В России в январе 2023 года количество DDoS-атак, служащих прикрытием для сложных целевых инцидентов на российские компании, стало на 35 % больше, чем в январе 2022 года, обнаружили эксперты StormWall.

По мнению экспертов StormWall, изучивших данные своих клиентов, основной целью атакующих являлся вывод из строя ИТ-инфраструктуры организации или взлом системы для получения несанкционированного доступа к данным пользователей или компаний. Хакеры применяли DDoS-атаку для отвлечения внимания от проникновения внутрь организации или вывода уже полученной информации. Отдел информационной безопасности вынужден был направлять все силы на защиту ИТ-инфраструктуры от атаки, ослабляя наблюдение за системами от других опасностей.

Изображение: StormWall

Наибольшее количество DDoS-атак для отвлечения внимания в январе 2023 года пришлось на финтех (рост на 83 %), ритейл (+62 %) и игровую индустрию (+53 %). Рост подобных на образовательную сферу составил 18 %, на медицинскую отрасль – 14 % и на телеком-сектор – 10 %. Запустив DDoS-атаку в финтех-компаниях для отвлечения внимания, злоумышленники с помощью вредоносных программ пытались произвести взлом внутренних систем и сайтов организаций. В результате взлома произошла утечка персональных данных клиентов, некоторые организации столкнулись с дефейсом. Большинство DDoS-атак на финтех-компании были организованы политически мотивированными хактивистами.

В 2022 году Россия заняла 4-е место в мире по количеству DDoS-атак, направленных на коммерческие структуры и государственные предприятия. По данным StormWall, атаки на нашу страну занимали 8,4 % от общего количества кибернападений на все страны. По мнению специалистов StormWall, такие высокие показатели фиксируются впервые. Традиционно самыми атакуемыми в мире странами остаются Китай и Индия.

Большинство DDoS-атак было направлено на финансовую отрасль (28 % от общего количества атак, рост количества атак в 18 раз), телекоммуникационную сферу (18 %, рост в 12 раз), госсектор (14 %, рост в 25 раз) и ритейл (12 %, рост в 8 раз). Затем идут развлекательная сфера (10 %, рост в 4 раза), страхование (7 %, рост в 12 раз), СМИ (5 %, рост в 30 раз), образование (3 %, рост в 2 раза) и логистика (2 %, рост в 4 раза). Среди экспертов ИБ топ самых атакуемых секторов экономики разнится. Так, Positive Technologies на первое место ставит госсектор.

Изображение: StormWall

Большинство атак в 2022 году осуществлялось по протоколу HTTP/HTTPS (78 %). На втором месте находятся атаки по протоколу TCP/UDP (16 %), атаки по протоколу DNS составили 2 %, остальные атаки — 4 %. Максимальная мощность достигала 2 Тбит/с или 1 млн запросов в секунду благодаря использованию ботнетов для организации атак. Основная причина огромного количества DDoS-атак на российские компании в 2022 году — активность политически мотивированных хактивистов. Кроме того, ряд инцидентов был организован злоумышленниками с целью вымогательства, а также конкурентами.

По данным исследования DDoS-Guard, в 2022 году количество атак на Рунет выросло на 700 % по сравнению с 2021 годом. Основной удар пришелся на СМИ, госсектор и сайты банков. Среднее количество DDoS-атак в сутки выросло в 10 раз, в час — в 11 раз. Самыми «горячими» месяцами стали март и август. По сравнению с 2021 годом длительность атак сократилась, но их частота выросла в 3-4 раза. Абсолютное большинство DDoS-атак длилось до 20 минут.

Главной мотивацией для DDoS-атак в 2022 году стал хактивизм — ангажированные киберпреступления, которые совершают в поддержку и для демонстрации тех или иных политических идей. Первое время паттерны инцидентов были хаотичными, но весной их организаторы стали действовать более слаженно, появились и специализированные сообщества, цель которых — массовые кибератаки на российский сегмент интернета.

