В первом квартале 2024 года число DDoS-атак на российские компании удвоилось год к году, пишет «Коммерсантъ» со ссылкой на данные структуры «Ростелекома» ГК «Солар». В основном удар пришёлся на предприятия из критически значимых отраслей, хотя атаки затрагивали и обычных пользователей.

Источник изображения: Pixabay

По данным ГК «Солар», число DDoS-атак в первом квартале составило 119 тыс. Самая продолжительная длилась 11 дней, и её максимальная мощность достигала 724 Гбит/с. Самый большой рост атак был зафиксирован в энергетическом секторе — более 2,5 тыс. DDoS-атак на энергокомпании, что втрое больше, чем в предыдущем квартале и почти на порядок больше год к году. Также хакеры активно атаковали госсектор, финансовый рынок и IT-сегмент. ГК «Солар» отметила, что росту числа атак способствуют распространение технологий интернета вещей (IoT) и «умных» устройств, которые хакеры объединяют в ботнет-сети.

В DDoS-Guard подтвердили тенденцию к росту атак: по её оценке, в первом квартале их количество в целом увеличилось год к году на 29 % до 172,5 тыс., хотя в феврале был отмечен спад. Рост атак будет продолжаться и дальше, поскольку всё больше устройств вовлекаются в ботнеты, полагают в DDoS-Guard: «Роботизированный трафик становится труднее отличить от реальных пользователей».

От кибератак страдают не только компании, но и обычные пользователи. Как сообщают источники «Коммерсанта», 13 марта из-за DDoS-атаки интернет-провайдер «Телинком», работающий в Подмосковье, был вынужден известить абонентов об ограничениях в работе сети. Также в марте выросло количество атак на сайты турагентств и авиакомпаний.

Гендиректор хостинг-провайдера RUVDS Никита Цаплин отметил тренд на локализацию DDoS: поскольку атаки из-за рубежа блокируются, хакеры всё чаще используют российские IP-адреса.

Для противодействия атакам подведомственный Роскомнадзору Главный радиочастотный центр заказал в 2023 году разработку Национальной системы противодействия DDoS-атакам, которую планировалось создать на базе имеющейся сети ТСПУ (технические средства противодействия угрозам). По условиям тендера система должна была быть создана к марту 2024 года, однако о судьбе проекта стоимостью 1,4 млрд руб. пока ничего не известно.

«РИА Новости» со ссылкой на ведомство 14 апреля сообщало, что Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) Роскомнадзора отразил в первом квартале 512 крупных DDoS-атак, что почти втрое больше, чем за весь 2023 год.

По словам источника «Коммерсанта» на рынке, Роскомнадзор использует для борьбы с сетевыми атаками блокировку по географическому признаку, отсекая трафик, исходящий с территории государств, откуда шла большая часть вредоносной активности, однако, «в силу распределённости современных кибератак блокировка только таким способом уже становится неэффективной».

Из-за массовой блокировки подозреваемых в причастности к DDoS-атакам IP-адресов зарубежные хакеры в массовом порядке переключились на российские адреса, пишет «Коммерсантъ» со ссылкой на доклад Qrator Labs. Источниками атак становятся сетевое оборудование, оборудование хостинг-провайдеров и устройства интернета вещей. Есть опасения, что на хостеров могут возложить ответственность за невольное участие в таких противоправных мероприятиях.

Источник изображения: Franz Bachinger / pixabay.com

Проанализировав ситуацию с DDoS-атаками на российские ресурсы в 2023 году, в Qrator Labs пришли к выводу, что зарубежные хакеры научились обходить блокировки по GeoIP, то есть блокировки трафика по географическому происхождению, и значительная доля источников происходит из близких к жертвам регионов. Но всё ещё велика активность блокировок зарубежных источников: только в IV квартале 2023 года заблокированы 22,3 млн IP-адресов — на 19,25 % больше, чем в III квартале, и на 120 % больше, чем во II квартале. Из-за этого хакеры переключились на «серые прокси-серверы, размещённые в России», и вредоносный трафик начал генерироваться с российских IP-адресов, которые не вызывают подозрения.

