Лавинообразный рост числа атак: StormWall публикует результаты отчета о DDoS-атаках в первом полугодии 2022 года

28 июля 2022

Краткие итоги

По нашим данным, общее количество DDoS-атак на российские организации в I полугодии 2022 года выросло более чем в 15 раз по сравнению с аналогичным периодом 2021 года – об этом говорят собранные нами аналитические данные об интенсивности и характере DDoS-атак, проведенных против наших клиентов. Лидером по числу атак в первом полугодии 2022 года и по их росту по сравнению с аналогичным периодом 2021 года стал финансовый сектор. Самым распространенным видом DDoS-атак оказался HTTP-флуд.

Яркой особенностью I полугодия 2022 года стало заметное увеличение продолжительности атак: если в конце 2021 года DDoS-атаки длились в среднем 3 часа, то уже в начале 2022 года они шли в среднем по 7 часов. Начиная с весны, наши эксперты фиксировали все больше атак, которые длились по несколько дней, а то и недель.

Еще одной характерной чертой DDoS-атак первого полугодия стал их охват: атаки затронули представителей самых разных отраслей и секторов экономики, в том числе тех, кто прежде никогда не сталкивался с DDoS-атаками. В первую очередь они обрушились на социально значимые сайты и сервисы, на интернет-ресурсы ключевых игроков российской экономики, а также на сайты госучреждений, государственные информационные системы и сервисы госуслуг.

Как результат, в I полугодии 2022 года существенно вырос спрос на профессиональные сервисы защиты от DDoS-атак.

report-on-ddos-attacks-in-first-half-2022_1

Хроника DDoS-атак: пик цунами пришелся на март

Январь

В январе 2022 года мы зафиксировали волну очень сильных DDoS-атак мощностью до 1,2 Тбит/с. Наши эксперты считают, что это были отголоски «предновогодних» атак, наблюдавшихся в декабре 2021 года.

Февраль

Начиная со второй декады февраля, наблюдалось усиление атак на ритейлеров и компании e-commerce: число инцидентов, связанных с этим сектором, выросло на 38%. Наши эксперты объясняют этот всплеск тем, что в период предпраздничных продаж по случаю Дня Святого Валентина 14 февраля и Дня Защитника Отечества 23 февраля часть представителей сектора решили воспользоваться нерыночными методами конкуренции и применили DDoS-атаки, чтобы помешать другим игрокам рынка и заодно попытаться привлечь к себе их клиентов. Максимальная мощность атак в тот период составляла 800 Гбит/с.

Следующая волна, больше напоминавшая цунами, развернулась в конце февраля и достигла своего пика в марте. После 24 февраля начались массовые атаки политически мотивированных хактивистов на интернет-ресурсы российских организаций и на государственные сервисы. Атакам подверглись представители практически всех секторов и отраслей, причем как крупные организации, так и не очень большие. Самые серьезные DDoS-атаки обрушились на крупные компании и банки («Газпром», «Лукойл, «Магнит», «Татнефть», «Яндекс», «Сбербанк», Московскую биржу, другие ведущие компании топливно-энергетического сектора, финансовой отрасли, производственной сферы и телекома), на министерства и ведомства (ФНС, Пенсионный Фонд, ФСБ и др.), сайты Госуслуг, а также на новостные порталы и сайты СМИ.

Мощность DDoS-атак по протоколу HTTP в конце февраля достигала 200 тыс. пакетов в секунду.

