DDoS-атаки в I квартале 2021 года

Обзор новостей

В первом квартале 2021 года появились два новых ботнета. В январе стало известно о зловреде FreakOut, атакующем устройства под управлением Linux. Злоумышленники эксплуатировали несколько критических уязвимостей в установленных на устройстве программах, в том числе CVE-2021-3007, обнаруженную уже в этом году. Зараженные устройства операторы ботнета могут использовать для проведения DDoS-атак или майнинга криптовалюты.

Другой активный бот специализировался на устройствах под управлением Android, на которых был доступен отладочный интерфейс ADB (Android Debug Bridge). Ботнет окрестили Matryosh (от русского матрешка) за многоступенчатый процесс получения адреса командного сервера. Это далеко не первый бот, атакующий мобильные устройства через отладочный интерфейс. Ранее этой лазейкой уже пользовались такие зловреды, как ADB.Miner, Ares, IPStorm, Fbot и Trinity.

Не обошлось в первом квартале и без очередного варианта Mirai. Злоумышленники заражали сетевые устройства, эксплуатируя сравнительно недавно обнаруженные уязвимости, а также несколько неизвестных багов. По словам исследователей, выявивших атаку, она могла затронуть несколько тысяч устройств.

Кроме того, за первый квартал 2021 года злоумышленники нашли сразу несколько новых инструментов амплификации DDoS-атак. Одним из них стало ПО Plex Media Server для организации медиасервера на компьютерах под управлением Windows, macOS или Linux, в хранилищах NAS, цифровых медиаплеерах и т. д. Уязвимыми оказались около 37 тыс. устройств с установленным Plex Media Server, доступных из интернета напрямую или принимающих пакеты, перенаправленные с определенных UDP-портов. Мусорный трафик, сгенерированный с помощью Plex Media Server, представляет собой ответы на запросы по протоколу обнаружения сервисов Plex Media (PMSSDP) и усиливает атаку примерно в 4,68 раза.

Серьезным вектором амплификации оказалась служба RDP для удаленного подключения к устройствам под управлением Windows. Усиливать DDoS-атаку позволяли RDP-серверы, слушающие UDP-порт 3389. На момент публикации информации о злоупотреблении службой удаленного доступа было обнаружено 33 тыс. уязвимых устройств. Коэффициент амплификации был при этом значительно больше, чем в случае с Plex Media Server: 85,9. Для предотвращения атак через RDP рекомендуется скрывать RDP-серверы за VPN или же отключить на них UDP-порт 3389.

Впрочем, VPN-сервис не панацея, если он сам уязвим для атак с усилением. Так, в первом квартале 2021 года злоумышленники начали злоупотреблять серверами Powerhouse VPN. Виновником оказался протокол Chameleon, использующийся для защиты от блокировки VPN и слушающий UDP-порт 20811. На запросы к этому порту серверы возвращали ответ, превышавший размер запроса в 40 раз. Узнав о проблеме, производитель выпустил патч.

Увы, не все пользователи уязвимых программ и устройств оперативно устанавливают обновления. Так, к середине марта в Сети находилось около 4300 серверов, позволяющих усиливать DDoS-атаки через протокол DTLS, — об этом методе мы упоминали в прошлом отчете. Либо уязвимые устройства были неправильно сконфигурированы, либо же на них не была установлена актуальная версия прошивки, предусматривающая нужные настройки. При этом злоумышленники уже добавили этот метод амплификации, как и большинство обнаруженных уже в первом квартале 2021 года, в арсенал платформ, сдающих DDoS-мощности в аренду.

Нестандартные протоколы интересуют злоумышленников не только как средство усиления, но и как инструмент для осуществления DDoS-атак. В первом квартале новым вектором атаки стал DCCP (Datagram Congestion Control Protocol) — транспортный протокол, позволяющий контролировать загрузку сети при передаче данных в реальном времени, например при стриминге видео. Встроенные механизмы защиты от перегрузки канала не спасли от атак с использованием этого протокола: злоумышленники заваливали жертв множеством запросов на установку соединения. При этом на стороне получателей мусорных пакетов не было доступных из интернета DCCP-приложений. Скорее всего, атакующие искали способ обходить стандартную защиту от DDoS и действовали наугад.

Еще один необычный вектор DDoS упомянуло ФБР в своем предупреждении об участившихся атаках на телефоны экстренных служб. Речь идет о TDoS (Telephony Denial of Service, телефонный DDoS) — атаках, нацеленных на то, чтобы номер жертвы был все время занят. Есть два основных метода TDoS: организация флешмоба в соцсетях или на форумах и автоматизированные атаки с помощью ПО для VoIP. Оба не новы, однако TDoS против экстренных служб может представлять серьезную опасность. Пользователям рекомендуют не полагаться на доступность 911, а держать под рукой контакты локальных отделений экстренных служб, адреса их веб-сайтов и страниц в соцсетях или настроить на телефоне автоматическое оповещение спасателей в случае чрезвычайной ситуации.

