DDoS-атаки во втором квартале 2019 года
Обзор новостей
Второй квартал 2019 года
оказался богаче первого с точки зрения громких DDoS-атак. Правда, большинство кампаний, которые привлекли внимание средств массовой информации, оказались политически, а не коммерчески мотивированными, и это несмотря на то, что некоторые эксперты по безопасности заметили явное падение хактивизма в последние годы. Начнем с атаки, которая технически выходит за хронологические рамки этого отчета, поскольку она произошла 5 марта (но о ней было сообщено в начале мая). Он был направлен против компьютерной системы, регулирующей подачу электроэнергии в различные районы Лос-Анджелеса и Солт-Лейк-Сити. Системы энергоснабжения в Калифорнии и Вайоминге также столкнулись с проблемами. Это относительно редкий случай нападения на энергосистему в густонаселенном районе. Атака была масштабной, но относительно примитивной. Это не вызвало перебоев в подаче электроэнергии, но были «нарушения нормальной работы систем», как описал инцидент Министерство энергетики США. Что касается цели и исполнителей нападения, никакой информации не поступало. Во второй половине апреля были также многочисленные DDoS-атаки на Эквадор. Как заявил заместитель министра информации и коммуникаций страны, на сайтах государственных учреждений произошло 40 миллионов кибератак различных видов, включая DDoS. Больше всего пострадали веб-страницы Центрального банка, Министерства иностранных дел и Администрации президента. Волна нападений носила хактивистский характер: нападавшие протестовали против решения нового правительства лишить Джулиана Ассанжа политического убежища. Чтобы справиться с натиском цифрового негодования, Эквадору пришлось обратиться за помощью к израильским экспертам. В начале июня мощная DDoS-атака ударила по Telegram. Атака была осуществлена в основном с китайских IP-адресов, что дало основателю Павлу Дурову повод связать его с демонстрациями в Гонконге; По его словам, тамошняя политическая оппозиция использует Telegram для организации акций протеста, что Пекин очень смутно рассматривает. Единственная главная атака в этом квартале, по-видимому, вызванная коммерческими соображениями, нацелена наразработчика видеоигр Ubisoft 18 июня - как раз перед выпуском нового расширения Operation Phantom Sight для игры Rainbow Six Siege . Это вызвало проблемы с подключением для многих игроков, и даже спровоцировало вызовы Reddit для лучшей защиты от DDoS. Крупнейшая потенциальная DDoS-атака во втором квартале оказалась ложной тревогой. В конце июня некоторые сегменты Интернета столкнулись с проблемами в работе, достойными серьезного наступления на DDoS, но настоящая причина была в другом месте. Как оказалось, небольшой провайдер в Пенсильвании допустил ошибку конфигурации, превратившись в приоритетный маршрут для трафика Cloudflare. Поставщик не смог справиться с нагрузкой, в результате чего тысячи веб-сайтов, обслуживаемых Cloudflare, вышли из строя. Сбои в работе WhatsApp и Instagram также объясняются этим. Стоит отметить, что такие перебои с интернетом случаются довольно часто; в этом случае масштаб проблемы и участие Cloudflare привели к предположениям о потенциальной DDoS-атаке. Между тем, правоохранительные органы продолжают работу по сокращению количества DDoS-атак в своей зоне ответственности. Например, в конце марта был арестован 19-летний англичанин Лиам Рис Уоттс, обвиняемый в двух нападениях на сайты полиции Большого Манчестера и Чешира. Отметим также, что в этом квартале подтверждена наша более ранняя гипотеза о связи между снижением количества DDoS-атак и растущей популярностью майнинга криптовалюты: NSFOCUS опубликовал отчет 2018 года, в котором четкопрослеживается корреляция между колебаниями цен на криптовалюту и количеством DDoS атаки.