Такими прокси-серверами могут выступать взломанное сетевое оборудование, принадлежащее домашним пользователям и хостерам, уязвимые устройства интернета вещей и мобильные гаджеты. Доля российских адресов в DDoS-атаках достигает 50 %, подсчитали в DDoS-Guard — оставшаяся половина приходится преимущественно на Китай, Индонезию и США. Блокировка IP-адресов по местоположению помогает ограничивать доступ к ресурсам, работа которых за пределами определённых регионов не предполагается; в 2022 году многие российские интернет-службы, включая государственные, перестали работать вне отечественного сегмента Сети.

Российские хостинг-провайдеры отмечают рост спроса на недорогие виртуальные серверы — это свидетельствует, что при DDoS-атаках часто используются ресурсы отечественных хостеров. Из-за этого возникают опасения, что регуляторы возложат ответственность на хостинг-провайдеров за использование их ресурсов в незаконных целях.

Некие хакеры взломали около 3 млн умных зубных щёток и запустили полномасштабную DDoS-атаку, сообщила швейцарская газета Aargauer Zeitung. Забавный на первый взгляд инцидент обернулся вполне ощутимой проблемой: ботнет парализовал работу швейцарской компании, причинив ей миллионный ущерб.

Источник изображения: Diana Polekhina / unsplash.com

Издание предоставило не так много подробностей, но известно, что для атаки на умные зубные щётки использовался язык Java, достаточно популярный в сегменте устройств интернета вещей (IoT) — осуществив заражение, злоумышленники развернули атаку. Гаджеты с изменённой прошивкой успешно достигли цели, наводнили сайт швейцарской компании фиктивным трафиком, отключили службы и вызвали масштабный сбой.

Инцидент подчёркивает, что на фоне массового развёртывания интернета вещей ландшафт угроз постоянно расширяется. Умные зубные щётки выпускаются уже десять лет — устройства, которые ранее казались безобидными и вынесенными за границы цифровой экосистемы, теперь становятся потенциальными точками входа для киберпреступников. Это может повлечь значительные последствия для личной жизни и безопасности граждан, а также для национальной инфраструктуры и экономической стабильности.

Многие устройства интернета вещей, предупреждают эксперты, небезопасны по своей сути в силу двух основных причин: легкомысленное к ним отношение и отсутствие интерфейса, который помог бы повысить меры защиты — проще говоря, у зубной щётки отсутствуют настройки безопасности, а на холодильник не получится установить антивирус.

Защититься в отдельных случаях помогут элементарные нормы цифровой гигиены. К примеру, не следует заряжать устройства интернета вещей через общедоступные USB-порты — они могут использоваться для взлома; по той же причине следует опасаться общедоступных сетей Wi-Fi. И, возможно, без насущной необходимости можно обойтись без устройств с подключением к интернету. Если смарт-телевизор сегодня становится таким же естественным явлением, как и смартфон, то стиральная машина, утюг и зубная щётка с выходом в Сеть — это, возможно, излишества.

Обновлено:

Представитель компании Fortinet пояснил ситуацию порталу ZDNET: «Чтобы прояснить ситуацию, тема использования зубных щеток для DDoS-атак была представлена в интервью в качестве иллюстрации определенного типа атак и не основана на исследованиях Fortinet или FortiGuard Labs. Похоже... изложение этой темы было растянуто до такой степени, что гипотетические и реальные сценарии оказались размытыми».

В Рунете были отмечены сверхпродолжительные DDoS-атаки, длящиеся почти два года, пишут «Ведомости». В пятёрку самых долгих зафиксированных сервисом Servicepipe непрерывных DDoS-атак вошли атаки на окологосударственный ресурс (начались ещё 28 февраля 2022 г.), интернет-представительство региональной власти (с 3 марта 2022 г.), площадку, связанную с АЗС (продолжаются с 26 мая 2022 г.), маркетплейс (с 14 июля 2022 г.) и игровой сервис (с 26 февраля 2023 г.).

Источник изображения: TheDigitalArtist/Pixabay

До начала событий на Украине продолжительность атак составляла максимум пару месяцев, сообщил представитель Servicepipe, добавив, что у атак необязательно есть политический мотив. «Как минимум у двух игроков из пятёрки лидеров атака с большой долей вероятности — результат недобросовестной конкурентной борьбы», — заявил собеседник «Ведомостей».

В T.Hunter подтвердили, что такие длительные атаки действительно существуют: «Мы наблюдаем их с конца февраля 2022 г.». По словам экспертов, чаще всего в качестве целей выбирались государственные и банковские сервисы, например, «Госуслуги» и «Сбер».

