Отчёт StormWall о DDoS-атаках за первое полугодие 2023 года

Эксперты StormWall провели анализ DDoS-атак в России и в мире по итогам 1-го полугодия 2023 года, изучили масштаб угроз и их тенденции. Подробный отчёт — перед вами.

Центры очистки трафика StormWall стратегически расположены во всех основных регионах мира. Благодаря такому широкому охвату сети фильтрации удается защищать компании разного масштаба от множества DDoS-атак. Конфиденциальные сведения об отражённых атаках на клиентов StormWall послужили основой для создания данного исследования о ландшафте угроз.

Ландшафт DDoS-атак в 1-м полугодии 2023 года
в мире

Распределённая атака «отказ в обслуживании» (DDoS) происходит посредством перегрузки сервера избыточным трафиком до тех пор, пока сервер больше не сможет с ним справиться. Последствия могут быть серьезными — вплоть до длительных простоев, финансовых потерь и репутационного ущерба. К сожалению, частота, изощренность и разрушительные возможности этих атак постоянно растут.

Количество DDoS-атак за год в мире выросло на 38%

Для 1-го полугодия 2023 года характерен рост DDoS-активности по всем направлениям — атаки участились на 38% в сравнении с прошлым годом.

Стало больше многовекторных атак

В 1-м полугодии 2023 года произошло резкое увеличение многовекторных атак — на 117% за год. Это сложные атаки одновременно направлены на несколько уровней и элементов инфраструктуры организации, поэтому защита от особенно трудна.

Например, злоумышленник может одновременно атаковать сетевой уровень для исчерпания пропускной способности, прикладной уровень для потребления ресурсов сервера и уровень данных для дестабилизации работы базы данных.

Количество многовекторных атак в России выросло на 136% за год. По данным аналитиков StormWall в топ-3 российских отраслей, наиболее пострадавших от многовекторных атак, входят финансы (36% от общего числа атак), телеком (25%) и ритейл (14%). На госсектор было направлено 8% многовекторных атак, на развлечения — 7%, на энергетику — 5% на нефтяную отрасль — 4%, на другие сферы — 1%.

Использование ботнетов достигло исторического максимума

Почти во всех зафиксированных экспертами StormWall атаках использовались ботнеты. Чего ранее никогда не происходило. Ботнеты представляют собой сети взаимосвязанных устройств, захваченных и управляемых одним злоумышленником. Они могут быть очень мощными и достаточно разрушительными, чтобы вывести из строя слабозащищенные инфраструктуры.

В 1-м полугодии ботнеты использовали виртуальные машины (ВМ) и виртуальные частные серверы (VPS) — и это серьезное изменение ландшафта киберугроз. Ботнеты на основе ВМ и VPS используют значительную вычислительную мощность и ресурсы серверов, поэтому их пропускная способность гораздо выше обычных ботнетов, действующих через устройства Интернета вещей (IoT).

Повышенная пропускная способность позволяет новым ботнетам генерировать огромный объём трафика и создавать более мощные объёмные атаки, которые способны вывести из строя даже хорошо защищенные системы. Кроме того, ботнеты на ВМ или VPS могут
избегать обнаружения и мер по смягчению последствий, эффективных против традиционных ботнетов.

Злоумышленники включают DDoS-атаки в более масштабные злонамеренные кампании

Компания StormWall сообщает о необычно высоком проценте атак, в которых DDoS-атака использовалась как средство разрушения для скрытия попыток кражи данных.

Использование одной злонамеренной техники для отвлечения внимания от другой называется созданием дымовой завесы (smoke screening) — такие атаки увеличились на 26% в сравнении с прошлым годом.

Финансовый, телекоммуникационный и развлекательный секторы пострадали больше всего

Основными отраслями, на которые были нацелены злоумышленники в этот период, стали финансы, телекоммуникации и развлечения — на них пришлось 23%, 19% и 15% атак. Кроме того, в 1-м полугодии 2023 года произошел заметный сдвиг в сторону таких критически важных служб и инфраструктур, как логистика, центры обработки платежей, банковские системы, государственные организации, системы здравоохранения и транспортные услуги.

