DDoS-атаки в первом квартале 2022 года

Дата: 15.05.2022. Автор: CISOCLUB. Категории: Главное по информационной безопасности, Статьи по информационной безопасности
DDoS-атаки в первом квартале 2022 года

Начало военной спецоперации на Украине прямо отразилось на информационном пространстве не только нескончаемым потоком новостей, но и плотной серией киберинцидентов в России. Причём в последнем случае речь идет не только и не столько о сложных хакерских атаках, сколько о DDoS’ах.

Хоть их и принято считать примитивными угрозами, в 2022 году, ввиду своей стихийности, они заставили напрячься и удивиться многих игроков российского ИБ-рынка. По данным некоторых собеседников CISOCLUB, число атак, их мощность и продолжительность выросли до 10 раз. И хотя к концу марта 2022 года наблюдалось некоторое снижение интенсивности подобных инцидентов, говорить о том, что все стало или вот-вот станет как прежде, эксперты пока не готовы.

Подробнее об итогах первого квартала 2022 года с точки зрения DDoS в России, о прогнозах и другие любопытные замечания ИБ-специалистов – в нашей новой статье!

На наши вопросы ответили:

  • Group-IB.
  • Александр Багов, ведущий специалист департамента анализа защищенности Digital Security.
  • Юрий Шабалин, ведущий архитектор Swordfish Security.
  • Максим Головлев, технический директор iTPROTECT.
  • Дмитрий Старикович, ведущий эксперт по ИБ ИТ-компании КРОК.
  • Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского».
  • Рамиль Хантимиров, CEO и сооснователь StormWall.
  • Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита».

Что случилось?

По данным ведущего архитектора Swordfish Security Юрия Шабалина, число регистрируемых ими DDoS-атак в начале 2022 увеличилось практически в 10 раз. При этом, помимо количества инцидентов значительно увеличилась их продолжительность. 

«Если в марте прошлого года атаки длились в среднем 10-15 минут, то в этом году их продолжительность увеличилась до нескольких часов. А в некоторых случаях и до десятка часов. Кроме того, были инциденты, длившиеся несколько дней. Так, по информации компании «ТрансТелеКом», максимальная продолжительность атаки составила более 30 дней», – сказал он.

Что же до мощности, то она, по словам Шабалина, варьировалась от тривиальных, до значительных. В пике, по его словам, мощность атак достигала 70 Гбит/сек.

Похожими данными с CISOCLUB поделился эксперт по кибербезопасности «Лаборатории Касперского» Александр Гутников. По данным этой компании, число атак в первом квартале 2022 года по отношению к аналогичному периоду 2021 года выросло в 4,5 раза.

Хотя в плане числа инцидентов статистика «Лаборатории Касперского», скорее всего, мало кого встревожит. Однако есть параметр, изменение которого, скорее всего, едва ли оставит кого-то равнодушным – это продолжительность инцидентов. Статистика компании показала, что среднее время атаки в 2022 году выросло в 80 раз.

«Наиболее длительную атаку мы обнаружили 29 марта: она продолжалась чуть более 177 часов, то есть больше недели», – сказал Гутников.

В свою очередь, CEO и сооснователь компании StormWall Рамиль Хантимиров добавил, что, несмотря на всем очевидные последствия событий, разворачивающихся на Украине после 24 марта, первая волна крупных атак в России случилась задолго до этого.

«Она случилась в начале января и осуществлялась с помощью нескольких ботнетов, объединенных в один, мощностью около 1,2 Тбит/с. Атаки шли каждый день с начала декабря, были довольно продолжительными (каждая длилась по несколько часов) и осуществлялись с зараженных серверов и IoT-устройств без подмены IP-адреса», – сказал он.

При этом, не делая выводов, Хантимиров указал на любопытную деталь – атаки прекратились в день отключения интернета в Казахстане.

Вторая же волна, по данным StormWall, началась именно в конце февраля. Эти атаки осуществлялись в основном по протоколу HTTP/HTTPS и в пике доходили до 700 000 запросов в секунду, что примерно в 10 раз превосходит по мощности атаки в Q1 2021. Продолжительность же инцидентов второй волны вовсе оказалась феноменальной – некоторые атаки, начавшиеся в конце февраля, продолжаются по сей день.

Кого атакуют?

Юрий Шаблин из Swordfish Security отметил, что наибольшее внимание организаторов DDoS-атак в 2022 году привлекали компании из финансовой отрасли и сферы медиа.

«В случае с банками целью атакующих было нарушение нормального функционирования сервисов, нанесение удара по самой чувствительной сфере как для корпоративных, так и для частных пользователей. Что касается медийных ресурсов, то здесь хакерам, прежде всего, интересно нанести ущерб репутации, дискредитировать то или иное медиа, спровоцировать негативное обсуждение, скандал», – сказал эксперт.

Также, по словам Юрия Шаблина, в поле зрения атакующих в начале года часто попадали телекоммуникационные компании и различные госсервисы. Цель та же: вызвать сбой в работе инфраструктуры и неминуемый за ним общественный резонанс.

