Qrator Labs

Компания Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представила статистику DDoS-атак в 3 квартале 2023 г.

В 3 квартале, как и в предыдущем периоде, больше всего от DDoS-атак пострадал финансовый сегмент — 42,06% от общего числа всех атак. На втором месте расположился сегмент электронной коммерции, на долю которого пришлось 29,80%. Третью строчку рейтинга занял сегмент ИТ и телеком — 6,05%. Сфера образовательных технологий в этот раз занимает четвертое место с показателем 5,9%, что на 5,36% ниже результата предыдущего квартала. Пятерку наиболее атакуемых сегментов замыкает Медиа с показателем 4,99%.

Спускаясь на уровень ниже — в микросегменты, картину следующая:
1. Финансовый сектор: Банки — 36,01%
2. Электронная коммерция: Электронные доски объявлений — 16,94%
3. Электронная коммерция: Онлайн-магазины — 11,80%
4. Образовательные технологии: Онлайн-образование — 5,45%
5. Финансовый сектор: Платежные системы — 4,54%
6. Медиа: ТВ, Радио, СМИ — 4,24%
7. ИТ и Телеком: Хостинговые платформы — 3,78%
8. Транспорт и Логистика: Аэропорты — 2,57%

По итогам трех кварталов 2023 г. наиболее часто атакуемым стал микросегмент Банки (Финансовый сектор) — 27,74% всех атак за 9 месяцев. На второй строчке расположились Электронные доски объявлений — 16,16%, а третью строчку занял сегмент онлайн-образования — 9,5% всех атак. В пятерку лидеров также вошел сегмент Платежные системы — 6,71% и практически разделившие между собой пятую строчку сферы Онлайн-магазинов и Медиа (4,53 и 4,78% соответственно). Именно эти сегменты становятся целью злоумышленников чаще всего в этом году.


Появление на первых трех строчках среди наиболее атакуемых микросегментов банков, электронных досок объявлений и розничных продаж объясняется подготовкой и началом осеннего сезона. В банках это осенние предложения по вкладам и кредитам, а в электронной коммерции — подготовка к школьному сезону и запуск маркетинговых акций, распродаж, комментируют в Qrator Labs.


Продолжительность атак

Длительность атак в третьем квартале претерпела изменения относительно второго квартала. Так например, средняя продолжительность атак составила 66 мин, что больше показателя второго квартала на 19 мин, и сопоставимо с результатом первого квартала.


Однако максимальная продолжительность атак показала первый рекорд в этом году, превзойдя даже показатель 4-го квартала прошлого года, где самая продолжительная атака длилась почти 70 часов. В конце августа произошла атака на сегмент транспорта и логистики (аэропорты) и стала самой продолжительной непрерывной атакой в этом году, продлившейся почти три дня (71 час 58 минут). Важно отметить, что это была сложная, мультивекторная атака — UDP+SYN+TCP, имеющая признаки коммерческой (заказной) атаки.


Вторая по продолжительности атака была зафиксирована в сентябре, в сегменте Общественного питания, и длилась более 22 часов. Данная атака не только заняла вторую строчку среди самых продолжительных непрерывных нападений, но и вошла в ТОП 5 по интенсивности с пропускной способностью в пике более 100 Gbps. Причиной атаки, вероятно, стала масштабная маркетинговая акция, запущенная одной из сетей быстрого питания.
В целом по продолжительности атак места сегменты расположились следующим образом:
1. Аэропорты — 2,98 дня
2. Общественное питание — 22,63 часа
3. Банки — 10,23 часа
4. Хостинги — 9,63 часа
5. Общегосударственные порталы — 7,8 часа

Вообще, коммерческие атаки в этом году стали возвращать свою популярность. Это не удивительно, ведь мы уже рассказывали о замеченных нами трендах на расширение каналов связи, переход на новые протоколы для оптимизации работы удаленных офисов. Добавьте сюда легкость и низкую стоимость организации DDoS-атак, и мы получим действенный инструмент влияния на бизнес для злоумышленников со всеми вытекающими последствиями: репутационные риски, прямые финансовые потери, упущенная прибыль, сорванные маркетинговые акции, затраченные на восстановление работоспособности систем ресурсы и т. д.