Цели атак изменились к концу 1-го полугодия 2023 года

В начале 2023 года DDoS-атаки в основном были направлены на бизнес, например, на финансовые технологии, сервисы SaaS или развлекательные приложения. Но в течение года произошел заметный сдвиг: все больше и больше атак были сосредоточены на таких секторах, как финансы, развлечения и телекоммуникации, а также на государственных, медицинских и транспортных системах.

Атаки на государственный сектор выросли на 132%, в то время как атаки на транспорт и здравоохранение выросли на 118% и 107%. Резкий рост атак на государственный сектор можно объяснить хактивизмом, вызванным конфликтом в Украине, когда такие известныехакерские группы, как REvil и Killa, активно атаковали западные правительства.

Тенденции DDoS-атак 1-го полугодия 2023 года

• Рост использования ботнетов. В 1-ом полугодии 2023 года злоумышленники больше применяли ботнеты, уровень их использования составил 74%. Новые ботнеты состоят из виртуальных частных серверов (VPS), а не устройств IoT, и могут запускать крупномасштабные атаки.
• Рост многовекторных атак. Использование DDoS-атак в качестве отвлекающих маневров для создания многовекторных атак увеличилось на 28% в сравнении с прошлым годом. Многовекторные атаки участились на 117%. В России также наблюдается
  стремительный рост многовекторных DDoS-атак: их стало на 136% больше, чем в прошлом году.
• Смещение целей. Главными целями злоумышленников в начале этого года были такие составляющие инфраструктуры, как платежные системы и центры управления логистикой. Но затем их внимание переключилось на такие секторы, как финансы, развлечения и телекоммуникации, а также на государственные, медицинские и транспортные системы.
• Рост атак уровня L7. 86% атак, зарегистрированных нами в 1-ом полугодии 2023 года, проводились с использованием протоколов HTTP/HTTPS. Эта тенденция наблюдается одновременно с более широким распространением ботнетов.

Распределение DDoS-атак в 1-ом полугодии 2023 года в России

Эксперты StormWall зафиксировали наибольшую активность хакеров на российские компании в январе, марте и мае — 14%, 18% и 23% от общего числа атак.

Рост DDoS-атак по отраслям за год:

В России за 1-е полугодие количество атак выросло на 23%, больше всего пострадал государственный сектор — в сравнении с аналогичным периодом 2022 года атак стало больше на 104%.

Распределение атак по отраслям в 1-ом полугодии 2023 года в мире

Первая половина 2023 года принесла значительный рост DDoS-атак в различных отраслях. В графике ниже представлен сравнительный анализ распределения атак и темпов их роста за год.

Рост DDoS-атак по отраслям в мире за год:

Ключевые моменты:

• На финансовый сектор приходится самая высокая доля атак — 23%. За ним следуют телеком и развлечения.
• К концу первого полугодия 2023-го серьёзные удары были нанесены на новые секторы. В списке наиболее атакуемых — госуслуги, производство и транспорт.

Рассмотрим топ-5 наиболее атакованных отраслей в первом полугодии 2023 года.

1. Финансы

В течение 1-го полугодия 2023 года финансовый сектор оставался главной мишенью для DDoS-атак, на него пришлось 23% от общего числа всех зарегистрированных инцидентов. В основном преступники с помощью атак стремились нарушить работу сервисов и использовать данные ради выгоды.

В отрасли наблюдался заметный рост политически мотивированных атак — вспомним атаку на Европейский инвестиционный банк. Рост политических конфликтов, похоже, провоцирует хактивизм, что указывает на возможное изменение типа угроз, с которыми приходится сталкиваться.

2. Телекоммуникации

На протяжении первой половины 2023 года телекоммуникационная отрасль постоянно привлекала внимание киберпреступников — на нее пришлось 19% атак от всего числа атак, что больше на 62% в сравнении с аналогичным периодом 2022 года. Таким образом, это вторая наиболее пострадавшая отрасль.

3. Развлечения

В 1-ом полугодии 2023 года индустрия развлечений, особенно видеостриминг и сервисы онлайн-игр, столкнулась с постоянными кибератаками, став третьим наиболее атакуемым сектором с долей атак в 15%.