Март

В ходе мартовских DDoS-атак киберударам подверглись организации многих отраслей и секторов. Нам известно об атаках на Банк России, «Сбербанк», ВТБ, «Газпромбанк», «Альфа-банк», «Тинькофф», НСПК, СБП, QIWI, другие финансовые организации и сервисы, нефтегазовые и энергетические компании. Также атакам в тот период подверглись ведущие сотовые операторы, технологические (например, «Ростех» и соцсеть «Одноклассники»), транспортные (в том числе РЖД и «Аэрофлот») и логистические компании (СДЭК, «Курьер Сервис Экспресс»), ЭТП ГПБ, сервисы курьерской доставки грузов и еды, туристические фирмы и порталы (например, «Туту.ру»), онлайн-кинотеатры и сервисы бронирования билетов в них, сайты аптек, федеральные и региональные СМИ (в том числе телеканалы НТВ и «Звезда», агентства РИА Новости, RT и Sputnik, портал Banki.ru), а также силовые структуры (ФСБ, Росгвардия), государственные сервисы (например, ГЛОНАСС), сервисы, работающие с госзакупками, сервисы по предоставлению цифровой подписи и многие другие.

И именно в марте началось массовое подключение российских организаций к профессиональным облачным сервисам Anti-DDoS – это позволило заметно снизить количество громких DDoS-инцидентов в последующие месяцы.

report-on-ddos-attacks-in-first-half-2022_4

Апрель

В апреле атаки хактивистов продолжились. Целями атак стали сервисы онлайн-касс (АТОЛ), операторы фискальных данных, онлайн-бухгалтерии и системы отчетности («1С-Отчетность», «КонтурЭльба», СБИС, «Такском»), порталы для поиска работы и размещения объявлений, службы доставки и заказа еды, онлайн-кинотеатры и стриминговые сервисы, тендерные площадки, государственные информационные системы. Атаки также затронули сайты и сервисы «Сбербанка» и «Северстали».

Май

Как и прогнозировали наши эксперты, в начале мая поднялась очередная волна DDoS-атак: в первой декаде месяца, в период майских выходных резко выросло количество DDoS-атак на компании и сервисы электронной торговли (их было зафиксировано в 2,5 раза больше, чем в аналогичный период 2021 года), на сайты индустрии развлечений (в 4 раза больше) и СМИ (в 9,5 раз больше). Были атакованы онлайн-магазины (Ozon, Wildberries, Lamoda, Citilink, DNS, Biglion и т.д.), ресурсы, освещавшие празднование Дня Победы (Минобороны, «Юнармия», патриотические СМИ, «Память народа» и пр.), онлайн-кинотеатры и стриминговые сервисы, сервисы продаж и аренды недвижимости, авиакомпании и различные СМИ. В финансовом секторе продолжились атаки на банки, страховые компании, микрофинансовые организации, фондовые биржи. Также наблюдались атаки на систему ЕГАИС, сервисы фирмы «1С» и тендерные площадки, на недавно запущенные магазины мобильных приложений NashStore и RuStore и на интернет-провайдеров. Что характерно, в 75% случаев атаки были нацелены на те организации, которые ранее никогда им не подвергались.

Июнь

В июне целями DDoS-атак стали государственные информационные системы и сайты госучреждений, электронные сервисы судебных органов, а также сайты и сервисы крупных коммерческих организаций. Из-за мощной DDoS-атаки было отложено на час выступление Президента РФ Владимира Путина на Петербургском международном экономическом форуме (ПМЭФ). Атаки также обрушились на сайт «Роскосмоса», на тендерные электронные площадки и СМИ.

Пытаясь помешать работе вузовских приемных комиссий, с 20 июня злоумышленники начали массированные атаки на российские университеты и сайт Госуслуг, на котором заработал сервис приема документов для поступления в вузы. Большинство этих атак велось по протоколу HTTP, а их мощность достигала 300 тыс. запросов в секунду, что в 15 раз больше максимальной мощности атак, наблюдавшихся в тот же период прошлого года. Примечательно, что вузы, использующие профессиональную защиту от DDoS, смогли успешно отразить атаки.

