Обзор первого квартала 2024: Отчет о DDoS-атаках от компании StormWall

DDoS-атаки являются основной причиной сбоев в работе онлайн-сервисов и могут привести к значительным потерям бизнеса. По мере роста числа атак ситуация становится все более опасной, и к 2024 году DDoS-атаки могут угрожать самому Интернету. 

Вы читаете отчет StormWall о глобальных DDoS-атаках. Мы собрали данные об атаках, нацеленных на клиентов, подключенных к нашей глобальной сети центров обработки данных по всему миру. В пиковые периоды наша сеть фильтрует трафик со скоростью 4500 Гбит/с. Это реальные кампании по отказу в обслуживании, которые затронули предприятия самых разных секторов. Самая мощная атака, которую мы предотвратили в первом квартале 2024 года, достигла 1,4 Тбит/с. Эти данные позволяют нам делиться тенденциями и информацией, о которой вы, возможно, ранее не знали, о состоянии DDoS-атак во всем мире.

DDoS-атаки в 1 квартале 2024 года: обзор

В целом, первый квартал 2024 года характеризовался влиянием избирательных кампаний и выборов на активность DDoS-атак. В 2024 году выборы пройдут или уже состоялись в 64 странах, включая Тайвань, Бангладеш, Азербайджан, Сенегал и Россию. Мы видим прямую корреляцию между периодами выборов и ростом числа атак. Геополитическая ситуация продолжает оказывать влияние на DDoS-атаки, и это влияние проявляется в списке отраслей, наиболее подверженных атакам. Доминируют атаки на государственные учреждения, на которые приходится 34% всех инцидентов.

Хакеры также продолжают атаковать активных геополитических игроков и участников конфликтов. Например, политически мотивированные DDoS-атаки произошли в США, России, Индии, Индонезии, Израиле и других странах.

DDoS-атаки в 1 квартале 2024 года: основные тенденции

Ниже мы обобщили основные тенденции, которые наблюдали в первом квартале этого года. Напомним, что эти тенденции были зафиксированы в рекордном 2023 году как по объему, так и по сложности атак, когда количество многовекторных атак увеличилось на 118% в годовом исчислении.

• В первом квартале 2024 года среднее количество устройств в ботнетах увеличилось в пять раз – с 4000 до 20 000 устройств. В настоящее время ботнеты стали достаточно мощными, чтобы угрожать безопасности Интернета во всем мире, например, нацеливаясь на службы DNS, адресную книгу Интернета, которая связывает IP-адреса с доменами, доступными для чтения человеком. Перебои в работе DNS могут привести к тому, что запросы к веб-сайтам в целых регионах, штатах или странах перестанут обрабатываться. 
• Геополитика оказывает сильное постоянное влияние на ситуацию с DDoS-атаками. Это проявляется в том факте, что значительная часть DDoS-атак приходится на страны, вовлеченные в продолжающиеся конфликты.
• Мы обратили внимание на влияние выборов. 2024 год можно охарактеризовать как год выборов, в котором примерно в 64 странах (в 17 из них в первом квартале этого года) будут избраны ключевые государственные чиновники. Это оказало непосредственное влияние на то, какие отрасли промышленности подвергаются DDoS-атакам, в результате чего государственные и телекоммуникационные службы стали наиболее уязвимыми (на долю атак на государственные службы пришлось 34% инцидентов, а на телекоммуникационную отрасль – 14%).
• Доля хактивизма растет. Доля атак, совершаемых хактивистами, по сравнению с инцидентами, совершаемыми коммерческими DDoS-злоумышленниками, неуклонно растет.
• В первом квартале 2024 года мы наблюдали увеличение числа DDoS-атак, нацеленных на веб-приложения и API. Эти атаки в основном затрагивают розничную торговлю, транспорт и логистику.
• Атаки с использованием ковровых бомбардировок становятся все более распространенными. При атаках с использованием ковровых бомбардировок хакеры выбирают несколько целей в попытке захватить всю сеть, а не сосредотачиваются на одном IP-адресе. Мы отслеживаем увеличение числа атак с использованием ковровых бомбардировок в первом квартале 2023 года.

