У компании Cloudflare, которая предоставляет услуги обратного прокси и защиту от DDoS-атак, вышел интересный отчет, связанный с кибератаками за 3 квартал 2023 года. Мы решили перевести этот материал и рассказать вам, с какими вызовами в области кибербезопасности столкнулся мир.
DDoS-атаки — тип кибератаки, цель которой — нарушение работы сайтов и других типов интернет-ресурсов. В среднем сервисы, вроде Cloudflare, ежедневно устраняют больше 140 млрд киберугроз.
В последние несколько недель все чаще совершали кибератаки на сайты израильских газет и СМИ, а также на финансовые учреждения и правительственные ресурсы. На графике можно посмотреть, что с 7 октября резко возрастает уровень DDoS-атак. В разборе расскажем про те отрасли и страны, которые больше всего пострадали за 3 квартал 2023 года.
Глобальная картина DDoS-угроз
В третьем квартале 2023 года компания Cloudflare поделилась информацией, что столкнулась с самыми сложными DDoS-атаками в истории. В чем суть:
- Cloudflare смягчил тысячи HTTP-DDoS-атак, 89 из которых превысили 100 млн запросов в секунду и с самым большим пиком в 201 млн запросов в секунду. Этот показатель в три раза выше, чем предыдущий — 71 млн запросов в секунду.
- Увеличился общий объем трафика HTTP-DDoS-атак на 65 % по сравнению с предыдущим кварталом. Также количество DDoS-атак L3/4 также увеличилось на 14%.
- DDoS-атаки коснулись и компаний с тематикой азартных игр, обогнав индустрию криптовалют в прошлом квартале.
Дальше отдельно рассмотрим статистику по разным видам DDoS-атак.
Кампания гиперобъемных DDoS-атак с использованием быстрого сброса HTTP/2
DDoS-атаки включали в себя тысячи DDoS-атак через HTTP/2, пик которых достигал миллионов запросов в секунду. Средняя скорость атаки составила 30M rps. Приблизительно 89 атак достигли максимальной скорости более 100 миллионов запросов в секунду, а самая крупная атака из них — скорости 201 миллиона запросов в секунду.
Системы Cloudflare автоматически обнаруживали и смягчали большинство атак. Анализируя двухмесячную DDoS-кампанию, станет ясно, что основной целью атак была инфраструктура Cloudflare — 19% всех атак. Еще 18% нацелены на игровые компании, а 10% — на известных провайдеров VoIP.
Самое интересное: трафик HTTP-DDoS-атак увеличился на 65%
Такая крупная увеличила общий объем атакующего трафика. В прошлом квартале объем HTTP-DDoS-атак стал больше на 15% по сравнению с предыдущим кварталом. В этом квартале он опять вырос. Например, объем атак увеличился на 65% по сравнению с 2 кварталом. Теперь он составляет 8,9 триллиона HTTP DDoS-запросов, которые системы Cloudflare автоматически обнаруживали и нейтрализовали.
Кроме этого на 14% увеличились и DDoS-атаки L3/4, то есть флуд-атаки. Сейчас они аналогичны цифрам, которые были в первом квартале этого года.
Самые крупные атаки достигли максимальной скорости 2,6 Тбит/с. Эта атака была частью более широкой кампании, нацеленной на бесплатный преобразователь DNS Cloudflare 1.1.1.1.
Основные источники HTTP-DDoS-атак
США до сих пор остаются крупнейшим источником HTTP-DDoS-атак. Каждый 25 HTTP-DDoS-запрос был именно из этой страны. Какие еще популярные источники кибератак удалось зафиксировать:
- Китай — на 2 месте;
- Бразилия — заменила Германию на 3 месте по величине источника HTTP-DDoS-атак;
- Германия — опустилась на 4 место;
- 5 место занимает Индонезия.
На остальных позициях находятся страны с показателями запросов в 2,26-3,04%.
Некоторые страны получают больше трафика из-за факторов, вроде численности населения и использование Интернета. По этой причине они генерируют больше атак.
При этом мы видим другую картину, если сравниваем источники с собственным трафиком. США даже не входят в первую десятку. Вместо этого Мозамбик опять находится на первом месте. Каждый пятый HTTP-запрос из Мозамбика был частью трафика HTTP-DDoS-атаки.
На втором месте остается Египет. Примерно 13% запросов Египта — HTTP-DDoS-атаки. Ливия и Китай занимают третье и четвертое место.