оказался богаче первого с точки зрения громких DDoS-атак. Правда, большинство кампаний, которые привлекли внимание средств массовой информации, оказались политически, а не коммерчески мотивированными, и это несмотря на то, что некоторые эксперты по безопасности заметили явное падение хактивизма в последние годы. Начнем с атаки, которая технически выходит за хронологические рамки этого отчета, поскольку она произошла 5 марта (но о ней было сообщено в начале мая). Он был направлен против компьютерной системы, регулирующей подачу электроэнергии в различные районы Лос-Анджелеса и Солт-Лейк-Сити. Системы энергоснабжения в Калифорнии и Вайоминге также столкнулись с проблемами. Это относительно редкий случай нападения на энергосистему в густонаселенном районе. Атака была масштабной, но относительно примитивной. Это не вызвало перебоев в подаче электроэнергии, но были «нарушения нормальной работы систем», как описал инцидент Министерство энергетики США. Что касается цели и исполнителей нападения, никакой информации не поступало. Во второй половине апреля были также многочисленные DDoS-атаки на Эквадор. Как заявил заместитель министра информации и коммуникаций страны, на сайтах государственных учреждений произошло 40 миллионов кибератак различных видов, включая DDoS. Больше всего пострадали веб-страницы Центрального банка, Министерства иностранных дел и Администрации президента. Волна нападений носила хактивистский характер: нападавшие протестовали против решения нового правительства лишить Джулиана Ассанжа политического убежища. Чтобы справиться с натиском цифрового негодования, Эквадору пришлось обратиться за помощью к израильским экспертам. В начале июня мощная DDoS-атака ударила по Telegram. Атака была осуществлена в основном с китайских IP-адресов, что дало основателю Павлу Дурову повод связать его с демонстрациями в Гонконге; По его словам, тамошняя политическая оппозиция использует Telegram для организации акций протеста, что Пекин очень смутно рассматривает. Единственная главная атака в этом квартале, по-видимому, вызванная коммерческими соображениями, нацелена наразработчика видеоигр Ubisoft 18 июня - как раз перед выпуском нового расширения Operation Phantom Sight для игры Rainbow Six Siege . Это вызвало проблемы с подключением для многих игроков, и даже спровоцировало вызовы Reddit для лучшей защиты от DDoS. Крупнейшая потенциальная DDoS-атака во втором квартале оказалась ложной тревогой. В конце июня некоторые сегменты Интернета столкнулись с проблемами в работе, достойными серьезного наступления на DDoS, но настоящая причина была в другом месте. Как оказалось, небольшой провайдер в Пенсильвании допустил ошибку конфигурации, превратившись в приоритетный маршрут для трафика Cloudflare. Поставщик не смог справиться с нагрузкой, в результате чего тысячи веб-сайтов, обслуживаемых Cloudflare, вышли из строя. Сбои в работе WhatsApp и Instagram также объясняются этим. Стоит отметить, что такие перебои с интернетом случаются довольно часто; в этом случае масштаб проблемы и участие Cloudflare привели к предположениям о потенциальной DDoS-атаке. Между тем, правоохранительные органы продолжают работу по сокращению количества DDoS-атак в своей зоне ответственности. Например, в конце марта был арестован 19-летний англичанин Лиам Рис Уоттс, обвиняемый в двух нападениях на сайты полиции Большого Манчестера и Чешира. Отметим также, что в этом квартале подтверждена наша более ранняя гипотеза о связи между снижением количества DDoS-атак и растущей популярностью майнинга криптовалюты: NSFOCUS опубликовал отчет 2018 года, в котором четкопрослеживается корреляция между колебаниями цен на криптовалюту и количеством DDoS атаки.
