Эксперты Qrator Labs – о статистике DDoS и бот-атак в 2024 году

DDoS-атаки

Одним из наиболее распространенных типов киберпреступлений являются DDoS-атаки. По данным Эдгара Микаеляна, руководителя отдела технического пресейла Qrator Labs, в 2024 году злоумышленники совершили на 53% DDoS-атак больше, чем в 2023. Эксперт объясняет это тем, что киберпреступники стали более профессиональными и организованными, а их действия – более координированными. Это приводит к росту мультивекторных атак с применением всех видов DDoS, начиная с транспортного уровня и заканчивая уровнем приложений.

Например, вместо обычных атак на веб-ресурсы задействуются ковровые атаки, которые затрагивают всю инфраструктуру жертвы в целом. Это позволяет найти узкое место в периметре защиты компании, которое можно эксплуатировать дальше. На мультивекторные атаки в 2024 году пришлось 14,6% от всех зафиксированных DDoS-атак, что на 8% больше, чем в 2023 и, как говорят специалисты, это совсем не предел.

Эдгар Микаелян, руководитель отдела технического пресейла Qrator Labs
Фото: Андрей Маркеев/ICT-Online.ru

Наблюдается высокая динамика и узкотаргетированных атак на приложения, обнаружить которые тяжелее, чем массированные DDoS-атаки. Рост их количества в ближайшем будущем также будет продолжаться. Традиционно основной целью таких нападений является финтех и предприятия электронной коммерции. На эти сегменты в 2024 году пришлось, соответственно, 39,6% и 35,7% от числа всех зарегистрированных атак. Также в пятерку наиболее атакованных секторов попали медиа (5,6%), онлайн-ставки (5,1%) и ИТ/телеком» (4,5%).

Рекордные DDoS-атаки 2024 года

Из года в год киберпреступники бьют рекорды, продолжая увеличивать как продолжительность, так и мощность атак. Так, если в прошлом году максимальная продолжительность нападения составила три дня, то в этом в 2024 была зафиксирована атака длительностью аж 19 дней. Что касается мощности, то в этом году максимум, который удалось отследить, достиг 1,14 Тб/с, что почти в 2 раза выше чем в 2023.

Однако Эдгар Микаелян отмечает, что ресурсы жертвы можно вывести из строя и атакой гораздо меньшей мощности. Для некоторых сайтов достаточно мощности DDoS в 100 Мб/сек для того, чтобы они перестали быть доступным для целевой аудитории, например, для проведения узкотаргетированной атаки.

Страны-источники DDoS-атак

С развитием интернет-технологий и из-за геополитических факторов меняется перечень основных территорий откуда осуществляются DDoS-атаки. Если раньше лидирующие позиции в этом «антирейтинге» занимали Россия, США и Китай, то сегодня на третье место переместилась Бразилия. Таким образом, топ-10 стран-источников вредоносного трафика в 2024 году выглядит так: Россия (32,4%), США (20,6%), Бразилия (5,8%), Сингапур (5,2%), Китай (5,1%), Индия (4,7%), Германия (4,4%), Великобритания (4,2%), Нидерланды (3,6%) и Индонезия (2,9%).

Прогнозы в сфере DDoS на 2025 год

Эдгар Микаелян считает, что возможен такой вариант развития событий, когда DDoS атаки будут длиться почти беспрерывно. Он связывает это с тем, что интернет все больше проникает в разные уголки развивающегося мира, а сами пользовательские устройства становятся все более мощными: даже будучи зараженными, они практически не теряют в производительности (что раньше было одним из симптомов кибератаки) и по-прежнему выполняют свои обычные функции. А раз атака не влияет на производительность устройства, то заражение остается незаметным для его владельца, в результате чего злоумышленники могут создать крупный ботнет, работающий в фоновом режиме и способный атаковать бесконечно.

На руку этому также играет и тот факт, что в развивающихся странах низкий уровень грамотности пользователей в области информационной безопасности. Устройства там используются многие годы, в том числе после того, как производитель перестал обновлять их прошивки, что приводит к появлению большего количества уязвимостей. 

Наконец, растет число самих устройств, способных выходить в Сеть: сегодня это могут быть и бытовые приборы вроде чайников, управляемых дистанционно, и другие элементы «умного дома».

Также Эдгар Микаелян затронул проблематику искусственного интеллекта. По его мнению, пока не оправдались надежды на то, что ИИ станет панацеей при выстраивании защиты от киберпреступников. Этот процесс по-прежнему требует точечной настройки и участия людей. К тому же цена ошибки для защищающегося всегда больше, чем для нападающего, а искусственный интеллект пока не может похвастаться 100% точностью мониторинга.

Зато сами злоумышленники уже поставили ИИ себе на службу. С его помощью моделируются голоса, фото и даже видео. Этот тренд продолжится и в дальнейшем.

Еще один тренд связан с тем, что киберпреступникам сегодня не так интересны отдельные компании: их больше привлекают  крупные телекоммуникационные и облачные провайдеры, взломав которые, можно получить доступ к сотням организаций, которые хостятся на их оборудовании.

Георгий Тарасов, менеджер продукта Qrator Labs
Фото: Андрей Маркеев/ICT-Online.ru

Армия ботов

Более подробно тему бот-атак раскрыл Георгий Тарасов, менеджер продукта Qrator Labs.

Боты – это вредоносные программы в интернете, которые занимаются автоматизированным сбором публичных данных, имитацией действий реальных пользователей, совершением покупок, генерацией спам-комментариев, перебором паролей и т. п. Такая деструктивная активность не является DDoS-атакой и не направлена на инициирование сбоев сайтов, сервисов или приложений. Наоборот, бот решая свои задачи, старается использовать их ресурсы как можно эффективнее и незаметнее.