Источник: DDoS-Guard

В начале 2022 года основной мишенью киберпреступников были развлекательные сайты. Во втором полугодии чаще всего под лавиной вредоносного трафика оказывались новостные сайты — количество DDoS-атак на СМИ выросло в рекордные 77 раз (51,8 тыс. инцидентов против 670 в 2021 году). Веб-ресурсы, связанные с госорганами, атаковали в 55 раз чаще (20,8 тыс. инцидентов против 370), а на сайты банков и финансовых организаций пришлось в 21 раз больше атак, чем в 2021 году (27,6 тыс. инцидентов против 1318).

Источник: DDoS-Guard

Учитывая геополитическую напряженность, к весне 2023 ожидается прирост количества инцидентов еще примерно на 300 %. Киберактивисты сосредоточатся на сервисах внутрикорпоративных экосистем и приложениях, которыми одновременно пользуются сотни компаний. Ожидается рост киберузгроз с использованием шифровальщиков. Останутся актуальны и все прежние типы атак, в частности TCP- и UDP-флуд.

С конца февраля этого года заметно выросла мощность DDoS-атак на российские ресурсы, а также их продолжительность, отметил глава Роскомнадзора (РКН) на форуме «Спектр». По словам чиновника, средняя продолжительность DDoS-атаки в мае достигала 57 ч., тогда как в феврале–марте 2021 года этот показатель был равен 12 мин.: «Ежедневно бомбардировкам в сети подвергались сотни российских ресурсов» (цитата по ТАСС). Также отмечается, что количество значимых атак на российскую информационную инфраструктуру возросло в 4,5 раза.

Глава РКН рассказал, что для фильтрации DDoS-трафика использовались технические средства противодействия угрозам Центра мониторинга и управления сетью связи общего пользования, установленные на трансграничных узлах связи. Благодаря их применению были отражены «тысячи атак на информационные ресурсы федеральных и региональных органов власти, портал Государственных услуг, организаций финансового сектора — Сбербанка, Россельхозбанка, платёжной системы “МИР” и системы быстрых платежей, РЖД, российских СМИ, а также многих других значимых ресурсов и систем».

Источник изображения: Pixabay

Напомним, что в августе был зафиксирован всплеск DDoS-атак на платёжные системы в России, когда их количество по данным компании StormWall, выросло на 126 %. Как сообщает StormWall, инструменты, разработанные для DDoS-атак на российские компании, теперь стали применяться хакерами по всему миру.

В III квартале 2022 года во всем мире зафиксировано на 90 % больше атак, чем в III квартале 2021 года. Продолжительность инцидентов тоже увеличилась на 60 %, подсчитали эксперты компании StormWall. При этом инструменты, разработанные для DDoS-атак на российские компании, стали применяться по всему миру. Ожидается, что новое поколение инструментов существенно упростит проведения крупномасштабных атак.

Самое большое количество DDoS-атак в III квартале 2022 года во всем мире пришлось на телеком-сферу (43,2 %), также много атак было направлено на развлекательную сферу (21,3 %), финотрасль (16,3 %), онлайн-ритейл (14,8 %), образовательную сферу (2,1 %), логистику (1,3 %). Сильный рост количества атак произошел из-за высокой активности политически мотивированных хактивистов, уверяют эксперты. Также количество инцидентов увеличилось в связи с тем, что хактивисты разработали новые общедоступные инструменты для запуска атак.

Источник изображения: pixabay.com

Большинство атак на телеком-компании проводилось ради вымогательства и шантажа, а также по причинам политического характера. В России основными инициаторами нападений на банки и платежные системы стали политически мотивированные хактивисты, в других странах инциденты на финансовые организации проводились с целью вымогательства.

В секторе онлайн-ритейла больше всего пострадали интернет-магазины электроники, мебели и одежды. Основной причиной нападений называется нечистоплотная конкуренция участников рынка. В сегменте образования ряд атак также был организован политически мотивированными хактивистами, которые пытались сорвать в России онлайн-обучение или проведение кампании по поступлению в вузы.

Большинство DDoS-атак пришлось на HTTP/HTTPS (73 %), доля атак с использование TCP/UDP составила 19 %, а DNS — 3 %. В России количество DDoS-атак в III квартале 2022 года выросло на 180 % по сравнению с III кварталом 2021 года. Лидером по количеству атак стал финансовый сектор (45 % от общего количества атак), затем идет онлайн-ритейл (21 %), телеком-сфера (18 %), сектор развлечений (9 %), образование (4 %).