Одним из наиболее заметных трендов в DDoS-атаках за последний год в «Лаборатории Касперского» назвали увеличение их мощности. Также с 2022 года отмечен тренд на увеличение продолжительности атак, которые вместо нескольких часов могут составлять дни и даже недели. Впрочем, атак длительностью более года в «Лаборатории Касперского» не зафиксировали.

Аналитики Servicepipe также отметили в числе трендов большое количество «заказов» на проведение атак на фиксированный промежуток времени, а также на DDoS-атаки через конкретную уязвимость. «Это говорит о том, что злоумышленники экономят ресурсы и предпочитают атаковать лишь те цели, где могут добиться результата, "положив" сервис», — сообщили в компании.

Гендиректор и сооснователь StormWall Рамиль Хантимиров считает одним из наиболее ярких трендов в минувшем году использование смешанных ботнетов, состоящих из нескольких вредоносных программ, а также увеличение на 43 % DDoS-атак для прикрытия других вредоносных активностей. По его словам, общее число DDoS-атак в России выросло в 2023 году на 29 %.

Группа компаний «Гарда» провела исследование изменений ландшафта и особенностей DDoS-атак в третьем квартале 2023 года. В результате было установлен существенный рост доли TCP SYN-флуда, т.е. атак на уровне приложений, количество которых составило 60 % от общего числа DDoS-атак. Главными целями атак стали телекоммуникационные операторы.

Источник изображения: markusspiske / Pixabay

«Злоумышленники всё чаще организуют атаки, которым сложнее противодействовать: с использованием протоколов уровня приложений и в шифрованном трафике. Распространение такой практики свидетельствует о её успешности и достижении атакующими поставленных целей», — говорится в сообщении исследователей.

В сообщении сказано, что чаще всего DDoS-атакам в России за отчётный период подвергались сети телеком-операторов. Это объясняется тем, что операторы интенсивно противостоят DDoS-атакам, осуществляя защиту своих объектов и ресурсов клиентов, которые находятся в той же сетевой инфраструктуре.

На втором месте по количеству DDoS-атак в третьем квартале находятся представители сфер транспорта и перевозок. Отмечается, что за три месяца увеличилось количество DDoS-атак на ресурсы авиаперевозчиков и системы бронирования авиабилетов, а также железнодорожных перевозчиков. На третьем месте этого рейтинга находятся ресурсы госсектора. Высокие показатели зафиксированы в топливно-энергетическом комплексе и промышленности. Это может указывать на попытки злоумышленников осуществить воздействие на критический сектор экономики. Являющиеся традиционными целями хакеров представители IT и финансового сектора также подвергались атакам в третьем квартале.

Что касается стран, из которых совершаются атаки злоумышленников, то, как и прежде, лидером остаётся Китай (46,45 %). Следом за ним идут Индия (30,41 %) и Южная Корея (3,5 %). Снизились показатели по количеству атак из США, Тайваня и России. При этом выросли показатели Нидерландов (с 1,08 % до 1,53 %) и Боливии (с 0,89 % до 1,46 %).

Google отчиталась об успешно отражённой в минувшем августе самой мощной DDoS-атаке в истории — её интенсивность составила 398 млн запросов в секунду, что в 7,5 раза мощнее антирекорда, установленного в прошлом году. В рамках вредоносной кампании были также отмечены новые методы взлома сайтов и сервисов.

Источник изображений: cloud.google.com

В новой серии DDoS-атак использовалась новая техника Rapid Reset, основанная на мультиплексировании потоков — важнейшей функции протокола HTTP/2. Интенсивность атаки достигала значения в 398 млн запросов в секунду, тогда как прошлогодний рекорд составлял «всего» 46 млн запросов в секунду. Для сравнения, в течение этой двухминутной атаки генерировалось больше запросов, чем было прочитано статей «Википедии» за весь сентябрь 2023 года.

Последняя волна атак началась в конце августа и продолжается по сей день — она нацелена на крупнейших поставщиков инфраструктурных ресурсов, включая сервисы Google, сеть Google Cloud и клиентов Google. Компании удалось сохранить работоспособность сервисов за счёт глобальной инфраструктуры распределения нагрузки. Google скоординировала усилия с отраслевыми партнёрами, что помогло установить механизмы атак и совместными усилиями разработать меры по смягчению последствий.

