Обзор четвёртого квартала 2023 года: Отчет о DDoS-атаках от компании StormWall

Каждый квартал аналитики компании StormWall исследуют данные о DDoS-атаках, направленных на наших клиентов.

Все данные, использованные для анализа, поступают из нашей всемирной сети центров очистки, которые фильтруют до 3500 Гбит/с при пиковых нагрузках. Именно эти данные позволяют нам получить представление о мировом состоянии угроз DDoS.

Читайте также наш годовой отчёт о DDoS-атаках.

DDoS-атаки: обзор глобальных тенденций

Четвертый квартал всегда отличается большим количеством DDoS-атак, особенно в розничном секторе. Безумие Black Friday, Cyber Monday и праздничных покупок усиливает конкуренцию, что заставляет некоторых участников рынка прибегнуть к нечестным тактикам — DDoS-атакам на своих конкурентов. 2023 год не стал исключением. Заглянув немного вперёд, розничная индустрия заняла второе место по уровню инцидентов в этот квартал. Это существенный скачок с седьмого места в Q3 2023.

Другие тенденции, повлиявшие на DDoS в четвертом квартале 2023 года:

  • Распространение сложных атак. Заметно увеличилось использование ботнетов, атак на DNS и многовекторных атак. Одной из тревожных тенденций, которую мы видим, являются гиперобъемные атаки DDoS по протоколу HTTP, которые эксплуатируют дефект HTTP/2 Rapid Reset и могут достигать сотен миллионов запросов в секунду — гораздо больше, чем могут обработать ненадежно защищенные приложения.
  • Киберпреступники применяют метод Hit and run (ударь и уходи). Большинство DDoS-атак в Q4 были типа Hit and run (ударь и уходи), длительностью 30 минут или меньше. Эти атаки иногда проверяют защиту цели перед более крупной, устойчивой атакой.
  • Геополитика продолжает формировать ландшафт DDoS. Политически мотивированные хактивисты направляли свои усилия на несколько государств, участвующих в текущих конфликтах, особенно в столкновениях Россия-Украина и Израиль-Палестина. Они направляли свои атаки на критическую инфраструктуру и сектор общественного заказа, включая энергетические заводы — атаки на энергетическую инфраструктуру выросли на 109% по сравнению с предыдущим годом.
  • Усилилась конкуренция на рынке, особенно в рознице, финансах и логистике. Розничные компании по всему миру столкнулись с атаками во время Black Friday, часто инициированными конкурентами. Подобные инциденты резко возрастали перед Рождеством и Новым годом, совпадая с праздничным шопингом.

Воздействие конфликта Израиль-Хамас

В октябре конфликт Израиль-Хамас вызвал значительный всплеск DDoS-атак, направленных на израильские цифровые сервисы. Большинство этих кибератак, 42%, направлены на правительственные веб-сайты. Новостные сайты подверглись около 14% атак, а сайты, связанные с путешествиями, столкнулись с 12%.

Масштаб этих сетевых, объемных DDoS-атак варьировался значительно, от 1.2 Гбит/с до огромных 135 Гбит/с. На прикладном уровне атаки Web DDoS колебались между 9,000 запросов в секунду (RPS) и максимумом в 2 миллиона RPS.

Хотя некоторые DDoS-атаки были краткосрочными, занимая всего несколько минут, многие длились несколько часов, включая атаки, продлившиеся 24 часа. В течение продолжительных атак атакующие часто изменяли свои тактики, переключаясь между различными методами атак. Эта адаптивность была ответом на способность цели обнаруживать и противостоять начальным векторам атаки.

Доля атак по отраслям

Отрасли с наибольшим годовым ростом DDoS-атак в Q4 2023 года:

  • Впервые в наших отчетах энергетический сектор входит в число топовых целевых отраслей, показав резкий рост атак на 109%. Энергетическим операторам необходимо быть в состоянии повышенной бдительности.
  • Атаки на органы власти занимают первое место и не показывают признаков снижения. Большинство проводятся организованными группировками.
  • Атаки в онлайн-торговле резко возросли, составив 17% от общего числа инцидентов. Этот скачок связан с Black Friday, Cyber Monday и зимними праздничными покупками — повторяющейся ежегодно тенденцией.

Государственный сектор

Государственный сектор столкнулся с 21% всех атак, что является увеличением на 162% по сравнению с предыдущим годом. Однако это немного меньше, чем 26%, отмеченных в предыдущем квартале.

