Спецпроекты

Безопасность

Статистика DDoS-атак в III квартале 2023 года

Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак в III квартале 2023 г.

В III квартале 2023 г., как и в предыдущем периоде, больше всего от DDoS-атак пострадал финансовый сегмент – 42,06% от общего числа всех атак. На втором месте расположился сегмент электронной коммерции, на долю которого пришлось 29,80%. Третью строчку рейтинга занял сегмент ИТ и телеком – 6,05%. Сфера образовательных технологий в этот раз занимает четвертое место с показателем 5,9%, что на 5,36% ниже результата предыдущего квартала. Пятерку наиболее атакуемых сегментов замыкает Медиа с показателем 4,99%. Об этом CNews сообщили представители Qrator Labs.

Спускаясь на уровень ниже – в микросегменты, видится следующая картина: финансовый сектор: банки — 36,01%; электронная коммерция: электронные доски объявлений — 16,94%; электронная коммерция: онлайн-магазины — 11,80%; образовательные технологии: онлайн-образование — 5,45%; финансовый сектор: платежные системы — 4,54%; медиа: ТВ, радио, СМИ — 4,24%; ИТ и телеком: хостинговые платформы — 3,78%; транспорт и логистика: аэропорты — 2,57%.

По итогам трех кварталов 2023 г. наиболее часто атакуемым стал микросегмент «Банки» (финансовый сектор) - 27,74% всех атак за девять месяцев. На второй строчке расположились электронные доски объявлений – 16,16%, а третью строчку занял сегмент онлайн-образования - 9,5% всех атак. В пятерку лидеров также вошел сегмент платежные системы - 6,71% и практически разделившие между собой пятую строчку сферы онлайн-магазинов и медиа (4,53% и 4,78% соответственно). Именно эти сегменты становятся целью злоумышленников чаще всего в 2023 г.

«Появление на первых трех строчках среди наиболее атакуемых микросегментов банков, электронных досок объявлений и розничных продаж объясняется подготовкой и началом осеннего сезона. В банках это осенние предложения по вкладам и кредитам, а в электронной коммерции – подготовка к школьному сезону и запуск маркетинговых акций, распродаж», – сказал Дмитрий Ткачев, генеральный директор Qrator Labs.

Продолжительность атак

Длительность атак в III квартале 2023 г. претерпела изменения относительно II квартала 2023 г.. Так, например, средняя продолжительность атак составила 66 минут, что больше показателя второго квартала на 19 минут, и сопоставимо с результатом I квартала 2023 г.

Однако максимальная продолжительность атак показала первый рекорд в 2023 г., превзойдя даже показатель IV квартала 2023 г., где самая продолжительная атака длилась почти 70 часов. В конце августа 2023 г. произошла атака на сегмент транспорта и логистики (аэропорты) и стала самой продолжительной непрерывной атакой в 2023 г., продлившейся почти три дня (71 час 58 минут). Это была сложная, мультивекторная атака – UDP+SYN+TCP, имеющая признаки коммерческой (заказной) атаки.

Вторая по продолжительности атака была зафиксирована в сентябре 2023г. в сегменте общественного питания, и длилась более 22 часов. Данная атака не только заняла вторую строчку среди самых продолжительных непрерывных нападений, но и вошла в топ-5 по интенсивности с пропускной способностью в пике более 100 Gbps. Причиной атаки, вероятно, стала масштабная маркетинговая акция, запущенная одной из сетей быстрого питания.

В целом по продолжительности атак места сегменты расположились следующим образом: аэропорты - 2,98 дня; общественное питание - 22,63 часа; банки - 10,23 часа; хостинги - 9,63 часа; общегосударственные порталы - 7,8 часа.

«Коммерческие атаки в этом году стали возвращать свою популярность. Это не удивительно, ведь мы уже рассказывали о замеченных нами трендах на расширение каналов связи, переход на новые протоколы для оптимизации работы удаленных офисов. Добавьте сюда легкость и низкую стоимость организации DDoS-атак, и мы получим действенный инструмент влияния на бизнес для злоумышленников со всеми вытекающими последствиями: репутационные риски, прямые финансовые потери, упущенная прибыль, сорванные маркетинговые акции, затраченные на восстановление работоспособности систем ресурсы и так далее», – отметил Дмитрий Ткачев.

Географическое распределение источников атак

Статистика распределения атак по географическим источникам в III квартале 2023 г. подтверждает очередной тренд, который был обозначен во втором: для обхода геоблокировки злоумышленники стали активнее использовать локальные источники трафика, максимально близко в регионе своих жертв.

Общее число заблокированных IP-адресов, по сравнению со вторым кварталом, увеличилось на 116,42%, с 18,5 млн до 40,15 млн.

Как и в предыдущем квартале, список возглавила Россия, где было заблокировано 18,7 млн адресов – это почти половина от общего числа заблокированных IP (46,74%). В топ-3 вновь США и Китай - 5,66 (14,11%) и 4,97 (12,39%) млн блокировок соответственно.

По-прежнему в список лидеров по количеству блокировок входят Германия (1,39 млн), Индонезия (1,32 млн), Сингапур (1,03 млн), Бразилия (867 тыс.), Индия (847 тыс.) и Франция (822 тыс.).