В ходе отражения атаки была выявлена уязвимость протокола HTTP/2, которой присвоили номер CVE-2023-44487 с рейтингом 7,5 балла из 10 — эта уязвимость помогла злоумышленникам реализовать технику Rapid Reset. Чтобы ограничить влияние этого вектора атаки, Google рекомендует администраторам серверов с поддержкой протокола HTTP/2 убедиться, что были установлены патчи, закрывающие уязвимость CVE-2023-44487.

По итогам II квартала число кибератак на российские ресурсы выросло более чем на 40 % по сравнению с аналогичным периодом прошлого года и на 13 % в сравнении с началом 2023 года. Киберпреступники переключились с развлекательной на аграрную, логистическую и образовательную отрасли. Хакеры часто достигают своих целей, потому что методы защиты от кибератак быстро устаревают.

Источник изображения: B_A / pixabay.com

Во II квартале 2023 года было зафиксировано 176,3 тыс. DDoS-атак, сообщили в компании DDoS-Guard. Это на 46 % больше, чем было во II квартале прошлого года (120 тыс.) и на 13 % больше, чем в I квартале 2023 года. В I квартале приоритетными целями киберпреступников были региональные СМИ, онлайн-кинотеатры и игровые серверы, сейчас же чаще атакуют ресурсы вузов, служб организации путешествий и ресурсы сельскохозяйственных компаний. Эксперты отмечают возросшие сложность и точность кибератак. К примеру, сервис «АгроСигнал» атаковали 20 раз, и вредоносный трафик был выше 5 Гбит/с, хотя обычно каналы рассчитываются на пропуск всего 1 Гбит/с. Это достаточно важный ресурс, долгосрочный выход которого из строя грозит убытками российскому агробизнесу.

Важнейшим инцидентом стала кибератака на ОАО РЖД, в результате которой наблюдались сбои в работе сайта и мобильного приложения — компания доложила об инциденте утром 5 июня, а к вечеру работа ресурсов была восстановлена. Хакерам удалось достичь своих целей из-за характерной для крупных компаний неповоротливости РЖД — там готовились к «прошлой войне», как выразился источник «Коммерсанта». К примеру, блокировка зарубежного трафика по GeoIP уже утратила свою эффективность, но этим методом защиты в некоторых организациях продолжают пользоваться.

Проблемой массированных DDoS-атак озаботились в подведомственном Роскомнадзору Главный радиочастотный центр (ГРЧЦ) — ведомство заказало разработку Национальной системы противодействия DDoS-атакам. Проект с бюджетом 1,4 млрд руб. должен быть завершён 12 марта 2024 года.

Главный радиочастотный центр (ГРЧЦ), подведомственный Роскомнадзору, заключил договор на разработку системы защиты от DDoS-атак — закупка проведена у единственного поставщика, которым, по сведениям Forbes, является «Ростелеком», а стоимость контракта составляет 1,425 млрд рублей.

Источник изображения: kalhh / pixabay.com

Договор заключён 25 мая, а срок его исполнения — 12 марта 2024 года. Среди целей указываются создание Национальной системы противодействия DDoS-атакам, координационного центра по защите от DDoS-атак, а также доработка ПО для технических средств противодействия угрозам (ТСПУ). ТСПУ — аппаратный комплекс, устанавливаемый на сетях связи операторов в рамках закона о «суверенном Рунете». Это оборудование позволяет централизовано фильтровать трафик и блокировать запрещённые в России интернет-ресурсы. Неисключительную лицензию на ПО для ТСПУ без права доработки ранее предоставил «Ростелеком», поэтому ГРЧЦ мог провести неконкурентную закупку только у одного поставщика, уверены опрошенные Forbes эксперты.

В течение прошлого года ГРЧЦ занимался тестированием системы защиты от DDoS-атак — она осуществлялась посредством блокировки IP-адресов, которые участвовали в этих атаках, кроме того, применялась технология DPI (Deep Packet Inspection, то есть глубокое исследование пакетов трафика).