В компании GroupIB, общаясь c CISOCLUB, отметили, что в первую очередь DDoS-атаки в 2022 году направлены на СМИ, госучреждения, госкомпании, банки и объекты критической инфраструктуры.

Аналогичные ответы дали в компаниях «КРОК» и StormWall.

Ознакомимся подробнее с ответами специалистов на вопросы CISOCLUB:

Как изменились число, продолжительность и мощность (в Гбит/сек) DDoS-атак в 1q22 по отношению к 1q21?

Рамиль Хантимиров, CEO и сооснователь StormWall:

DDoS-атаки в первом квартале 2022 года
Рамиль Хантимиров, CEO и сооснователь StormWall

«В Q1 2022 попало две мощных волны атак: первая в начале января, которая осуществлялась с помощью нескольких ботнетов, объединенных в один, мощностью около 1,2 Тбит/с — эти атаки шли каждый день с начала декабря, были довольно продолжительны (каждая длилась по несколько часов) и осуществлялись с зараженных серверов и IoT-устройств без подмены IP-адреса. Интересно, что эти атаки прекратились в тот день, когда был отключен Интернет в Казахстане. После этого они повторялись еще несколько раз, но уже не с той интенсивностью и частотой. Если сравнивать с Q1 2021, средняя мощность атак возросла примерно в 5 раз.

Вторая волна началась в конце февраля и связана с атаками про-украинских хактивистов на ресурсы РФ, причем «под раздачу» попали многие компании и государственные ведомства, ранее никогда не сталкивавшиеся с DDoS-атаками. Эти атаки осуществлялись в основном по протоколу HTTP/HTTPS и в пике доходили до 700,000 запросов в секунду, что около 10 раз превосходит по мощности атаки в Q1 2021″.

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Количество атак в 1 квартале 2022 по сравнению с 1 кварталом 2022 увеличилось в 4,5 раза. Средняя продолжительность DDoS-атак увеличилась почти в 80 раз, «умных» атак – почти в 70 раз. Наиболее длительную атаку мы обнаружили 29 марта: она продолжалась чуть более 177 часов, то есть больше недели».

Максим Головлев, технический директор iTPROTECT:

DDoS-атаки в первом квартале 2022 года
Максим Головлев, технический директор iTPROTECT

«По данным Лаборатории Касперского число DDoS-атак увеличилось в 1,5 раза в марте по сравнению с февралем 2022 года. По продолжительности тоже произошел рост, причем еще больше — в разы. Если сравнивать с мартом 2021 года, то DDoS-атак стало почти в 8 раз больше. При этом по данным «ТрансТелеКом», число DDoS-атак на их клиентов суммарно в I квартале 2022 года увеличилось в 4 раза.

Средняя продолжительность составила около 2 часов, а максимальная – более месяца. Мощности атак – самые разные, от незначительных до нескольких десятков Гбит/сек и больше. По запросам от наших клиентов мы тоже видим, как всплеск, так и пересечения по длительности и мощности».

Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК:

DDoS-атаки в первом квартале 2022 года
Дмитрий Старикович, ведущий эксперт по информационной безопасности ИТ-компании КРОК

«DDoS-атаки бьют все рекорды по количеству, продолжительности и мощности. Техподдержка КРОК, работающая с клиентами компании, в феврале-марте зафиксировала всплеск атак с последующей благополучной их остановкой. Только за первые 10 дней марта в России зафиксировано и отражено больше тысячи кибератак, что в четыре раза превышает показатели февраля. Их мощность уже измеряется терабайтами, а продолжительность в некоторых случаях достигает 20 и более часов.

По данным «Лаборатории Касперского», в марте число зафиксированных DDoS-атак на российские компании увеличилась по сравнению с февралем на 54%. Средняя продолжительность атак в последние два месяца составляла 29,5 ч, тогда как в тот же период 2021 г. этот показатель не превышал 12 мин. Одно из нападений длилось рекордные 145 ч, т.е. больше шести дней. По данным исследования AtlasVPN, в марте 2022 г. Россия стала самой атакуемой в мире страной».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

DDoS-атаки в первом квартале 2022 года
Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»

«Мы наблюдаем резкий рост «объемных» DDoS-атак: атаки мощностью более 100 ГБ\сек выросли на 600+% по сравнению с аналогичным показателем в прошлом году атаки же мощностью более 10 млн пакетов в секунду выросли более чем в 300%».

Какой месяц 1q22 оказался самым насыщенным? Как показатели этого месяца 1q22 отличались от этого же месяца 1q21?

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«По нашим наблюдениям, пик пришелся на март. Смотря, какие показатели брать. Например, средняя длительность DDoS атаки в 2022 в несколько десятков раз превосходит среднюю продолжительность атаки в 2021″.

