Quarantäne-Chroniken: Wie DDoS wuchs

Wie Sie wissen, ist Faulheit der Motor des Fortschritts. Und Selbstisolation ist der Motor von DDoS - wir werden das Ergebnis des Verständnisses der "Vergangenheit" für März bis Mai 2020 hinzufügen. Während jemand unter der Hoffnungslosigkeit (buchstäblich) seiner Situation litt, litten die "Hacker der Mutter" unter Müllvon der Unvermeidlichkeit des Online-Lernens und bevorstehenden Prüfungen. Sie litten "aktiv" (diese Energie und in einen friedlichen Kanal!). In Bezug auf die Anzahl der DDoS-Angriffe in der Bildung wurde die höchste Wachstumsdynamik beobachtet. Auf dem Höhepunkt - im April - stieg die Zahl der Versuche, Bildungsressourcen (elektronische Tagebücher, Websites mit Testarbeiten, Websites für Online-Unterricht usw.) zu verweigern, im Vergleich zum März um das 5,5-fache und im Vergleich zum 17-fachen um Bis Januar 2020. All dies waren Angriffe mit geringem Stromverbrauch (und wahrscheinlich kostenlos) mit einfachen, leicht zugänglichen Tools. Natürlich wurden auch andere Branchen von Angreifern angegriffen (wenn auch fortgeschrittenere), aber hier wurde dies erwartet: Online-Handel, öffentlicher Sektor, Finanzsektor, Telekommunikation und Glücksspiel. Details wie immer unter dem Schnitt.







Die unten dargestellten Analysen basieren auf Daten zu Angriffen auf Rostelecom-Netzwerke von Januar bis Mai 2020.

Wie sich die Anzahl der Angriffe geändert hat

So. Von März bis Mai 2020 hat sich die Anzahl der DDoS-Angriffe im Vergleich zum Vorjahreszeitraum verfünffacht. Im Allgemeinen hat sich in den ersten fünf Monaten des Jahres 2020 die Gesamtzahl solcher Angriffe gegenüber dem Vorjahr mehr als vervierfacht.



Es ist deutlich zu sehen, wie Cyberkriminelle ihre Aktivitäten durch die Einführung von Quarantänemaßnahmen verstärkt haben. Der Höhepunkt war im April, als die Anzahl der Angriffe im Vergleich zum Januar um 88% zunahm. Es ist erwähnenswert, dass ein Jahr zuvor die Dynamik nicht so gut war und die Anzahl der Angriffe von Monat zu Monat gleich blieb, plus oder minus.





Während der Zeit der Selbstisolation änderte sich auch die Art des Internetverkehrs. Viele Organisationen, die zuvor nur offline gearbeitet haben, haben ihre eigenen Online-Ressourcen gestartet , einschließlich kostenloser . Fügen Sie hier eine Massenfernbedienung hinzu - und wir werden eine neue Realität im Netzwerk erhalten: Wenn die frühere Internetaktivität allmählich zunahm und um 17:00 bis 21:00 Uhr einen Höhepunkt erreichte, wurde jetzt gegen 10:00 Uhr ein starker Anstieg festgestellt, der nicht vor 23:00 Uhr abnahm. Im Allgemeinen wuchs der Verkehr in den fünf Monaten des Jahres 2020 um etwa 20% (und wo Verkehr herrscht, gibt es „Saboteure“).

Angriffseigenschaften

Mit einem starken Anstieg der Anzahl von DDoS-Angriffen haben ihre Komplexität und Leistung im Allgemeinen abgenommen. Grundsätzlich verwendeten die Angreifer eine normale DNS- oder NTP-Verstärkung kleiner Volumes (bis zu 3 Gbit / s).



Es ist bemerkenswert, dass wir Ende 2019 einen entgegengesetzten Trend verzeichneten: einen starken Leistungsanstieg und die technische Komplexität von Angriffen. Während der Pandemie nahm die Anzahl solcher Angriffe nicht ab, aber der Anteil insgesamt fiel vor dem Hintergrund einer starken Zunahme einfacher DDoS-Angriffe von "Arbeiter-Bauer". Dies zeigt einmal mehr, dass während der Selbstisolation nicht die „Profis“ besonders aktiv waren, sondern die „Amateure“, die beschlossen, die Situation auszunutzen.