Схемы защиты от DDoS-атак подразделяются на облачные и магистральные — последние работают на сети операторов связи, и ГРЧЦ предполагает создать систему защиты магистрального типа. Эффективность работы такой системы оценивается экспертами как «умеренная», поскольку она способна противостоять только атакам, нацеленным на «забивание канала». Инциденты типа «атака на приложение» основаны на другой методике — создании множества «тяжёлых» запросов к сервису с ограниченными ресурсами. Когда эти ресурсы исчерпываются, новые запросы обрабатываться уже не могут — в таких случаях эффективна защита на уровне прокси-сервера, например, при помощи технологии Web Application Firewall (WAF), позволяющей пропускать на сервер приложения только легитимный трафик.

По итогам 2022 года Россия оказалась на четвёртом месте в мире по числу DDoS-атак на коммерческие и государственные ресурсы, сообщила ранее компания StormWall. И их число будет только расти — как минимум на 50 % в 2023 году, прогнозируют эксперты Swordfish Security. Только за I квартал 2023 года их число выросло более чем на 50 %: с 226 100 в I квартале прошлого года до 384 800, доложили в DDoS-Guard.

Продолжительность DDoS-атак на российские IT-ресурсы сократилась более чем в 6 раз с прошлого года и в среднем стала составлять двое суток. Об этом пишет «Коммерсант» со ссылкой на данные квартального отчёта по защите от интернет-угроз компании Qrator Labs, работающей в сфере информационной безопасности.

Источник изображения: Mika Baumeister / unsplash.com

«Так, если в первом квартале 2022 года максимальная продолжительность нападений составляла более десяти дней, то в 2023 году этот показатель стал равен менее чем двум суткам», — говорится в отчёте Qrator Labs. Наиболее продолжительные атаки были зафиксированы против операторов фискальных данных (22 часа), представителей сферы онлайн-образования (20 часов), медиа (20 часов) и программных сервисов (10 часов). Несмотря на это, за весь 2022 год продолжительность атак значительно выросла: за первые три месяца года неоднократно фиксировалось обновление рекорда по максимальной длительности, а одна из DDoS-атак в мае продолжалась почти 29 дней.

По данным «РТК-Солар», продолжительность атак на российские IT-ресурсы в первом квартале в среднем сократилась в четыре раза по сравнению с аналогичным периодом 2022 года. При этом компания отмечает обнаружение атак длительностью до 32 дней. Целями злоумышленников становились представители разных сфер экономики: страхования, ретейла, промышленности.

В Qrator Labs сокращение максимальной длительности DDoS-атак связывают с расширением спектра целей злоумышленников. Хакеры перестали фокусироваться на отдельно взятых ресурсах и в случае неудачи ищут новые жертвы. В DDoS-Guard согласны с тем, что продолжительность атак значительно снизилась в первом квартале. Отмечается, что атакующие стали лучше анализировать ресурсы, чтобы выбирать жертв, которые не защищены от DDoS или используют слабую защиту. В Softline считают, что снижение продолжительности DDoS-атак связано с тем, что многие компании стали блокировать входящий трафик по геолокации, что делает неэффективными атаки из-за рубежа.

На прошедших выходных американская компания Cloudflare отразила серию атак типа «отказ в обслуживании» (DDoS), включая «крупнейшую на сегодняшний день» DDoS-атаку. Согласно имеющимся данным, в пике мощность атаки превышала 71 млн запросов в секунду.

Источник изображения: Bleeping Computer

«Большинство атак достигали пика в пределах 50-70 млн запросов в секунду, а самая крупная из них превысила 71 млн запросов в секунду. Это крупнейшая HTTP DDoS-атака за всю историю, которая более чем на 35 % превышает зафиксированный в июне 2022 года рекорд в 46 млн запросов в секунду», — говорится в сообщении Cloudflare.

Специалисты компании подсчитали, что в ходе рекордной атаки запросы исходили от 30 тыс. IP-адресов, принадлежащих разным облачным провайдерам. Целями злоумышленников стали клиенты Cloudflare, включая провайдеров облачных игровых сервисов, платформы облачных вычислений, криптовалютные компании и хостинг-провайдеров.

Источник изображения: Cloudflare

Всё более мощные и частые DDoS-атаки согласуются с недавним отчётом Cloudflare об угрозах такого типа. В компании подсчитали, что количество HTTP DDoS-атак увеличилось на 79 % по сравнению с прошлым годом. Количество объёмных атак мощностью более 100 Гбит/с выросло на 67 % по сравнению с предыдущим кварталом. Количество DDoS-атак продолжительностью свыше 3 часов увеличилось на 87 % по сравнению с предыдущим кварталом.

