DDoS-атаки в мире и России: отчёт StormWall за 2024 год

В этом отчёте мы рассказываем о том, как DDoS-атаки эволюционировали с 2023-го по 2024 год, а также о ближайших перспективах и трендах в мире киберугроз. 

Наш анализ основан на данных глобальной сети центров очистки трафика StormWall, которые обрабатывают огромные объёмы данных — более 5 Тбит/с при пиковых нагрузках. Именно эти сведения дают нам чёткое представление о текущем состоянии DDoS-угроз по всему миру.

Основные моменты

Количество DDoS-атак в 2024 году в мире выросло на 108% по сравнению с 2023 годом. Таким образом, показатель практически удвоился всего за один год. Примечательно, что ранее рост был не менее высоким — с 2022-го по 2023 год количество DDoS-атак в мире увеличилось на 63%.

Основной драйвер роста — «год выборов»

Более 40 стран провели национальные выборы в 2024 году. В частности, на этот год пришлись ключевые избирательные кампании в Тайване и Индии. Что касается стран Европейского Союза, то государственные выборы здесь прошли в Великобритании, Бельгии, Австрии и Хорватии.

Резкий рост DDoS-атак мы фиксировали именно в периоды избирательных кампаний. Пример — федеральные выборы в Бельгии в июне 2024-го, когда количество таких инцидентов в среднем увеличилось на 250%. При этом атаки на государственную инфраструктуру «подросли» на неимоверные 1450%.

Рассмотрим три важнейших политических события мирового масштаба чуть подробнее:

Выборы в Европейский парламент

В сентябре резко увеличилось количество DDoS-атак в Европе. Причиной тому стали выборы в Европейский парламент.  Если сравнивать с аналогичным периодом 2023 года, то рост DDoS-атак в этом регионе составил 238%. Большинство из них были нацелены на ресурсы избирательных комиссий (31%), политических партий (28%) и медиа, освещающих выборы (23%).

С наибольшим объёмом атак столкнулись страны Западной Европы. Системы голосования в этом регионе испытали примерно 600%-ное увеличение вредоносного трафика, который пришёлся на пиковые часы избирательного процесса. Порталы регистрации избирателей в нескольких странах подверглись продолжительным атакам со средней мощностью 50 Гбит/с, а в критические моменты регистрации — 200 Гбит/с.

Президентские выборы в США

Переизбрание Дональда Трампа в ноябре 2024 года привело к увеличению числа DDoS-атак на цели, находящиеся в США. Рост показателя составил 316% по сравнению с тем же месяцем 2023 года. Большинство атак было направлено на банки (26%), государственную инфраструктуру (22%) и медиа (17%). 

В день выборов штаты Среднего Запада зафиксировали наибольший рост трафика по сравнению с предыдущей неделей. В основном пострадали сайты, отслеживающие результаты выборов и публикующие соответствующие новости. При этом почти 800%-ный скачок DNS-трафика испытали ресурсы голосования. Пиковая нагрузка на них пришлась на период ближе к закрытию избирательных участков.

Атаки на электронные устройства в Ливане

DDoS-атаки на Ближнем Востоке увеличились на 195% в сентябре-октябре по сравнению с тем же периодом 2023 года. Рост начался после того, как Израиль установил взрывные устройства в пейджеры лидеров ХАМАС в ходе секретной операции, которая прошла в начале осени 2024 года. 

Количество DDoS-атак росло от квартала к кварталу 

Средний квартальный рост числа DDoS-атак, с которыми столкнулись клиенты StormWall, составил 24,5%. При этом наименьший рост мы наблюдали между первым и вторым кварталами (16,7%), а наибольший — к концу 4 квартала (35,3%).

Всего системы StormWall в 2024 году предотвратили 6,6 млн DDoS-атак по всему миру. Средняя продолжительность атаки составила 23 минуты. Количество инцидентов с продолжительностью больше 1 часа увеличилось на 120%. При этом средняя мощность атак выросла на 53%. Самая мощная DDoS-атака, предотвращённая StormWall в 2024 году, достигала 1,6 Тбит/с.

Из всего количества DDoS-атак, предотвращённых StormWall, 59% были направлены на прикладной уровень модели OSI, а точнее — на протокол HTTP.

