+7 (800) 333-17-63

Тенденции DDoS-атак в 2023 году

По сложившейся традиции мы собрали аналитический отчет за 2023 год и подробно расскажем о главных тенденциях DDoS-атак. Эксперты DDoS-Guard выделяют многократный рост пиковых значений, плавный переход с хактивизма на «коммерческие» атаки, распределенность целей и фокусировку на поддоменах. 

Обложка статьи: Тенденции DDoS-атак в 2023 году

Также изучили данные, которыми делились коллеги по индустрии, и предлагаем с помощью нашего подробного обзора и сопутствующей информации составить свою картину мира кибербезопасности за 2023 год. 

 

Общие тенденции

Количество атак, их мощность продолжают расти — мы наблюдали это с каждым кварталом, а к концу года зафиксировали максимальный наплыв, он пришелся на ноябрь-декабрь. Мы связываем это с ростом сезонной активности злоумышленников в период больших распродаж. Кроме того, осенью вырос объем клиентского трафика, который проходит через сеть фильтрации DDoS-Guard. Больше клиентов под защитой — больше атак мы наблюдаем и успешно отражаем. 

В 2023 году система фильтрации DDoS-Guard зафиксировала рекордное количество — 2 266 198 атак
Это на 80% больше, чем в 2022 году; на 1224% больше, чем в 2021.

Распределение DDoS-атак по месяцам за 2023 год по данным DDoS-Guard
Распределение атак по месяцам — данные из аналитического отчета DDoS-Guard за 2023 год. На графике отмечены точки с минимальным и максимальным числом атак в месяц.

В первом полугодии 2023 злоумышленники столкнулись с кризисом: многие провайдеры защиты позволяют владельцам ресурсов включить геоблокировку и полностью срезать все запросы с любых стран, кроме России. Атакующие быстро нашли решение в виде аренды виртуальных серверов на территории РФ, с которых можно совершать атаки, так как запросы из РФ не блокируются. Но чтобы собрать достаточное количество ресурсов для внушительной волны вредоносного трафика — придется арендовать много серверов, а это влечет за собой серьезные финансовые затраты, на которые будут готовы далеко не все атакующие.

Однако в атаках стабильно стало участвовать больше устройств. Часть из них, как показывает анализ, относится к Интернету вещей (IoT): телевизоры, точки доступа, камеры наблюдения. Здесь тенденция вовлечения подобных устройств в ботнеты стабильно сохраняется в течение последних лет.

Преобладают DDoS-атаки на уровне приложений. Количество атак по протоколам HTTP/HTTPS в 4 раза превышает остальные. При этом такие типы, как NTP amplification, DNS amplification практически полностью исчезли с радаров. 

Распределение DDoS-атак за 2023 год по модели OSI по данным DDoS-Guard
Распределение DDoS-атак, согласно модели OSI — данные из аналитического отчета DDoS-Guard за 2023 год

Политически мотивированные атаки уходят как тренд. Началась эпоха возрождения для «коммерческих» атак — DDoS используют как один из наиболее доступных инструментов, чтобы быстро вывести конкурента из игры. Это не обязательно означает заказ в рамках конкурентной борьбы между гигантами индустрии — жертвой мощнейшей атаки в 22,9 млн запросов в секунду (rps), стала небольшая региональная компания по доставке еды. 

Дмитрий Никонов, руководитель направления защиты на уровне веб-приложений в DDoS-Guard.


 

Рост пиковой мощности атак

Злоумышленники стали избегать сайты, использующие сервисы защиты от DDoS. Обнаружив, что атака неэффективна, они перенаправляют свои усилия на веб-ресурсы без защиты. Однако, как только владелец сайта решает, что ему больше ничего не угрожает, атакующие возобновляют вредоносную активность. Видна тенденция повторных атак с перерывом 1-2 месяца. Такое «затишье» может означать тщательную подготовку к мощной атаке на защищаемый сайт с целью максимально повысить шансы нанести ущерб.

Практически с самого начала года мы наблюдали всплески трафика, достигавшие в пике миллионы запросов в секунду. Средняя мощность стала равна пиковым атакам 2022 и продолжает расти. Любопытно, что ранее длительность таких всплесков исчислялась минутами, а теперь они отличаются краткосрочностью — не более нескольких секунд.

График максимальной пиковой DDoS-атаки за 2023 год — DDoS-Guard
Максимальная пиковая атака за 2023 год, зарегистрированная DDoS-Guard в последнюю неделю декабря: 22,9 млн запросов в секунду (rps).

10 лет назад крупнейшие атаки достигали 2-3 млн запросов в секунду. Если тогда жертвами становились только такие гиганты, как Youtube, теперь эти объёмы отправляются в адрес рядовых сайтов.

Приведем реальный пример. В феврале 2023 мы нейтрализовали DDoS-атаку с пиковой мощностью 2,8 млн запросов в секунду на небольшой веб-ресурс, посвященный видеоиграм. Длительность атаки составила около 10 минут, в потоке вредоносного трафика участвовали 2 500 уникальных IP-адресов.