Квартальные тренды
По данным Kaspersky DDoS Protection, этот квартал оказался менее насыщенным, чем предыдущий. Таким образом, число атак, предотвращенных нашими системами защиты, сократилось на 44 п.п. Это затишье легко объясняется традиционным летним спадом киберпреступной активности. При этом, по сравнению со вторым кварталом 2018 года, общее количество атак фактически увеличилось на 18 п.п., что подтверждает нашу теорию о восстановлении рынка DDoS. Тенденция роста, наблюдаемая с начала 2019 года, сохраняется. Следует отметить, что сезонное падение активности мало повлияло на атаки, более технически сложные (как для организации, так и для отражения): их доля сократилась всего на 4 п.п. по сравнению с предыдущим кварталом. Но по сравнению с аналогичным периодом прошлого года разница значительна и возрастает - во 2 квартале 2019 года «умные» атаки показали рост на 32 п.п. Доля таких атак среди всех остальных продолжает неуклонно расти: она увеличилась как по сравнению с прошлым кварталом (на 9 п.п.), так и во втором квартале 2018 года (на 15 п.п.). Продолжительность сеансов DDoS также продолжает неуклонно расти в абсолютном и относительном выражении (самая длинная из побежденных атак, которая была также самой длинной умной атакой, длилась 75 минут - впечатляющая цифра, учитывая, что большинство атак в этом сегменте фильтруются в ранние стадии). Во многом общий рост обусловлен увеличением продолжительности технически сложных атак, среднее и максимальное время которых выросло по сравнению с предыдущим кварталом и, тем более, с предыдущим годом.
Сравнение количества и продолжительности стандартных и умных атак для Q2 2018, Q1 2019 и Q2 2019
Таким образом, традиционное сокращение весенне-летнего квартала можно свести к падению доли неумных атак, поскольку это время, когда любители DDoS-экзаменов сдают экзамены и лежат на пляже. В мире профессиональных киберпреступников картина иная: показатели более сложных и, следовательно, опасных атак демонстрируют устойчивый рост. Это особенно очевидно по сравнению с аналогичным периодом прошлого года. Рост относительно первого квартала также очевиден, хотя и менее драматично (как мы прогнозировали в нашем предыдущем квартальном отчете). Последние данные уже указывают на устойчивую тенденцию. Будет очень интересно наблюдать, как ситуация разворачивается в следующем триместре: увидим ли мы дальнейший рост или рынок стабилизируется на текущем уровне?
Статистика методология
«Лаборатория Касперского» имеет давнюю историю борьбы с киберугрозами, включая DDoS-атаки всех типов и сложности. Специалисты компании осуществляют мониторинг ботнетов с помощью системы Kaspersky DDoS Intelligence. Являясь частью Kaspersky DDoS Protection , система DDoS Intelligence перехватывает и анализирует команды, полученные ботами с серверов C & C. Система является активной, а не реактивной, что означает, что она не ожидает заражения пользовательского устройства или выполнения команды. Этот отчет содержит статистику DDoS Intelligence за 2 квартал 2019 года. В контексте данного отчета инцидент считается одной DDoS-атакой, только если интервал между периодами активности ботнета не превышает 24 часов. Например, если один и тот же веб-ресурс подвергся атаке одного и того же ботнета с интервалом в 24 часа или более, это считается двумя атаками. Бот-запросы, исходящие из разных ботнетов, но направленные на один ресурс, также считаются отдельными атаками. Географические местоположения жертв DDoS-атак и серверов C & C, используемых для отправки команд, определяются их соответствующими IP-адресами. Количество уникальных целей DDoS-атак в этом отчете подсчитывается по количеству уникальных IP-адресов в квартальной статистике. Статистика DDoS Intelligence ограничена ботнетами, обнаруженными и проанализированными «Лабораторией Касперского». Обратите внимание, что ботнеты являются лишь одним из инструментов, используемых для DDoS-атак, и что этот раздел не охватывает каждую DDoS-атаку, которая произошла в течение рассматриваемого периода.
Краткая сводка
- В этом квартале Китай снова стал наиболее уязвимым регионом по количеству атак (63,80%), за которыми следуют США (17,57%) и Гонконг (4,61%).
- В тройке лидеров было небольшое движение, но внизу снова появились страны, обычно не связанные с высоким уровнем активности DDoS - на этот раз это были Нидерланды (4-е место с 1,54%) и Тайвань (7-е место с 1,15%).
- Топ-10 по количеству уникальных целей, как правило, совпадает с рейтингом по количеству атак: Китай (55,17%), США (22,22%) и Гонконг (4,53%) снова находятся здесь на подиуме. К ним присоединились Тайвань (1,61%) и Ирландия (1%).
- Самый изменчивый месяц в этом квартале был апрель, который включал пиковое время атаки; Самым тихим был май сразу после.