Около 90% компаний, находящихся под защитой «Ростелеком-Солар», ежедневно находятся под DDoS-атаками. Средний показатель роста числа атак в России с июня по июль 2022 года составил примерно 15 %. Наиболее подвержены действиям киберпреступников предприятия и организации госсектора, промышленности и финансовой отрасли.

Заместитель директора департамента регионального развития бизнеса по информационной безопасности «Ростелеком-Солар» Николай Климцев отмечает, что если раньше атаки носили хулиганский характер и были не так критичны для компании, то в настоящее время за атаками стоят проправительственные группировки и кибернаёмники, которые используют DDoS как отвлекающий маневр для проникновения и закрепления в ИТ-инфраструктуре организации с целью нанесения наибольшего вреда.

Источник: «Ростелеком»

Линейка продуктов «Ростелеком-Солар» включает технологию предотвращения утечек информации Solar Dozor, решение для роста эффективности сотрудников Solar add Visor, систему контроля доступа сотрудников к веб-ресурсам Solar web Proxy. На первом этапе создания надежной информационной системы проводится оценка уровня кибербезопасности госпредприятия. Затем специалисты выстраивают комплексную защиту ИТ-инфраструктуры с учетом бизнес-процессов организации на базе продуктов «Ростелеком-Солар» и внедряют экосистему управляемых сервисов кибербезопасности по подписке Solar MSS. В финале защиту от внешних угроз обеспечивает центр противодействия кибератакам Solar JSOC.

По данным аналитиков компании StormWall, количество DDoS-атак на платежные системы в августе 2022 года выросло на 126% по сравнению с аналогичным периодом прошлого года. Сообщается, что атаки на финансовые сервисы были организованы группой мотивированных хактивистов, которые стремились нанести вред экономике России.

Основная цель атак — нарушение нормальной работы сервисов так, чтобы проведение любых финансовых операций было невозможным. У ряда сервисов наблюдались проблемы с выполнением операций в течение нескольких часов, однако полностью блокировать работу российских платежных систем хактивистам не удалось, так что нанести серьезный ущерб финансовым сервисам не удалось. Многие платежные системы заранее подключили профессиональные решения по защите от DDoS-атак, и это помогло быстро отразить атаки.

Источник изображения: Pixabay

Максимальная мощность атак составила 400 тыс. запросов в секунду, а максимальная длительность атак была 8 часов. Очевидно, что хактивисты использовали профессиональные инструменты для организации столь крупных атак. Однако, отмечают эксперты, активность киберпреступников постепенно снижается, и атаки уже не такие мощные и не такие длительные, как раньше, но это временное затишье. DDoS-атаки становятся все более профессиональными, их становится сложнее отразить самостоятельно.

В начале августа 2022 года произошел сильный всплеск DDoS-атак на российские системы видеоконференцсвязи (ВКС), сообщают эксперты StormWall. Было атаковано до 20 различных сервисов, среди которых TrueConf, Videomost, Webinar.ru, iMind. Данные платформы используются многими российскими предприятиями, в том числе такими государственными компаниями как «Роскосмос», «Росатом», «Ростех».

Пиковая мощность атак составляла 180 тыс. запросов в секунду, максимальная длительность атак — 30 часов. Чтобы организовать как можно больше атак на системы видеоконференцсвязи, хактивисты разместили призывы к атакам и списки российских систем видеоконференцсвязи в телеграм-каналах хакеров-любителей. Атаки начались 12 августа и продолжаются до сих пор.

Изображение: StormWall

Такие призывы к атакам подтверждают в TrueConf. В начале августа компания сообщила, что злоумышленники из-за границы совершили неудачные попытки помешать работе систем видеоконференцсвязи заказчиков в России. При этом они отметили, что службы ВКС атакованных серверов не были затронуты и продолжили работать.

Большинству систем видеоконференцсвязи DDoS-атаки хактивисты, утверждают в StormWall, не смогли нанести серьезных проблем, так как российские ИТ-компании используют решения по защите от DDoS-атак. В результате наблюдались небольшие сбои в работе платформ.

