Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в шесть раз с прошлого года и стала в среднем равна двум суткам, подсчитали аналитики. Злоумышленники стали более тщательно выбирать жертв, а также перестали использовать дорогие инструменты для нападений и сейчас предпочитают атаковать незащищенные ресурсы самыми экономичными способами, говорят эксперты.
Фото: Ирина Бужор, Коммерсантъ
Фото: Ирина Бужор, Коммерсантъ
“Ъ” ознакомился с отчетом компании по защите от интернет-угроз Qrator Labs за первый квартал, посвященным хакерским DDoS-атакам (атака на сервер по модели «отказ в обслуживании»). Исследователи обнаружили, что по сравнению с первым кварталом 2022 года длительность DDoS-атак сократилась более чем в шесть раз.
Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам.
Самые продолжительные атаки, пишут в Qrator Labs, были зафиксированы на операторов фискальных данных (ОФД, 22 часа), сферу онлайн-образования (20 часов), медиа (20 часов) и программные сервисы (10 часов).
При этом за весь 2022 год продолжительность атак значительно выросла: только за первые три месяца несколько раз был обновлен рекорд их максимальной длительности — одна из DDoS-атак, начавшись в мае, продолжалась почти 29 дней (см. “Ъ” от 21 июля 2022 года).
В «РТК-Солар» оценили сокращение времени, которое российские ресурсы в среднем находились под атакой хакеров, в четыре раза по сравнению с первым кварталом 2022 года.
Но в компании отмечают, что фиксировали и атаки длительностью до 32 дней, причем целями такого DDoS стали организации самых разных сфер экономики: страхования, ритейла, промышленности.
Сокращение максимальной длительности DDoS-атак в первом квартале года можно связать с расширением спектра целей атак у злоумышленников, считает основатель и гендиректор Qrator Labs Александр Лямин. Сейчас, по его словам, они не фокусируются на отдельно взятых ресурсах, пробуя «положить» их в течение длительного периода: в случае неудачи хакеры просто не тратят время на продолжение нападения, а ищут новые жертвы.
Действительно наблюдается изменение вектора атак с хаотичных на более качественные, соглашаются в компании DDoS-Guard. Атакующие проводят анализ ресурсов и выбирают в роли жертв тех, кто не имеет защиты от DDoS или использует слабую.
Наиболее пострадавшими от таких атак за первый квартал стали региональные СМИ, развлекательные ресурсы, обучающие платформы, сферы бухгалтерского учета и банковский сектор, говорят в DDoS-Guard.
С трендом на сокращение длительности атак согласны и в Softline: «Это можно объяснить тем, что многие компании начали блокировать входящий трафик по геолокации, что, в свою очередь, делает неэффективными атаки из-за рубежа. В связи с этим на серых рынках выросли в цене российские socks-сервера, что сделало мощную DDoS-атаку очень дорогой в реализации».
Раньше у злоумышленников были не очень качественные инструменты «замера успешности атак». Они могли продолжать направлять вредоносный трафик на жертву долгое время, не зная, что бот, проверяющий успешность атаки, заходя на ресурс, уже заблокирован, рассуждает Александр Лямин:
«Сейчас у хакеров улучшилось качество мониторинга, и при неудовлетворительном результате они фиксируют это сразу и останавливают атаку, не увенчавшуюся успехом».
Если сравнивать март 2022 и 2023 годов, можно отметить существенное (с 38% до 8,5%) сокращение доли более дорогих DDoS-атак (заключаются в отправке большого количества запросов в достаточно короткий срок), тогда как доля атак, не требующих ботнета, выросла более чем в два раза (с 5% до 12%), поскольку они дешевле в реализации, подтверждает руководитель направлений WAF и Anti-DDoS компании «РТК-Солар» Алексей Пашков. Этот тренд подтверждает и ситуация с другими типами кибератак: время, которое стало необходимо злоумышленникам на взлом IT-инфраструктуры жертвы в 2023 году, сократилось примерно на 20% по сравнению с началом прошлого года (см. “Ъ” от 13 апреля). Этому способствуют новые инструменты, в том числе продажи на специализированных форумах необходимых недорогих кодов для совершения атак.