Как выборы в разных странах повлияли на глобальный ландшафт DDoS-атак

Хакеры, как правило, следят за крупными событиями, будь то политическими или коммерческими. В четвертом квартале 2023 года мы стали свидетелями этого во время «черной пятницы», которая проявилась в увеличении числа атак на розничный сектор на 127%, что сделало его второй наиболее подверженной атакам отраслью в этом квартале. В целом, везде, где есть общественное внимание и потребность в бесперебойном функционировании служб, есть возможность нарушать работу, сеять хаос и вымогать деньги.

Крупнейшим событием первого квартала 2024 года, несомненно, стали выборы, которые прошли в нескольких странах, и на фоне выборов мы наблюдали увеличение числа DDoS-атак, в основном на государственные службы и избирательные кампании.

Каковы последствия?

Государственный сектор остается наиболее уязвимой вертикалью – 34%, что на 62% больше, чем в прошлом квартале, и на 47% больше, чем в прошлом году.

Сколько выборов было проведено в первом квартале 2024 года, чтобы это произошло? Давайте подведем итоги. В январе состоялись парламентские выборы в Бангладеш, Бутане и Тувалу. Президентские выборы состоялись в Финляндии и на Коморских островах. На Тайване состоялись как парламентские, так и президентские выборы. В феврале в Камбодже, Пакистане и Беларуси прошли парламентские выборы, а в Сенегале, Мали и Азербайджане были избраны новые лидеры. Наконец, в марте парламентские выборы состоялись в Иране и Португалии. С 15 по 17 марта в России прошли президентские выборы.

Важные выборы состоялись на Тайване, в России, Азербайджане, Бангладеш и Сенегале. В каждом из этих регионов мы можем четко видеть, насколько сильно выборы повлияли на количество DDoS-атак. Если мы разберем это по странам, то увидим, насколько увеличился вредоносный трафик в первом квартале 2024 года:

• Тайвань: рост на 148%.
• Россия: рост на 126%.
• Азербайджан: рост на 114%.
• Бангладеш: рост на 84%.
• Сенегал: рост на 71%.

DDoS-атаки в первом квартале 2024 по отраслям

Вот основные тенденции, которые можно выделить в этом квартале:

• Атаки на игровой сектор были широко распространены — в третьем квартале 2023 года эта категория не заслуживала особого внимания, но в этом году количество атак выросло на 83%, став вертикалью, где произошло больше всего новых атак.
• Также следует отметить атаки на государственный сектор (доля 34%, рост на 47% в годовом исчислении), которые резко усилились по сравнению с прошлым кварталом и стабильно увеличиваются в годовом исчислении. 
• В качестве предупреждения компаниям, работающим в сфере СМИ, были проведены аналогичные кампании по DDoS-атакам, направленные на предотвращение свободного потока информации. В результате сектор СМИ теперь является отдельной категорией в списке наиболее подверженных атакам секторов с долей в 4%. Эта деятельность проводится в контексте выборов.
• В розничной торговле наблюдалась обратная тенденция. Сезон покупок закончился, и мы видим, что это отразилось на общем снижении числа нападений по сравнению с другими секторами. Наблюдается скромный рост на 18% в годовом исчислении, что является результатом общего увеличения числа DDoS-атак, но это сравнительно мало по сравнению с ростом на 127%, который мы наблюдали в прошлом квартале.

Государственный сектор

Доля DDoS-атак, нацеленных на государственный сектор, составляет 34%, увеличившись на 47% в годовом исчислении. Это больше, чем 21% в предыдущем квартале, из-за выборов в нескольких странах.

В частности, на выборах в Тайване, Бангладеш, Азербайджане, Сенегале и России были обозначены цели, стоящие перед правительственной инфраструктурой, задействованной в избирательных кампаниях в этих регионах.

В общей сложности в этом году выборы прошли или должны состояться в 64 странах Европы, Азии и Ближнего Востока и Африки. Это означает, что государственные учреждения в этих регионах подвергаются высокому риску стать жертвами DDoS-атак.