Тем не менее, даже несколько десятков дополнительных запросов в секунду могут стать существенной нагрузкой для небольшой компании, а это дополнительные расходы на сетевую инфраструктуру и другие ресурсы.

Тем более, что бот-атак стало больше: в 2024 году среднемесячная нагрузка, по статистике клиентов и партнеров Qrator Labs, по сравнению с 2023 годом выросла почти на 30%, достигнув 1,7 млрд обращений ежемесячно. Эксперты это объясняют ростом популярных онлайн-ресурсов.

В этом году на первом месте среди пострадавших от активности злоумышленников оказался онлайн ритейл (36,2% от всей бот-активности). Данный сегмент впервые лидирует по количеству бот-атак и в целом по количеству заблокированных обращений. Это связано с тем, что онлайн-ритейл показывает большой рост: цифровизируются цепочки поставок в работе онлайн-магазинов и маркетплейсов. Вместе с ним в ритейлом в топ-5 – букмекерские конторы (16%), онлайн-аптеки (7,3%), сервисы недвижимости (5,1%) и финансовые сервисы (1%). В совокупности на эти пять категорий приходится примерно две трети всех зафиксированных Qrator Labs атак ботов.

Распределение ботов по типам было следующим: основная доля приходится на скриптовых ботов (67,5%). На втором месте API-боты (27,1%), на третьем – браузерные боты (5,4%). При этом в этом году был зафиксирован почти 80%-й рост устройств в ботнетах. Количество атакующих устройств достигло 227 тыс по сравнению со 127 тысячами в 2023 году. Крупнейший ботнет 2024 года был обнаружен в четвертом квартале. На пике атаки, которая шла тремя волнами на микросегмент «Банки», в ней как раз и было задействовано 227 тысяч устройств.

С технической точки зрения в этом году лидерство перешло к самым простым и примитивным системам перебора данных. Это обусловлено двумя факторами. Во-первых, генерация программного кода с помощью ИИ-языковых моделей заместила фрилансеров, которые до этого писали подобные скрипты и программы, и теперь киберпреступникам, которые занимаются перебором данных, спамом и прочими активностями с использованием роботов, не требуется никаких навыков программирования. Во-вторых, интерес злоумышленников от ботов, которые использовали программные интерфейсы мобильных приложений, сместился на ботов, использующих полноценные веб-страницы, так как популярность различных встроенных средств защиты от ботов в мобильных приложениях в 2024 году сильно возросла.

Прогноз на 2025 год в сфере бот-атак

Доля атак на онлайн-ритейл в общей бот-активности продолжит расти в 2025 году, и при этом будет охватывать смежные области. Также рекордные атаки в 2025 опять ожидаются на букмекеров. Правда, атаки на данный сегмент имеют волнообразный характер, принимая рекордные значения в отдельные периоды. При этом бот-активность в онлайн-ритейле и других сегментах идет высоким, но постоянным фоном. Такая ситуация сохранится и в 2025 году.

Один из важных трендов – это использование злоумышленниками огромных ботнетов, состоящих из сотен тысяч устройств, размещенных в развивающихся странах. Продолжится рост мощности этих ботнетов для генерации паразитного трафика, как из-за роста количества входящих в них устройств, так и потому, что подключение к интернету у этих устройств из года в год становится лучше.

Но и обороняющаяся сторона укрепляет позиции. Уже сейчас большинство магазинов и маркетплейсов используют антифрод-защиту разных типов для сайтов и мобильных приложений. Это требует у владельцев ботов больше ресурсов и мощностей, чтобы обходить защитные механизмы. Соответственно, можно ожидать большей активности и от самих злоумышленников.

Перспективы развития Qrator Labs

Подводя итоги деятельности компании, Дмитрий Ткачев, генеральный директор Qrator Labs, отметил, что в этом году был проведен ребрендинг, результатом которого стало появление нового нейминга для российского рынка. Теперь Qrator Labs в России трансформировался в Curator.

Бренд Qrator Labs тоже не изчез: его компания планирует использовать на зарубежных рынках, где присутствует уже несколько лет. Впрочем, и там возможно его дробление на новые локальные бренды.

В Qrator Labs объясняют такой подход тем, что каждый зарубежный рынок имеет специфику, которая порой сильно отличается от российской. Поэтому руководством было решено трансформировать Qrator Labs в группу компаний, работающих по географическому признаку. При этом каждое подразделение имеет свою стратегию деятельности и управляется локально независимо от других.

Дмитрий Ткачев, генеральный директор Qrator Labs
Фото: Андрей Маркеев/ICT-Online.ru

Что касается результатов деятельности Qrator Labs, компания растет быстрее рынка. В этом году число ее клиентов увеличилось на 12%, а выручка прогнозируется в размере 2 млрд руб, что на 35% больше, чем в 2023 году. Величина среднего чека компании выросла на 20%, причем без повышения цен.

Компания старается диверсифицировать бизнес и развивает новые услуги и сервисы. Сегодня портфель ее решений, в числе прочего, включает в себя защиту от DDoS-атак, защиту от взлома (WAF), сеть доставки контента (CDN), защиту от ботов, а также Qrator.Radar – глобальную систему BGP-мониторинга в режиме реального времени. Сервисы WAF и антибот показали в этом году 50% рост.

Одновременно с этим Qrator Labs продолжает инвестировать в собственную ИТ-инфраструктуру. CDN-сеть компании развернута сегодня в 18 городах России и стран СНГ. Помимо этого в РФ запущена пятая площадка фильтрации трафика.