Юрий Шабалин, ведущий архитектор Swordfish Security:

DDoS-атаки в первом квартале 2022 года
Юрий Шабалин, ведущий архитектор Swordfish Security

«На сегодняшний день самым насыщенным месяцем можно назвать март. Основываясь на данных от различных компаний, число атак в марте превысило показатели аналогичного периода прошлого года примерно на 40% и примерно на 50% — февраля этого года».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

DDoS-атаки в первом квартале 2022 года
Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»

«Если смотреть только на количество отражённых атак, дневной пик пришёлся на конец февраля с абсолютным максимумом 25 февраля, при этом наиболее насыщенным оказался март. В марте и апреле формально есть тенденция на спад, но здесь важны детали.

Изменился характер атак. В первые дни мы отмечали, что в атаках одновременно с профессиональными злоумышленниками участвовало большое количество пользователей, не обладающих компетенциями и инструментарием для сложных атак, хактивистов. Со временем их число сократилось, но их всё ещё довольно много.

Кроме того, сейчас в основном проходят сверхдлительные атаки, продолжающиеся сутками.

Если сравнивать с периодом до 24 февраля, атак сейчас до сих пор больше в разы. Напомним, что показатели периода до 24 февраля, который сейчас называют относительно спокойным, тогда считался рекордным по количеству DDoS-атак, о чём мы писали в нашем отчёте за Q4 2021. Поэтому нынешнюю ситуацию можно лишь условно охарактеризовать тенденцией к спаду».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Самым насыщенным оказался март, по нашим наблюдениям. Если раньше под атакой могло находиться в среднем 5-10 клиентов одновременно, то в марте 2022 эти показатели выросли до 50-70 клиентов. Это связано с тем, что если цель один раз появилась в Telegram-пабликах хактивистов, атака на нее уже не прекращается: для атаки используются в том числе сайты, которые содержат обновляемые со стороны сервера списки жертв и таким образом автоматизируют атаку.

Мы видим, что те атаки, которые начались в конце февраля и начале марта на крупные российские ресурсы, идут до сих пор».

Чем ещё, кроме числа атак, статистически отличались 1q22 и 1q21? Может, средним числом активных IP, задействованных в одной атаке?

Юрий Шабалин, ведущий архитектор Swordfish Security:

«В целом, удивляет продолжительность атак, которая возросла в несколько десятков раз, а также небольшой разброс по географическому признаку. По статистике, большая часть активных IP, участвующих в атаках (порядка 30%) принадлежит USA. В этом году количество активных IP из США практически удвоилось по сравнению с аналогичным периодом прошлого года.

Подавляющее большинство атак первого квартала 2022 основывалось на отправке большого количества запросов в достаточно короткий срок. Из-за этой особенности сервисы, которые подверглись такому нападению, не могли поддерживать нормальную работоспособность. Страницы многих из них грузились медленно, а то и вовсе не грузились. Также возникали проблемы с оплатой на атакуемом сайте.

Все это, безусловно, вызвало недовольство пользователей услуг. Причем если говорить о государственных ресурсах, то альтернативы у многих из них нет. То есть, когда необходимо оплатить штраф на сайте Госуслуг или заказать необходимый документ, пользователям приходилось ждать восстановления нормального функционирования сервисов. Все это привело к финансовым убыткам организаций и репутационным потерям».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Как уже отмечалось выше, наиболее заметны два различия: огромное количество непрофессионалов (хактивистов), участвующих в атаках, и многократный рост длительности атак. И если внимание к вопросу хактивистов достаточно быстро пошло на спад, то тенденции к сокращению времени атак мы пока не видим».

С чем вы связываете эти изменения?

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Изменения связаны с рядом причин. Первая из них носит политический характер. Сейчас ведется целенаправленная борьба против российских ресурсов. Поэтому атакующих не только не наказывают, но и, напротив, поощряют. Вторая причина — в том, что к реализации атак привлекают массово даже неопытных и некомпетентных «хактивистов», просто предлагая им запускать определенные команды на своих компьютерах».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Безусловно, в новой волне атак задействовано в десятки раз больше устройств, нежели обычно. Хактивисты атакуют одновременно и с помощью ботнетов, и с арендованных VPS, и со своих собственных устройств, открывая специальные веб-ресурсы для запуска атаки из браузера, некоторые даже с использованием стандартных инструментов ОС.

Связано это с необычной мотивацией (нанести максимальный ущерб компаниям как ответ на спецоперацию) и невероятно высоким числом вовлеченных в атаку пользователей».

В этом году в СМИ много писали, что за атаками стояли «хактивисты»? Соответствует ли эта информация действительности?

Group-IB:

«Да, верно. Самые громкие и агрессивные из хактивистов – хакеры из Anonymous открыто объявили кибервойну, взяли ответственность за DDoS-атаки на СМИ, записали видеоролики с угрозами.

По мнению экспертов Group-IB, Anonymous представляют собой не какую-то конкретную группу хакеров, а децентрализованное движение хактивистов.

Их оружие — DDoS-атаки и взломы сайтов СМИ или госучреждений для публикации на них собственных воззваний и радикальных текстов в период войн, политических или религиозных конфликтов, массовых беспорядков».