Онлайн-игры

В первом квартале 2023 года сфера азартных игр была второй по числу атак, доля которой составила 21%, а самый высокий рост, который мы наблюдали, составил 83% в годовом исчислении.

Например, серверы Minecraft подвергаются DDoS-атакам. База игроков Minecraft насчитывает более 500 миллионов зарегистрированных пользователей, из которых 166 регистрируются ежемесячно, что означает, что атаке подвергается больше людей, чем население США.

Почему хакеры нацелены на игры?

Причины атак на игры различны. В некоторых случаях они инициируются игроками, которые соревнуются с более сильным противником. Они пытаются получить преимущество, повышая пинг. В других случаях злоумышленники стремятся нарушить игровой процесс: помешать игрокам войти в систему, увеличить время загрузки и, как правило, сделать игру неиграбельной. Это приводит к ущербу репутации и потере номеров игроков, которые злоумышленники могут использовать для вымогательства.

Телекоммуникации

На третьем месте по доле атак (14%) находится телекоммуникационная отрасль. В этой вертикали количество атак увеличилось на 29% в годовом исчислении. В целом положение телекоммуникационной отрасли в списке остается таким же, как и в прошлом квартале, — как по доле, так и по росту числа атак. 

Злоумышленники нацелены на эту отрасль из-за ее массированной доступности для атак. Время простоя у поставщика услуг связи (CSP) означает, что все его клиенты сталкиваются с перебоями в работе из-за выхода из строя инфраструктуры, на которую они полагаются. Телекоммуникационные компании становятся мишенями хакеров, стремящихся к шантажу, политических деятелей и даже тех, кто хочет отработать атаку на более крупную цель.

Финансы

На финансовый сектор пришлось 12% DDoS-атак, что на 26% больше, чем в прошлом году. В частности, финансовые услуги на Ближнем Востоке по-прежнему подвергаются массированным атакам. Это результат израильско-палестинского конфликта, который начался в октябре 2023 года и продолжается до сих пор.

Атаки по этой вертикали были распространены в регионах MENA и APAC (Азиатско-Тихоокеанский регион), причем скорость некоторых из них превышала 800 фунтов стерлингов в секунду.

Транспорт

В первом квартале 2024 года на него пришлось 7% атак, и он стал третьим по темпам роста – 38%. Интересно, что именно в транспортном секторе участники DDoS-атак предпочитают стратегии, которые, хотя и не обязательно новые в этом квартале, набирают популярность. А именно: злоумышленники сосредотачиваются на перегрузке веб-приложений и API-интерфейсов. 

Например, в современных морских портах используется программное обеспечение для управления судами, которое интегрируется с системами учета и данными о погоде. Это программное обеспечение взаимодействует с внешними службами через API, а операторы могут взаимодействовать с ним через веб-приложение. Отключив эти компоненты, злоумышленники могут приостановить работу порта. Это может привести к значительному финансовому ущербу.

Атаки такого рода не только преследуют цель получения прибыли, используя необходимость возобновления работы транспортных узлов, но и связаны с активизмом, поскольку транспортные и логистические услуги играют жизненно важную экономическую роль.

Онлайн-торговля

По сравнению с последним кварталом 2023 года розничная торговля переживает небольшую передышку в плане роста числа атак и их доли. В первом квартале 2024 года количество атак выросло на ошеломляющие 127% в этом квартале — в этом квартале они выросли всего на 18%. Доля атак также снизилась до 5% по сравнению с 17% за последний период. 

Характер DDoS-атак в 2023-2024 годах таков, что скромный рост выглядит как период затишья, но это впечатление ложно. В конце концов, после увеличения числа атак на 127% в четвертом квартале 2023 года объем остался на прежнем уровне и все еще немного увеличился, поэтому важно помнить, что снижение общей доли этой отрасли связано с более быстрым ростом в других секторах.

СМИ

В медиасекторе количество DDoS-атак увеличилось на 4% и 16% соответственно. Атаки на эту вертикаль были связаны с политическими выборами, которые состоялись более чем в 15 странах в первом квартале 2023 года. Причина атак - хакерская активность. Веб-сайты СМИ, безусловно, являются важными платформами для политических кандидатов. Конкурентам может быть выгодно блокировать источники информации, особенно для того, чтобы скрыть неблагоприятные истории.

