В третьем квартале 2023 года, как и в предыдущем периоде, больше всего от DDoS-атак пострадал финансовый сегмент – 42,06% от общего числа всех атак. На втором месте расположился сегмент электронной коммерции, на долю которого пришлось 29,80%. Третью строчку рейтинга занял сегмент ИТ и телеком – 6,05%. Сфера образовательных технологий в этот раз занимает четвертое место с показателем 5,9%, что на 5,36% ниже результата предыдущего квартала. Пятерку наиболее атакуемых сегментов замыкает Медиа с показателем 4,99%.
Спускаясь на уровень ниже – в микросегменты, мы видим следующую картину:
По итогам трех кварталов 2023 года, наиболее часто атакуемым стал микросегмент Банки (Финансовый сектор) - 27,74% всех атак за 9 месяцев. На второй строчке расположились Электронные доски объявлений – 16,16%, а третью строчку занял сегмент онлайн-образования - 9,5% всех атак. В пятерку лидеров также вошел сегмент Платежные системы - 6,71% и практически разделившие между собой пятую строчку сферы Онлайн-магазинов и Медиа (4,53% и 4,78% соответственно). Именно эти сегменты становятся целью злоумышленников чаще всего в этом году.
«Появление на первых трех строчках среди наиболее атакуемых микросегментов банков, электронных досок объявлений и розничных продаж объясняется подготовкой и началом осеннего сезона. В банках это осенние предложения по вкладам и кредитам, а в электронной коммерции – подготовка к школьному сезону и запуск маркетинговых акций, распродаж», – комментирует Дмитрий Ткачев, генеральный директор Qrator Labs.
Продолжительность атак
Длительность атак в третьем квартале претерпела изменения относительно второго квартала. Так, например, средняя продолжительность атак составила 66 минут, что больше показателя второго квартала на 19 минут, и сопоставимо с результатом первого квартала.
Однако максимальная продолжительность атак показала первый рекорд в этом году, превзойдя даже показатель четвертого квартала прошлого года, где самая продолжительная атака длилась почти 70 часов. В конце августа произошла атака на сегмент транспорта и логистики (аэропорты) и стала самой продолжительной непрерывной атакой в этом году, продлившейся почти три дня (71 час 58 минут). Важно отметить, что это была сложная, мультивекторная атака – UDP+SYN+TCP, имеющая признаки коммерческой (заказной) атаки.
Вторая по продолжительности атака была зафиксирована в сентябре, в сегменте Общественного питания, и длилась более 22 часов. Данная атака не только заняла вторую строчку среди самых продолжительных непрерывных нападений, но и вошла в ТОП 5 по интенсивности с пропускной способностью в пике более 100 Gbps. Причиной атаки, вероятно, стала масштабная маркетинговая акция, запущенная одной из сетей быстрого питания.
В целом по продолжительности атак места сегменты расположились следующим образом:
«Коммерческие атаки в этом году стали возвращать свою популярность. Это не удивительно, ведь мы уже рассказывали о замеченных нами трендах на расширение каналов связи, переход на новые протоколы для оптимизации работы удаленных офисов. Добавьте сюда легкость и низкую стоимость организации DDoS-атак, и мы получим действенный инструмент влияния на бизнес для злоумышленников со всеми вытекающими последствиями: репутационные риски, прямые финансовые потери, упущенная прибыль, сорванные маркетинговые акции, затраченные на восстановление работоспособности систем ресурсы и так далее», – отмечает Дмитрий Ткачев.
Географическое распределение источников атак
Статистика распределения атак по географическим источникам в третьем квартале подтверждает очередной тренд, который был обозначен во втором: для обхода геоблокировки злоумышленники стали активнее использовать локальные источники трафика, максимально близко в регионе своих жертв.
Общее число заблокированных IP-адресов, по сравнению со вторым кварталом, увеличилось на 116,42%, с 18,5 миллионов до 40,15 миллиона.
Как и в предыдущем квартале, список возглавила Россия, где было заблокировано 18,7 миллиона адресов – это почти половина от общего числа заблокированных IP (46,74%). В ТОП 3 вновь США и Китай - 5,66 (14,11%) и 4,97 (12,39%) миллиона блокировок соответственно.
По-прежнему в список лидеров по количеству блокировок входят Германия (1,39 млн), Индонезия (1,32 млн), Сингапур (1,03 млн), Бразилия (867 тыс), Индия (847 тыс) и Франция (822 тыс).