По итогам 2022 года Россия заняла четвёртое место в мире по количеству DDoS-атак на коммерческие и государственные информационные структуры страны. Как сообщают «Известия» со ссылкой на данные компании StormWall, в прошлом году атаки на российский IT-сегмент впервые составили 8,4 % от общего числа киберпокушений во всём мире.

Источник изображения: Markus Spiske/unsplash.com

По данным «Лаборатории Касперского», в прошлом году число атак на российские информационные структуры выросло на 60-70 % в сравнении с 2021 годом. По мнению экспертов, это связано с деятельностью т.н. «хактивистов» — организаторов атак по политическим и иным мотивам.

В прошлом году 28 % атак было направлено на финансовую отрасль России, 18 % — на телекоммуникационную сферу, 14,5 % — на государственный сектор и 12 % — на ретейл. Атаковали и другие сферы. По информации StormWall, из-за высокой активности хактивистов число DDoS-атак в финансовом секторе взлетело в 18 раз, в телеком-сфере — в 12 раз, в госсекторе — в 25 раз, средства массовой информации стали атаковать в 30 раз чаще, ретейл — в 8 раз, развлекательную сферу и логистику — в 4 раза.

В «Лаборатории Касперского» отметили изменение характера DDoS-атак — простые атаки весной позже сменились сложными и продолжительными, одна из них длилась почти 29 дней подряд, пик пришёлся на весну и лето. Прогнозируется, что весной 2023 года число киберинцидентов, связанных с нефтегазовым сектором и энергетикой, в целом может вырасти на 300 %. Не исключается рост атак и на другие отрасли.

Стало известно, что количество DDoS-атак на ресурсы «Роскосмоса» за последние шесть месяцев превысило их число за весь 2021 год. Об этом пишет информационное агентство ТАСС со ссылкой на данные и.о. директора НТЦ «Заря», являющегося головной организацией «Роскосмоса» по защите информации, Ивана Григорова.

Источник изображения: Darwin Laganzon / pixabay.com

«DDoS-атаки занимают третье место по распространению среди компьютерных атак (на первых местах — попытки внедрения вредоносного ПО и сетевое сканирование). Обращает на себя внимание динамика: за последние полгода их зафиксировано больше, чем за весь 2021 год», — сообщил Григоров.

Отметим, что после обострения ситуации на Украине «Роскосмос» неоднократно сообщал о DDoS-атаках на свои информационные ресурсы. Например, в конце июня IT-специалисты сумели отбить массированную DDoS-атаку, которая была организована вскоре после публикации «Роскосмосом» снимков центров принятия решений стран, входящих в блок НАТО. Примечательно, что та атака, по данным пресс-службы госкорпорации, была предпринята из Екатеринбурга.

В конце прошлого месяца возросшую мощность DDoS-атак на российские ресурсы отметили в Роскомнадзоре. По данным ведомства, средняя продолжительность DDoS-атак в мае достигла 57 часов, тогда как в феврале-марте прошлого года этот показатель составлял 12 минут. Также отмечалось, что количество значимых атак на российскую информационную инфраструктуру выросло в 4,5 раза.

Компания Cloudflare рассказала об атаках на ресурсы клиентов, которые удалось отразить в III квартале. Крупнейшая DDoS-атака за отчётный период оказалась направленной на Wynncraft — популярный сервер Minecraft, на котором игра превращается в полноценную MMORPG.

Источник изображения: blog.cloudflare.com

DDoS-атака представляет собой бомбардировку сервера потоком входящих запросов, которые генерируются сетью из скомпрометированных, то есть заражённых компьютеров и коммуникационных устройств, — ботнетом. Ботнет может состоять из тысяч таких машин, что даёт злоумышленникам возможность обрушивать на ставшие мишенями серверы десятки миллионов запросов в секунду. В число наиболее мощных ботнетов входят сети устройств, заражённых вирусом Mirai и его вариантами.

Один из таких Mirai-ботнетов произвёл атаку на Wynncraft, забрасывая его UDP- и TCP-запросами, на пике достигая мощности 2,5 Тбит/с. Однако, с гордостью рассказали в Cloudflare, службе удалось не пропустить ботнет к серверу Wynncraft, и на геймеров инцидент не повлиял. Атака длилась немногим дольше минуты, и злоумышленник, видимо, увидел её тщетность и остановил нападение.