С точки зрения волюметрических показателей, объем небольшой — всего 6 Гбит/с. Но с точки зрения количества запросов — это колоссальная нагрузка, с которой сайт без защиты самостоятельно бы не справился. Система фильтрации DDoS-Guard успешно подавила атаку, благодаря чему сайт клиента продолжил работу в штатном режиме.

График огромной DDoS-атаки в 2023 году —  DDoS-Guard
DDoS-атака с пиковой мощностью 2,8 млн запросов в секунду, зафиксированная и успешно нейтрализованная системой фильтрации DDoS-Guard.

На верхнем графике видно, что количество атакующих запросов (Blocked requests max = 2,82 mrps) настолько превышает долю легитимного трафика, что даже в пике легитимные запросы практически незаметны (Requests max = 1,7 krps).

Нижний график показывает, что при этом всплеск входящего трафика (Rx) с пиком в 6,3 Гбит/с не оказывает влияния на легитимных пользователей защищаемого ресурса. Объем исходящего трафика (Tx) сохраняется на уровне в 240 Мбит/с, а пиковое значение составляет лишь 286 Мбит/с.


 

Распределенность целей атак

Из 2022 в 2023 год перешла тенденция к атакам на служебные (корпоративные) сервисы 
с целью парализовать реальную работу компаний. Каких-либо предпосылок для изменения ситуации не наблюдается — ожидаем, что популярность этого тренда сохранится и в течение 2024 года.

Участились случаи, когда в качестве цели атаки выступает не конкретный домен-два, а все поддомены веб-ресурса. В качестве примера здесь можно привести ситуацию, когда у сайта есть подразделения по городам: zelenograd.example.com, podolsk.example.com и так далее. Обычно расчёт делается на то, что все домены в реальности обслуживаются в одном месте, а фильтровать атаку на множество поддоменов для их владельцев и администраторов бывает затруднительно.

В качестве еще одного паттерна выступает атака на ресурсы, находящиеся в рамках одной подсети. Вероятно, целью здесь является массовое выведение из строя всей инфраструктуры жертвы. В основном такие атаки направлены в адрес крупных компаний с большим количеством сайтов и сетей.


 

Продолжительность атак 

Распределение DDoS-атак по длительности за 2023 год по данным DDoS-Guard
Распределение DDoS-атак по длительности — данные из аналитического отчета DDoS-Guard за 2023 год

По-прежнему превалируют краткосрочные всплески трафика — до 20 минут. Однако «жемчужина» встретилась нам именно среди длительных атак: 

В течение непрерывного 19-часового периода к атакуемому ресурсу было совершено 13,8 млрд вредоносных запросов. По итогам 2023 года это рекордное значение. 

Для сравнения, в 2022 году максимальное количество запросов в рамках одной атаки едва превышало 2 млрд. В первом квартале 2023 — составляло менее 1 млрд. 

Осенью было небольшое смещение фокуса в пользу атак длительностью более 24 часов — их число выросло в 2,5 раза по сравнению со вторым кварталом 2023. Покажем динамику непрерывной атаки продолжительностью 48 часов 36 минут, которую зафиксировала система защиты DDoS-Guard. 

Графики паттернов DDoS-атак продолжительностью 48 часов 36 минут по данным DDoS-Guard
Паттерны DDoS-атаки продолжительностью 48 часов 36 минут — данные DDoS-Guard

В начале мы видим маломощную, но яркую картину: флуд по протоколам TCP и UDP в сочетании с атакой фрагментированными IP-пакетами. Атака непрерывна, и фрагментированные IP-пакеты составляют ее основную массу — 70%. На вторые сутки объем вредоносного трафика достигает 1,9 Гбит/с. Это далеко не рекордное значение, но с учетом общей продолжительности атаки такие всплески могут окончательно истощить ресурсы жертвы.


 

Тенденции атак по отраслям

В первом квартале этого года больше всех страдали небольшие региональные СМИ, онлайн-кинотеатры и игровые серверы. Об этом мы писали в дайджесте за Q1 2023. Сайты СМИ несколько месяцев лидировали по популярности у атакующих, однако в итоге уступили первенство развлекательным сервисам. По сравнению 
с 2022 годом такие онлайн-ресурсы получили в два раза больше атак.

Повышенная активность атак обрушилась на IT-компании, которые предоставляют услуги информационной безопасности и разрабатывают цифровые продукты. Операторы связи заняли третье место в нашем «хит-параде» наиболее атакуемых проектов.

Есть тенденция к росту вредоносной активности в период сдачи квартальной отчетности, когда основной целью злоумышленников является затруднение или невозможность проводить прогнозируемые бюрократические процедуры. Под удар попадали организации, которые занимаются сопровождением компаний в бухгалтерской сфере. Атаки на финансовый сектор были особенно заметны во время важных публичных экономических заявлений, например, о повышении ключевой ставки.

