В августе и сентябре 2021 года наблюдается рост числа DDoS-атак на компании из самых разных секторов экономики: от небольших бизнесов до крупнейших корпораций, а с начала сентября 2021 года злоумышленники сфокусировали свое внимание на российском финансовом секторе. Число DDoS-атак на банковские организации непрерывно растет, одновременно злоумышленники наращивают интенсивность и сложность атак, используя мощности нового ботнета Mēris.
Пик нападений пришелся на 11 сентября, когда была организована целая серия DDoS-атак на ведущие банки и платежные системы. Было зафиксировано три волны атак, максимальные скорости которых достигали 212 Гб/сек и десятки миллионов запросов в секунду.
Особенность наблюдаемых атак заключается в том, что это атаки уровня приложения (Application Layer, L7), трафик которых может максимально походить на активность обычных пользователей. В таких нападениях используется шифрованный HTTPS трафик, для очистки которого требуется большое количество ресурсов и вычислительных мощностей, поскольку к обработке незашифрованных запросов добавляется криптографическая нагрузка.
У российского финансового рынка есть определенная специфика в области информационной безопасности, что осложняет фильтрацию подобного рода атак. Банк не имеет права раскрывать третьим лицам финансовую тайну, поэтому его трафик не может быть дешифрован без риска отзыва лицензии. Соответственно предоставлять ключи шифрования своему поставщику услуг защиты от DDoS-атак банки не имеют права – это идет вразрез с их политиками безопасности. Именно по этой причине атаки нового ботнета Mēris, затронувшего банковскую индустрию, были настолько сложны в выявлении и нейтрализации.
«Обычно мы наблюдаем не более 90 значимых DDoS-инцидентов в неделю, а на 11 сентября их пришлось более 300», – комментирует основатель и генеральный директор Qrator Labs Александр Лямин.
Пик атак случился в выходные, поскольку предполагается, что в эти дни большинство людей отдыхают, системы наименее защищены, и есть шанс добиться результата. Однако все произошедшие инциденты были обработаны сетью фильтрации Qrator Labs в полностью автоматическом режиме, и деградаций клиентских приложений не было зафиксировано, благодаря тому, что сеть Qrator Labs использует уникальную технологию, позволяющую анализировать и фильтровать HTTPS-трафик без раскрытия ключей шифрования.
«Mēris не сдает своих позиций: атаки с его использованием продолжаются и носят феноменальный характер. В минувшие выходные в фокусе внимания злоумышленников был банковский сектор, но это не значит, что атаки не коснутся и других отраслей экономики. С учетом высокого бизнес-сезона, начавшегося в России, компаниям любого размера стоит озаботиться вопросами защиты заранее, и если система противодействия распределенным атакам на отказ в обслуживании способна в автоматическом режиме обрабатывать весь трафик HTTPS без раскрытия ключей шифрования, это поможет достойно выдержать любые атаки без сбоев в работе сервисов», – отмечает Александр Лямин.
«Атаки на финансовый сектор в России, скорее всего, носят заказной характер. В частности, они могут быть связаны со стремлением внешних сил нарушить планы по введению цифрового рубля, которые обрели реальные очертания минувшим летом. В целом рост атак на банки в периодпандемии вполне объясним: злоумышленники прекрасно знают о том, что для финансового сектора очень критичны отказы в обслуживании клиентов, а потому в случае длительных атак есть хорошие шансы получить выкуп или отвлечь внимание служб безопасности и попытаться провести взлом сети, чтобы добыть конфиденциальную информацию. Кроме того, успешная атака на банк - это всегда яркий пункт в портфолио хакерской группировки. От нового ботнета Mēris страдают не только банки. Ранее операторы ботнета атаковали компанию "Яндекс", а до этого пытались вывести из строя инфраструктуры американской компании Cloudflare, в продуктовый портфель которой входят разработки для борьбы с DDoS-атаками. Судя по тому, что в ботнет вовлекаются все больше уязвимых маршрутизаторов MikroTik, в ближайшее время стоит ожидать новой волны атак, причем не только на финансовые организации и ИТ-сферу, но и на другие отрасли».