Отчёт StormWall о DDoS-атаках за второй квартал 2023 года

Перед вами отчёт об особенностях DDoS-атак за второй квартал 2023 года, который основан на данных об отражённых угрозах клиентов StormWall в России и в мире. Наши эксперты проанализировали различные отрасли: финансы, электронную торговлю, телекоммуникации, индустрию развлечений, транспортный сектор, сферы образования и логистики. Для обзора также использовались исследования о DDoS-атаках за первый квартал 2023-го и за 2022 год.

Обзор глобальных тенденций DDoS-атак во втором квартале 2023 года

Первый квартал 2023 года был отмечен значительным ростом атак: в сравнении с первым кварталом 2022 года количество DDoS-атак выросло на 68%.

В то же время мы обнаружили активное использование ботнетов. Резко выросла активность таких известных угроз, как ботнет Mirai. Вместе с этим появились и новые опасные вредоносные программы. Например, ботнет Condi, использующий уязвимости определённых моделей маршрутизаторов от TP-Link. Ещё в начале года был замечен HinataBot (произошедший от Mirai) — ботнет распространяется посредством брутфорса SHH и способен создавать DDoS-потоки мощностью свыше 3,3 Тбит/с.

Активному использованию ботнетов во многом способствовало увеличение количества девайсов, подключённых к интернету («интернет вещей» (IoT)).

В ТОП-3 отраслей по числу атак в мире вошли: финансовый сектор (26% от числа всех атак), телекоммуникации (17%) и индустрия развлечений (14%). То есть киберзлоумышленники целились прежде всего на главные экономически важные отрасли. Данные сферы обычно оснащены хорошей защитой: отдельной для сайтов, серверов (TCP/UDP) и сети (BGP) или сочетанием нескольких сервисов. Но успешные атаки на подобные компании говорят о том, что атаки становятся все более и более изощренными.

Во втором квартале 2023 года многосложных атак стало больше на 136% в сравнении со вторым кварталом 2022 года. Для них была характерна направленность к различным уровням сети и элементам инфраструктуры: одновременные атаки на веб-сайт, сеть и инфраструктуру позволяли нанести наибольший ущерб. Помимо крайне разрушительных последствий следовало и долгое сложное восстановление.

Впечатляющий рост атак был зафиксирован на государственные организации, системы здравоохранения и транспортные службы. Это свидетельствует о смещении атак ккритически важной инфраструктуре.

Рассмотрим главные тенденции, свойственные для DDoS-атак второго квартала 2023 года:

• Рост использования ботнетов. Прослеживается тенденция всё большего применения ботнетов, это напрямую
  взаимосвязано с растущей популярностью интернета вещей (IoT).
• Увеличение комплексных атак на 136%. Для нанесения максимального ущерба атакуются несколько уровней инфраструктуры. Восстановление от таких атак происходит намного сложнее.
• Смещение целей. Под прицелом оказались: финансовая отрасль, индустрия развлечения и телеком, государственный сектор, здравоохранение и транспортные системы.
• IoT и увеличение числа ботнетов. Чем больше используются девайсов, подключенных к интернету вещей (IoT), тем больший оборот набирают ботнеты и тем мощнее они становятся. Для создания некоторых из них используются виртуальные частные серверы (VPS) — они намного более производительные, чем интернет вещей, и способны запускать объемные атаки.
• Акцент на ведущих отраслях. Киберпреступники сосредоточили внимание на критически важной инфраструктуре. Серьёзную угрозу представили атаки для государственного сектора, сферы здравоохранения и транспортной отрасли.

Статистика по отраслям: рекордный квартал

ТОП-3 самых атакуемых отраслей России возглавляет госсектор — на него пришлось 37% от всех атак по стране. Второе место занимает отрасль финансов, она отразила 23% угроз. На третьем месте находятся телеком-компании — здесь пришлось отбить 18% атак.

Второй квартал 2023 года отмечен существенным ростом атак в отрасли энергетики — на неё пришлось 7% атак. 5% атак были направлены на нефтяную отрасль, 4% — на транспортные предприятия, 3% — на производства. Культурные учреждения отразили 2% от общего числа атак, отрасли — 1%.

