Средняя продолжительность DDoS-атак на компании и госучреждения в мире по итогам III квартала 2023 г. достигла 66 минут, рост по сравнению с предшествующим кварталом составил 19 минут. Самая длительная атака продолжалась почти трое суток. Основной целью злоумышленников оказались финансовый сектор и электронная коммерция.
Такой результат показала глобальная статистика ООО "Эйч-Эль-Эль" (Qrator Labs) по итогам III квартала 2023 г. По оценке аналитиков Qrator Labs, основным мотивом для атак в III квартале 2023 г. стала конкурентная борьба. "Коммерческие атаки в этом году возвращают популярность. DDoS-атаки стали действенным инструментом влияния на бизнес для злоумышленников со всеми вытекающими последствиями: репутационные риски, прямые финансовые потери, упущенная прибыль, сорванные маркетинговые акции, затраченные на восстановление работоспособности систем ресурсы и т.д.", - комментирует генеральный директор Qrator Labs Дмитрий Ткачев.
Как показала глобальная статистика Qrator Labs по итогам трех кварталов 2023 г., наиболее часто атакуемым стал микросегмент "Банки" - 27,74% всех атак. На второй строчке расположились "Электронные доски объявлений" - 16,16%, а третью строчку занял сегмент онлайн-образования - 9,5%. В пятерку лидеров также вошел сегмент "Платежные системы" - 6,71% и практически разделившие между собой пятую строчку сферы "Онлайн-магазины" и "Медиа" (4,53% и 4,78% соответственно). По итогам II квартала финансовый сектор также лидировал по числу атак. Однако в Qrator Labs ожидают всплеска атак на сегмент электронной коммерции в сезон распродаж ноября-декабря, так что распределение в конце года может заметно измениться.
По оценке Qrator Labs, главной тенденцией III квартала 2023 г. стал рост продолжительности атак. Средняя продолжительность атак составила 66 минут, что больше показателя II квартала на 19 минут и сопоставимо с результатом I квартала. Самая длительная атака на один из объектов транспортной инфраструктуры продолжалась без малого трое суток, что стало абсолютным рекордом за весь период наблюдения.
Руководитель направления защиты от DDoS на уровне веб-приложений ООО "ДДОС-ГВАРД" (DDoS-Guard) Дмитрий Никонов считает, что, как и в первой половине года, по итогам девяти месяцев 2023 г. короткие атаки (до 20 минут) преобладают, однако налицо тенденция к росту популярности атаки длительностью более 24 часов: "Их число в III квартале 2023 г. более чем удвоилось по сравнению со II. К примеру, DDoS-Guard зафиксировал атаку продолжительностью 48 часов 36 минут. В целом мы наблюдаем, что сейчас злоумышленники делают упор не на новые сложные механизмы атак, а предпочитают наращивать их количество, мощность и продолжительность".
Аналитики Qrator Labs также зафиксировали снижение доли атак на уровень L7, которое составило 34% по сравнению с началом 2023 г.: "Для увеличения количества атак на уровне L7 нужны уязвимости, позволяющие создавать дешевые L7-атаки с возможностью генерации большого количества запросов в секунду. Без уязвимостей стоимость организации атак очень высока, поскольку арендовать реальные устройства и создать из них ботнет - очень дорого. Кроме того, нужно быть уверенным, как обойти механизмы защиты жертвы и насколько это выгодно с экономической точки зрения для нападающего".
По данным исследования ООО "Сторм Системс" (StormWall), за III квартал 2023 г. количество атак на российские организации уменьшилось на 28%. Основной целью DDoS-атак были критически важные отрасли, такие как госсектор (32% всех атак в России), финансовая отрасль (21%), транспортная сфера (14%). Как считают в StormWall, злоумышленники тем самым стремились причинить наибольший вред экономике страны и создать проблемы для населения.