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Однозначно сложно сказать, кто на самом деле стоит по ту сторону баррикад. Но, по ряду косвенных признаков, можно предположить, что в начале атак действительно стояло большое количество неопытных хакеров. В частности, это можно проследить по определенным информационным площадкам, на которых размещались призывы DDoS’ить определенные ресурсы и даже, в некоторых случаях, выкладывались списки серверов, через которые можно направить трафик, а также команд, которые нужно запустить.

Всё это привело к тому, что в DDoS-движение влилось очень много участников, гораздо больше обычного. Причем важно отметить, что профессиональными хакерами всегда движет какой-то интерес, будь то финансовый или репутационный. Атаки же, которые мы наблюдаем, хоть и неплохо организованы, но стихийны. Исполнители их – простые ребята, которые всего-то и умеют, что написать пару скриптов. О серьезной финансовой выгоде участников говорить не приходится, но организаторам наверняка было обещано нечто привлекательное от заинтересованных лиц».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Да, соответствуют, это одна из главных отличительных черт атак конца февраля-начала марта. Мы видим подтверждения этому как косвенные, основанные на анализе характера атак, так и прямые: призывы обычных людей подключаться к ботнетам в различных соцсетях».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Это действительно так, в Telegram существует несколько групп, через которые хактивисты координируют свои действия, дорабатывают методы атак и делятся ими. Число подписчиков этих групп насчитывает от десятков до сотен тысяч пользователей».

Чем отличаются атаки «хактивистов» и профессиональных атак?

Group-IB:

«Обычно Anonymous действуют следующим образом: в публичных сообществах, например в Twitter, призывают к атакам на определенные организации в рамках той или иной кампании. Чтобы пользователи легко могли идентифицировать эти атаки, используют специальные хештеги под каждое событие и хештэг Anonymous. К этим кампаниям могут присоединяться и совсем «зеленые» хакеры — Script kiddie — без серьезных профессиональных навыков и умений, которые помогают, чем могут: 

  • Активно сканируют периметр организаций в поисках открытых портов, хостов с запущенными сервисами, сайты с легко детектируемыми уязвимостями. Этими данными они активно делятся со «»старшими братьями»», чтобы кто-то другой с квалификацией повыше мог выбрать эти цели для будущих целевых атак.
  • Пробуют подбирать пароли к внешним сервисам из уже утекших баз данных или начинают выкладывать скомпрометированные ранее базы данных.
  • Координируют DDoS-атаки, чтобы «положить» ключевые сайты в ходе информационных кампаний».

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Чисто статически в таких атаках принимает участие большое количество обычных пользователей, которые слепо следуют указаниям более опытных людей и используют небольшое количество Proxy-серверов, которые можно относительно легко определить и отключить от основной атаки».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«В первую очередь, составом ботнетов. Атаки с участием хативистов – это атаки с использованием устройств обычных людей, добровольно подключающих эти устройства к командному центру. Качество таких атак сильно зависит от профессионализма организатора, но зачастую такими ботнетами пользуются не слишком высокого уровня специалисты, а потому и сложность таких атак зачастую достаточно низкая.

Кроме того, устройства обычных людей не слишком подходят для DDoS, им не хватает ни мощностей, ни пропускной способности каналов. Тем не менее, даже относительно простые с технической точки зрения атаки могут представлять серьёзную угрозу незащищённым ресурсам, если в ней участвует достаточно узлов-хактивистов».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Атаки хактивистов достаточно примитивные и простые для реализации, используют наиболее дешевые средства для поражения цели. Если «профессионалы» могут позволить себе оплатить мощный ботнет, то хактивисты, как правило, этими средствами не располагают, поэтому ищут наиболее уязвимых жертв и быстро переключаются на другую жертву если видят, что у атакуемого ресурса имеется хорошая DDoS-защита и это «крепкий орешек».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Атаки «хактивистов» менее подготовленные, быстрее идут на спад и менее длительные по сравнению с профессиональными хакерами».

Как эти отличия меняли ваши стандартные подходы к отражению атак?

Group-IB:

«Опасность в том, что под прикрытием хактивистов могут действовать другие — более серьезные группировки, в том числе прогосударственные хакерские группы (State-Sponsored), нацеленные на объекты критической инфраструктуры. Для нейтрализации целевых атак Group-IB рекомендуем заранее подключать проактивные средства защиты и не дожидаться, когда инцидент уже случится».

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Практически никак, разве что можно было превентивно поставить нужные адреса в стоп-лист, получая их из тех же источников, что и “хактивисты”, а именно из Telegram-каналов и Discord-групп».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Технологически атаки в Q1 2022 мало чем отличаются от атак за предыдущие периоды. Новых подходов к проведению атак и новых векторов атак изобретено не было, и наш технологический стек был готов к отражению. Соответственно, нам не пришлось менять подходы непосредственно к отражению атак, но рост их числа, наплыв новых клиентов и возросшая нагрузка на наших инженеров заставили скорректировать некоторые административные подходы. Клиентов существенно прибавилось, а мы никогда не отказываем в защите, ведь наша миссия — строить безопасный мир».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Стандартные подходы хорошо себя показали и менять их не пришлось. Однако, из-за наплыва клиентов, чтобы обеспечить быструю реакцию на обращения, пришлось усилить техническую поддержку: удлинить смены, временно подключить к поддержке специалистов других подразделений».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Будь это профессионалы или «хактивисты», в любом случае надо быть готовым для отражения мощных наплывов DDOS атак, поэтому подход для отражения в обеих случаях оставался один и тот же».