Основные источники DDoS-атак L3/4
Когда мы изучаем причины флуд-атак, то игнорируем исходный IP-адрес, ведь его можно подделать. Вместо этого нужно смотреть, куда принимали этот трафик.
В третьем квартале примерно 36 % всего трафика DDoS-атак L3/4 приходится на США. С большим отставанием Германия заняла 2 место с 8%, а Великобритания — 3 место с почти 5%.
Вьетнам опустился на 2 место по количеству флуд-атак после того, как был первым 2 квартала подряд. Первое место заняла Новая Каледония, французская территория. 2 из каждых 4 байтов из Новой Каледонии были атаками.
Отрасли, которые чаще всего атаковали HTTP DDoS
Индустрия азартных игр вышла на первое место, обгоняя нишу криптовалют — больше 5% всего HTTP-трафика DDoS-атак направляли именно туда.
Азартные игры уже давно подвергаются кибератакам чаще, чем другие сферы. Но если смотреть на трафик HTTP-DDoS-атак по каждой конкретной отрасли, будут другие показатели. В этом случае индустрия игр не попадает даже в первую десятку.
Вместо этого горнодобывающая и металлургическая отрасль подверглась наибольшему количеству атак по сравнению с ее общим трафиком — 17,46% всего трафика были DDoS-атаками.
Фармацевтические, биотехнологические и медицинские компании заняли третье место, а сайты федерального правительства США — четвертое. 1 из каждых 10 HTTP-запросов к интернет-ресурсам федерального правительства США был частью атаки. На пятом месте криптовалюта, а затем не отстают сельское хозяйство и рыболовство.
Какие отрасли по регионам атаковали чаще
Теперь углубимся, чтобы понять, какие отрасли больше всего пострадали в каждом регионе.
Африка
После двух кварталов подряд постоянных DDoS-атак, телекоммуникационная отрасль опустилась с первого места на четвертое. Компании по производству медиа в этом квартале пострадали больше всех. Отрасль банковского дела, финансовых услуг и страхования занимает второе место по количеству атак. На третьем месте — игровые и азартные компании.
Азия
Индустрия криптовалют остается самой атакованной в Азиатско-Тихоокеанском регионе второй квартал подряд. Азартные игры заняли второе место. Компании информационных технологий и услуг — на третьем месте.
Европа
Четвертый квартал подряд индустрия азартных игр постоянно атакуют в Европе. Розничные компании заняли второе место, а компании по компьютерным программным обеспечением — третье.
Латинская Америка
В Латинской Америке чаще всего атаковали сферу сельского хозяйства — целых 53% всех нападений. С большим отрывом на втором месте по атаке оказались компании азартных игр. Гражданские и общественные организации — на третьем месте.
Средний Восток
Розничные компании стали объектом нападения на Ближнем Востоке в третьем квартале. Компании, производящие компьютерное программное обеспечение, заняли второе место, а индустрия игр — третье.
Северная Америка
После двух кварталов подряд индустрия маркетинга и рекламы опустилась с первого места на второе. Компьютерное программное обеспечение стало первым в рейтинге. На третьем месте — телекоммуникационные компании.
Океания
Телекоммуникационная отрасль в третьем квартале атаковали чаще всего — больше 45% всех атак. Компании по криптовалюте и компьютерным ПО заняли второе и третье места соответственно.
Какие отрасли страдали от DDoS-атак L3/4
Почти 35 % всего трафика DDoS-атак L3/4 направили на индустрию информационных технологий и Интернета.
С большим отставанием на втором месте оказались телекоммуникационные компании с долей всего лишь 3%. Азартные игры заняли третье место, а компании банковских, финансовых услуг и страхования — четвертое.
Если сравнивать атаки со всем трафиком для конкретной отрасли, мы видим, что музыкальная индустрия выходит на первое место, за ней следуют компании компьютерной и сетевой безопасности, компании информационных технологий и Интернета. В конце этого рейтинга — авиационная и аэрокосмическая промышленность.
Страны с наибольшим количеством атак HTTP DDoS-атак
США до сих пор остаются основной целью HTTP-DDoS-атак. Почти 5% всего трафика HTTP-DDoS-атак направили именно туда. Сингапур занял второе место, а Китай – третье.
Если рассматривать атакуемых трафик на общем, то мы увидим, что в тройку самых атакованных стран входят островные государства.