Атаки на государственные системы стали главной тенденцией в конце 2023 года. Эти атаки сначала фокусировались в основном в Европе, а теперь распространились на Ближний Восток из-за конфликта Израиль-Палестина.

Наблюдается использование продвинутых техник DDoS. К ним относятся многовекторные атаки, усиление DNS, прямой путь TCP и атаки на прикладной уровень.

Розница

Розничная индустрия столкнулась с 17% общего числа атак, что является увеличением на 127% по сравнению с предыдущим годом. Это большой скачок с 6% в прошлом квартале, подчеркивающий влияние праздничного сезона на активность DDoS в этом секторе.

В регионе Ближнего Востока активность DDoS выросла более чем на 45%. Розничный сектор Ближнего Востока стремительно цифровизируется, но некоторые инфраструктуры все еще развиваются, делая их более подверженными атакам. Киберпреступники, включая профессиональных хакеров и недобросовестных конкурентов, используют эти слабые места.

Даже кратковременные атаки могут нарушить работу сети, вызывая простой, который сохраняется гораздо дольше самой атаки. Это может привести клиентов на сайты конкурентов, нанося урон репутации и вызывая финансовые убытки. (Подробнее: чем опасны DDoS-атаки для бизнеса.)

Телекоммуникации

Телекоммуникационный сектор испытал 15% атак, что является увеличением на 84% по сравнению с предыдущим годом. Это схоже с 14% в прошлом квартале.

Этот сектор включает поставщиков услуг и операторов сетей, важных для сотовых и интернет-услуг для предприятий, правительств, больниц и транспортных систем. Помехи телекоммуникационным услугам могут вызвать широкомасштабные проблемы с подключением, что делает их основной целью для шантажа и активизма.

Опасностью являются атаки «Ковровая бомбардировка» или «Мелкие кусочки». Эти техники DDoS затапливают сеть небольшими пакетами мусорного трафика по многим IP-адресам, нацеливаясь на множество хостов. Это помогает атакующим оставаться незамеченными среди брандмауэров, балансировщиков нагрузки или порогов.

Финансы

Финансовый сектор столкнулся с 12% DDoS-атак, что является увеличением на 47% по сравнению с прошлым годом. Несмотря на снижение с 21% в прошлом квартале, финансовые услуги по-прежнему сталкиваются с значительным числом атак, в основном направленных на банковскую инфраструктуру Израиля.

Существует явная связь с текущим конфликтом между Израилем и Палестиной. Израильские банки были специфической целью индонезийских групп, таких как Garnesia Team, Moroccan Black Cyber Army, Ganosec Team и Mysterious Team Bangladesh, наряду с всегда присутствующим Killnet.

В средневосточном финансовом вертикале мы наблюдали, что злоумышленники предпочитают объемные сетевые атаки DDoS, колеблющиеся от 1.2 Гбит/с до 135 Гбит/с. Они также использовали атаки приложений веб-DDoS, варьируя от 9,000 HTTPS RPS до 2 миллионов RPS.

Энергетический сектор

Энергетический сектор, с 9% DDoS-атак в этот квартал, пережил значительный рост, отметив 109% годового увеличения — почти на уровне розничного сектора.

Хактивизм продолжает быть ключевым фактором в этих атаках, с большинством инцидентов, происходящих в Европе, России, Украине и на Ближнем Востоке. Примечательным примером является угрозовая группа Storm-1133 из сектора Газа, которую, как сообщается, связывают с атаками на энергетический сектор Израиля.

Подвергнута атакам инфраструктура включает в себя энергосети, что может привести к отключению больших территорий от электроэнергии. Злоумышленники также нацеливаются на устройства IoT, используемые в операциях энергетических заводов, чтобы инициировать дополнительные ботнет-атаки. Это делает энергетические установки уязвимыми не только как объекты атак, но и как потенциальные источники DDoS-атак.

Другие значимые отрасли

Развлечения

В этой отрасли (8% атак, 36% годового роста) основные цели — игровые и ставочные сервисы. Злоумышленники используют облачные платформы для создания мощных ботнетов и затопляют серверы игр и ставок трафиком по протоколу HTTP. Цель — сделать игры непригодными для игры, снизить количество игроков и использовать это в качестве рычага для вымогательства денег.