Особый интерес у атакующих вызвала сфера путешествий: количество атак на сервисы 
по покупке билетов, бронирования отелей и т.д. в три раза превышает показатели 2022 года. 

Также более чем в три раза выросло количество атак на сайты аптек, медицинских центров, лабораторий и других организаций, работающих в сфере здоровья. 
DDoS-атаки на такого рода ресурсы нередко становятся прикрытием для попытки заполучить конфиденциальные данные пациентов и другую информацию. 

Распределение DDoS-атак по отраслям за 2023 год по данным  DDoS-Guard
Распределение DDoS-атак по отраслям — данные из аналитического отчета DDoS-Guard за 2023 год

 

Наблюдения коллег по индустрии

Мы с интересом следим за отчетами, которые выпускают другие провайдеры защиты, и сопоставляем их со своими наблюдениями — так получается более полная картина событий в среде защиты от кибератак.

1 квартал 

В Stormwall отметили резкий прирост DDoS-атак на сектор промышленности. В первом квартале 2023 года больше всех пострадали финансовые сервисы — на них пришлось 32% атак, а за год число возросло на 62%.

Эксперты Positive Technologies считают, что количество успешных кибератак на финансовый сектор растет каждый год: так в первые три квартала 2023 года доля вредоносных воздействий составила 9% от от общего количества успешных атак на организации. Также отмечают вдвое больше уникальных киберинцидентов по сравнению с 2022 годом. Прогнозы аналитиков говорят о сохранении пристального внимания преступников к экономической отрасли.

2 квартал

Во втором квартале 2023 года векторы атак изменились, и злоумышленники сконцентрировались на эксплуатации уязвимостей. Тенденцию зафиксировали в Ростелеком-Солар: ее связывают с массовым переходом компаний на отечественное ПО, которое стали активно атаковать хакеры. Специалисты заметили, что действия злоумышленников стали более высокопрофессиональными и точечными.

3 квартал

Qrator Labs третий год подряд отмечают динамичный рост DDoS-атак на протокол UDP. Динамика за период 2021-2023 гг показывает изменения средних показателей с 29,31% до 51,45%. Эксперты считают, что это может быть связано с летним сезоном в ряде сегментов бизнеса.

В третьем квартале снизились количество и мощность адресных DDoS-атак на конкретные организации. Злоумышленники сосредоточились на массовых атаках, — следует из данных отчетов сервиса Ростелеком-Солар. Также специалисты зафиксировали самую длительную атаку, которая продолжалась 9 месяцев.

По результатам аналитического исследования ГК «Гарда» чаще всего атакам в третьем квартале подвергались сферы телеком и транспорта. Наибольший объем атак пришелся на сети телеком-операторов, за ними идут ресурсы авиаперевозчиков и системы бронирования Ж/Д.

Глобальные тренды

В 2023 году явно прослеживался тренд, который перешел к нам из 2022 — рост количества атак при снижении их продолжительности. По данным Qrator Labs, средняя продолжительность атак уменьшилась на 29,15% по сравнению с 2022 годом.

Еще одним глобальным трендом 2023 года можно назвать рост количества многовекторных атак. Согласно отчету Stormwall они возросли сразу на 108%. Большая часть приходится на хакерские группировки, которые спонсируют государства. Их отличает более профессиональный подход и доступ к высокотехнологичным инструментам.


 

К чему готовиться в 2024 году

DDoS-атаки стали более продуманными, хакеры тщательнее выбирают своих жертв. Раньше они направляли массовые атаки на сайты определенной тематики, например СМИ, без анализа защищенности. Теперь они проверяют наличие защиты и ее устойчивость. Это многократно повышает шансы вывести сайт из строя и не тратить ресурсы впустую.

Злоумышленники пробуют разные подходы, разрабатывают новые механизмы атак. Не все из них эффективны, но отдельные практики в организацию новых угроз попадают. Какого-то однозначного выделенного источника атак нет — достаточно равномерно используется инфраструктура по всему миру, ботнеты растут за счет умных устройств и недорогих серверов.

DDoS-Guard внимательно следит за трендами и развивает свои технологии, чтобы средства защиты всегда оставались актуальными. Узнать о последних разработках можно из новостей в нашем блоге по тегу «Обновления»

Эксперты прогнозируют, что в 2024 году мир ждет новая волна крупных утечек данных, а также повышение активности вымогателей и хактивистов. Ожидается усложнение атак, многовекторность и увеличение мощности. Тенденция атак на отрасли, которым особенно важна стабильная работа ресурсов в определенный период времени, с высокой вероятностью сохранится.

Читайте в телеграм-канале DDoS-Guard

Анонсы, статьи, истории и советы по кибербезопасности. Каждый месяц собираем дайджест о самых громких событиях

Подписаться