Компания Selectel поделилась статистикой отражения DDoS-атак во II полугодии 2024 года. Количество атак резко выросло — до 80 735, что в 2,6 раза превышает показатель аналогичного периода годом ранее и в среднем составляет 13 455 атак в месяц. Речь идёт об атаках, зафиксированных системой защиты от DDoS сетевой инфраструктуры дата-центров Selectel, которая работает при использовании облачной платформы компании, платформенных сервисов и выделенных серверов, включая аттестованные сегменты.

Максимальное количество атак на одного клиента в среднем составляло 2780, в сентябре был зафиксирован рекорд — 4621 инцидент, что в 3,6 раза больше, чем в I полугодии. Максимальный объём атаки был отмечен в ноябре — 412 Гбит/с, хотя средний объём переданных данных за инцидент в этом месяце был минимальным, а наибольшее значение этого показателя (48 Гбайт) было зафиксировано в июле.

Источник изображений: Selectel

Наибольшее среднее количество переданных пакетов за инцидент в размере 500 млн было зафиксировано в июле, что в 24 раза превышает минимальное значение, отмеченное в сентябре. Наиболее высокая скорость атаки была зафиксирована в июле — 103 млн пакетов/с, что почти в 5 раз превышает максимальный показатель в декабре, оказавшийся самым низким — 22 млн пакетов/с. Наиболее часто наблюдались атаки типа TCP PSH/ACK Flood, TCP SYN Flood и UDP Flood, на которые пришлось 70 % всех атак.

За отчётный период суммарная продолжительность атак составила 9718 часов. Больше всего атаки длились в октябре — 2 167 часов, минимальная длительность зафиксирована в ноябре — 1127 часов. За исключением июля, средняя продолжительность одной атаки не превышала 7 минут, а больше всего атака продолжалась в декабре — 202 часов, что почти в 10 раз больше показателей предыдущих месяцев. В среднем общая длительность атак на одного клиента составила 10 часов, а максимальное время нахождения клиента под атакой — 492 часа — в 2,9 раза больше показателей I полугодия 2024 года.

Подводя итоги 2024 года, Selectel сообщил, что отразил 112 171 атаку на своих клиентов. Общее время, в течение которого заказчики Selectel были под атакой, составило 13 613 часов. Увеличилось количество атак и общая продолжительность, хотя средняя длительность одной атаки изменилась незначительно. По данным Selectel, участились повторные инциденты, что привело к росту максимальной общей длительности атак на одного клиента со 172 часов в апреле до 492 в июле, а максимальное время одной атаки выросло до 202 часов в декабре со 156 часов в апреле.

В 2023 году количество DDoS-атак на российские компании заметно выросло. По данным StormWall рост составил 29 % год к году, что, по мнению экспертов, было связано с повышенной активностью хактивистов в первой половине прошлого года, а также стремлением хакеров обогатиться с помощью шантажа и вымогательства в IV квартале.

Больше всего выросло количество атак на предприятия телеком-сферы, транспортной отрасли и госсектора. Как сообщает StormWall, в 2023 году число DDoS-атак на телеком-компании выросло год к году на 92 %, на транспортные организации — на 38 %, на государственные сервисы — на 34 %. Рост атак на телеком-сферу связан с тем, что у региональных телеком-компаний не было профессиональной защиты от многовекторных DDoS-атак, чем не преминули воспользоваться хактивисты в III квартале. А транспортная сфера и госсектор подвергались атакам хактивистов в течение всего года.

Источник изображения: Tumisu/Pixabay

Также эксперты StormWall зафиксировали рост на 28 % числа DDoS-атак на ретейл, на 26 % — на сферу развлечений и на 23 % — финансовый сектор. Наиболее сильные всплески атак на ретейл были зафиксированы в IV квартале в ходе Черной пятницы и подготовки к Новому году. Атаки хактивистов на сферу развлечений и на финансовый сектор продолжались в течение всего года во всех регионах России. Число DDoS-атак в прошедшем году на энергетическую отрасль увеличилось год к году на 19 %, на нефтяную сферу — на 17 %, а на производственные компании — на 7 %. В других отраслях рост атак был незначительным.

По оценкам EdgeЦентра, провайдера облачных и edge-решений, в 2023 году количество кибератак на российские компании и организации увеличилось на 300 % по сравнению с 2022-м. Согласно прогнозу экспертов, который приводит газета «Коммерсантъ», в 2024-м ситуация продолжит ухудшаться, что связано со сформировавшейся геополитической обстановкой.