- По статистике, наибольшая доля атак пришлась на понедельник (17,55%), а воскресенье было самым спокойным днем (10,45%).
- Самая продолжительная атака (509 часов) во втором квартале значительно превзошла лидера предыдущего квартала и установила абсолютный рекорд с момента появления этих отчетов. Несмотря на это, общая доля продолжительных атак сократилась в этом квартале.
- Наибольшая доля нежелательного трафика во втором квартале все еще составляла SYN-флуд (82,43%), а затем UDP (10,94%). Тем не менее, трафик HTTP и TCP поменялся местами: последний продвинулся вперед на 3,26%, тогда как первый набрал только 2,77%.
- Доли ботнетов на базе Windows и Linux практически не изменились по сравнению с предыдущим кварталом.
- В географическом рейтинге по количеству серверов бот-сетей C & C доминируют США (44,14%), за ними следуют Нидерланды (12,16%) и Великобритания (9,46%). Интересно, что в первой десятке этого квартала не было места для России.
География атаки
Топ-3 по количеству атак на цели в конкретной стране в этом квартале практически не изменились: Китай по-прежнему на первом месте, хотя его доля снизилась примерно на 4 п.п. до 63,80%. На втором месте США с практически той же долей, что и раньше (17,57%), а на третьем - Гонконг (4,61%), чей вклад в общее количество кибератак также изменился очень мало. Тенденция прошлых кварталов продолжается, и в Топ-10 снова попали неожиданные гости. На этот раз они были Нидерландами, занявшими четвертое место с 1,54%, и Тайвань на седьмой позиции с отрывом 1,15%. Но в то время как Нидерланды не совсем незнакомы с Топ-10, войдя в 2016 году и заигрывая с ним в других случаях, результат представляет значительный рост показателей Тайваня. Топ-10 попрощались с Францией и Саудовской Аравией, а Канада опустилась с четвертого на восьмое, хотя в численном выражении ее доля фактически выросла до 0,93%. Список лидеров попал во Вьетнам (0,68%), в то время как Великобритания поднялась на одну позицию на шестое (1,20%). Сингапур остается на пятом месте, хотя его доля также выросла (до 1,25%).
Распределение DDoS-атак по странам, первый и второй кварталы 2019 год
Распределение числа уникальных целей более или менее соответствует распределению количества атак. Первые четыре места совпадают: Китай опубликовал 55,17% (снижение, опять же примерно на 4 п.п.), США 22,22% (рост примерно на 1 п.п.), Гонконг 4,53% (снижение на 0,2 п.п.) и Нидерланды 2,34%. (существенное изменение, так как страну не было видно в десятке лучших за последний квартал). Что касается оставшихся 10 лучших перестановок, то помимо Нидерландов Тайвань занял шестое место (1,61%), а Ирландия заняла девятое место с долей 1%. Между тем, Польша, Германия и Саудовская Аравия покинули Top 10, а Франция (0,9%) опустилась с седьмого места на последнее, несмотря на потерю всего 0,1 п.п.
Распределение уникальных целей DDoS-атак по странам, Q1 и Q2 2019
Динамика количества DDoS-атак
Вторая четверть, как и первая, была относительно спокойной, без резких скачков. Наибольшая активность наблюдалась в начале квартала, а пик дня был 8 апреля (538 атак). За этим последовало постепенное снижение в течение следующего месяца, с самым спокойным днем 9 мая (79 нападений). В начале июня организаторы DDoS-атак несколько оживились, но в конце месяца наблюдался очередной спад.
Динамика количества DDoS-атак во втором квартале 2019 года
Самым опасным днем недели во втором квартале с точки зрения DDoS был понедельник (17,55%), в котором сорвали лавровый венок с субботы. Это перекосило тенденцию последних кварталов, в которых наибольшая активность наблюдалась в середине и в конце недели. Воскресенье остается самым тихим днем (10,45%), а по пятницам также наблюдается относительное спокойствие (13,11%). Все остальные дни недели атаки распространяются более или менее равномерно.