В целом квартал оказался урожайным с точки зрения DDoS-атак, освещенных в СМИ. В частности, в начале года DDoS-вымогатели продолжили активно атаковать организации по всему миру. Причем в отдельных случаях они демонстрировали впечатляющие мощности. Так, одна из европейских игорных компаний столкнулась с лавиной мусорного трафика, на пике атаки достигавшей 800 ГБ в секунду. Также от вымогателей пострадал мальтийский интернет-провайдер Melita: демонстративная DDoS-атака вызвала перебои в работе его сервисов. В то же время операторы шифровальщиков, которые ранее стали красть данные жертв перед шифрованием, обратили внимание и на DDoS как инструмент вымогательства. Первая атака на веб-сайт жертвы, отказывающейся идти на переговоры, произошла еще в конце прошлого года. В январе к этому тренду присоединились операторы Avaddon, а в марте — группировка, стоящая за шифровальщиком Sodinokibi (REvil).

Активность вымогателей, вероятнее всего, только подстегнул рост курса криптовалюты, который продолжился в первом квартале 2021 года. В начале февраля компания Tesla заявила о покупке биткойнов на крупную сумму, что привело к еще большему ажиотажу вокруг цифровых денег. В результате несколько криптовалютных бирж не справились с притоком пользователей и работали с перебоями. Не обошлось и без DDoS: об атаке на свои системы заявила британская биржа EXMO. Представители компании утверждали, что проблема затронула не только сайт, но и всю сетевую инфраструктуру.

В начале 2021 года многие пользователи по-прежнему работали и проводили досуг дома, а злоумышленники — атаковали самые востребованные в связи с этим ресурсы. Так, помимо уже упомянутого ранее провайдера Melita от DDoS-атак (правда, уже без вымогательской составляющей) пострадали австрийский провайдер A1 Telekom, а также бельгийская телекоммуникационная компания Scarlet. В обоих случаях клиенты атакованных организаций столкнулись с перебоями со связью, причем в случае с A1 Telekom проблемы испытывали пользователи всей страны.

Онлайн-развлечения также становились мишенью злоумышленников в течение всего квартала. Так, в начале января о DDoS-атаке заявили в компании Blizzard. Из-за шквала мусорного трафика игроки, особенно те, кто пытался подключиться к серверам World of Warcraft, могли сталкиваться с задержками. Также были случаи, когда игрока выкидывало с сервера. Ближе к концу месяца злоумышленники атаковали League of Legends. Игроки, пытавшиеся принять участие в турнирах в режиме Clash, испытывали проблемы со входом на серверы и периодически теряли связь с ними. В феврале DDoS-атака на время вывела из строя ТВ-сервис исландского провайдера Siminn. В марте в течение нескольких дней с перебоями работала игра Little Big Planet. По словам игроков, DDoS-атаку устроил недовольный фанат.

К началу 2021 года многие школы перешли на очный или гибридный режим работы, однако DDoS-атаки на них не прекратились. Только если ранее злоумышленники заваливали мусорным трафиком онлайн-платформы, то в первом квартале они стремились оставить без интернета сами образовательные учреждения. Так, в феврале от DDoS пострадали школы в городке Винтроп в штате Массачусетс и в поселке Манчестер в штате Нью-Джерси. Во втором случае атака вынудила учебные заведения временно вернуться к удаленной работе. В марте жертвой DDoS стала школа CSG Comenius Mariënburg во фризском городке Леувардене. Атаку организовали ученики; двоих из них вычислили довольно быстро, однако руководство школы подозревает, что были и другие соучастники.

В сфере здравоохранения самым значимым событием первого квартала стала вакцинация от COVID-19. При этом нередко подключение к программе новых слоев населения сопровождалось перебоями в работе тематических ресурсов. Так, в конце января нагрузки не выдержал сайт для записи на вакцинацию в штате Миннесота. Инцидент совпал с открытием записи для пенсионеров, учителей и сотрудников дошкольных учреждений. В феврале аналогичный сбой произошел на портале, посвященном вакцинации в Массачусетсе, где открылась запись для пенсионеров, людей с хроническими заболеваниями и сотрудников бюджетных домов престарелых. В обоих случаях доподлинно неизвестно, была ли это DDoS-атака или наплыв легитимного трафика, однако компания Imperva отмечает всплеск активности ботов на ресурсах, посвященных здравоохранению.