Wer wurde gejagt

Wie bereits erwähnt, hat das Interesse der Angreifer an Bildungsressourcen in den ersten fünf Monaten stark zugenommen. In Anbetracht der Tatsache, dass in den meisten Fällen der "Junk" -Verkehr explizit von "Liebhabern" gesendet wurde, sind die Schlussfolgerungen über die Organisatoren offensichtlich (und ja, dies ist kein Ort, um ein Thermometer unter dem Bett zu verstecken oder zu erwärmen, um einer Kontrolle zu entgehen).





Aber DDoS lebte nicht als einzelne Schule. Die Zahl der Angriffe auf staatliche Institutionen nahm ebenfalls zu - im April mehr als dreimal so hoch wie im März.





Die dritte Branche mit der ausgeprägtesten Dynamik war das Spielen (das Wachstum der Angriffe im April war im Vergleich zum März fast dreimal so hoch). Der Isolationsmodus hat nicht nur viele neue Benutzer in diese Branche gezogen, sondern auch Zoogeld (und wo das Geld da ist ... na ja , verstehen Sie). Mit einem Wort, es kam zu einem ernsthaften Kampf auf den Spielfeldern, nicht nur unter den Spielern, sondern auch zwischen den Websites.





Trotz der Tatsache, dass die Gesamtangriffskraft im Berichtszeitraum abnahm, stachen Telekommunikationsbetreiber und Rechenzentren in der Gesamtstatistik hervor: Angriffe mit mehr als 150 GB waren hier häufiger. DDoS in diesen beiden Segmenten ermöglicht es, nicht einen bestimmten Standort zu deaktivieren, sondern die Kunden des Betreibers und die vom Rechenzentrum bereitgestellten Ressourcen zu „verkaufen“. Darüber hinaus sind solche Unternehmen besser geschützt als beispielsweise staatliche Institutionen oder das Bildungssegment. Daher müssen Angreifer erweiterte Tools verwenden. Während der Pandemie waren Angriffe auf diese beiden Segmente schnell und mächtig und wurden höchstwahrscheinlich von echten Hosts ausgeführt, die in einem Botnetz gesammelt waren und in wenigen Minuten an ein neues Opfer weitergeleitet werden konnten.



Im Allgemeinen setzt diese Aufteilung nach Branchen den Trend fort, der sich bereits 2019 gebildet hat. Beispielsweise machte die Telekommunikationsbranche 2018 nur 10% aller DDoS-Angriffe aus und 2019 bereits 31%. Kleine regionale Internetanbieter, Hosting- und Rechenzentren, die normalerweise nicht über die erforderlichen Ressourcen verfügen, um Angriffe abzuwehren, wurden zu Zielen von Hackern.

Gesamt

• Während der Quarantäne wurden vor dem Hintergrund der Verbreitung von COVID-19 (März-Mai 2020) fünfmal mehr DDoS-Angriffe registriert als ein Jahr zuvor.
• Der Anteil einfacher Angriffe mit geringem Stromverbrauch hat zugenommen, was auf die Aktivität „nicht professioneller“ Angreifer hinweist.
• Die Anzahl der Angriffe auf Bildungsressourcen stieg um das 5,5-fache, und die stärksten Angriffe im Berichtszeitraum gingen auf Telekommunikationsbetreiber und Rechenzentren zurück.

Das größte Angriffsvolumen von März bis Mai ereignete sich im Online-Handelssektor (31%), der traditionell eines der Hauptziele für DDoS ist. Der zweitbeliebteste war der öffentliche Sektor (21% der Angriffe). Es folgen der Finanzsektor (17%), die Telekommunikation (15%), das Bildungswesen (9%) und das Glücksspielsegment (7%).



Der schwierigste Monat für die Eigentümer von Internet-Ressourcen war der April, als in Russland ein strenges Selbstisolationsregime in Kraft trat. Im Mai begann die Aktivität der Dedosierer allmählich abzunehmen - dieser Trend wird sich fortsetzen, auch wenn sich die Situation in Russland und der Welt stabilisiert. Sie können auch einen Rückgang der Anzahl der Angriffe im Bildungsbereich vorhersagen, wenn die Aufnahme- und Abschlussprüfung endet.



Wie die letzte Quarantäne gezeigt hat, ist es jedoch unmöglich, genau vorherzusagen, wann DDoS in das Unternehmen kommt. Daher ist es besser, den Strohhalm im Voraus zu verteilen.