Самый большой ботнет
По сравнению со вторым кварталом 2023 года, показатель самого большого ботнета, зафиксированного за исследуемый период, снизился почти в два раза и составил 85 298 устройств, собранных в 20 странах (136 590 устройств во втором квартале). Атака ботнета был зафиксирована 10 августа на сегмент Платежных систем. Наибольшее количество устройств ботнета было из Индии - 10671 устройство. В ТОП 5 также вошли Индонезия (10092 устройства), Россия (9757 устройств), США (8361 устройство), Иран (6497 устройств) и Вьетнам (5786 устройств).
Атаки на уровне приложений (L7)
В третьем квартале количество атак на уровне приложений продолжило снижаться. В этот раз показатель упал еще на 26,67%, по сравнению со вторым кварталом текущего года. Итого, снижение доли атак на уровне L7 составило 34% относительно первого квартала 2023 года.
Для увеличения количества атак на уровне L7 нужны уязвимости, позволяющие создавать дешевые L7-атаки с возможностью генерации большого количества запросов в секунду. Без уязвимостей стоимость организации атак очень высока, поскольку арендовать реальные устройства и создать из них ботнет – очень дорого. Кроме того, нужно быть уверенным в том, как обойти механизмы защиты жертвы и насколько это выгодно с экономической точки зрения для нападающего.
Именно поэтому нападения не носят массовый характер, а становятся очень точечными.
Статистика защиты от ботов
В сравнении со вторым кварталом, количество атак ботов сократилось на 10%, составив 3 805 919 785. Пиковые значения в третьем квартале оказались меньше, не было рекордных по объему и продолжительности бот-всплесков, которые выделялись бы относительно повседневной активности. Самым активным месяцем 3 квартала стал июль, на который пришлось больше всего атак: 1,35 млрд. заблокированных запросов ботов.
Сегменты беттинга и онлайн-ритейла находятся в топе у атакующих уже третий квартал подряд. В третьем квартале их доли составили 39,7% и 23,9% соответственно. Третье и четвертое место, как и в предыдущем периоде, заняли фармацевтика (9,5%) и финансовые организации (1,3%).
«Количество фона и бот-инцидентов в сегменте онлайн-фармы выросло буквально вдвое относительно второго квартала 2023 года. Серьезные ботнеты, с помощью которых до этого перебирали ритейл и развлекательные ресурсы, например, беттинг, теперь активно применяются в секторе интернет-аптек, где их ресурсы используются в полную мощность», – комментирует Георгий Тарасов, менеджер продукта Qrator.AntiBot в Qrator Labs.
Крупнейшая атака ботов произошла в сфере беттинга 24 сентября. В этот день было зафиксировано 24 255 701 запросов, что, однако, почти на 10 млн меньше пиковой атаки второго квартала в этом же сегменте.
Бот-атаки увеличились по продолжительности, но уменьшились по резким всплескам. Основной вклад в бот-активность теперь вносит фоновый режим: атаки, 24/7 создающие нагрузку на ресурсы жертв без резких перепадов. Хорошей иллюстрацией к этому является то, что рекордные значения по нагрузке в день и единичным инцидентам бот-атак теперь намного ниже, чем были в прошлом квартале. Так, крупнейшая атака текущего квартала оказалась на 30% слабее показателей предыдущего периода, но общее количество бот-запросов – всего на 10% ниже. А значит, все силы ушли в фоновую нагрузку.
Бот-атаки стали быстрее прекращаться их организаторами, когда последние начинают встречать контрмеры со стороны антибот-систем. Если во втором квартале часто случалось, что после нейтрализации атака могла висеть еще неделю и создавать лишний фон, который блокировала защита, то теперь продолжительность массированных атак стала меньше, фон падает почти до нулевого, пока нападающие не начнут пробовать новые векторы атак или новые ресурсы.
«Популярность новых инструментов для скрэпинга и автоматизации браузеров (new Chrome headless) сейчас ниже, чем мы ожидали: они не фигурируют в массированных всплесках и не выделяются в общем фоне атак. Однако это затишье перед штормом. Мы предполагаем массовое использование не засвеченных ранее векторов бот-активности в 4 квартале в период Черной пятницы», – резюмирует Георгий Тарасов.