Вывод заключается в том, что, несмотря на скромную долю атак в 4%, количество атак на средства массовой информации значительно увеличилось. Это иллюстрирует, как DDoS-атаки становятся источником дезинформации в глобальном масштабе.

Образование

В секторе образования было совершено 2% атак, что составляет 11% от общего числа. Хотя количество атак сократилось на 50% по сравнению с третьим кварталом 2023 года, темпы роста остаются неизменными. За последний период мы зафиксировали рост на 12% в годовом исчислении, что всего на 1% больше, чем в 1 квартале 2023 года. Как и в секторе розничной торговли, в праздничные дни активность DDoS-атак резко возрастает, а атаки на системы образования часто достигают своего пика в определенные периоды, например, во время вступительных экзаменов, и совершаются как хакерами, так и студентами, пытающимися сорвать экзамены.

DDoS-атаки в России

В 1 квартале 2024 года тенденция роста числа DDoS-атак в России продолжила набирать обороты. В течение этого периода хакеры активно атаковали российские компании, применяя наиболее эффективные инструменты для запуска DDoS-атак. 

По данным аналитического центра компании StormWall количество DDoS-атак в 1 квартале 2024 года в России увеличилось на 73% по сравнению с аналогичным периодом прошлого года. Число киберинцидентов выросло в связи с обострившейся конкурентной борьбой, а также из-за сложной политической ситуации в мире. 

Аналитический центр StormWall тщательно отслеживал DDoS-атаки на ключевые индустрии в 1 квартале 2024 года в России. Специалисты определили, какие отрасли пострадали от действий хакеров больше всего. Самое большое количество атак было направлено на телекоммуникационную отрасль (32% от общего числа атак), онлайн-ритейл (21%) и энергетический сектор (18%). Также были обнаружены атаки на государственный сектор (14%), финансовую отрасль (7%), тревел-сегмент (4%), сферу развлечений (3%) и 1% занимают атаки на остальные отрасли. 

По данным экспертов StormWall, в начале этого года хакеры значительно усилили DDoS-атаки на телеком-сферу, онлайн-ритейл и энергетический сектор. Данные отрасли имеют самые высокие показатели по росту количества атак в этом году. Специалисты выявили, что число DDoS-атак в 1 квартале 2024 года выросло на телекоммуникационную отрасль на 142%, на сферу электронной коммерции – на 68%, а на энергетическую отрасль – на 37% по сравнению с 1 кварталом 2023 года.

DDoS-атаки на телекоммуникационную отрасль с января по март этого года продолжались регулярно, причем их количество только росло на протяжении всего периода. Такая лавина атак на телеком-сферу произошла из-за стремления политически мотивированных хактивистов помешать телеком-провайдерам предоставлять качественные услуги связи российским компаниям. Несмотря на проведение ежедневных DDoS-атак на телекоммуникационную отрасль, злоумышленникам не удалось причинить сильный вред телеком-провайдерам. Также в 1 квартале 2024 года хактивисты организовали массовые атаки на облачных провайдеров, однако, данные киберинциденты также не имели серьезных последствий. 

Сфера ритейла является одной из самых атакуемых отраслей в России. Особенно много атак на интернет-магазины фиксируется во время проведения праздников и распродаж, когда растет потребительский спрос и усиливается конкуренция на рынке. В 1 квартале 2024 года всплески атак на онлайн-магазины наблюдались в конце февраля, перед празднованием Дня защитника Отечества, а также в начале марта перед Международным женским днем, причем рекордный всплеск атак был выявлен 8 марта, когда потребительский спрос достиг своего пика.

Энергетическая отрасль России также довольно часто подвергается DDoS-атакам хакеров. Массовые атаки на энергетическую сферу были организованы в феврале этого года. Злоумышленники пытались нарушить работу энергосбытовых компаний в регионах, чтобы навредить экономике России и создать проблемы жителям страны во время отопительного сезона. Среди организаторов атак на энергетический сектор были политически мотивированные хактивисты. Данная отрасль играет большую роль в развитии экономики страны, поэтому энергетические компании всегда находятся в зоне риска.