Количество DDoS-атак во II квартале 2022 года выросло более чем в три раза по сравнению с аналогичным периодом прошлого года. В июне зафиксирован резкий 100 % скачок по сравнению с апрелем и маем 2022 года, сообщает «ТрансТелеКом» (ТТК).

Киберпреступников больше всего интересовали предприятия банковской и финансовой отраслей (40 %), далее идут транспортные и образовательные учреждения. На телекоммуникационную и нефтегазовую отрасль атак стало в 1,5 раза больше, чем в аналогичном периоде 2021 года. По данным «Лаборатории Касперского», в начале лета среди компаний-мишеней резко выросла доля государственных организаций: в июне на них пришлось 38 % всех DDoS-атак в России.

Источник изображения: ТТК

Средняя продолжительность атак составила около полутора часов, а максимальная — более недели. Мощность атак достигала 150 Гбит/с. По данным «Лаборатории Касперского», в апреле средняя продолжительность DDoS-атак составила 40 часов, в мае — 57, и лишь в июне этот показатель пошел на спад. Самая долгая DDoS-атака началась в мае и продолжалась почти 29 дней.

Источник изображения: ТТК

Основными разновидностями стали атаки UDP flood (количество выросло в 8 раз) и HTTP flood (рост в 15 раз). Суть этих атак сводится к отправке большого количества запросов в достаточно короткий срок. До окончания или пресечения таких инцидентов сервисы или сайты не могут поддерживать нормальную функциональность, что может привести к значительным репутационным потерям и финансовым убыткам.

Российский бизнес и госсектор массово переходят на локальные облачные сервисы в условиях санкций и давления ранее работавших в России облачных гигантов. Наиболее популярны среди отечественных заказчиков выделенные и виртуальные серверы, colocation, защита от DDoS-атак и хостинг для сайтов. Именно эти услуги предлагает FenixHost, премиальный хостинг-провайдер корпоративного уровня для малого, среднего и крупного бизнеса.

На замену ушедших зарубежных игроков на сцену выходят российские компании, которым ранее не всегда было просто пробиться к крупному клиенту. При этом, как показывает уже накопившаяся практика, отечественные компании могут предложить не только обязательную теперь российскую «прописку», но и размещение на базе надежного оборудования, выгодные ценовые пакеты и качественную техподдержку, даже в условиях санкционных и логистических ограничений. Так, инфраструктура FenixHost базируется на оборудовании HPE, отличающемся повышенными производительностью, надежностью, отказоустойчивостью и масштабируемостью.

Изображения: FenixHost

Выделенные и виртуальные серверы

Аналитики уверены, что риски работы с зарубежными облаками подтолкнут развитие российских сервисов в 2022 году на треть (на 30-35%). Отечественные компании уже предлагают широкий спектр услуг. Так, облачные или виртуальные серверы (Virtual Private Server, VPS) удобны тем, что позволяют быстро развернуть необходимые мощности. При этом FenixHost предлагает облачные серверы как с предустановленными ОС, так и без них.

Компания отдельно подчеркивает, что ее облачная инфраструктура использует оборудование HPE, а дисковая подсистема для VPS построена на базе RAID10-массивов из SSD Intel и Samsung. Все накопители работают с аппаратным RAID-контроллером с BBU. При этом клиенты могут пользоваться привычной им панелью управления облачными серверами — VMmanager 6, а также взять в аренду как весь сервер целиком, так и его часть.

В отличие от VPS при пользовании выделенных серверов (dedicated server) клиент FenixHost получает целиком отдельную физическую машину с выделенным 10GbE-подключением, что позволяет использовать их для запуска высоконагруженных проектов. При таком варианте размещения у клиента не будет «соседей» как в случае с VPS, он сможет самостоятельно выполнять индивидуальные настройки сервера, а сам хост будет выдерживать большую нагрузку. Кроме того, выделенные сервера отличаются повышенным временем непрерывной работы.