Размеры ботнетов увеличились более чем в 4 раза

Среднее количество устройств, подключенных к одному ботнету, к 4 кварталу 2024 года достигло 38 000. Однако здесь важно уточнить: это средний показатель, который находится между двумя крайностями: «мега-ботнетами» с десятками миллионов устройств и небольшими сетями, к которым подключены несколько тысяч заражённых гаджетов.

Ботнеты активно использовались в атаках на API (прикладной уровнь OSI). В частности, количество таких инцидентов увеличились в Азиатско-Тихоокеанском регионе (APAC) — во 2 квартале рост составил 138%. При этом злоумышленники в основном нацеливались на онлайн-банки и сервисы обработки платежей.

Мотивация атак изменилась в течение года

В первой половине 2024 года основными целями DDoS-атак были государственные ресурсы (29%), тогда как во второй половине года чаще страдал финансовый сектор (20%).

Оценка основана на анализе источников трафика и поведения атакующих во время инцидента.

DDoS-атаки в мире по отраслям

Ниже представлено распределение DDoS-атак по секторам экономики в 2024 году:

Наибольший годовой рост DDoS-атак пришёлся на следующие отрасли:

Сравнивая распределение DDoS-атак по отраслям с показателями 2023 года, можно отметить, что наиболее атакуемыми сферами остаются госсектор и финансы. 

Наибольший рост атак за год продемонстрировала сфера развлечений — с 8% в 2023-м до 14% в 2024-м (+6%). На втором месте оказался телеком — здесь количество атак возросло с 11% до 16% (+5%). Инцидентов в ритейле, наоборот, стало меньше — показатель изменился с 14% в 2023 году до 12% в 2024-м (-2%).

При этом в 2024 году впервые в списке основных целей DDoS-атак появились промышленность и логистика. На их долю пришлись 7% и 5% атак соответственно. В то же время энергетика (ранее 5%) и транспорт (ранее 6%) выпали из нашего рейтинга.

Рассмотрим наиболее атакуемые отрасли 2024 года подробнее:

1. Финансы

На финансовый сектор в 2024 году пришлось 22% от всех DDoS-атак. Общий прирост количества инцидентов в сравнении с 2023 годом составил 97%. Финансовая сфера стала одним из лидеров как по доле DDoS-атак, так и по их мощности.

В первом квартале 2024 года атаки на этот сектор были особенно распространены в странах MENA (Ближний Восток и Северная Африка) и APAC (Азиатско-Тихоокеанский регион). Несколько атак, нейтрализованных StormWall, превышали 800 Гбит/с. Самый мощный инцидент произошёл в третьем квартале 2024 года. Мощность этой DDoS-атаки достигла 1,8 Тбит/с. Её целью стал банк, расположенный в одной из стран APAC.

2. Государственный сектор

На госсектор пришлось 19% от всех DDoS-атак 2024 года. При этом количество инцидентов здесь увеличилось на 128% по сравнению с прошлым годом — у отрасли первое место по темпу роста числа атак.

Рост атак на государственную инфраструктуру совпал с периодами выборов в нескольких странах. Во время избирательной кампании в Нидерландах в июне 2024 года компания StormWall предотвратила 360 тыс. атак. В то же время Южная Корея столкнулась с 470 тыс. атак в период государственных выборов, которые состоялись в апреле. Также серьёзным атакам во время избирательной кампании подверглись государственные службы Тайваня и Азербайджана (в 1 квартал 2024 года).

3. Телеком

Телекоммуникационные компании становились мишенью в 16% случаев от всего числа DDoS-атак. Рост количества инцидентов здесь составил 86% по сравнению с прошлым годом.

Телеком столкнулся с особенно серьёзными атаками в 2024 году, крупнейшая из которых превысила 1 Тбит/с и была направлена против одного из провайдеров в регионе APAC. Хотя StormWall нейтрализовал данную атаку без последствий для клиентов, ситуацию в телекоме мы запомним необычайной продолжительностью атак. Так, она в 2024 году она удвоилась почти за три месяца: с 5 часов в апреле до 8 часов в мае, достигнув пика в 16 часов в июне.