Распределение DDoS-атак по дням недели, Q1 и Q2 2019
Продолжительность и виды DDoS-атак
Самая продолжительная атака во втором квартале 2019 года продолжалась 509 часов (доля за 21 день) и была направлена против китайского оператора связи China Unicom. Это самая длинная атака, когда-либо зафиксированная в этой серии ежеквартальных отчетов. Самая продолжительная атака в последней четверти была примерно в 1,7 раза короче (289 часов). Несмотря на новый рекорд, общая доля длительных атак в этом квартале значительно снизилась. Только атаки продолжительностью от 100 до 139 часов (0,11%) остались на том же уровне, в то время как доля атак продолжительностью 140 и более часов сократилась почти вдвое (с 0,21 до 0,13%). Что наиболее важно, доля атак средней продолжительности - от 50 до 99 часов - была сокращена почти на две трети, составив 0,54% всех атак против показателя прошлого квартала, равного 1,51%. Доля 5–19-часовых атак снизилась незначительно. Соответственно, доля атак не более четырех часов увеличилась: с 78,66% до 82,69%.
Распределение DDoS-атак по продолжительности (в часах), 1 и 2 кварталах 2019 года
С точки зрения типов DDoS-атак, SYN-флуд все еще остается самым популярным, хотя его доля снизилась примерно на 1,5 п.п. по сравнению с предыдущим кварталом до 82,43%. На втором месте - наводнение UDP, показатель которого, напротив, вырос на 2 п.п. до 10,94%. TCP-запросы поднялись на третье место с долей 3,26%, в то время как процент HTTP-трафика, наоборот, упал до 2,77%. Последнее место по-прежнему принадлежит наводнению ICMP с долей 0,59%.
Распределение DDoS-атак по типу, Q2 2019
Распределение атак по ботнетам по семействам остается примерно таким же, как и в предыдущем квартале, а атаки против систем Linux еще впереди с большим отрывом. Хотя активность Xor снова исчезла, это снижение было более чем компенсировано ростом числа атак на основе Mirai.
Соотношение атак ботнетов Windows / Linux, Q1 и Q2 2019
География распространения ботнетов
С точки зрения географического распределения серверов бот-сетей C & C США (44,14%) остаются на вершине. В топ-10 вошли Нидерланды (12,16%) и Великобритания (9,46%). Китай занял только пятое место (4,95%), в то время как доля Южной Кореи (1,80%) была достаточно хороша для второго места. Кроме того, топ-10 в этом квартале приветствовали Грецию (1,35%), но вытеснили Румынию и, что еще более удивительно, Россию.
Распределение серверов бот-сетей C & C по странам, второй квартал 2019 года
Заключение
Как и в прошлых кварталах, топ-10 географических распределений продолжают поражать. Это может быть не только потому, что вдохновители DDoS ищут новые места, где сила закона не так длинна и цены на электроэнергию не слишком высоки, но и потому, что порог для проникновения в Топ-10 довольно низок. Как правило, лидеры тройки лидеров отлавливают большинство атак, поэтому доли во всех остальных регионах остаются относительно небольшими. В этом случае даже небольшие колебания могут привести к тому, что страна поднимется или опустится в рейтинговых списках. Правда, это не может полностью объяснить исчезновение традиционных лидеров, таких как Южная Корея и Россия (отсутствие последнего в топ-10 по количеству бот-сетей C & C особенно поразительно). Если перестановка действительно связана с ужесточением правовых механизмов, мы должны ожидать, что в рейтинговых списках будут представлены страны с плохо разработанными законами о киберпреступности. Отсутствие всплесков DDoS в этом квартале, очевидно, связано с сезонными колебаниями; летние месяцы традиционно более безмятежны, хотя бы относительно условно.
1 комментарий:
Tinting Titanium - Tinting Titanium | Titanium Art - iTomeGames
Tinting titanium men\'s wedding band Titanium. Titanium Art. Tinting Titanium titanium price per ounce Art. Tinting Titanium. Tinting Titanium. titanium linear compensator Tinting Titanium Art. Tinting Titanium Art. Tinting ford fusion titanium for sale Titanium Art. Tinting titanium nipple barbells Titanium Art. Tinting $9.99 · In stock
Отправить комментарий