Пропускная способность на выделенных и виртуальных серверах FenixHost всех каналов составляет 10 Гбит/с, а для защищенных — 500 Мбит/с. Отдельно стоит отметить, что для обоих типов серверов доступна почасовая оплата и развёртывание выделенного сервера занимает не более 20 минут, а облачного — не более 1 минуты.

Colocation

Для особо требовательных клиентов у FenixHost есть услуга колокации. Компания предлагает не только размещение систем клиента в дата-центре уровня Tier III, но и их защиту от перебоев питания, высокую скорость интернет-соединения и возможность долгосрочной аренды площадей. Колокация актуальна для организаций из любой отрасли и любого масштаба, у которых нет подходящей инфраструктуры (ЦОД или серверной) или она не соответствует требуемым параметрам. Организовывать такую площадку самостоятельно затратно как по времени, так и экономически.

Выбирая услугу colocation у FenixHost, клиент передает на аутсорсинг также поддержание работоспособности оборудования и инженерных систем. Что немаловажно, колокация позволяет сокращать ФОТ на ИТ-специалистов, обслуживающих корпоративный ЦОД компании, с учетом дефицита ИТ-кадров и растущих из-за этого затрат на них.

Защита от DDoS-атак

Еще одна актуальная во все времена (но особенно сейчас) задача — защита бизнеса от DDoS-атак. По данным экспертов, количество таких инцидентов в российских организациях в первом полугодии 2022 года выросло в 15 раз по сравнению с аналогичным периодом предыдущего года. Максимальная мощность зафиксированной атаки составляла 700 тыс. HTTP-запросов в секунду.

Защиту от таких инцидентов FenixHost готов взять на себя, организовав защищенный канал, через который трафик поступает к клиенту. Трафик проходит через геораспределенную сеть фильтров и очищается. Вредоносный блокируется, а «белый» остается, не нагружая сервер клиента. FenixHost обеспечивает защищенность на сетевом и транспортном уровне, на уровне приложений, Web Application Firewall (WAF, защита сайтов от взломов) и активную защиту от ботов.

Хостинг для сайтов

Санкции поставили многие российские компании перед выбором надежного отечественного хостинга. Как правило, в параметры такого провайдера входят не столько низкая стоимость услуги, сколько комплекс услуг: бесконечное количество сайтов, которые можно открыть на данном хостинге, простота использования без ограничений и комиссий, быстрая активация аккаунта. Кроме того учитываются допсервисы, например, бесплатный перенос сервера.

Один из важных параметров хостинга сайтов, особенно во времена экономических потрясений, является тарификация услуг. FenixHost предлагает почасовую оплату при любой длительности использования виртуального сервера, что позволяет оптимизировать ИТ-бюджет за счет аренды базовой конфигурации, а в период пиковых нагрузок временно увеличивать мощность. Для управления таким хостинг предлагается удобная панель ISPmanager 6.

Поддержка

Оперативная и качественная техподдержка — немаловажный фактор, который может повлиять на выбор поставщика услуг. FenixHost предлагает сопровождение клиента в режиме 24/7 по телефону, в чате, по почте или в Telegram. Кроме того, компания предлагает бесплатный перенос данных с другого хостинга, бесплатное администрирование (включая подгтовку серверов к работе, установку ПО, выявление и самостоятельное устранение неполадок и обеспечение безопасности) и индивидуальную настройку. Также на сайте представлена база знаний и раздел с ответами на самые частые вопросы.

Партнёрская программа

Для клиентов имеется партнёрская программа — в течение всего срока пользования услугами можно привлекать новых заказчиков любой услуги FenixHost, используя реферальную ссылку. За первый месяц вознаграждение за привлечение физического или юридического лица составляет 90 % от потраченной новым клиентом суммы. За второй месяц — 30 % за привлечение юридического лица и 20 % за физического. Причём вознаграждение не единоразовое, а начисляется каждый месяц. Полученные средства можно как отправить на свой баланс в FenixHost, так и вывести на банковскую карту.

FenixHost даёт новым клиентам бонус при регистрации. Физические лица получают 500 руб. на баланс, а юридическим лицам предоставляется выделенный или облачный сервер любой конфигурации сроком на один месяц — этого более чем достаточно для тестирования и изучения возможностей, которые предлагает FenixHost.