За последние 3 месяца 2016 года в области распределенных атак типа отказ в обслуживании (DDoS) произошли значительные достижения. Методы становятся все более изощренными, спектр устройств, подключенных к ботнетам, становится все более разнообразным, а злоумышленники демонстрируют свои возможности, выбирая более крупные и заметные цели.
В 4 квартале 2016 года система DDoS Intelligence «Лаборатории Касперского» сообщила об атаках DDoS, выполненных с помощью ботнетов в 80 странах — по сравнению с 67 странами в предыдущем квартале. Десятка стран с наибольшим количеством жертв DDoS также изменилась: Германия и Канада сменили Италию и Нидерланды. Три страны из Западной Европы (Нидерланды, Великобритания и Франция) остаются в десятке стран с наибольшим количеством размещенных C & C-серверов второй квартал подряд, и в 4 квартале к ним присоединились Болгария и Япония.
Самая долгая DDoS-атака в 4 квартале длилась 292 часа (или 12,2 дней), оказавшись рекордной для всего 2016 года. В последнем квартале также наблюдалось рекордное количество атак DDoS за один день — 1915 стартовали 5 ноября.
В целом 4 квартал был богат на примечательные DDoS-атаки против разнообразных объектов, в т.ч. систему имен домена Dyn, Deutsche Telekom и некоторые крупнейшие банки России. Эти компании стали одними из первых жертв нового направления — DDoS-атак, запускаемых с помощью огромных ботнетов, состоящих из уязвимых устройств интернета вещей, примером которых служит Mirai. Подход создателей Мirai послужил основой для многих других ботнетов, состоящих из зараженных устройств IoT.
На протяжении всего квартала наблюдалось значительное снижение количества усиленных DDoS-атак, которые были популярны в первой половине 2016 года. Это произошло благодаря улучшенной защите от таких атак и меньшему количеству уязвимых серверов, доступных для киберпреступников.
В то же время ниша, освобожденная от усиленных атак, заполнилась атаками на уровне приложений, примером которых может стать атака на сайты WordPress с включенным Pingback. Обнаружение атак на уровне приложений представляет собой гораздо более сложную задачу, поскольку они имитируют деятельность реальных пользователей. Тот факт, что эти атаки чаще используют шифрование, только повышает уровень риска. Шифрование значительно повышает эффективность атак DDoS, усложняя процесс фильтрации "мусора" из огромного числа легитимных запросов, необходимых для расшифровки.
Специалисты «Лаборатории Касперского» прогнозируют, что тенденция к все более сложным DDoS-атакам и большему количеству IоT-ботнетов продолжится и в 2017 году.
"IoT-устройства могут запускать DDoS-атаки любой сложности, в т.ч. на уровне приложений и зашифрованные атаки. Учитывая эффективность IoT-ботнетов, а также растущее количество плохо защищенных IoT-устройств, мы можем обоснованно прогнозировать увеличение числа, а также мощности и сложности таких атак. Это значит, что компании должны позаботиться о своей безопасности заранее и скрупулезно подходить к выбору сервиса для фильтрации DDoS-атак", — прокомментировал Кирилл Илганаев, руководитель по защите от DDoS в «Лаборатории Касперского».