем опасны DDoS-атаки для бизнеса.)

Производство

В третьем квартале 2023 года количество DDoS-атак в производственном секторе выросло на 14% по сравнению с третьим кварталом 2022 года, что составляет 4% от всех подобных атак.

DDoS-атаки часто нацелены на критические точки, такие как промышленные системы управления (ICS), чтобы нарушить работу производственных линий. Они также нацелены на системы SCADA, которые необходимы для оперативного контроля и планирования ресурсов предприятия (ERP), чтобы нарушить внутренние процессы.

Сбой в работе этих систем может привести к остановке производства, финансовым потерям и задержке заказов, сбою в отслеживании запасов и управлении заказами.

Кто стоит за атаками на производственный сектор? 

Атаки на производственный сектор часто связаны с хактивизмом. Цель состоит в том, чтобы нарушить производство деталей для различных отраслей промышленности, включая аэрокосмическую, автомобильную и фармацевтическую. 

Образование

В третьем квартале 2023 года количество атак в секторе образования увеличилось на 16% по сравнению с третьим кварталом 2022 года, что составило 2% от всех атак за этот период.

Почему субъекты угроз нацеливаются на образовательные учреждения?

Большинство участников угроз, нацеленных на образовательные учреждения, мотивированы не деньгами. Вместо этого этими атаками часто движут политические причины, в частности, с целью срыва процессов регистрации. Некоторые нападения даже исходят от студентов, стремящихся помешать сдаче экзаменов. Благодаря легкодоступному инструментарию для DDoS-атак даже дети могут запускать эти разрушительные операции. 

DDoS-атаки по странам в третьем квартале 2023 года

DDoS-атаки все чаще становятся глобальными, выходя за рамки своей исторической концентрации в Китае, Индии и США. Новая тенденция свидетельствует о смещении в сторону ЕС и Ближнего Востока.

Что является причиной географического расширения DDoS-атак?

Всплеск кибератак внутри ЕС тесно связан с российско-украинским конфликтом. Основными целями являются Германия, Франция и Польша. В Германии больше всего страдают финансовые учреждения и регулирующие органы. В частности, Федеральное управление финансового надзора Германии (BaFin) столкнулось с длительным отключением веб-сайта.

Франция борется с DDoS-атаками на свою финансовую и транспортную отрасли. Веб-сайты таможенных и финансовых органов страны временно были недоступны. Тем временем Польша сталкивается с нападениями на свои финансовые организации, биржи и государственные СМИ.

Пророссийская хакерская группа Noname057 стоит за многими из этих инцидентов и взяла на себя ответственность.

Выводы

Подводя итоги нашего анализа тенденций DDoS-атак за этот квартал, мы выделяем три ключевых фактора:

Геополитическое влияние. Продолжающийся конфликт между Россией и Украиной продолжает оказывать непосредственное влияние на ситуацию с DDoS-атаками, что особенно ощущается в Европейском Союзе.

Смещение географического акцента. Экспансия российских компаний на Ближний Восток расширила масштабы DDoS-атак, подвергая киберугрозам новые регионы.

Уязвимые критически важные секторы. Активисты в значительной степени нацелены на транспортные системы, постоянных клиентов и правительственные учреждения.

В заключение отметим, что увеличение числа DDoS-атак в этом квартале на 43% выявляет две критические уязвимости. 

Во-первых, новые секторы, которые в настоящее время подвергаются массированным атакам, являются одними из наименее подготовленных к защите от этих атак. Во-вторых, географический сдвиг в атаках на Ближний Восток и ЕС обнажает регионы, которые не привыкли к такому уровню киберагрессии. 

Это делает немедленное внедрение усовершенствованной защиты от DDoS-атак не просто целесообразным, но и необходимым.