Впрочем, не все геймеры оказались в последнее время столь же везучими: на прошлой неделе при запуске Overwatch 2 мощной DDoS-атаке подверглись серверы Blizzard, и пользователи несколько часов не могли войти в игру. Разработчик приложил все усилия, но оперативно справиться с проблемой не удалось, что омрачило дебют популярного шутера.

Google Cloud в июне удалось отразить крупнейшую в истории DDoS-атаку, интенсивность которой достигала 46 млн запросов в секунду (RPS). Атака продолжалась немногим более часа, но позволила экспертам сделать важные выводы: одной из угроз сегодня могут быть даже узлы Tor.

Источник изображений: cloud.google.com

В попытке описать масштабы инцидента сотрудники Google Эмиль Кинер (Emil Kiner) и Сатья Кондуру (Satya Konduru) предложили представить, что значит обрабатывать все поступающие за один день запросы к «Википедии» (входит в десятку самых посещаемых сайтов в мире) всего за 10 секунд. Экспертов Google и других специалистов по кибербезопасности всерьёз беспокоит тот факт, что ситуация с DDoS-атаками неуклонно усугубляется — они производятся всё чаще, а их интенсивность растёт.

Атака на ресурсы Google Cloud началась в 09:45 по времени Тихоокеанского побережья США (19:45 мск) с интенсивности 10 тыс. RPS, а уже через 8 минут усилилась до 100 тыс. RPS. Ещё через 2 минуты она достигла пиковых 46 млн RPS. К тому времени служба защиты Google Cloud Armor обнаружила факт атаки и рекомендовала клиентам внедрить в политику безопасности запросы с вредоносной сигнатурой. После этого атака пошла на спад и окончательно завершилась в 10:54 по местному времени (20:54 мск). Сотрудники Google отметили некоторые «отличительные особенности» инцидента, а также установили связь с недавней атакой на ресурсы Cloudflare и даже нашли признаки ботнета Mēris, от которого в сентябре прошлого года пострадала инфраструктура «Яндекса».

В ходе атаки были зафиксированы 5256 исходных IP-адресов из 132 стран. При атаке использовались HTTPS-запросы — они обходятся дороже, чем HTTP-запросы, поскольку для установки безопасного соединения требуется больше ресурсов. Кроме того, примерно 22 % (или 1169) исходных IP-адресов соответствовали выходным узлам Tor. Объём запросов от них составлял всего 3 % вредоносного трафика, однако экспертам стало ясно, что и они могут теперь создавать серьёзные проблемы для веб-ресурсов и приложений.

В течение первой половины 2022 года в России резко возросла интенсивность DDoS-атак на игровые ресурсы. По оценкам DDoS-Guard, количество инцидентов увеличилось приблизительно в три раза по сравнению с аналогичным периодом прошлого года. В рассмотрение берутся игровые серверы, браузерные игры, информационные сайты игровой тематики, площадки игровых ценностей (внутренняя валюта, наборы предметов), форумы администраторов и разработчиков игровых сервисов.

Источник изображений: pixabay.com

Как сообщает газета «Коммерсант», ссылаясь на исследование DDoS-Guard, в период с января по июнь включительно число атак на игровые ресурсы составило около 6,2 тыс. Для сравнения: в первой половине 2021-го было зафиксировано приблизительно 1,9 тыс. инцидентов.

Эксперты говорят, что целью злоумышленников может быть кража данных и средств пользователей. В частности, киберпреступники получают доступ к игровым ресурсам и выводят оттуда игровые ценности с реальным денежным эквивалентом.

В «Лаборатории Касперского» отмечают, что резкий рост количества DDoS-атак на игровые сайты происходит на фоне общего всплеска данного типа киберпреступной деятельности. При этом зачастую мишенями злоумышленников становятся сами игроки: мошенники стремятся убедить пользователей установить вредоносное ПО под видом загрузки новых игр или обновлений.

«Главные цели злоумышленников — внутриигровые товары, которые можно трансформировать в реальные деньги, и аккаунты геймеров, которые могут открыть доступ к различным данным, вплоть до финансовой информации», — подчёркивают специалисты.