Что изменилось в DDoS-атаках за второй квартал 2024 года? Отчёт StormWall

Мы привыкли к тому, что большая часть DDoS-атак приходится на США, Индию и Китай. Однако в прошлом квартале в лидерах оказалась Европа. На ситуацию повлияли выборы, которые прошли сразу в нескольких странах региона. 

Как ещё изменился мировой ландшафт DDoS-угроз во втором квартале 2024-го? И какие тренды мы выявили в России? Ответы — далее. 

Коротко о главном

Во втором квартале 2024-го количество DDoS-атак в мире увеличилось на 104% по сравнению с аналогичным периодом прошлого года. В России прирост был скромнее — 76%.

Главный мировой тренд второго квартала 2024 года — Европу атаковали чаще, чем США, Индию и Китай. По нашим данным, 50,4% всего вредоносного трафика было направлено на цели именно в странах Евросоюза. На США, Китай и Индия пришлось лишь 23,8% от общего числа DDoS-атак.

Для сравнения: в предыдущем квартале Европы касалось лишь 30% инцидентов. При этом в США, Индии и Китае мы фиксировали 37% мирового зловредного трафика.

События, которые изменили картину с DDoS-атаками во втором квартале:

• масштабная парламентская выборная кампания в Евросоюзе. Избиратели одновременно голосовали в 27 странах. Выборы прошли с 6 по 9 июня, именно тогда хактивисты и APT-группировки массово атаковали правительственные сайты;
• 31% атак был направлен на государственный сектор. По сравнению с предыдущим кварталом, объём вредоносного трафика в этом секторе увеличился на 183%;
• в странах Европы также прошли местные выборы. В частности, об уходе в отставку объявил премьер-министр Бельгии. Это событие вызвало такой ажиотаж в Сети, что Бельгия стала самой атакуемой страной — совокупный объём атак на маленькое государство составил 14,8% от общемирового;
• увеличилось количество DDoS-атак на веб-приложения и API. По нашим данным, инциденты в основном затрагивали финансовый сектор, сферу телекоммуникаций и ритейл.

Во время выборов мы наблюдали две тенденции. С одной стороны, легитимный трафик снижался примерно на 10% в дни, когда люди шли на избирательные участки. С другой — он увеличивался на 20%, когда объявляли результаты выборов. И то, и другое соотносится с типичным поведением электората. 

Что было с вредоносным трафиком? По нашим данным, в период выборных кампаний в Евросоюзе он увеличился на 1100%. Активность DDoS-атак максимально возросла 5 июня — за день до начала выборов в Европейский парламент. Затем она достигла пика 6 июня,  когда стартовало массовое голосование. После этого DDoS-трафик стал резко снижаться. Падение продлилось до 9 июня — последнего дня выборов.

К слову, мы уже видели похожий тренд в предыдущем квартале в Азии. Тогда Тайвань стал самой атакуемой страной региона. Массовые атаки прошли на фоне выборов президента государства. 

Но вернёмся ко второму кварталу 2024-го. Итак, какие можно сделать выводы:

• любое политически значимое событие неизбежно приводит к буму DDoS-атак. При этом хакеры сразу нацеливаются на госсектор — правительства стран с предстоящими выборами больше всего подвержены DDoS-атакам и должны к ним готовиться,
• большая часть DDoS-трафика сейчас исходит от хактивистов и APT-группировок — это высокоорганизованные, хорошо финансируемые и сложные преступные структуры. То, что мы видим в DDoS-атаках сегодня, напоминает бурное развитие американских преступных синдикатов в 1920-х годах. Банды типа Killnet и HackNeT — это современные аналоги Аль Капоне и Майера Лански. Они крайне могущественны и представляют серьёзную угрозу для бизнеса, государств и всего общества.

Какие отрасли страдали чаще всего

Ранее мы уже выяснили, что во втором квартале 2024-го под DDoS-атаки попадали в основном государственные структуры. Наши аналитики отмечают, что на этот сектор пришёлся 31% всего вредоносного трафика. Здесь же мы заметили небывалый рост относительно прошлого года — плюс 183%.

Кроме того, атакующие чаще нацеливались на финансовый сектор. Доля этой отрасли увеличилась с 12% в прошлом квартале до 16% в текущем. Прирост по сравнению с апрелем-июнем 2023-го — 126%.

Ещё одна отрасль, в которой мы заметили значительное увеличение DDoS-трафика, — индустрия развлечений. За год количество атак здесь выросло на 82%.

И наконец, на четвёртом месте среди жертв DDoS-атак оказались провайдеры телекоммуникационных услуг. По нашим данным, на них пришлось 14% инцидентов. При этом общее количество атак увеличилось на 43%.

А теперь рассмотрим первую четвёрку отраслей подробнее. 

Госсектор

Большинство атак на госсектор прошли в Южной Корее, Северной Корее и странах Евросоюза. Именно там в апреле-июне 2024 года состоялись громкие выборы.

В частности, 5 и 6 июня вредоносный трафик резко увеличился в Нидерландах и Бельгии. Ещё одна крупная атака была нацелена на Христианско-демократический союз Германии. В результате пострадала часть веб-ресурсов крупнейшей партии страны. 