Если сравнивать показатели роста атак за второй квартал 2023 года и аналогичный период прошлого года, то наиболее заметный скачок роста произошел в госсекторе. Правительственные учреждения атаковали на 118% чаще. В энергетическом секторе рост атак составил 74%, в нефтяной отрасли — 53%. Учреждения культуры во втором квартале 2023 года отбили на 42% больше атак, чем в 2022 году. Транспортная отрасль подверглась на 26% большему количеству атак в сравнении с прошлым годом. Заметный рост DDoS-атак в других сферах обнаружен не был.

Рост DDoS-атак на отрасли в сравнении с 2 кварталом 2022 года:

1. Финансы

Финансовый сектор — лидер второго квартала в списке наиболее пострадавших отраслей, на финансовую отрасль пришлось 26% атак от всего числа. Это выше на 110% показателей прошлого года и почти вдвое — первого квартала 2023 года.

Обострившаяся политическая обстановка в мире создает благоприятную среду для хактивизма. Политически мотивированные злоумышленники для наибольшего вреда теперь чаще целятся в ведущие отрасли — финансы и государственные услуги. В будущем можно ожидать только рост подобной тенденции.

2. Телекоммуникации

На телеком-сектор пришлось 17% от общего числа атак, что на 83% больше прошлого года. Отрасль заняла второе место в списке наиболее атакуемых отраслей второго квартала 2023 года, тогда как в первом квартале была на третьем месте.

Во многом это объяснимо растущей популярностью устройств интернета вещей (IoT) — именно через них чаще всего запускают ботнеты. И если раньше атаки на телекоммуникационную отрасль были сосредоточены исключительно в конфликтных регионах, то сейчас они распространились по всему миру.

Атаковали преимущественно боты — вид вредоносного программного обеспечения, действующего через уязвимости устройств (интернет вещей (IoT) и виртуальные частные серверы (VPS)). Квартал был отмечен и тем, что киберзлоумышленники действовали с целью шантажа и под прикрытием «дымовых завес» — атак, за которыми скрываются другие вредоносные действия.

3. Развлечения

14% от общего числа атак было направлено на индустрию развлечений, это на 72% выше показателей 2022 года.

Атакуются здесь прежде всего платформы видеостриминга и игровые серверы с целью доставить максимальные неудобства пользователям и чаще всего — ради шантажа и финансовой выгоды. Одним из наиболее известных инцидентов второго квартала 2023 года стала массированная DDoS-атака на серверы игры Diablo 4, долгожданного ролевого экшена от Blizzard: игра подолгу не загружалась, геймеры просто не могли к ней подключиться.

В результате отдельных, не связанных между собой атак пострадали и серверы онлайн- шутеров Call of Duty и Overwatch. Надо отметить, что игровые платформы особенно уязвимы к DDoS-атакам, так как любые сбои могут серьезно повлиять на ход игры.

4. Государственные услуги

Сектор государственных услуг отразил 12% от общего числа атак и занял первое место по росту показателей прошлого года — DDoS-атак в госсекторе стало больше на 168%.

К моменту написания данного отчета нет признаков замедления атак. Многие инциденты вышли за пределы государственных сайтов, затронув транспортные узлы и медицинские учреждения.

5. Транспорт

Всё большую активность набирают атаки на аэропорты и железнодорожные узлы становятся — за второй квартал 2023 года транспортный сектор отразил 9% от числа всех атак, что на 137% больше показателей 2022 года. Таким образом, транспортный сектор становится вторым по скорости роста атак — после сектора государственных услуг.

Причиной тому послужило повышение требований безопасности: транспортные услуги зависят от обширной сети взаимосвязанных систем, атака на эти узлы может вызвать серьезные инциденты. Но ключевые транспортные узлы — это также и экономически
важные активы, чем и пользуются хактивисты. Последние политически мотивированные атаки вывели из строя работу транспортных узлов, срывали важные государственные визиты и проводили к еще более масштабному ущербу.

6. Здравоохранение

В здравоохранении мы зарегистрировали 7% атак и рост на 126% по сравнению с предыдущим годом. Это тесно связано со стремительным ростом атак на государственные службы, охватывающие и другие критически важные инфраструктуры.

