Количество DDoS–атак на российские организации, связанные с государством, выросло в десятки раз.
За минувший сентябрь Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП, входит в структуру Роскомнадзора) отразил 1347 DDoS–атак в отношении систем органов государственного управления, финансового, промышленного секторов, топливно–энергетического комплекса и операторов связи. Максимальная мощность атак достигала 507 Гбит / с и 49,33 млн пакетов в секунду (п / с). Самая продолжительная длилась 72 часа 53 минуты. В предыдущие месяцы атак было в десятки, а то и в сотни раз меньше. Кроме того, заблокировано 5448 фишинговых ресурсов и девять сайтов, распространявших вредоносное программное обеспечение.
Дорогое удовольствие
"В последние несколько лет DDoS–атаки на российские организации преимущественно относятся к идеологически мотивированным, а потому сами по себе вряд ли приносят злоумышленникам финансовую выгоду. Например, мы наблюдали, как атакующие преследовали цель остановить работу любого ресурса организации, который не защищён должным образом, и атаковали их по очереди в поиске слабых мест", — говорит эксперт Kaspersky DDoS Protection Вячеслав Кириллов.
За значительной частью DDoS–атак стоят так называемые хактивисты, цель которых — не прибыль, а привлечение внимания, подтверждают в Threat Intelligence компании F. A. C. C. T. Действия DDoS–вымогателей, которые предлагают прекратить атаки за выкуп, носят скорее единичный характер. При этом организация самих атак стоит недёшево.
"Если говорить про использование площадок DDoS–as–a–service, то можно сказать, что атака продолжительностью 24 часа может стоить $250–500. В остальных случаях оценить стоимость сложно, поскольку она будет по большей части зависеть от способа получения материальной базы серверов", — добавили в F. A. C. C. T.
Если злоумышленники всё же нацелены на получение выгоды, то и здесь всё не сводится к банальному вымогательству. Проведение DDoS–атаки может преследовать разные цели, начиная с воздействия на репутацию компании или организации (в этом случае оценить ущерб со стороны невозможно) и заканчивая реализацией многоступенчатого плана, направленного на получение доступа к ценным данным.
Телеком под ударом
DDoS–атаки продолжают показывать устойчивый рост, и предпосылок к снижению их числа пока нет. По данным Kaspersky DDoS Protection, к концу первого полугодия 2024 года средняя мощность атак по сравнению с началом 2024 года выросла более чем в 6 раз, а среднее время длительности атаки — примерно втрое. Основные сектора, где атакующие концентрируют свои усилия, — финансовый, государственный и телеком.
"Те организации, которые позаботились о безопасности всех своих ресурсов и выстроили комплексную защиту, включающую решения по защите от DDoS с актуальными механизмами фильтрации трафика, сейчас могут эффективно нивелировать последствия столкновения с этой угрозой. Например, для защиты трафика web–ресурсов можно использовать технологию обратного проксирования (запросы из внешней сети ретранслируются на один или несколько серверов. — Ред.) в связке с решением защиты от злонамеренных ботов", — комментирует Вячеслав Кириллов.
В F. A. C. C.T. отмечают, что если ориентироваться на отдельные группы хактивистов, то можно сказать, что их атаки направлены в первую очередь на региональных телеком–операторов, а также на государственный и банковский сектора.
Заместитель генерального директора по стратегическим проектам "ОБИТ" Михаил Телегин также отмечает участившиеся случаи нападения на телеком–отрасль. "Это один из секторов, который остро встал под прицел, так как на инфраструктуре операторов завязано жизнеобеспечение многих компаний. Если злоумышленник стремится нанести вред конкретной организации, ему легче и эффективнее действовать через сеть оператора, на инфраструктуре которого располагаются её ресурсы", — поясняет эксперт. Мощность и длительность атак также заметно выросла. Если раньше она измерялась часами, то сейчас доходит в среднем до суток, добавил Телегин.
Чистая политика
Доля DDoS–атак от общего числа киберугроз в России и СНГ в 2023 году и в первом полугодии 2024–го выше общемирового показателя — 18% против 8%. Такое отличие связано с напряжённой внешнеполитической обстановкой, считает руководитель направления аналитических исследований Positive Technologies Ирина Зиновкина.
"Она служит поводом для образования большого количества новых хактивистских группировок, объединяющихся в альянсы для проведения массовых DDoS–атак, прежде всего на организации в России. Если говорить конкретно про отрасли, то каждая пятая атака на госучреждения (19%) в СНГ — это DDoS", — говорит она.
Как правило, DDoS–атаки усиливаются накануне или в день значимого политического или социального события. Поток DDoS–атак на телеком при этом связан прежде всего со стремлением хактивистов препятствовать предоставлению качественных услуг связи основным политическим игрокам.