Самый большой ботнет

По сравнению со II кварталом 2023 г., показатель самого большого ботнета, зафиксированного за исследуемый период, снизился почти в два раза и составил 85 298 устройств, собранных в 20 странах (136 590 устройств во II квартале). Атака ботнета был зафиксирована 10 августа 2023 г. на сегмент платежных систем. Наибольшее количество устройств ботнета было из Индии - 10671 устройство. В топ-5 также вошли Индонезия (10092 устройства), Россия (9757 устройств), США (8361 устройство), Иран (6497 устройств) и Вьетнам (5786 устройств).

Атаки на уровне приложений (L7)

В III квартале 2023 г. количество атак на уровне приложений продолжило снижаться. В этот раз показатель упал еще на 26,67%, по сравнению со II кварталом 2023 г. Итого, снижение доли атак на уровне L7 составило 34% относительно I квартала 2023 г.

Для увеличения количества атак на уровне L7 нужны уязвимости, позволяющие создавать дешевые L7-атаки с возможностью генерации большого количества запросов в секунду. Без уязвимостей стоимость организации атак очень высока, поскольку арендовать реальные устройства и создать из них ботнет – очень дорого. Кроме того, нужно быть уверенным в том, как обойти механизмы защиты жертвы и насколько это выгодно с экономической точки зрения для нападающего.

Именно поэтому нападения не носят массовый характер, а становятся очень точечными.

Статистика защиты от ботов

В сравнении со II кварталом 2023 г. количество атак ботов сократилось на 10%, составив 3 805 919 785. Пиковые значения в III квартале 2023 г. оказались меньше, не было рекордных по объему и продолжительности бот-всплесков, которые выделялись бы относительно повседневной активности. Самым активным месяцем III квартала 2023 г. стал июль, на который пришлось больше всего атак: 1,35 млрд. заблокированных запросов ботов.

Сегменты беттинга и онлайн-ритейла находятся в топе у атакующих уже третий квартал подряд. В III квартале 2023 г. их доли составили 39,7% и 23,9% соответственно. Третье и четвертое место, как и в предыдущем периоде, заняли фармацевтика (9,5%) и финансовые организации (1,3%).

«Количество фона и бот-инцидентов в сегменте онлайн-фармы выросло буквально вдвое относительно II квартала 2023 г. Серьезные ботнеты, с помощью которых до этого перебирали ритейл и развлекательные ресурсы, например, беттинг, теперь активно применяются в секторе интернет-аптек, где их ресурсы используются в полную мощность», – сказал Георгий Тарасов, менеджер продукта Qrator.AntiBot в Qrator Labs.

Крупнейшая атака ботов произошла в сфере беттинга 24 сентября 2023 г. В этот день было зафиксировано 24 255 701 запросов, что, однако, почти на 10 млн меньше пиковой атаки II квартала 2023 г. в этом же сегменте.

Бот-атаки увеличились по продолжительности, но уменьшились по резким всплескам. Основной вклад в бот-активность теперь вносит фоновый режим: атаки, 24/7 создающие нагрузку на ресурсы жертв без резких перепадов. Хорошей иллюстрацией к этому является то, что рекордные значения по нагрузке в день и единичным инцидентам бот-атак теперь намного ниже, чем были в II квартале 2023 г. Так, крупнейшая атака III квартала 2023 г. оказалась на 30% слабее показателей предыдущего периода, но общее количество бот-запросов – всего на 10% ниже. А значит, все силы ушли в фоновую нагрузку.

Бот-атаки стали быстрее прекращаться их организаторами, когда последние начинают встречать контрмеры со стороны антибот-систем. Если во II квартале 2023 г. часто случалось, что после нейтрализации атака могла висеть еще неделю и создавать лишний фон, который блокировала защита, то теперь продолжительность массированных атак стала меньше, фон падает почти до нулевого, пока нападающие не начнут пробовать новые векторы атак или новые ресурсы.

«Популярность новых инструментов для скрэпинга и автоматизации браузеров (new Chrome headless) сейчас ниже, чем мы ожидали: они не фигурируют в массированных всплесках и не выделяются в общем фоне атак. Однако это затишье перед штормом. Мы предполагаем массовое использование не засвеченных ранее векторов бот-активности в IV квартале в период Черной пятницы», – сказал Георгий Тарасов.

***

Qrator Labs – компания в области сетевой безопасности и обеспечения непрерывной сетевой доступности интернет-ресурсов. Предлагает решения для фильтрации трафика, защиты от сетевых атак и обеспечения бесперебойного функционирования интернет-ресурсов клиента в режиме 365/24/7. Собственная геораспределенная сеть фильтрации, построенная на базе единой архитектуры BGP Anycast, для защиты приложений заказчиков от любых интернет угроз, приводящих к недоступности ресурсов в сети интернет, состоит из 15 точек присутствия по всему миру, с пропускной способностью анализа и фильтрации более 4 Тбит/с. Портфель решений компании включает в себя: защиту от DDoS-атак, защиту от взлома (WAF), CDN (сеть доставки контента), устойчивый DNS, защиту от ботов и Qrator.Radar - глобальную систему BGP-мониторинга в режиме реального времени.

Короткая ссылка