4. Сфера развлечений

Доля DDoS-атак в этой отрасли — 14%, а рост количества инцидентов за год — 86%.  DDoS-атаки становились важнейшей проблемой в периоды крупных соревнований и чемпионатов. В их числе Кубок мира по киберспорту в ОАЭ (июль-август) и Чемпионат УЕФА (июнь-июль). Во время этих событий команда StormWall нейтрализовала несколько атак. В их числе масштабный инцидент, который произошёл 16 июня, когда спортивный стриминговый сервис подвергся атаке мощностью 650 Гбит/с и продолжительностью 3 часа.
5. Ритейл

На сектор розничной торговли пришлось 12% от всех DDoS-атак, годовой рост количества инцидентов в отрасли составил 32%. Многие атаки на ритейл происходили на территориях APAC и MENA — регионах, где электронная коммерция быстро набирает популярность. По оценкам StormWall, 96% таких атак были коммерчески мотивированными. При этом расследования, проведённые после инцидентов демонстрируют, что до 50% атак могли быть инициированы прямыми конкурентами с целью захвата рыночной доли. (Читайте подробнее в нашей статье о причинах DDoS-атак.)

Распределение DDoS-атак по странам

Рассматривая три наиболее атакуемые страны — США, Китай и Индию — в 2024 году, можно отметить, что Штаты продолжают оставаться основной целью DDoS-атак. При этом доля этой страны увеличилась с 12,3% в 2023 году до 14,3% в 2024-м. Максимальный рост количества DDoS-атак в США мы зафиксировали в ноябре — на 316%, он пришёлся на период президентских выборов. 

Китай остаётся на втором месте с увеличившейся долей — 12,8% (10,6% в 2023 году). В то же время Индия стала третьим наиболее атакуемым государством с незначительным ростом доли за год — с 9,2% до 10,2%.

Что касается Европы, то на четвёртое место поднялась Великобритания — доля атак здесь составила 9,8% (в 2023 году — 8,2%). В 2024 году она опередила Францию, где мы зафиксировали небольшой рост с 8,4% до 9,2%. Также выросло количество инцидентов в Германии — с 6,8% до 8,4%. Вероятно, причина кроется в увеличении числа целенаправленных атак во время выборов в Европейский парламент.

В регионе APAC самой заметной целью злоумышленников стал Сингапур, который увеличил свою долю с 3,6% в 2023 году до 6,8% в 2024-м. Таким образом, одна из самых небольших стран в мире вошла в топ-10 самых атакуемых государств. 

Другие небольшие страны — Израиль и Украина — также в 2024 году подверглись значительному количеству атак. При этом в Израиле число инцидентов увеличилось с 4,2% до 5,4%, а в Украине снизилось с 4,6% до 2,6%.

DDoS-атаки в России 

По нашим данным, Россия оказалась на 8 месте самых атакуемых стран в 2024 году. С тем же показателем (7,3% от всех DDoS-атак) наша страна в 2023 году находилась на 7 позиции рейтинга.

Число атак в России в 2024 году выросло на 45% по сравнению с 2023 годом. В первую очередь, повышение количества атак произошло на фоне серьёзных геополитических событий в мире, а также из-за обострившейся конкуренции на рынке во второй половине этого года. Самые сильные всплески атак в 2024 году произошли в марте, мае, июле, сентябре и ноябре. 

Основные тренды

Эксперты StormWall выявили колоссальный рост мощности DDoS-атак на уровне приложений (L7 по модели OSI). В 2024 году она увеличилась в 2 раза по сравнению с прошлым годом. 

Ещё одним ключевым трендом стал внушительный рост количества устройств в ботнетах, которые используются злоумышленниками для запуска DDoS-атак. Специалисты компании StormWall выявили, что среднее количество устройств в ботнетах в России выросло в 5 раз, увеличившись с 7 тыс. устройств в 2023 году до 35 тыс. устройств в 2024 году. 

Ботнеты уже долгое время являются одним из наиболее разрушительных инструментов злоумышленников. Рост количества устройств является пугающей тенденцией, поскольку гигантские ботнеты могут запускать мощнейшие атаки, которые могут нанести огромный вред любой российской компании. Самый крупный ботнет, обнаруженный StormWall в России в 2024 году, насчитывал более 100 тыс. устройств. В основном в него входили маршрутизаторы ASUS.

