Традиционно наибольшее количество атак приходится на организации, расположенные в Москве. В отчетный период их доля составила 60% от общего числа инцидентов. Доли остальных регионов не превышают 7%. Также столица лидирует по средней мощности DDoS-атак, которая оставляет более 70 Гбит/с.
Основные жертвы хакеров и их инструменты в разных регионах схожи. В отчетный период количество DDoS-атак на банки (в том числе из ТОП-20) увеличилось в 3,5 раза, однако почти 90% из них произошли в сентябре. Всплеск DDoS-атак на банковский сектор в этот период фиксировали и другие провайдеры сервисов кибербезопасности, в то же время публичные источники отмечали, что ряд финансовых структур столкнулся с простоями своих онлайн-ресурсов. На бизнес-процессы заказчиков «Ростелекома» данная серия атак не повлияла, так как была своевременно отражена.
Также в центре внимания хакеров осталась онлайн-торговля: число DDoS-атак в этом сегменте выросло на 20% за отчетный период. Пик активности хакеров пришелся на начало года, а наибольшее количество инцидентов было зафиксировано в марте. После небольшого затишья, с августа уровень атак начал расти. Можно предположить, что до нового года мы увидим традиционный возрастающий тренд по количеству DDoS-атак, связанный с акцией «Черная пятница» и предновогодними распродажами, которые начинаются в ноябре и продолжаются до февраля следующего года.
Третьей отраслью, которая показала очевидный рост (на 17%) стал госсектор. В частности, в 2 раза увеличилось число DDoS-атак в августе и сентябре в сравнении с аналогичным периодом предыдущего года. Не исключено, что атаки на государственные ресурсы в этот период могли быть связаны с подготовкой к выборам в Государственную думу.
В то же время есть сферы, где количество DDoS-атак сократилось. Например, в игровом сегменте падение составило 35%, а интерес хакеров к дата-центрам сократился на четверть. Оба сегмента демонстрировали кратный рост в 2020 году на фоне всплеска спроса на их услуги в период удаленки. Сейчас же идет корректировка тренда. Тем не менее показатели трех кварталов 2021 года в обоих сегментах превышают доковидные почти в 3 раза.
Вместе с количеством атак выросла и их средняя мощность — на 26%. А значение самой мощной атаки (462 Гбит/с), на треть превышает пиковое значение первых трех кварталов 2020 года. Самая долгая атака в отчетный период длилась почти 4,5 дня. Годом ранее этот показатель составил около 3 дней.
При этом хакеры применяют уже известные техники организации DDoS и новых инструментов не появляется. Примечательно, что в отчетный период в 2 раза чаще использовались атаки фрагментированными пакетами (FRAG). Этот относительной сложный инструмент для DDoS, который предполагает передачу в адрес жертвы множества фрагментированных пакетов данных. Сервер пытается их обработать, но безуспешно, так как не может собрать фрагменты воедино, что и вызывает сбой.
«С каждым годом мощность и сложность DDoS-атак увеличивается. Это происходит за счет активного использования хакерами более масштабных ботнетов. Они состоят из множества устройств, для взлома которых используются все новые уязвимости. В частности, в сентябре злоумышленники организовали крупнейшую DDoS-атаку с помощью ботнета Meris, предположительный масштаб которого составляет 200 тыс. устройств. Такие сложные атаки направлены уже на хорошо защищенные организации и компании, ресурсы которых может вывести из строя только очень мощный DDoS. Например, это могут быть банки, крупные промышленные или энергетические предприятия и т.п.», — отметил Тимур Ибрагимов, руководитель направления Anti-DDoS и WAF платформы сервисов кибербезопасности Solar MSS компании «Ростелеком-Солар».