Статистика по России, как отметили в пресс-службе Qrator Labs для ComNews, демонстрирует некоторое снижение, обратной стороной которого является усложнение атак: "Если прошлый год был беспрецедентным с точки зрения числа массовых атак, то сейчас этот тренд пошел на убыль, уступив место целевым атакам. Продолжается "соревнование брони и снаряда" - борьба мер защиты и способов нападения. Теперь вместо массовости перед злоумышленниками стоит задача обеспечения результативности. Количество атак падает, а их сложность и изощренность растут".
Руководитель отдела по информационной безопасности RooX Ольга Карпова, несмотря на это, считает, что прицельные атаки на российскую инфраструктуру не исчезли: "Недавний пример - атака на платежную систему "Мир".
Алексей Пашков, руководитель направлений WAF и Anti-DDoS ГК "Солар", также видит тенденцию на уменьшение средней мощности и средней продолжительности DDoS-атак, однако охват атак при этом увеличивается: "Мы видим существенный рост количества DDoS-атак - их число в III квартале 2023 г. выросло почти в два раза. Это означает, что злоумышленники стали уделять меньше внимания и времени атакам на конкретные организации - сегодня они преследуют цель атаковать как можно больше компаний. По нашим данным, злоумышленники в III квартале чаще атаковали отрасли телекома, госсектора и ИТ: в среднем по этим отраслям количество DDoS-атак на одну организацию за месяц с начала квартала выросло примерно в три раза. В III квартале также выросло число атак на организации, работающие в сфере строительства".
Дмитрий Никонов считает, что в III квартале и вовсе имел место рост числа DDoS-атак в России: "В 2023 г. система защиты DDoS-Guard уже отразила более 1,4 млн атак, побив внутренний антирекорд прошлого года. В III квартале 2023 г. количество атак увеличилось на 15% в сравнении со II кварталом и на 30,5% - с I кварталом".
"Основная специфика атак на российские организации заключается в том, что большинство атакующих не заинтересованы в финансовой прибыли от атак - они атакуют исключительно из-за своей гражданской позиции и являются так называемыми хактивистами. Однако профессиональные хакеры среди атакующих также присутствуют, они делятся на тех, кто хочет создать инфоповод, и тех, кто реально нацелен на недоступность систем", - такой видит российскую специфику руководитель команды направления web-аналитики Innostage Александр Черняков. Количество атак на российские организации, по его оценке, несколько снизилось, однако все равно оно остается кратно более высоким по сравнению с 2021 г.
По мнению руководителя направления экспертизы и аналитики ООО "Гарда Технологии" Алексея Семенычева, наиболее активно атакуют телеком-отрасль, с небольшим отставанием за ней следуют "транспорт и перевозки" и госсектор, замыкают пятерку топливно-энергетический комплекс и промышленность. По его оценке, российской спецификой является слабая активность злоумышленников в отношении ИТ-компаний: "Тут могут быть разные причины: с одной стороны, отечественные ИТ-гиганты больше не рассматриваются как конкуренты западным и, с точки зрения бизнеса, с ними не надо больше бороться подобными методами. С другой стороны, отечественные ИТ-корпорации не являются определяющими с точки зрения бюджета страны, а значит, атаки на них - дело своего рода престижа, но не более".
Алексей Семенычев считает, что основной мотивацией злоумышленников является политика, а не проявления конкурентной борьбы, как за рубежом.
Руководитель исследовательской группы ПАО "Группа Позитив" (Positive Technologies) Ирина Зиновкина также обращает внимание, что политически мотивированные DDOS-атаки остались актуальной проблемой для российских организаций - подобные инциденты характеризуются более разрушительным воздействием на инфраструктуру жертвы. При этом, по ее оценке, помимо классических DDOS-атак, хакеры используют смешанные (когда применяется сразу несколько типов вредоносного ПО) и многовекторные (когда атакуется не один ресурс, а несколько частей инфраструктуры - например, одновременно сеть и сайт компании) DDOS-атаки, что становится серьезной проблемой для организаций не только в России, но и по всему миру.
"Политически мотивированные хактивисты по-прежнему в деле и сменили тактику: к DDoS-атакам добавилась эксплуатация уязвимостей для взлома веб-ресурсов", - такую тенденцию видит Дмитрий Никонов.