Qrator Labs, специализирующаяся на противодействии DDoS-атакам, и Wallarm, разработчик решений для защиты веб-приложений от хакерских атак, представили отчет по результатам исследования угроз, которым подверглись ресурсы Рунета в первой половине 2015 года.
В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак. В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — c 15 до 51, соответственно.
Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак — с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.
По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак — более 100 Гб/с — с 45 до 67 соответственно.
«Продолжается тенденция увеличения массовости простых DDoS-атак. Общий рост в немалой степени обусловлен атаками на полосу скоростью около 1 Гб/с. Такой полосы недостаточно, чтобы создать проблемы крупным Интернет-сервисам, но достаточно для небольших сайтов, которые размещены на хостинге со скромными ресурсами, например, с 1 Гб пропускной полосы на всю стойку физических серверов. Кроме того, затраты на проведение таких атак невысоки, и, соответственно, они относительно дешевы для заказчика. Поэтому компаниям с бизнесом в интернете, у которых нет профильных специалистов, стоит насторожиться. Рост атак на компании из сектора e-commerce и услуг такси в частности это наглядно иллюстрирует», — прокомментировал Александр Лямин, руководитель Qrator Labs.
Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.
Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.
Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример — атаки с использованием серверов Wordpress.
«В 2015 году появился новый тренд — атаки на инфраструктуру сети (маршрутизаторы, коммутаторы), в том числе манипуляции с протоколами маршрутизации. Такие атаки влияют не на приложения или каналы, а на информацию о маршрутах, работоспособность оборудования, которое пересылает пакеты. В этом направлении будет смещаться фокус атак в ближайшие несколько лет, поскольку с атаками на полосу пропускания, например, уже научились бороться, методы очевидны, и противодействовать им легко. А атаки, влияющие на инфраструктуру сети, крайне разрушительны, поскольку их сложно обнаружить, и методы противодействия только начинают разрабатываться», — отметил Александр Лямин.
В первой половине 2015 года компания Wallarm зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.
Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.
Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.
Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.
Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на четвертую позицию: 1. игровая индустрия [+3]; 2. рекламные сети (CPA: партнерские сети) [+3]; 3. электронная коммерция (магазины и аукционы) [-1]; 4. платежные системы и банки [-3]; 5. СМИ [-2].
«Злоумышленники стали использовать игры как источник доходов из-за слабого контроля игровых валют. Никакого финансового мониторинга „волшебных кристаллов“ не существует. После взлома хакер получает возможность создавать своим персонажам игровую валюту прямо в базе данных, без оплаты ее реальными деньгами. Затем через форумы и социальные сети игровую валюту предлагается купить честным игрокам за
Рекламные сети испытывали пик интереса со стороны хакеров в
