Crônicas de quarentena: como os DDoS cresceram

Como você sabe, a preguiça é o motor do progresso. E o auto-isolamento é o mecanismo do DDoS - adicionaremos o resultado de compreender o "passado" de março a maio de 2020. Enquanto alguém sofria com a desesperança (literalmente) de sua situação, os "hackers da mãe" sofriam com lixo.da inevitabilidade do aprendizado on-line e dos próximos exames. Sofreu "ativamente" (essa energia estaria em uma direção pacífica!). Em termos de número de ataques DDoS na educação, foi observada a maior dinâmica de crescimento. No auge - em abril -, o número de tentativas de negação de serviço aos recursos educacionais (diários eletrônicos, sites com documentos de teste, sites para aulas on-line etc.) aumentou 5,5 vezes em relação a março e 17 vezes em relação a março. até janeiro de 2020. Todos esses ataques foram de baixa potência (e provavelmente gratuitos) usando ferramentas simples e prontamente disponíveis. É claro que outros setores caíram à vista dos atacantes (embora já mais avançados), mas aqui era esperado: comércio on-line, setor público, setor financeiro, telecomunicações e segmento de jogos. Detalhes, como sempre, sob o corte.







As análises que apresentamos abaixo são baseadas em dados de ataques às redes Rostelecom de janeiro a maio de 2020.

Como o número de ataques mudou

Assim. Entre março e maio de 2020, o número de ataques DDoS aumentou 5 vezes em comparação com o mesmo período do ano passado. Em geral, nos primeiros cinco meses de 2020, o número total desses ataques mais do que quadruplicou ano a ano.



Vê-se claramente como os cibercriminosos aumentaram sua atividade com a introdução de medidas de quarentena. O pico ocorreu em abril, quando o número de ataques aumentou 88% em relação a janeiro. Vale ressaltar que um ano antes a dinâmica não era tão clara e o número de ataques de mês para mês permaneceu o mesmo, mais ou menos.





Durante o período de auto-isolamento, a natureza do tráfego da Internet também mudou. Muitas organizações que anteriormente trabalhavam apenas offline lançaram seus próprios recursos da Internet , incluindo os gratuitos . Adicione um controle remoto em massa aqui - e teremos uma nova realidade na rede: se a atividade anterior da Internet aumentasse gradualmente, atingindo um pico entre 17: 00-21: 00, agora um aumento acentuado foi observado por volta das 10:00 e não diminuiu antes das 23:00. Em geral, o tráfego ao longo dos cinco meses de 2020 aumentou cerca de 20% (e onde há tráfego, “sabotadores”).

Características do ataque

Com um aumento acentuado no número de ataques DDoS, sua complexidade e poder geralmente diminuíram. Basicamente, os atacantes usavam amplificação normal de DNS ou NTP de pequenos volumes (até 3 Gb / s).



Vale ressaltar que, no final de 2019, registramos uma tendência oposta: um forte aumento de energia e a complexidade técnica dos ataques. Durante a pandemia, esse número não diminuiu, mas a participação como um todo caiu no contexto de um aumento acentuado em ataques DDoS "camponeses-operários" simples. Isso indica mais uma vez que durante o auto-isolamento, não foram os "profissionais" que foram especialmente ativos, mas os "amadores" que decidiram tirar proveito da situação.

Quem foi caçado

Como dissemos acima, nos primeiros cinco meses, o interesse dos atacantes por recursos educacionais aumentou bastante. Considerando que na maioria dos casos o tráfego de "lixo" foi enviado explicitamente pelos "amantes", as conclusões sobre os organizadores são evidentes (e sim - não é para você esconder ou aquecer o termômetro debaixo da cama para evitar o controle).





Mas o DDoS não era a única escola. O número de ataques a instituições estatais também aumentou - em abril mais de três vezes em relação a março.





O terceiro setor com a dinâmica mais acentuada foi o jogo (o crescimento dos ataques em abril quase triplicou em relação a março). O modo de isolamento atraiu não apenas muitos usuários novos para esse setor, mas também dinheiro em ouro (e onde está o dinheiro, existe ..., você entendeu). Em uma palavra, uma luta séria se desenrolou nos campos dos jogos, não apenas entre os jogadores, mas também entre os sites.





Apesar do poder de ataque geral ter caído durante o período coberto pelo relatório, as operadoras de telecomunicações e os data centers se destacaram nas estatísticas gerais: ataques de mais de 150 GB foram mais comuns aqui. O DDoS nesses dois segmentos torna possível desativar não um site específico, mas “atacar” os clientes da operadora e os recursos atendidos pelo data center. Além disso, essas empresas são mais protegidas do que, por exemplo, agências governamentais ou o segmento educacional. Portanto, os invasores precisam usar ferramentas mais sofisticadas. Durante a pandemia, os ataques a esses dois segmentos foram rápidos e poderosos e foram realizados, provavelmente, por meio de hosts reais reunidos em uma botnet com a capacidade de redirecioná-la para uma nova vítima em questão de minutos.



Em geral, essa divisão por setor continua a tendência que se formou em 2019. Por exemplo, em 2018, o setor de telecomunicações representou apenas 10% de todos os ataques DDoS e, em 2019 - já 31%. Pequenos provedores regionais de Internet, serviços de hospedagem e data centers, que geralmente não possuem os recursos necessários para repelir ataques, tornaram-se alvos de hackers.

Total

• Durante o período de quarentena, em meio à disseminação do COVID-19 (março a maio de 2020), foram registrados cinco vezes mais ataques DDoS do que no ano anterior.
• A proporção de ataques simples e de baixo consumo de energia aumentou, o que indica a atividade de atacantes "não profissionais".
• O número de ataques a recursos educacionais aumentou 5,5 vezes, e os ataques mais poderosos durante o período coberto pelo relatório foram contra operadoras de telecomunicações e data centers.

O maior volume de ataques de março a maio ocorreu no setor de comércio on-line (31%), que é tradicionalmente um dos principais alvos de DDoS. O segundo mais popular foi o setor público (21% dos ataques). Seguem-se o setor financeiro (17%), telecomunicações (15%), educação (9%) e o segmento de jogos (7%).



O mês mais difícil para os proprietários de recursos da Internet foi abril, quando um regime difícil de auto-isolamento estava em vigor na Rússia. Em maio, a atividade dos dedosers começou a diminuir gradualmente - essa tendência continuará mesmo que a situação na Rússia e no mundo se estabilize. Você também pode prever uma redução no número de ataques no campo da educação quando os exames de admissão e final terminam.



No entanto, como mostrou a última quarentena, é impossível prever com precisão exatamente quando o DDoS chegará à empresa; portanto, é melhor espalhar a palha com antecedência.