Треть атак пришлась на финансовый сектор

Лидером как по числу DDoS-атак в первом полугодии 2022 года, так и по их динамике по сравнению с аналогичным периодом 2021 года стал финансовый сектор – на него пришлось около трети (32%) от общего числа атак, при этом их количество выросло в 12,8 раза по сравнению с первым полугодием прошлого года. На втором месте оказался госсектор: 18% от общего числа атак и 17-кратный рост по сравнению с прошлым годом. Третье место – у сектора ритейла и электронной торговли: 14% от числа атак при росте в 11 раз по сравнению с прошлым годом. Логистический сектор вышел на четвертое место с долей в 10% от числа атак и ростом в 16 раз. На пятом месте – страховые компании: на них пришлось 8% от общего числа атак, а рост по сравнению с прошлым годом составил 15 раз. Также DDoS-атакам подверглись образовательный сектор (их доля составила 7%), сфера развлечений (5%), туристическая индустрия (4%) и другие отрасли (2%).

report-on-ddos-attacks-in-first-half-2022_3

Количество DDoS-атак по секторам в I полугодии 2022 года.

Источник: StormWall

По мнению наших экспертов, инициаторами большинства атак в первом полугодии нынешнего года стали политически мотивированные хактивисты. В основном они использовали известные методы проведения атак, но благодаря массовости (группировки объединяют по несколько сотен тысяч злоумышленников) смогли достичь определенного общественного резонанса.

Лидер среди методов DDoS-атак – HTTP-флуд

По данным наших экспертов, самым распространенным видом DDoS-атак в I полугодии 2022 года стал HTTP-флуд. Максимальная мощность таких атак в достигала 700 тыс. HTTP-запросов в секунду. На втором месте по числу инцидентов оказались атаки на DNS.

В целом ряде случаев для проведения DDoS-атак применялись кластеры, объединяющие разнородные ботнеты. Что касается инструментов хактивистов, то, как уверены наши эксперты, эти злоумышленники использовали как стандартные общедоступные средства, изначально предназначенные для проведения нагрузочного тестирования, так и хакерские утилиты, специально разработанные для организации DDoS-атак. Поскольку и те, и другие инструменты можно скачать и использовать бесплатно, политически мотивированным хактивистам удалось обеспечить массовость участия их сторонников в атаках, что позволило проводить достаточно мощные атаки, которые практически невозможно отразить, если трафик не фильтруется специализированными сервисами Anti-DDoS.

report-on-ddos-attacks-in-first-half-2022_2

Тенденции и прогнозы на II полугодие 2022 года

Поскольку количество DDoS-атак выросло на порядок и их последствия были существенными, а иногда достаточно разрушительными, в I полугодии 2022 года вырос спрос на профессиональные сервисы защиты от DDoS-атак. Как итог, решения Anti-DDoS в корпоративном секторе постепенно становятся такими же стандартными решениями для обеспечения информационной безопасности, как, например, межсетевые экраны и антивирусы.

По всей видимости, эта тенденция получит дальнейшее развитие во втором полугодии 2022 года, поскольку, по нашим прогнозам, общее количество атак в этом году увеличится в десятки раз по сравнению с прошлым годом. В связи с этим востребованность решений по защите от DDoS-атак тоже повысится в несколько раз.

В ближайшем полугодии мы ожидаем, с одной стороны, некоторое снижение активности хактивистов (в первую очередь вследствие определенной усталости с их стороны), а с другой, – усиление атак со стороны экономически мотивированных злоумышленников: нечистоплотные игроки рынка, как российские, так и международные, могут попытаться использовать DDoS-атаки, чтобы ослабить позиции наиболее сильных, а также наиболее перспективных российских конкурентов и нанести им не только материальный, но и репутационный ущерб.

Кроме того, учитывая нестабильную ситуацию на глобальном уровне, в ближайшем полугодии следует ожидать увеличения количества и мощности DDoS-атак, проводимых в рамках сложных многовекторных хакерских атак, в которых DDoS-ударам будет отводиться роль отвлекающего маневра. Поэтому службам информационной безопасности организаций следует оценивать начало DDoS-атак как возможный сигнал к отражению других, гораздо более серьезных киберинцидентов.