Qrator Labs и Wallarm, представили отчет по результатам исследования угроз, которым подверглись ресурсы Рунета в первой половине 2015 года. В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак.
В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день — c 15 до 51, соответственно.
Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак – с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.
По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак – более 100 Гб/с – с 45 до 67 соответственно.
«Продолжается тенденция увеличения массовости простых DDoS-атак. Общий рост в немалой степени обусловлен атаками на полосу скоростью около 1 Гб/с. Такой полосы недостаточно, чтобы создать проблемы крупным Интернет-сервисам, но достаточно для небольших сайтов, которые размещены на хостинге со скромными ресурсами, например, с 1 Гб пропускной полосы на всю стойку физических серверов. Кроме того, затраты на проведение таких атак невысоки, и, соответственно, они относительно дешевы для заказчика. Поэтому компаниям с бизнесом в интернете, у которых нет профильных специалистов, стоит насторожиться. Рост атак на компании из сектора e-commerce и услуг такси в частности это наглядно иллюстрирует», – комментирует Александр Лямин, руководитель Qrator Labs.
Среднее количество атак на одного клиента Qrator Labs
1H15 |
рост по сравнению с 1H14 |
|
Платежные системы |
53,2 |
582% |
Такси |
18,9 |
503% |
Социальные сети |
18,8 |
647% |
Недвижимость |
16,8 |
236% |
Реклама |
11,4 |
-14% |
Туризм |
8,8 |
46% |
Банки |
6,7 |
223% |
Медицина |
5,8 |
28% |
Сайты-визитки |
5,5 |
88% |
E-commerce |
5,0 |
149% |
Правительство |
5,0 |
4% |
СМИ |
4,4 |
-54% |
Информационные услуги |
4,2 |
-4% |
Купоны |
3,3 |
74% |
Биржы и Forex |
2,2 |
-69% |
Торговля |
2,1 |
36% |
Страховые компании |
2,1 |
40% |
Микрофинансы |
1,7 |
-32% |
Игры и развлечения |
1,6 |
-31% |
Кинотеатры |
1,4 |
-23% |
Общее |
7,8 |
98% |
Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.
Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.
Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример – атаки с использованием серверов Wordpress.
«В 2015 году появился новый тренд – атаки на инфраструктуру сети (маршрутизаторы, коммутаторы), в том числе манипуляции с протоколами маршрутизации. Такие атаки влияют не на приложения или каналы, а на информацию о маршрутах, работоспособность оборудования, которое пересылает пакеты. В этом направлении будет смещаться фокус атак в ближайшие несколько лет, поскольку с атаками на полосу пропускания, например, уже научились бороться, методы очевидны, и противодействовать им легко. А атаки, влияющие на инфраструктуру сети, крайне разрушительны, поскольку их сложно обнаружить, и методы противодействия только начинают разрабатываться»,– отмечает Александр Лямин.
Статистика по хакерским атакам и уязвимостям веб-приложений
В первой половине 2015 года компания Wallarm зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.
Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.
Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.
Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.
Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.
- Игровая индустрия [+3]
- Рекламные сети (CPA: партнерские сети) [+3]
- Электронная коммерция (магазины и аукционы) [-1]
- Платежные системы и банки [-3]
- СМИ [-2]
«Злоумышленники стали использовать игры как источник доходов из-за слабого контроля игровых валют. Никакого финансового мониторинга «волшебных кристаллов» не существует. После взлома хакер получает возможность создавать своим персонажам игровую валюту прямо в базе данных, без оплаты ее реальными деньгами. Затем через форумы и социальные сети игровую валюту предлагается купить честным игрокам за 25-50% от реальной цены в игре. Игроки отправляют деньги хакерам через электронные системы, а хакеры переводят валюту внутри игры от своих персонажей персонажам покупателей», — комментирует Иван Новиков, генеральный директор Wallarm.
Рекламные сети испытывали пик интереса со стороны хакеров в 2005-2008 годах. В первом полугодии 2015 эта отрасль сместилась с 5 на 2 позицию. Злоумышленники питают особый интерес к СРА ввиду своей безопасности. Сама партнерская сеть, будучи взломанной, не несет экономические потери, а, напротив, только выигрывает. Хакер, получив доступ к базе данных партнерской сети, увеличивает число показов для своих сайтов. Таким образом, взломщик повышает свои выплаты, не оказывая на самом деле услугу показа рекламных материалов на эту сумму. Система получает комиссию, а расплачиваться за все приходится рекламодателю. Получается интересная ситуация – если произошел взлом СРА сети, то пострадали ее рекламодатели, а сама сеть только заработала больше. Разумеется, в долгосрочной перспективе это несет репутационный ущерб сети, но до этого времени может пройти несколько лет.