Какие отрасли были подвержены наиболее пристальному вниманию атакующих? С чем вы это связываете?

Александр Багов, ведущий специалист департамента анализа защищенности Digital Security:

DDoS-атаки в первом квартале 2022 года
Александр Багов, ведущий специалист департамента анализа защищенности Digital Security

«Внимание атакующих традиционно привлекают объекты финансового сектора, интернет-коммерции, государственные порталы и средства массовой информации.

Если рассматривать в этом контексте последний месяц, то за этот период в медиапространстве были освещены инциденты, при которых пострадали российские компании из топливно-энергетического сектора, финансовой отрасли, розничной торговли, производственной сферы, средства массовой информации и телеком-индустрии. Среди инцидентов, привлекших внимание, можно отметить Газпром, Лукойл, Норникель, Сибур, Wildberries, сайты ТАСС, «Коммерсанта», Forbes, Е1 и другие.

С чем это можно связать? В первую очередь с условиями, в которых оказался бизнес, и вечными поисками лучших решений. Можно также предположить, что все забыли о проверках собственных систем, и, сами того не осознавая, отложили вопросы безопасности в долгий ящик. Таким образом, наблюдались массовые атаки, в результате которых пострадали менее подготовленные и менее защищенные. Их уязвимости стали еще больше играть на руку злоумышленникам».

Юрий Шабалин, ведущий архитектор Swordfish Security:

«В первом квартале 2022 резко увеличилось количество атак на финансовую отрасль, а также на медийные ресурсы. В случае с банками целью атакующих было нарушение нормального функционирования сервисов, нанесение удара по самой чувствительной сфере как для корпоративных, так и для частных пользователей. Что касается медийных ресурсов, то здесь хакерам, прежде всего, интересно нанести ущерб репутации, дискредитировать то или иное медиа, спровоцировать негативное обсуждение, скандал.

Также в течение этого периода специалисты фиксировали серьезный рост количества инцидентов в телекоммуникационных компаниях и госсекторе. Здесь злоумышленникам важно как нанести удар по репутации, так и нарушить нормальное функционирование сервисов».

Group-IB:

«Если мы говорим об атаках со стороны хактивистов, то их в первую очередь интересуют СМИ, госучреждения, госкомпании, банки и объекты критической инфраструктуры».

Максим Головлев, технический директор iTPROTECT:

«Тут я тоже буду опираться на статистические данные от коллег по рынку. Например, по статистике «ТрансТелеКома», почти 40% атак были направлены на госструктуры, а треть — на транспортную отрасль. Также в сравнении с 2021 годом в 5 раз увеличилось число инцидентов в энергетике и телекоме. При этом число крупных DDoS-атак на российские финансовые организации выросло более чем в 20 раз по сравнению с началом года по заявлению Центробанка. Поэтому суммарно главными объектами дидосеров были банки, госучреждения, транспортные и телеком компании, плюс СМИ, про которые, думаю, многие знают. Безусловно, такая картина целей отчасти связана с попытками остановить работу ключевых российских организаций и их бизнес-процессов, нанести удар по их репутации».

Дмитрий Старикович, ведущий эксперт по ИБ ИТ-компании КРОК:

«Основными целями атак становятся финансовые организации. Выступая 18 апреля в Госдуме, глава Банка России Эльвира Набиуллина сообщила, что количество хакерских атак на российские банки выросло в 2022 г. более чем в 20 раз».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Традиционно основной удар приходится на госорганы, финансовые сектор, особенно банки, образовательные учреждения и СМИ. В разные месяцы их доля в общем количестве меняется. Например, в феврале резко подросла доля атак на СМИ, а в марте – на финсектор».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«На самом деле досталось многим отраслям. Особенно стоит отметить госструктуры, банки, платежные системы, службы доставки – то есть те службы, неработоспособность которых может заметить наибольшее число людей».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Мы бы выделили финансовые и государственные учреждения и ритейл, как наиболее атакуемые отрасли».

Как сильно выросло число ваших клиентов в 1q22?

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Как консалтинговая компания и разработчик собственных отечественных решений, мы заключили несколько контрактов с новыми компаниями и, конечно, работаем с нашими основными заказчиками».

Дмитрий Старикович, ведущий эксперт по ИБ ИТ-компании КРОК:

«На российском рынке резко вырос спрос на услуги ИБ, особенно со стороны ранее не задумывавшихся о рисках коммерческих компаний. Руководитель практики защиты приложений компании КРОК Виктор Рыжков отметил, что в зоне риска находятся все российские компании, вне зависимости от размеров и рода деятельности. Чтобы стать потенциальной жертвой, сегодня достаточно иметь сайт в домене .ru.

