Отчет Qrator Labs Статистика и наблюдения за 3 кварталом 2023 года по DDoS-атакам

В третьем квартале 2023 года мир цифровой безопасности столкнулся с неожиданным всплеском DDoS-атак, поднявшим вопросы о новых вызовах и стратегиях защиты. Согласно недавнему анализу, увеличение UDP-атак установило новые рекорды, заставив экспертов переосмыслить существующие методы защиты. В то время как общее число атак показало сезонное снижение, отражая тенденцию последних трех лет, финансовый сектор, электронная коммерция и IT-индустрия оказались на передовой борьбы с этой угрозой. Новые данные также выявили интересные географические шаблоны источников атак, предоставив уникальный взгляд на масштабы и сложность современных кибератак.

В третьем квартале 2023 года цифровой мир столкнулся с новым витком эскалации DDoS-угроз, отмеченным рекордным увеличением UDP-флуд-атак. Эти атаки составили 66,92% от общего числа в смешанных значениях и 64,13% в абсолютных, что является значительным ростом на 6,82% по сравнению со вторым кварталом и на 14,73% по сравнению с прошлым годом. Одновременно, общее количество атак продемонстрировало сезонное снижение на 13,46%, продолжая тенденцию последних трех лет к уменьшению активности атакующих, особенно в использовании UDP.

Самая продолжительная атака, зарегистрированная в конце августа, длилась почти три дня (71 час 58 минут) и была направлена против сектора транспорта и логистики, ставя новый рекорд по продолжительности в текущем году. Пиковый битрейт достиг 675,22 Гбит/с, подчеркивая не только масштаб, но и высокую интенсивность современных DDoS-атак.

Финансовый сектор продолжает оставаться наиболее пострадавшим, на его долю пришлось 42,06% всех атак, что подчеркивает его привлекательность для киберпреступников. В то же время, злоумышленники стали активнее использовать локальные источники трафика для обхода геоблокировки, что привело к значительному увеличению общего количества заблокированных IP-адресов на 116,42% по сравнению со вторым кварталом.

Атаки на уровне приложений (L7) показали снижение на 26,67%, однако стали более целенаправленными, с особым вниманием к финансовым технологиям, на которые пришлось 34,60% таких атак. Сектора беттинга и онлайн-ритейла также остаются в числе лидеров по количеству инцидентов, подтверждая их привлекательность для атакующих.

Эти данные не только подчеркивают сложность и динамичность киберугроз, но и требуют от организаций постоянного мониторинга и адаптации своих систем безопасности для эффективной защиты от таких атак, подчеркивая необходимость глубокого понимания текущих тенденций в сфере кибербезопасности.

В разделе “Сезонные изменения” анализируется тренд последних трех лет, указывающий на снижение общего количества DDoS-атак в третьем квартале каждого года. В 2021 году снижение составило 16,45%, в 2022 году — 10,77%, а в 2023 году — 13,46%. Это указывает на изменение модели поведения злоумышленников, особенно в отношении использования UDP-флуда. В дополнение, статистика подчеркивает, что, несмотря на колебания в процентных показателях снижения от года к году, тенденция к сезонному уменьшению количества атак остается стабильной.

В разделе “Распределение атак по секторам” подробно анализируется, какие отрасли стали основными целями DDoS-атак в третьем квартале 2023 года. Финансовый сектор продолжал оставаться на первом месте с 42,06% всех атак, подчеркивая его привлекательность для злоумышленников из-за значительного экономического влияния. За ним следует сектор электронной коммерции с 29,80% атак, что отражает продолжающуюся тенденцию к целенаправленным атакам на ритейлеров для нарушения их операций и потребительского доверия. IT и телекоммуникационный сектор занимает третье место с 6,05% атак, демонстрируя уязвимость инфраструктуры киберпространства. Образовательные технологии и сектор СМИ также оказались среди наиболее атакуемых, с 5,9% и 4,99% соответственно, что подчеркивает расширение целей злоумышленников за пределы традиционных целей.

Эта статистика не только выделяет наиболее уязвимые сектора но и служит напоминанием о необходимости усиления защитных мер по всем направлениям деятельности.

Географическое распределение источников атак в третьем квартале 2023 года продемонстрировало значительное увеличение использования локальных источников трафика злоумышленниками для обхода геоблокады. Общее количество заблокированных IP-адресов выросло на 116,42% по сравнению со вторым кварталом, достигнув 40,15 млн адресов. Россия оказалась на первом месте с 18,7 млн заблокированных адресов, что составляет почти половину от общего числа (46,74%). Следом за Россией шли США и Китай с 5,66 млн (14,11%) и 4,97 млн (12,39%) заблокированными IP-адресами соответственно. В список лидеров также вошли Германия (1,39 млн), Индонезия (1,32 млн), Сингапур (1,03 млн), Бразилия (867 тыс.), Индия (847 тыс.) и Франция (822 тыс.), подчеркивая глобальный характер и широкую географию DDoS-атак.

В разделе “Ботнеты и уровень приложений” подробно анализируется активность ботнетов и атак на уровне приложений в третьем квартале 2023 года. В этом периоде было зафиксировано снижение количества ботнет-атак на 10%, составившее 3,805,919,785 инцидентов. Самым заметным ботнетом в этом квартале стал тот, который насчитывал 85,298 устройств из 20 стран, что почти вдвое меньше по сравнению с размером крупнейшего ботнета в предыдущем квартале.

Среди атак прикладного уровня (модель OSI L7) самая продолжительная атака была зафиксирована в секторе электронной коммерции (розничная торговля) и длилась более трех дней (73,06 часа) с интенсивностью 527 запросов в секунду. Вторая по продолжительности атака пришлась на сегмент программных услуг (IT и телеком) с продолжительностью 10,35 часа, а третья — на сегмент онлайн-образования с продолжительностью 10,15 часа. Средняя продолжительность атак на уровне приложений в третьем квартале составила около 20 минут при средней интенсивности 4,9 тысячи запросов в секунду.

В разделе о BGP-перехвате и RPKI ROA подчеркивается, что в третьем квартале 2023 года произошел необычный всплеск числа уникальных автономных систем (ASN), задействованных в BGP-перехватах, что контрастировало с общим снижением их числа. Этот рост был связан с автоматическим объявлением префиксов IPv6 автономными системами в диапазоне APNIC, что привело к нетипичному увеличению количества уникальных ASN на 4000 каждый месяц. Действия Китайской образовательной и исследовательской сети (CERN) направлялись на развитие китайского интернета следующего поколения (CNGI) на базе IPv6, что, однако, с точки зрения глобальной маршрутизации, не считается хорошей практикой.

К сожалению, механизм RPKI ROA не позволяет предотвращать утечки маршрутов, а тенденция к сокращению числа взломщиков BGP-каналов практически не заметна для участников утечек маршрутов BGP, их количество меняется очень незначительно от квартала к кварталу.

Для снижения числа утечек маршрутов и улучшения защиты от BGP-перехватов предложено внедрение механизма защиты ASPA, основанного на проверке AS_PATH. Этот механизм, подобно RPKI ROA, работает на основе хорошо отлаженной инфраструктуры RPKI и может устранять большинство BGP-инцидентов, повышая безопасность глобальной системы маршрутизации.

Author: admin