Количество DDoS-атак в первом квартале аномально выросло

С начала года из-за коронавируса жизнь многих переместилась в сеть: люди по всему миру теперь работают, учатся, делают покупки и развлекаются онлайн. Это отразилось и на целях DDoS-атак: под удар в первом квартале попадали самые востребованные ресурсы – сайты медицинских организаций, служб доставки, игровые и образовательные платформы.

Вопреки прогнозам в первом квартале наблюдался значительный рост как количества DDoS-атак, так и их качества. По сравнению с предыдущим кварталом число атак увеличилось вдвое, а в годовом сопоставлении – на 80%, по данным системы Kaspersky DDoS Intelligence. Кроме того, зафиксирован явный рост как средней продолжительности атак, так и максимальной. Первый квартал каждый год отличается некоторым всплеском DDoS-активности. Однако, не настолько.

Сравнительное количество DDoS-атак в I квартале 2020 г., а также в I и IV квартале 2019 г.

На фоне общего роста доля умных атак за последний год практически не менялась и в первом квартале осталась на уровне аналогичного периода 2019 г., составив около 42%. Это может говорить о повышении интереса к DDoS-атакам как среди профессионалов, так и среди любителей: количество атак в целом и умных атак в частности растет в одинаковом темпе, поэтому пропорция не меняется.

Интересно отметить, что почти половина атак пришлась на сетевые ресурсы силовых ведомств. Однако в этом году активность была аномальной. Для сравнения: в первом квартале 2019 г. на долю этих ресурсов пришлось около одной трети всех атак.

Подскочило и количество DDoS-атак на образовательные и административные веб-ресурсы. В первом квартале такие атаки составили 19% от общего числа инцидентов, тогда как в аналогичный период прошлого года на их долю приходилось лишь 11%. При этом собственно количество атак на правительственные сайты и образовательные платформы по сравнению с 2019 г. выросло втрое.

Всплеск интереса злоумышленников к подобным ресурсам может быть связан с распространением коронавирусной инфекции, из-за которой сервисы дистанционного образования и официальные источники информации стали более востребованы. С начала года эпидемия оказывает влияние на все отрасли. Логично предположить, что она воздействует и на рынок DDoS-атак. Причем в ближайшее время это воздействие может стать еще более выраженным.

Большинство командных серверов по итогам первого квартала по-прежнему зарегистрировано в США (39,93%), в то время как большинство ботов – в Бразилии.

Динамика числа атак в целом оказалась очень схожа с показателями предыдущего квартала, с пиками около 230 атак 14 и 15 февраля и спадом до 16 атак 25 января.

Активнее всего DDoS-атаки проводили по понедельникам, а отдыхали злоумышленники чаще по средам.

SYN-флуд по-прежнему остается самым популярным типом атак (и даже укрепляет позиции с показателем 92,6%), а ICMP-атаки неожиданно потеснили другие типы и вышли на второе место.

Windows-ботнеты продолжают набирать популярность: доля атак с их использованием выросла на 3 п.п. до 5,64%.

В целом первый квартал не принес значительных потрясений. В TOP 10 по числу командных серверов появились два новичка (в рейтинг вошли Хорватия и Сингапур) и вернулись Румыния и Германия. Наблюдался некоторый рост Windows-ботнетов и ICMP-флуда, не оказавший, однако, существенного влияния на общую картину. Заметно изменилось только распределение атак по дням недели, что, впрочем, говорит только о перераспределении усилий, а не количественных изменениях.

Хотя на фоне нестабильной ситуации в мире сложно что-либо прогнозировать, можно предположить, что атак меньше не станет: многие организации сейчас переходят на удаленный режим работы, в связи с чем меняется и набор выгодных целей для атаки, считают специалисты «Лаборатории Касперского». Если раньше в большинстве случаев мишенью становились публичные ресурсы компаний, то теперь в группе риска могут оказаться и ключевые элементы инфраструктуры, например корпоративные VPN-шлюзы или непубличные веб-ресурсы, такие как почта или корпоративная база знаний. Это открывает новые ниши для организаторов атак и также может привести к росту рынка DDoS.