«Ростелеком-Солар»

За три квартала 2021 года число DDoS-атак на российские компании увеличилось в 2,5 раза в сравнении с аналогичным периодом прошлого года. Основными целями злоумышленников стали финорганизации, госсектор, а также сфера онлайн-торговли. Число DDoS-атак на дата-центры и гейминг, которые год назад были в фокусе внимания хакеров, сократилось. Это следует из отчета, подготовленного экспертами «Ростелекома» на основе данных об атаках, наблюдаемых и нейтрализуемых на сети провайдера.

Традиционно наибольшее количество атак приходится на организации, расположенные в Москве. В отчетный период их доля составила 60% от общего числа инцидентов. Доли остальных регионов не превышают 7%. Также столица лидирует по средней мощности DDoS-атак, которая оставляет более 70 Гбит/с.

Основные жертвы хакеров и их инструменты в разных регионах схожи. В отчетный период количество DDoS-атак на банки (в том числе из ТОП-20) увеличилось в 3,5 раза, однако почти 90% из них произошли в сентябре. Всплеск DDoS-атак на банковский сектор в этот период фиксировали и другие провайдеры сервисов кибербезопасности, в то же время публичные источники отмечали, что ряд финансовых структур столкнулся с простоями своих онлайн-ресурсов. На бизнес-процессы заказчиков «Ростелекома» данная серия атак не повлияла, так как была своевременно отражена.

Также в центре внимания хакеров осталась онлайн-торговля: число DDoS-атак в этом сегменте выросло на 20% за отчетный период. Пик активности хакеров пришелся на начало года, а наибольшее количество инцидентов было зафиксировано в марте. После небольшого затишья, с августа уровень атак начал расти. Можно предположить, что до нового года мы увидим традиционный возрастающий тренд по количеству DDoS-атак, связанный с акцией «Черная пятница» и предновогодними распродажами, которые начинаются в ноябре и продолжаются до февраля следующего года.

Третьей отраслью, которая показала очевидный рост (на 17%) стал госсектор. В частности, в 2 раза увеличилось число DDoS-атак в августе и сентябре в сравнении с аналогичным периодом предыдущего года. Не исключено, что атаки на государственные ресурсы в этот период могли быть связаны с подготовкой к выборам в Государственную думу.

В то же время есть сферы, где количество DDoS-атак сократилось. Например, в игровом сегменте падение составило 35%, а интерес хакеров к дата-центрам сократился на четверть. Оба сегмента демонстрировали кратный рост в 2020 г. на фоне всплеска спроса на их услуги в период удаленки. Сейчас же идет корректировка тренда. Тем не менее показатели трех кварталов 2021 г. в обоих сегментах превышают доковидные почти в три раза.

Вместе с количеством атак выросла и их средняя мощность — на 26%. А значение самой мощной атаки (462 Гбит/с) на треть превышает пиковое значение первых трех кварталов 2020 г. Самая долгая атака в отчетный период длилась почти 4,5 дня, тогда как годом ранее — около 3 дней.

При этом хакеры применяют уже известные техники организации DDoS и новых инструментов не появляется. Примечательно, что в отчетный период в два раза чаще использовались атаки фрагментированными пакетами (FRAG). Этот относительной сложный инструмент для DDoS, который предполагает передачу в адрес жертвы множества фрагментированных пакетов данных. Сервер пытается их обработать, но безуспешно, так как не может собрать фрагменты воедино, что и вызывает сбой.

В целом мощность и сложность DDoS-атак увеличивается с каждым годом, отмечают эксперты компании. Это происходит за счет активного использования хакерами более масштабных ботнетов. Они состоят из множества устройств, для взлома которых используются все новые уязвимости. В частности, в сентябре злоумышленники организовали крупнейшую DDoS-атаку с помощью ботнета Meris, предположительный масштаб которого составляет 200 тыс. устройств. Такие сложные атаки направлены уже на хорошо защищенные организации и компании, ресурсы которых может вывести из строя только очень мощный DDoS. Например, это могут быть банки, крупные промышленные или энергетические предприятия и т. п.