Он сравнил ситуацию попавшей под DDoS-атаку компании с аварией системы отопления, когда хлещет кипяток и надо на ходу поменять трубу – перенаправить трафик с веб-сайта компании на провайдера системы защиты от DDoS».

Компании из каких сфер чаще всего становились вашими клиентами в 1q22?

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Мы подключали всех, обратившихся за помощью. Самую большую долю среди новых клиентов занимает финсектор».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Банки, СМИ, страховые компании, онлайн-ритейл, крупный бизнес».

Юрий Шабалин, ведущий архитектор Swordfish Security:

«В основном, новые клиенты приходят к нам из финансового сектора».

Какие проблемы чаще всего на стороне клиента вызывали DDoS-атаки в 1q22?

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Для тех, кто не успел вовремя обезопасить себя качественной защитой, проблемой стала частичная недоступность сервисов или же замедление работы в зависимости от мощности атаки».

Максим Головлев, технический директор iTPROTECT:

«Чаще всего – это неготовность к атаке. Многие клиенты считают, что это их не коснется вместо того, чтобы предусмотреть способы защиты. Понятно, что собственная система защиты от DDoS-атак может обойтись организации в крупную сумму — потребуется установка оборудования, штатные специалисты с навыками работы, покупка лицензий и техподдержки.

Но ведь можно использовать внешние сервисы, это будет гибче в плане масштабирования и настройки. Например, облачные сервисы от Kaspersky DDoS Protection и Qrator Labs для противостояния DDoS-атакам и фильтрации трафика или услуги защиты от DDoS-атак от операторов связи».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Чаще всего успешная DDOS-атака вызывала недоступность веб-ресурсов для клиентов».

Можно ли говорить, что подавляющее большинство атак в 1q22 носили именно «вредительский» характер? Или же вы все равно всегда подразумевали, что DDoS-может быть отвлекающим маневром для проведения целевой атаки?

Юрий Шабалин, ведущий архитектор Swordfish Security:

«По нашему мнению, основной целью был именно отказ в обслуживании каждого атакуемого сервиса. По крайней мере, в первые месяцы беспорядочных атак то на одну, то на другую компанию, с целями, публикующимися в Telegram-группах, именно так и было. Огромная часть атак пришлась на государственные сервисы (Госуслуги особенно), которые хакеры хотели во что бы то ни стало вывести из строя.

Основной целью деятельности, развернутой против СМИ, конечно, было нанесение репутационного ущерба. И отчасти так и произошло. Но, в целом, стоит отметить, что никогда не нужно забывать о том, что за любой активностью обязательно кто-то стоит и в какой-то момент это может стать отвлекающим маневром, «кукловод может сам оказаться куклой». И иногда довольно сложно понять, кто же самый главный кукловод».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Все DDoS атаки носят вредительский характер. Действительно, DDoS-атаками принято «прикрывать» другую вредоносную активность, однако в первую очередь это именно атака на отказ в обслуживании и цель большинства атак – «обрушить» ресурс, сделать его недоступным».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Целевых атак мы практически не наблюдали, большинство атак носили именно «вредительский» характер».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Кроме чисто вредительской функции, объединение векторов с DDoS-атаками, действительно, может быть выполнено для отвлекающего маневра, чтобы скрыть попадание вредоносного ПО в инфраструктуру. В данном случае DDoS-атака не будет длиться долго. В своей практике мы сталкивались и с теми, и с другими случаями».

Опишите кейс, который в 1q22 вас удивил больше всего?

Юрий Шабалин, ведущий архитектор Swordfish Security:

«Сложно выделить какой-то один кейс, однако, можно сказать, что в целом удивило количество сервисов, которые до сих пор не обзавелись качественной защитой от DDoS-атак. Именно с этим можно связать эффективность действий злоумышленников. И именно поэтому им удалось проводить такие многочисленные и мощные атаки».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Увидели интересный вариант BGP Hijacking: один из крупных украинских провайдеров начал анонс IP с маской /32 со своей автономной системы с community на blackhole и начал распространять его в своих апстримов и IX. Некоторые IX приняли анонс и стали распространять его в Интернет. Это привело к недоступности ресурса у примерно половины пользователей. Пришлось связываться с каждым апстримом и IX этого провайдера, просить перестать принимать префикс».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Сложно сослаться на какую-то конкретную атаку, потому что больше всего меня удивляет не прекращающаяся тенденция к проведению свехдлинных (более суток) атак. Атаки — это дорого, наполнение и содержание ботнета стоит больших денег, а любая атака ботнет изнашивает. Если организатор готов держать атаку, особенно фильтруемую (то есть не приводящую к неполадкам на ресурсе) — это значит, что деньги его интересуют слабо. И это необычно».

Как изменились ежедневное/еженедельное число, продолжительность и мощность DDoS-атак в начале 2q22 по отношению к 1q22? С чем вы это связываете?