Ангилья, небольшая группа островов к востоку от Пуэрто-Рико, выходит на первое место. Более 75% всего трафика на сайты Ангильи — HTTP-DDoS-атаки. На втором месте Американское Самоа, а на третьем — Британские Виргинские острова.
На четвертом месте Алжир, затем Кения, Россия, Вьетнам, Сингапур, Белиз и Япония.
Наиболее уязвимые страны перед L3/4 DDoS-атаками
Второй квартал подряд китайские сети и сервисы остаются уязвимыми для DDoS-атак L3/4. На эти атаки приходится 29% всех атак, которые были в третьем квартале.
С большим отставанием США оказались на втором месте, с показателем 3,5%, а Тайвань на третьем месте — 3%.
На втором месте по величине доли атакующего трафика, 35% от общего трафика страны, находятся Нидерланды, за которыми следуют Таиланд, Тайвань и Бразилия.
Основные векторы атак
Второй квартал подряд DDoS-атаки на основе DNS — самые распространенные. Почти 47% всех атак были основаны на DNS. Это на 44% больше, чем в предыдущем квартале. SYN-флуды остаются на втором месте, за ними следуют RST-флуды, UDP-флуды и Мирай.
Новые угрозы — сокращены, повторно использованы и переработаны
Кроме самых распространённых, сейчас злоумышленники приходят и к менее популярным методам кибератак. Обычно они очень нестабильны, ведь мошенники пытаются «сократить, повторно использовать и переработать» старые векторы атак. Например, это протоколы на основе UDP, которые можно использовать для запуска DDoS-атак с усилением и отражением.
В третьем квартале самыми распространенными атаками стали DDoS-атаки на основе многоадресной DNS, mDNS. На втором месте — атаки с протоколом ограниченных приложений, CoAP, а на третьем — разделение элементов полезной нагрузки безопасности, ESP. Посмотрим на данные с этих атак.
DDoS-атаки mDNS увеличились на 456%
Уязвимые серверы mDNS отвечают на одноадресные запросы, которые «подделываются» с использованием исходного адреса жертвы. Это приводит к усилению атак. В третьем квартале есть увеличение количества атак mDNS — рост на 456% по сравнению с предыдущим кварталом.
DDoS-атаки CoAP увеличились на 387%
Протокол ограниченных приложений, CoAP предназначен для работы с простой электроникой и обеспечивает связь между устройствами с низким энергопотреблением. Но часто его используют для DDoS-атак через подмену IP, например, генерируют большой объем данных нежелательного сетевого трафика. Это приводит к перебоям в работе служб или перегрузке целевых систем.
DDoS-атаки ESP увеличились на 303%
ESP обеспечивает конфиденциальность и целостность сетевых коммуникаций. Но потенциально его используют в ходе DDoS-атак, если злоумышленники используют неправильно настроенные или уязвимые системы. Как итог — происходит сбой в обслуживании серверов.
DDoS-атаки с выкупом
Иногда DDoS-атаки делают с целью вымогательства выкупа. Такие атаки часто бывают намного проще для злоумышленников.
Но за последний квартал количество сообщений о DDoS-атаках с выкупом стало уменьшаться. Примерно 8% респондентов сообщили, что им угрожали или подвергались случайным DDoS-атакам, и этот показатель снижается на протяжении всего года. Причина этого — компании и организации, которые злоумышленники подвергают атакам, просто отказываются им платить. И если раньше это был эффективный способ для шантажа, сейчас это встречается все реже.
Но нужно учитывать, что кибератаки с выкупом — сезонное явление. По прошлогодним показателям, в декабре количество DDoS-атак с целью выкупа может внезапно вырасти. Если посмотреть на цифры четвертого квартала за последние три года, то мы увидим, что количество DDoS-атак с вымогательством значительно увеличилось в годовом сопоставлении в ноябре.
Вывод
В прошлом квартале был беспрецедентный рост трафика DDoS-атак — на 65%. Но и в третьем квартале их число увеличивается. При этом самыми атакованными нишами становятся СМИ, телекоммуникационная отрасль, федеральные сайты и, конечно, сфера азартных игр.
А источники трафика, откуда поступают DDoS-атаки, остаются теми же, что и в прошлом квартале — США, Китай, Бразилия и Германия. Часть из них также и принимает большинство трафика с DDoS-атаками.