Исследуя характер атак, мы выявили тревожную тенденцию —  интенсивный рост ботнетов. Среднее количество используемых устройств за год выросло втрое — с 6 тысяч во втором квартале 2023-го до 18 тысяч во втором квартале 2024-го. Именно поэтому многие атаки проходят со скоростью свыше 1 Тбит/с. Самая мощная атака, которую мы предотвратили во втором квартале 2024 года, достигла 1,5 Тбит/с.

Финансовый сектор

Финансовый сектор стал вторым сектором нашего рейтинга отраслей за второй квартал 2024-го. Причём как по количеству атак в мире, так и темпам их прироста за год.

Инциденты чаще касались банков в Европе, странах Ближнего востока и на территории Азии. Практически все DDoS-атаки были целенаправленными — во многих из них мы обнаружили типичные признаки активности APT-группировок. 

Индустрия развлечений

На эту отрасль пришлось 14% от всех DDoS-атак в мире. Рост инцидентов за год составил 82%. В итоге индустрия развлечений вошла в тройку отраслей-лидеров нашего рейтинга. 

Главная причина бума атак в этом сегменте — крупные мероприятия мирового масштаба. В частности, во втором квартале прошёл Чемпионат Европы по футболу (УЕФА).

Евро-2024 начался 14 июня. Уже в первые дни чемпионата мы заметили рост DDoS-трафика на ресурсах наших клиентов. В воскресенье, 16 июня, команда StormWall предотвратила атаку на спортивный стриминговый сервис. Она достигла 650 Гбит/с и длилась 3 часа. 

Атаки затронули и другие спортивные стриминговые, букмекерские и новостные сайты. Все они достигали пика во время матчей.

Телеком

Во втором квартале на эту отрасль пришлось 11% атак. Также мы зафиксировали здесь относительно скромный рост — плюс 43% к аналогичному периоду 2023-го.

Операторы телекоммуникационных услуг всегда находятся в зоне повышенного риска. Интерес хакеров логичен: у крупных представителей отрасли есть масштабная инфраструктура и персональные данные миллионов клиентов. Если произойдёт утечка, новость обязательно появится в СМИ. По нашим данным, DDoS-атаку часто используют здесь как «дымовую завесу» —  чтобы отвлечь внимание жертвы от других, более важных угроз.  

Самая крупная атака в отношении телеком-компании, которую мы отразили во втором квартале, превысила 1 Тбит/с. Мы успешно защитили клиента из Азии от вредоносного трафика — его инфраструктура не пострадала. 

При всём этом атаки на телекоммуникационные компании стали самыми продолжительными. В апреле они в среднем длились 5 часов, в мае — 8, а в июне достигали 16 часов.

DDoS-атаки и страны

Вы уже в курсе: 2024-й — год выборов. В 64 странах выбирают главу государства. Также в этом году проходят голосования за представителей Европейского парламента. Во всех странах, где проходят выборы, растёт количество DDoS-атак. Мы наблюдаем эту тенденцию с первого квартала. Тренд продолжается, что доказывает наш топ-список атакуемых стран:

Самый большой «сюрприз» этого квартала — на первых местах оказались страны Европы. Вероятно, это результат того, что именно в них проходили выборы в Европарламент и местные органы власти. 

Больше всего DDoS-атак (14,8%) пришлось на Бельгию. На втором месте оказалась Франция с 11,6%, на третьем месте расположилась Германия — 10,4%.

При этом необычно высокие позиции заняли Южная Корея и Северная Корея. Во втором квартале они получили 7,4% и 5,3% мирового DDoS-трафика соответственно. Выборы в обеих странах прошли накануне второго квартала — в апреле.

Что происходит с DDoS-атаками в России

В первом квартале этого года наша страна находилась на 7 месте нашего рейтинга с показателем 8,2%. Однако из-за большого количества атак в других государствах Россия опустилась ниже — на 11 место (4,2%).

Тем не менее количество DDoS-атак в РФ по-прежнему остаётся на высоком уровне. Большинство из них запускают политически мотивированные хактивисты. 

Традиционно мы изучили атаки, которые проводились по разным отраслям. Расклад получился такой:

• 32% от общего числа DDoS-атак пришлись на телеком. На втором месте — ИТ (21%), на третьем — госсектор (16%). Во всех трёх отраслях злоумышленники действовали максимально эффективно. И именно поэтому преступники сфокусировались именно на них. В частности, DDoS-атаки на телеком были эффективными в 61% случаев; 
• на 92% снизилось количество инцидентов в финансовой сфере. Кроме того, хакеры менее охотно атаковали ритейл и сферу развлечений. Падение показателя по ним за год — 78% и 69% соответственно. Опять же дело в том, что злоумышленники переключились на другие, более эффективные отрасли.

Выводы

Второй квартал 2024-го запомнится изменениями в географии DDoS-атак. Ещё раз напомним о регионе-лидере по количеству атакуемых целей — Европе. Хакеры традиционно следовали за крупными спортивными и политическими событиями. И как минимум два из них — выборы в Европейский парламент и Евро-2024 — прошли в этом регионе. 

Ещё один важный тренд, о котором мы уже говорили ранее: вредоносный трафик от хактивистов снижается — на DDoS-сцену всё чаще выходят хакеры с финансовой мотивацией. Второй квартал 2024 года это подтверждает. 

Хактивизм по-прежнему задаёт тренды DDoS-атак: он диктует, где, как и почему происходят. Однако граница между геополитикой и киберпреступностью постепенно стирается — она уже почти исчезла.