В 3 квартале 2016 года от DDoS-атак пострадали веб-ресурсы в 67 странах мира, причем 97% из них пришлось на Китай, США и Южную Корею. При этом Китаю «досталось» больше всех — 62,6% DDoS-атак были нацелены на ресурсы именно этого государства. Число атак, зафиксированных в России, невелико, однако по сравнению с предыдущим кварталом оно выросло с 0,8% до 1,1%, выяснила «Лаборатория Касперского».
Самая долгая атака в отчетном периоде продолжалась 184 часа и была нацелена на китайского провайдера, а один из китайских поисковиков стал рекордсменом по числу DDoS-атак на одну и ту же цель — за 3 квартал ресурс был атакован 19 раз.
45,8% выявленных серверов управления и контроля ботнетов в 3 квартале находилась на территории Южной Кореи, 12,4% — в Китае, 9,6% — в США. На четвертом месте оказалась Россия (5,2%). Число активных управляющих серверов заметно выросло в Нидерландах (4,8%), Великобритании (4,4%), и Франции (2%). Кроме того, в «рейтинга» попали Гонконг и Украина (по 2%).
В целом эксперты «Лаборатории Касперского» заметили увеличение числа «умных» атак, которые используют защищенные https-соединения и таким образом избегают распознавания защитными системами. Чаще всего при подобных DDoS-атаках злоумышленники создают сравнительно небольшие по объему потоки запросов к «тяжелой» части сайтов (например, к поисковым формам) и отправляют их с использованием https-протоколов, защищенных шифрованием. Системы распознавания и предотвращения DDoS-атак, в свою очередь, зачастую не способны расшифровывать трафик «на лету» и пропускают все запросы на сервер веб-ресурса. Таким образом, запросы атакующих остаются незамеченными, и DDoS-атака становится успешной даже при низкой интенсивности.
«Стремление владельцев веб-ресурсов к защите информации и повышению уровня приватности, а также удешевление вычислительных мощностей привели к возникновению устойчивой тенденции: классический http заменяется на https, то есть увеличивается доля ресурсов, работающих с использованием шифрования. Разумеется, киберпреступники не могли не попытаться использовать эту ситуацию в своих интересах. Мы полагаем, что количество атак с использованием шифрования будет расти. Намечающаяся тенденция уже сейчас требует от разработчиков систем кибербезопасности в корне пересмотреть подходы к решению проблемы защиты от распределенных атак, поскольку наработанные решения могут оказаться неэффективными уже в ближайшем будущем», — отметил Алексей Киселев, руководитель проекта Kaspersky DDoS Prevention в России.
Еще одной тенденцией остается увеличение доли атак с Linux-ботнетов — в 3 квартале она выросла на 8% и достигла к октябрю 78,9%. Это отчасти коррелируется с ростом популярности и без того самого распространенного метода SYN-DDoS, для которого Linux-ботнеты являются наиболее подходящим инструментом. Однако на Linux сегодня работают и многие IoT-устройства. Именно поэтому внимание экспертов привлекла публикация исходного кода ботнета Mirai, который содержит встроенный сканер, находящий уязвимые устройства интернета вещей и включающий их в состав ботнета.
«Интернет вещей все больше превращается в мощнейший инструмент для злоумышленников, чему способствует пренебрежение информационной безопасностью как со стороны вендоров, так и со стороны пользователей», — добавил Алексей Киселев.