Повышенная активность, вероятно, была мотивирована вымогательством и возможностью получения финансовой выгоды. Серьезные инциденты повлияли на крупные релизы, такие как Diablo 4, и популярные игры, такие как Call of Duty и Overwatch.

4. Государственные услуги

Госуслуги вошли в топ-5 наиболее пострадавших от DDoS-атак секторов первой половине 2023 года. На этот сектор было совершено 11 % атак от общего числа зафиксированных атак — в сравнении с аналогичным периодом прошлого года это выше на 132 %, что свидетельствует о значительном росте киберугроз, направленных на государственные учреждения.

В основном за атаками стояли политически мотивированные и спонсируемые государством злоумышленники. При этом количество атак на госуслуги достигло невиданного для нескольких месяцев уровня.

Главными мишенями здесь стали правительственные учреждения разных стран, в том числе России, Польши, Швейцарии, Германии и США.

5. Транспорт

В 1-ом полугодии 2023 года транспортная индустрия, включая центры управления дорожным движением, аэропорты и транспортные компании, столкнулась с заметным увеличением DDoS-атак, хотя общее количество атак было довольно низким. Сектор в 1-ом полугодии отразил 9% от общего числа зафиксированных атак, что на 118% больше в сравнении с аналогичным периодом 2022 года.

Статистика DDoS-атак за 1-е полугодие
 2023 года по странам

В 1-ом полугодии 2023 года DDoS-атаки охватили весь земной шар. США, Индия и Китай часто атаковали в обоих кварталах, хотя процент атак в каждом случае незначительно менялся.

Топ-3 наиболее атакуемых стран за 1-е полугодие не изменился.

• США: 16.8% от общего числа DDoS-атак. Соединенные Штаты возглавили список, на них пришлось наибольшее количество атак в первой половине года.
• Индия: 13.6% от общего числа DDoS-атак. Индия на втором месте рейтинга наиболее пострадавших стран, что для неё характерно.
• Китай: 11.2% от общего числа DDoS-атак. Китай уверенно держится на третьем месте нашего списка топ-3 самых DDoS-атакованных стран.

Статистика атак по протоколам

86% из всех атак были нацелены на HTTP/HTTPS-уровни модели OSI, 11% на уровень TCP/UDP, 2% на DNS и 1% на другие протоколы.

Наблюдался тревожный рост сложных атак на уровне HTTP, разработанных для обхода систем защиты. Атаки данного типа пытаются имитировать поведение браузера, чтобы обмануть установленные системы защиты от DDoS, используя такие методы, как рандомизация пользовательского агента. Поэтому защиту от атак уровня HTTP намного труднее, чем от других угроз.

В то же время возросло использование ботнетов, состоящих из виртуальных машин (ВМ) и виртуальных частных серверов (VPS) — способных к объемным атакам. Обе угрозы разрушительнее ботнетов IoT.

Для защиты инфраструктуры от таких типов угроз требуется надежное решение отражения DDoS-атак, работающее с использованием автоматизации, машинного обучения и аналитики угроз.

Заключение

В 1-м полугодии 2023 года ландшафт DDoS-атак претерпел значительные изменения:

• отмечается заметный рост DDoS-атак: на 38% по сравнению с предыдущим годом в первом квартале и продолжение тенденции к росту во втором квартале,
• возросло использование ботнетов и многовекторных атак, что указывает на переход к более сложным методам атак,
• стал больше охват целей — теперь под угрозой DDoS-ударов не только ставшие уже привычными секторы, такие как финансы, телекоммуникации и развлечения, но и важные услуги и инфраструктура,
• увеличились средние продолжительность и мощность атак, что свидетельствует о растущей сложности DDoS-атак.

В заключение следует отметить, что в 1-м полугодии 2023 года наблюдался рост как частоты, так и сложности DDoS-атак. Меняющийся характер угроз в сочетании с растущей зависимостью от цифровой инфраструктуры во всех секторах подчеркивает необходимость надёжных и адаптивных мер кибербезопасности.