Географическое распределение источников атак
Статистика распределения атак по географическим источникам в третьем квартале подтверждает очередной тренд, который был обозначен во втором: для обхода геоблокировки злоумышленники стали активнее использовать локальные источники трафика, максимально близко в регионе своих жертв.
Общее число заблокированных IP-адресов, по сравнению со вторым кварталом, увеличилось на 116,42%, с 18,5 млн до 40,15 млн.
Как и в предыдущем квартале, список возглавила Россия, где было заблокировано 18,7 млн адресов — это почти половина от общего числа заблокированных IP (46,74%). В ТОП 3 вновь США и Китай — 5,66 (14,11%) и 4,97 (12,39%) млн блокировок соответственно.
По-прежнему в список лидеров по количеству блокировок входят Германия (1,39 млн), Индонезия (1,32 млн), Сингапур (1,03 млн), Бразилия (867 тыс.), Индия (847 тыс) и Франция (822 тыс.).

Самый большой ботнет
По сравнению со 2 кварталом 2023 г. показатель самого большого ботнета, зафиксированного за исследуемый период, снизился почти в два раза и составил 85 298 устройств, собранных в 20 странах (136 590 устройств во втором квартале). Атака ботнета был зафиксирована 10 августа на сегмент Платежных систем. Наибольшее количество устройств ботнета было из Индии — 10671 устр. В ТОП 5 также вошли Индонезия (10092 устр.), Россия (9757 устр.), США (8361 устр.), Иран (6497 устр.) и Вьетнам (5786 устр.).

Атаки на уровне приложений (L7)
В третьем квартале количество атак на уровне приложений продолжило снижаться. В этот раз показатель упал еще на 26,67% по сравнению со вторым кварталом текущего года. Итого, снижение доли атак на уровне L7 составило 34% относительно 1 квартала 2023 г.
Для увеличения количества атак на уровне L7 нужны уязвимости, позволяющие создавать дешевые L7-атаки с возможностью генерации большого количества запросов в секунду. Без уязвимостей стоимость организации атак очень высока, поскольку арендовать реальные устройства и создать из них ботнет — очень дорого. Кроме того, нужно быть уверенным в том, как обойти механизмы защиты жертвы и насколько это выгодно с экономической точки зрения для нападающего.
Именно поэтому нападения не носят массовый характер, а становятся очень точечными.


Статистика защиты от ботов
В сравнении со вторым кварталом, количество атак ботов сократилось на 10%, составив 3 805 919 785. Пиковые значения в третьем квартале оказались меньше, не было рекордных по объему и продолжительности бот-всплесков, которые выделялись бы относительно повседневной активности. Самым активным месяцем 3-го квартала стал июль, на который пришлось больше всего атак: 1,35 млрд. заблокированных запросов ботов.
Сегменты беттинга и онлайн-ритейла находятся в топе у атакующих уже третий квартал подряд. В третьем квартале их доли составили 39,7 и 23,9% соответственно. Третье и четвертое место, как и в предыдущем периоде, заняли фармацевтика (9,5%) и финансовые организации (1,3%).
Крупнейшая атака ботов произошла в сфере беттинга 24 сентября. В этот день было зафиксировано 24 255 701 запросов, что, однако, почти на 10 млн меньше пиковой атаки второго квартала в этом же сегменте.
Бот-атаки увеличились по продолжительности, но уменьшились по резким всплескам. Основной вклад в бот-активность теперь вносит фоновый режим: атаки, 24/7 создающие нагрузку на ресурсы жертв без резких перепадов. В результате рекордные значения по нагрузке в день и единичным инцидентам бот-атак теперь намного ниже, чем были во 2-м квартале. Так, крупнейшая атака текущего квартала оказалась на 30% слабее показателей предыдущего периода, но общее количество бот-запросов — всего на 10% ниже. А значит, все силы ушли в фоновую нагрузку.
Бот-атаки стали быстрее прекращаться их организаторами, когда последние начинают встречать контрмеры со стороны антибот-систем. Если во втором квартале часто случалось, что после нейтрализации атака могла висеть еще неделю и создавать лишний фон, который блокировала защита, то теперь продолжительность массированных атак стала меньше, фон падает почти до нулевого, пока нападающие не начнут пробовать новые векторы атак или новые ресурсы.

Популярность новых инструментов для скрэпинга и автоматизации браузеров (new Chrome headless) сейчас ниже, чем ожидали в Qrator: они не фигурируют в массированных всплесках и не выделяются в общем фоне атак. Однако это затишье перед штормом. Предполагается массовое использование не засвеченных ранее векторов бот-активности в 4-v квартале в период Черной пятницы.