Транспорт

Здесь отмечено 7% атак, что на 28% больше, чем в прошлом году. Хотя транспорт по-прежнему является целью, темпы роста снизились с 86% в прошлом квартале, а доля уменьшилась с 9% до 7%. Это указывает на сдвиг фокуса в сторону секторов, таких как правительство и энергетика.

Здравоохранение

Эта отрасль, с долей атак в 5% и ростом на 64%, пережила значительный подъем политически мотивированных атак. В частности, произошли массовые DDoS-атаки против больниц, многие из которых были приписаны группе Killnet. Независимо от этого DDoS-атака на несколько больниц в Сингапуре вызвала отключение интернета, которое продолжалось 7 часов.

Образование

Эта отрасль столкнулась с 4% атак с ростом на 12% по сравнению с предыдущим годом, в значительной степени из-за действий политически мотивированных актеров. Заметно, что Killnet и AnonymousSudan инициировали серию DDoS-атак по множеству австралийских образовательных организаций.

DDoS-атаки по странам

Анализ распределения DDoS-атак демонстрирует влияние конфликта между Израилем и Палестиной на обстановку в области кибербезопасности. Китай (12.6%), США (12.2%) и Индия (11.7%) по-прежнему остаются в числе основных целей, но теперь Израиль занимает четвертое место с 10.6% атак. Напоминаем, что в прошлом квартале Израиль имел менее 1% и даже не входил в наш список.

Этот рост действительно показывает, насколько распространены DDoS-атаки, исходящие от государств и мотивированные политикой. Кроме того, Россия и Украина теперь находятся ниже в списке, с 3.1% и 1.2% атак соответственно. В Европейском союзе Бельгия (7.6%) и Испания (6.8%) сталкиваются с увеличением числа атак, приближаясь к Великобритании и Франции по частоте нацеливания.

Статистика DDoS-атак по протоколам

В последнем квартале 2023 года HTTP-атаки заняли центральное место, составляя 86% от всех инцидентов. Атаки на TCP/UDP составили 9% от общего числа, а DNS-атаки — 4%, что показывает устойчивый рост по сравнению с предыдущим кварталом.

Выделяется метод атаки DNS Laundering. Злоумышленники бомбардируют DNS-серверы запросами на случайные поддомены, вызывая значительные нарушения. Другой растущей угрозой стали атаки mDNS. Они используют локальные сетевые протоколы для увеличения масштаба атак.

Статистика атак по протоколам:

Выводы

Подводя итоги анализа тенденций DDoS-атак за этот квартал, выделяются следующие факторы:

  • Наблюдается увеличение атак с использованием ботнетов, усиления DNS и многофакторных атак. В частности, высокообъемные HTTP DDoS-атаки эксплуатируют уязвимость HTTP/2 rapid reset.
  • Большинство DDoS-атак в Q4 были краткосрочными, длительностью 30 минут или менее. Эти быстрые атаки часто проверяли защиту перед запуском более масштабных нападений.
  • DDoS-атаки сильно влияли на политику, особенно на конфликт между Израилем и Палестиной. Это привело к росту атак на энергетическую инфраструктуру на 109% по сравнению с годом назад, с первичными целями в критических секторах.
  • Российские хакеры атаковали Украину и Израиль, в то время как противоположные группы атаковали Россию и ее союзников. Израиль пережил значительный рост атак, особенно на правительственные и финансовые учреждения, преимущественно со стороны пророссийской группы Killnet.
  • В розничном, финансовом и логистическом секторах отмечено увеличение атак в периоды ключевых событий, таких как Черная пятница и период Рождества и Нового года, часто инициированных конкурентами.

Этот квартал явно показал, что государственно-спонсорская активность DDoS является существенной частью сценария. Группы государств часто нацеливаются на критическую инфраструктуру, но это не означает, что малые предприятия могут позволить себе пассивность.

Конкуренция между государственно-спонсорскими атакующими и экспертами по безопасности создает более мощные инструменты атак и защиты. Однако атакующие инструменты чаще всего принимаются в использование первыми. Самые современные техники, начиная с закрытых исходных кодов, в конечном итоге становятся общедоступными и используются широко и беспорядочно. Это означает, что все организации, подключенные к интернету, в конечном итоге ощущают его воздействие.

Это подчеркивает важность защиты всех ресурсов, будь то большие предприятия или малые, от DDoS-атак.

Защита веб-сайтов от DDoS-атак

  • Подключение за 10 минут
  • Поддержка 24×7