Также, по данным аналитиков StormWall, в 2024 году количество атак типа «ковровые бомбардировки» выросли на 268% по сравнению с 2023 годом. Такие атаки нацелены сразу на сотни или тысячи IP-адресов жертвы. Основной целью здесь является вывод из строя инфраструктуры. В последнее время хакеры активно применяют данный вид атак из-за его высокой эффективности. 

Многовекторные DDoS-атаки продолжают оставаться актуальным трендом в России. В 2024 году количество подобных атак в стране увеличилось на 32% по сравнению с 2023 годом. Многовекторные атаки направлены на несколько разных сетевых уровней и элементов инфраструктуры организации. Такой тип атаки является одним из наиболее вредоносных и может причинить большой ущерб организации. 

Распределение DDoS-атак по отраслям в России

Главной мишенью злоумышленников в России в 2024 году стала телеком-сфера. Доля атак на эту отрасль составила 31%. Для сравнения: в 2023 году атаки на данную отрасль занимали только 14% от общего числа случаев. В организации массовых атак на телеком-компании чаще принимали участие политически мотивированные хактивисты, которые стремились навредить российскому бизнесу. 

Такой повышенный интерес хакеров к телеком-сфере вызван постоянно растущей эффективностью атак на данную индустрию:

По итогам 2024 года средний показатель эффективности атак на телеком в России составил 57%. Это указывает на то, что больше половины таких инцидентов были успешными, несмотря на собственные усилия компаний и средства защиты, которые они использовали для отражения атак.

Среди важнейших целей хакеров в прошлом году также был государственный сектор (17% от общего числа DDoS-атак). Массовые атаки на данную сферу были запущены хактивистами, которые действовали особенно активно на фоне сложной геополитической ситуации. По итогам 2024 года эффективность атак на государственные компании составила 42%.

Ещё одной ключевой целью киберпреступников в России в 2024 году стал ритейл (14%). Сильнейшие всплески атак на ритейлеров были зафиксированы во время рождественских распродаж, перед празднованием Международного женского дня, во время подготовки к школе, в дни акции по случаю Чёрной пятницы, и, наконец, в преддверии Нового 2025-го года. В основном, массовые атаки на ритейлеров происходили из-за усиления конкуренции на рынке, а также с целью вымогательства и шантажа. 

Хакеры также проявляли интерес к другим отраслям. В 2024 году атаки на финансовую сферу составили 9% от общего числа зафиксированных инцидентов в России, сегмент облачных технологий в ИТ-сфере получил 7%, а развлекательная отрасль — 5%.

Заключение

• Число DDoS-атак в мире с 2023 по 2024 год увеличилось в два раза — на 108%. При этом количество инцидентов росло от квартала к кварталу.
• Выборы стали основными целями DDoS-атак в мире. И это логично для 2024 года, который можно назвать «годом выборов». Наибольший рост в периоды избирательных кампаний пришёлся на госсектор.
• Мотивация атакующих изменилась в течение года. В первом полугодии на долю хактивистов пришлось 73% от всех атак в мире, тогда как во второй половине года чаще действовали другие злоумышленники. На их долю пришлось 58% инцидентов, что совпало со сменой цели киберпреступности с государственного на финансовый сектор.
• Размеры ботнетов достигли в среднем 38 000 устройств. При этом некоторые из них включают десятки миллионов заражённых гаджетов. Такие ботнеты в 2024 году были особенно активны в атаках на API, многие из которых были нацелены на банковские сервисы в регионе APAC.
• Финансовая сфера подвергалась атакам в 22% от всех случаев мире. За этой отраслью следуют государственный сектор (19%), телеком (16%), сфера развлечений (14%) и ритейл (12%).
• США — самая атакуемая страна с долей 14,3%. На втором месте Китай (12,8%), на третьем — Индия (10,2%). При этом заметный рост продемонстрировал Сингапур — с доли 3,6% в 2023 году до 6,8% в 2024-ом. Россия в рейтинге StormWall заняла восьмое место (7,3%). 

Сложный для защиты от DDoS-атак 2024 год уже позади. Однако, судя по актуальным трендам и нашим наблюдениям, 2025-й может оказаться ещё сложнее.