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Был небольшой период, когда мы видели снижение активности, но перерыв был недолгим — сейчас, напротив, наблюдаем увеличение числа инцидентов (боевых инцидентов), и это, не считая сработок на сканирования с внешних IP-адресов (это тоже больше, чем в первом квартале)».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Второй квартал только начался, поэтому говорить об этом пока рано. На данный момент я вижу тенденцию к уменьшению абсолютного количества атак и повышению их сложности в среднем, но это происходит за счёт оттока хактивистов (тема перестаёт быть модной). Тенденции к спаду продолжительности атак я пока не вижу».

Правильно ли мы понимаем, что, несмотря на снижение числа и мощности DDoS-атак в начале 2q22, показатели (продолжительность, емкость, число IP) инцидентов все равно остаются выше того, что в 2021 году считалось среднестатистическим?

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Да, всё верно. Рынок DDoS и без внешних событий склонен расти хотя бы за счёт увеличения проникновения интернета и количества сетевых ресурсов. Кроме того, относительно падение цены криптовалют толкает вперёд рынок DDoS, об этой корреляции мы и многие наши коллеги по цеху писали неоднократно».

Как думаете, когда показатели DDoS-атак в 2022 году откатятся к показателям 2021 года?

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Думаю, уже не откатятся: прямо сейчас сотни тысяч людей ежедневно обучаются самостоятельно запускать эффективные DDoS-атаки. Даже после спада текущей волны эти знания никуда не денутся и будут применяться по другим целям, в том числе монетизироваться».

Максим Головлев, технический директор iTPROTECT:

«Предугадать развитие событий в области DDoS-атак сейчас так же сложно, как и развитие геополитической обстановки в целом. Безусловно, всплеск числа атак и события наших дней — в какой-то степени связанные между собой процессы.

Как вариант, помешать росту атак может подготовленность крупных организаций к отражению хакерских действий, это приведет к снижению интереса со стороны DDoS-хакеров. Также на ситуацию может повлиять наличие национальной системы защиты от DDoS-атак, которую планирует создать Роскомнадзор. Если подключение к ней будет бесплатным, то это позволит бизнесу работать более устойчиво».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Думаю, точно не в обозримом будущем. Я допускаю небольшие «окна» затишья, например если случится очередной резкий скачок цены на криптовалюты, мы практически гарантированно увидим относительное спад DDoS-атак. Но, как я уже писал выше, рынку DDoS пока есть, куда расти».

Какой новый опыт вы получили в 1q22, который вам наверняка пригодится и в дальнейшем?

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Технологически ничего нового не произошло. Но мы научились переваривать такую нагрузку, которую раньше могли представить только в теории, такой опыт безусловно нам поможет нам в дальнейшем».

Что чаще всего, на ваш взгляд, клиенты недооценивают в DDoS-атаках?

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

Их вероятность. Это касается не только DDoS-а, а вообще любых кибер-атак. На первых порах бизнесу, особенно стартапам, не нужно озадачиваться относительно защиты от кибер-атак, но с течением времени, когда бизнес начинает расти и развиваться, он становится лакомой целью для тех или иных категорий злоумышленников.

Александр Багов, ведущий специалист департамента анализа защищенности Digital Security:

«На наш взгляд, наиболее недооцененными в плане опасностей, которые DoS представляет, являются атаки на прикладном уровне. Объяснить это можно тем, что при эксплуатации специфики конкретного атакуемого приложения, зачастую не требуется большого количества атакующих хостов и не создается аномального всплеска трафика. Подобные DoS-атаки значительно сложнее детектировать. Более того, они в большинстве случаев остаются вне поля зрения защитных средств.

Защитные меры же, в свою очередь, требуют глубокого анализа природы проблемы, изменения конфигураций и, как правило, архитектуры приложения».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«Возможность стать их целью. Мы постоянно даём рекомендации по превентивным мерам защиты, о том, что имеет смысл сделать и о чём подумать любому владельцу сетевого ресурса прямо в этот момент, однако в подавляющем большинстве новые клиенты под атакой к нам приходят совершенно неподготовленными. Это, разумеется, усложняет и замедляет принятие атакованных ресурсов под защиту».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«Многие компании считают, что подключение DDoS-защиты — это некая галочка, которую нужно поставить, и по этой причине неправильно подходят к выбору решения. Как показала весенняя волна кибератак, зачастую защита, которая куплена у компаний, которые на ней не специализируются, либо просто не работает, либо работает только на уровнях L3-L4 модели OSI и не защищает ресурсы от атак на уровне приложения.

Более того, многие столкнулись с тем, что защищены не все ресурсы, а только основные: в результате, атакующие искали незащищенные ресурсы и атаковали их, зачастую приводя к недоступности всей сети компании».

Чтобы вы хотели сказать своим потенциальным клиентам о DDoS-атаках, которые сейчас думают, что это пустяк, с которым получится справиться по ситуации?