Специалисты EdgeЦентра подсчитали, что в уходящем году кибернападениям подверглись более 50 крупных предприятий РФ из различных отраслей — транспортной сферы, государственного и финансового секторов. В общей сложности проведены свыше 130 тыс. DDoS-атак на российские компании средней продолжительностью 15 минут. Самая продолжительная вредоносная кампания длилась примерно восемь суток. Более 500 DDoS-атак имели мощность, превышающую 100 Гбит/с.

Источник изображения: pixabay.com

Эксперты EdgeЦентра полагают, что в 2024 году число DDoS-атак на российский бизнес подскочит как минимум на 400 % в годовом исчислении. Наблюдающаяся тенденция объясняется прежде всего сложной геополитической ситуацией. «Лаборатории Касперского» добавляет, что в 2024-м на фоне потрясений может вырасти количество атак, спонсируемых государствами. Их целью обычно является кража или шифрование данных, разрушение IT-инфраструктуры, кибершпионаж и киберсаботаж.

В целом, по данным «Лаборатории Касперского», за последние два года подавляющее большинство организаций в России (69 %) пострадали как минимум от одного инцидента кибербезопасности. Причём больше половины из них (58 %) оцениваются как критические. «Лаборатория Касперского» полагает, что в условиях стремительного развития ИИ и больших языковых моделей в 2024 году будут возникать новые сложные уязвимости.

Компания «Гарда» обнародовала результаты исследования, в ходе которого изучались ландшафт и особенности DDoS-атак в России в III квартале 2023 года. Аналитики зафиксировали рост интенсивности атак, реализующих TCP-флуд. В результате, увеличивается количество нападений на сервисы.

В отчёте говорится, что по сравнению со II четвертью текущего года значительно выросла доля TCP SYN-флуда, достигнув 60 %. На втором месте в рейтинге наиболее распространённых DDoS-атак с показателем 20 % находится TCP ACK-флуд. UDP-флуд занимает третью позицию: при этом его доля сократилась с 27 % до 13 %. На атаки типа DNS Amplification пришлось 3 %, тогда как доля NTP Amplification упала с 9 % до 1 %.

Источник изображений: «Гарда»

В III квартале 2023 года с наибольшим количеством DDoS-атак столкнулись российские телекоммуникационные компании: на них пришлось приблизительно 25 % всех подобных нападений. Далее следуют сегмент транспорта/перевозок и государственный сектор с 20 % каждый. Таким образом, на эти три сферы приходится в общей сложности примерно две трети всех DDoS-атак — 65 %.

Сравнительно высокие показатели отмечаются по топливно-энергетическому комплексу (11 %) и промышленности (10 %), что может говорить о попытке воздействия на сектор реальной экономики. Шестое и седьмое места занимают IT-сфера (6 %) и финансовый сектор (6 %), которые также являются традиционными целями злоумышленников. Далее идёт образование с 1 %.

В рейтинге стран, из которых атакуют российские ловушки (речь о попытках захватить управление ловушкой и расширении ботнет-сетей), по-прежнему лидирует Китай с показателем 46,45 %. Индия увеличила значение до 30,41 % (против 24,78 % во II квартале 2023 года), тогда как Южная Корея показала значительное снижение, сократив долю до 3,5 %. Далее следуют США и Тайвань — 2,7 % и 1,7 % соответственно.

В России запустили тестирование системы противодействия DDoS-атакам на основе ТСПУ, а с начала 2024 года к этой системе должны подключиться 160 организаций. К созданию системы приступили этим летом, когда Роскомнадзором был объявлен тендер на её развитие стоимостью 1,4 млрд руб. В частности, требовались доработка ПО ТСПУ, создание координационного центра по защите от DDoS-атак, поставка оборудования и передача права использования соответствующего ПО.

Перечень организаций, которые будет необходимо подключить к системе, определяется совместно с Минцифры, ФСТЭК России и другими заинтересованными ведомствами. В Роскомнадзоре сообщили «Коммерсанту», что к системе подключаются государственные организации, компании финансового и транспортного сектора, энергетики, СМИ и операторы связи.

Источник изображения: Pixabay

Источник «Коммерсанта» выразил сомнения в эффективности системы на основе ТСПУ, поскольку она только отслеживает паттерны вредоносных пакетов в трафике. Если эти показатели меняются, то система становится бесполезной. Хотя это лучше, чем полное отсутствие защиты от DDoS-атак, конкуренцию профессиональным решениям такая система составить не сможет, заявил собеседник «Коммерсанта».