Тем не менее, поставщики медицинских услуг не должны терять бдительность, так как эта отрасль заняла третье месте по скорости роста DDoS-атак. Если одни кибератаки второго квартала 2023 года были политически мотивированы, то другие совершались для получения финансовой выгоды. Дело в том, что DDoS-атаки могут затруднять оказание важных медицинских услуг — блокируя доступ врачей к картам пациентов, вызывая сбои в работе оборудовании и даже нарушая маршруты скорой помощи. В том числе сложности возникали с оказанием неотложной медицинской помощи. Необходимость в срочном решении медицинских вопросов использовалась
злоумышленниками в попытках вымогательства.

7. Электронная коммерция

На индустрию онлайн-торговли выпало 5% от общего числа атак в мире и рост на 68% в сравнении с прошлым годом.

Подобная ситуация наблюдается в течение нескольких месяцев. Большая часть атак совершаются ради шантажа или компаниями конкурентами из этой сферы — вывод из строя сайтов конкурентов может быть использован для увеличения собственной доли рынка. Продолжительные простои также приводят к существенным финансовым потерям для ритейлеров, поскольку это задерживает процесс онлайн-покупок.

8. Логистика и образование

На индустрию онлайн-торговли выпало 5% от общего числа атак в мире и рост на 68% в сравнении с прошлым годом.

Подобная ситуация наблюдается в течение нескольких месяцев. Большая часть атак совершаются ради шантажа или компаниями-конкурентами из этой сферы — вывод из строя сайтов конкурентов может быть использован для увеличения собственной доли рынка. Продолжительные простои также приводят к существенным финансовым потерям для ритейлеров, поскольку это задерживает процесс онлайн-покупок.

9. Производство

Хотя производственный сектор составляет всего 2% атак, это новое и тревожное явление в нашем списке с годовым ростом на 18%. Атаки на производственные предприятия могут нанести серьезный ущерб системам промышленного управления, что приведет к сбоям управления и существенным экономическим последствиям для пострадавших компаний. Многие производственные предприятия зависят от устройств IoT, которые часто становятся мишенью для вредоносных программ для создания ботнетов.

Распределение DDoS-атак по странам

Соединенные Штаты, Индия и Китай по-прежнему лидируют среди наиболее атакуемых стран. В сравнении с первым кварталом 2023 года, в США процент атак снизился с 17,6% до 16,2%. Индия также испытала незначительное снижение с 14,2% до 12,8%. Наиболее значительное изменение замечено во Франции: здесь доля атак выросла с 7,3% до 9,7%, страна стала четвертой в ТОП-10 наиболее атакуемых стран.

В Германии количество атак увеличилось с 7,1% до 8,3%. В Великобритании наблюдается небольшое снижение с 8,6% до 7,9%. В Испании — наоборот, увеличение с 5,1% до 6,8%. Россия столкнулась с ростом атак с 2,8% до 5,3% и заняла восьмое место в этом списке. В ОАЭ зафиксировано незначительное снижение количества атак — с 6,4% до 4,7%. В Бразилии количество атак сократилось с 6,2% до 4,2%. Незначительные изменения в пользу сокращения DDoS-атак произошли в Японии, Италии и Турции.

Статистика DDoS-атакам по странам во втором квартале 2023 года:

Заключение

Наши аналитики отметили небывалый рост DDoS-атак во втором квартале 2023 года на ведущие отрасли, тогда как для первого квартала было свойственно снижение числа так. Количество атак на государственный сектор выросло на 168%, на транспортный сектор — на 137% и здравоохранения — на 126%.

Значительный скачок количества атак, возможно, объясняется появлением новых ботнетов, и в целом указывает на увеличение числа угроз в киберпространстве. Вызывает опасение тот факт, что секторы, исторически подверженные многочисленным атакам, такие как финансы и телекоммуникации, также стали атаковать чаще — соответственно, на 110% и 83%.

Ситуация становится тревожной из-за быстрого перехода к более разрушительным методам, включая многовекторные DDoS-атаки. Эти кампании одновременно атакуют различные уровни инфраструктуры организации, за последний год их число выросло на 136%. Этот рост обусловлен увеличением использования ботсетей. Такая тенденция повышает риски для организаций, которые не обладают защитой от DDoS-атак и делает их более подверженными серьезным и продолжительным проблемам с доступностью и работоспособностью.