Александр Багов, ведущий специалист департамента анализа защищенности Digital Security:

«Из-за отсутствия поддержки и обновлений иностранного софта сейчас у российского бизнеса есть важная задача – перестроить информационные процессы и перенести их на отечественные платформы. Однако есть важный момент, который в текущих условиях упускается из виду, – предотвратить гораздо легче, чем лечить.

Поэтому полезно думать наперед и проводить регулярные проверки, чтобы иметь представление о потенциально слабых местах эксплуатируемых приложений и инфраструктуры до того, как произойдет инцидент. Это позволит разработать и протестировать протоколы действий, не тратить драгоценное время в критической ситуации и эффективно купировать вредоносную активность.

При этом организации смогут опередить злоумышленников. Значительная часть проблем будет обнаружена и закрыта в процессе аудита, в рамках которого проходит проверка информационных систем и их компонентов (в том числе на соответствие необходимым требованиям). Более того, определив и устранив проблемные зоны, не нужно будет менять и разрушать устоявшиеся в компании технологические процессы.

Владельцы бизнесов, которые выберут вектор развития, направленный на первичную задачу поиска своих уязвим и предотвращение атак, выйдут победителями из переломного момента истории. И ключевым шагом на этом пути будет регулярная забота о безопасности своей инфраструктуры».

Максим Головлев, технический директор iTPROTECT:

«Для компаний, которые оказывают сервис или ведут продажи в онлайне – DDoS-атака может привести к катастрофическим последствиям – от приостановки ключевых бизнес-процессов до полного простоя бизнеса и потери репутации с переключением клиентов в сторону других игроков рынка. Я бы советовал как можно быстрее предусмотреть меры защиты, тем более что статья затрат на AntiDDoS – далеко не самая существенная в общем объеме затрат на построение комплексной системы информационной безопасности».

Дмитрий Старикович, ведущий эксперт по ИБ ИТ-компании КРОК:

«Сегодня наибольшую популярность приобретают облачные сервисы защиты от DDoS-атак. Решение, развертываемое в облаке, реализует объемную функциональность: помимо пакетной защиты нередко предлагается и защита сайтов от атак ботами (по протоколу HTTP), а также техническая поддержка и сопровождение во время DDoS-атаки.

К очевидным преимуществам здесь относятся невысокая стоимость, отсутствие необходимости нанимать дополнительный персонал, высокая емкость фильтрации и скорость подключения, доступность фильтрации атак на веб-сайты на уровне приложения, а также получение экспертизы по эффективной нейтрализации атак».

Александр Гутников, эксперт по кибербезопасности «Лаборатории Касперского»:

«В случае, если атака всё-таки случается, шансов защититься самостоятельно у компании практически нет. И дело не в технической подготовке её специалистов и не в техническом оснащении инфраструктуры, дело в первую очередь во входящих каналах. Скорее всего, до вопроса очистки (куда более сложного, чем приём) трафика даже дело не дойдёт – каналы просто не смогут принять тело атаки.

Тем не менее, любой владелец ресурса может как минимум к атаке подготовиться, что сильно упростит ему жизнь, если атака случится. Наши обычные рекомендации таковы:

  • поддержку сайтов следует доверить специалистам, которые знают, что предпринять в случае такого инцидента;
  • стоит внимательно проверять соглашения с поставщиками и контактную информацию, включая договоры с провайдерами интернет-услуг. Это поможет сотрудникам компании быстро получать нужную информацию в случае атаки;
  • нужно иметь запасной план защиты от таких атак, чтобы быть готовыми восстановить критичные для бизнеса сервисы;
  • стоит использовать специализированные защитные решения, которые непрерывно анализируют трафик, оповещают о возможных атаках, осуществляют перенаправление трафика в центры очистки и возврат очищенного трафика в сеть. Например, Kaspersky DDoS Protection».

Рамиль Хантимиров, CEO и сооснователь StormWall:

«1) Думайте о защищаемости Ваших ресурсов от DDoS

2) Выбирайте защиту, анализируя разные параметры

3) Тестируйте защиту сами!».

Ильназ Гатауллин, руководитель группы аналитики центра мониторинга и противодействия кибератакам IZ:SOC компании «Информзащита»:

«Принцип бритвы Оккама, может сейчас себя и оправдывает, но когда наступит час ИКС, то все почему-то резко начинают хвататься за голову. Защитные механизмы надо наращивать в соответствии с актуальными угрозами и делать это нужно своевременно. Сделаешь раньше, чем нужно – потерял деньги, сделал поздно – стал жертвой злоумышленников.

Сегодня для бизнеса бесперебойное функционирование ИТ систем является ключевым, поэтому всем приходится беспокоиться о своей кибербезопасности и мониторинге инцидентов. Для последнего существуют многочисленные центры мониторинга кибербезопасности, которые могут на ранних этапах выявить разного рода атаки».

Об авторе CISOCLUB

Редакция CISOCLUB. Официальный аккаунт. CISOCLUB - информационный портал и профессиональное сообщество специалистов по информационной безопасности.
Читать все записи автора CISOCLUB

Добавить комментарий

Ваш адрес email не будет опубликован.