В конце 2023 года в России традиционные DDoS-атаки с целью получения выгоды преобладали над атаками хактивистов, однако в начале этого года активность хактивистов повысилась. По итогам 1 квартала 2024 года DDoS-атаки хактивистов занимают 53%, а традиционные атаки составляют 47% от числа всех атак в России. По прогнозам аналитиков компании, число атак хактивистов во втором квартале этого года может вырасти еще больше в связи с майскими праздниками и началом летних отпусков.

DDoS-атаки в первом квартале 2024 по странам

Анализируя распределение DDoS-атак по странам в первом квартале, мы по-прежнему видим влияние выборов. Тайвань, например, занял третье место по количеству атак (11,4%), чего мы никогда раньше не видели. Обычно в тройку лидеров входят Соединенные Штаты, Индия и Китай, причем их позиции в тройке лидеров колеблются. Атаки на Тайване были особенно заметны своей сложностью и силой, поскольку Китай был одним из основных географических источников атак.

Интересно, что Россия (8,2%) и Финляндия (6,3%) также оказались в первой десятке стран, подвергшихся наибольшему нападению. В случае с Россией страна вернулась на эту позицию. Здесь также можно проследить влияние недавно прошедших выборов. Впервые россияне смогли проголосовать на онлайн-платформах, и хакеры воспользовались этим, сделав эти платформы своей мишенью. 15 марта по крайней мере один раз работа сервисов была нарушена. В общей сложности во время выборов в России было совершено около 12 миллионов DDoS-атак.

С другой стороны, количество атак в Израиле сократилось (на 3,1%), а в Сингапуре количество атак сократилось вдвое по сравнению с 4 кварталом 2023 года (в настоящее время 2,6% против 6,3% в предыдущем периоде).

Статистика DDoS-атак в 1 квартале 2024 года по протоколам

Если посмотреть на различные типы атак, то большинство из них (86%) нацелены на протоколы HTTP и HTTPS. На втором месте атаки по протоколам TCP и UDP (9%), хотя они и не так распространены. DNS-атаки (4%) занимают третье место по популярности.

Выводы

Подводя итог тенденциям DDoS-атак за 1 квартал 2024 года, мы выделяем несколько ключевых моментов:

• Геополитический ландшафт, в частности, выборы в 64 странах, включая Тайвань, Бангладеш, Азербайджан, Сенегал и Россию, оказали значительное влияние на динамику DDoS-атак. Больше всего пострадали государственные службы, на долю которых пришлось 34% всех инцидентов, что на 47% больше, чем в прошлом году.
• Хактивисты играли заметную роль, нацеливаясь на активных геополитических игроков и конфликтующие стороны в США, России, Индии, Индонезии, Израиле и других странах. Доля атак, вызванных хактивизмом, по сравнению с коммерческими DDoS-атаками, неуклонно растет.
• В игровой индустрии наблюдался самый высокий рост числа атак – 83% в годовом исчислении, и она стала второй по масштабируемости с долей 21%. Атаки на игровые серверы, такие как Minecraft, затронули миллионы игроков по всему миру.
• Число DDoS-атак, нацеленных на веб-приложения и API, растет, особенно затрагивая розничную торговлю, транспорт и логистику. Эти атаки могут нанести значительный финансовый ущерб и вызваны как стремлением к прибыли, так и мотивами хактивизма.
• Мощность ботнетов возросла, и в первом квартале 2024 года среднее число устройств увеличилось в пять раз – с 4000 до 20 000. Теперь они представляют угрозу безопасности Интернета во всем мире, потенциально нацеливаясь на критически важную инфраструктуру, такую как службы DNS.

Поскольку мощь ботнетов продолжает расти, для организаций любого размера как никогда важно обеспечить надежную защиту от DDoS-атак. Мы не можем не подчеркнуть этого. Обеспечение того, чтобы ваша защита соответствовала возможностям злоумышленников, является ключом к снижению рисков, связанных с DDoS-атаками в ближайшем будущем, обеспечивая безопасность и бесперебойную работу вашего бизнеса.