Не обошлось в первом квартале и без политических DDoS-атак. В феврале злоумышленники завалили мусорным трафиком сайты голландского политика Кати Пири (Kati Piri) и Партии труда, в которой она состоит. Ответственность взяла на себя турецкая группировка Anka Nefeler Tim. В конце марта от DDoS пострадал сайт Межпарламентского альянса по вопросам Китая (IPAC). Представители организации отмечают, что это далеко не первая подобная атака на их памяти. Кроме того, о DDoS в начале 2021 года сообщили сразу несколько государственных структур России и Украины. В частности, среди пострадавших оказались сайты ФСИН и Росгвардии, а также Киевской городской администрации, СБУ, СНБО и других связанных с безопасностью и обороной украинских учреждений.

С начала 2021 года DDoS-атакам подвергся ряд СМИ в России и за рубежом. Так, в январе злоумышленники «положили» сайты казахстанского издания «Vласть» и бразильской организации Reporter Brasil. Во втором случае атаки продолжались в течение шести дней. Еще дольше — несколько недель — под ударом находился ульяновский портал «Улпресса». Сайт атаковали ежедневно в пиковое время. Казанское издание KazanFirst сначала смогло отразить поток мусорного трафика, однако злоумышленники изменили тактику и все-таки вывели сайт из строя. По схожему сценарию развивались и атаки на мексиканский журнал Espejo: первые попытки «положить» сайт администраторам удалось взять под контроль, однако за ними последовала более мощная волна DDoS.

Впрочем, не только легитимные организации пострадали от DDoS в первом квартале 2021 года. В январе с перебоями работали многие ресурсы, расположенные в анонимной сети Tor, пользующейся популярностью среди киберпреступников. Причиной перегрузки Tor-сети могли быть DDoS-атаки, направленные против конкретных площадок в дарквебе. В феврале мишенью стал крупный подпольный форум Dread, которым пользуются в том числе для обсуждения сделок на черном рынке. Администрации форума пришлось подключить дополнительные серверы, чтобы защититься от атаки.

Наконец, периодически организаторов DDoS выводят на чистую воду. Так, высокорейтинговые игроки, «подвешивавшие» Apex Legends каждый раз, когда кто-то одерживал над ними верх, в итоге оказались забанены. Чуть более серьезно наказали подростка, который в конце прошлого года пытался нарушить учебный процесс в школах округа Майами-Дейд. Его не стали сажать в тюрьму, но приговорили к испытательному сроку и 30 часам общественных работ.

Тенденции квартала

В первом квартале 2021 года рынок DDoS-атак вырос относительно предыдущего отчетного периода сильнее, чем мы прогнозировали: чуть более чем на 40%, тогда как мы ожидали колебания в пределах 30%. Любопытно отметить, что 43% атак пришлись на январь, что необычно само по себе, поскольку этот месяц, как правило, относительно спокойный.

Сравнительное количество DDoS-атак, Q1 2021, а также Q1 и Q4 2020. За 100% приняты данные за Q1 2020 (скачать)

Неожиданный всплеск DDoS-активности можно связать с курсом криптовалют в целом и биткойна в частности, который в январе 2021 года начал снижаться. Практика предыдущих лет показала, что за стремительным ростом криптовалюты следует такое же стремительное падение. Можно предположить, что самые торопливые владельцы ботнетов ожидали подобного поведения и в этом году и при первых признаках снижения курса начали возвращать мощности обратно в DDoS. Однако криптовалюта повела себя неожиданно: снова пошла в рост в феврале, вышла на плато в марте и остается дорогостоящей до сих пор. Соответственно, рынок DDoS в феврале и марте просел.
Стоит отметить, что последние два месяца вполне соответствовали нашему прогнозу: рынок DDoS показал небольшой рост относительно четвертого квартала, однако этот рост не превысил 30%. Любопытно также, что показатели февраля и марта этого года крайне похожи (с колебаниями в пределах нескольких процентов) на показатели января 2020-го, который был обычным спокойным январем. Такую же картину (аномальный январь и стандартные февраль и март) можно увидеть при сравнении с показателями 2019 года.

Сравнительное количество DDoS-атак по месяцам, 2019–2021 гг. За 100% приняты данные за 2019 год (скачать)

Первый квартал 2019 года был достаточно стабильным, можно сказать, эталонно обычным, поэтому на его фоне удобно демонстрировать отклонения. Хорошо видно, что в прошлом году произошел взрывной рост DDoS-активности в феврале и марте, который мы связывали и продолжаем связывать с эпидемией коронавируса, переходом на удаленную работу и появлением большого количества новых уязвимых для DDoS целей. Не менее хорошо заметен в сравнении с данными за 2019 год и выброс января этого года.

Стоит обратить внимание на значительное отставание показателей первого квартала в целом от аналогичного периода предыдущего года. Этот разрыв мы объясняем уже упомянутыми аномально высокими показателями 2020-го. За прошедший год ситуация изменилась: организации укрепили слабые места удаленной инфраструктуры и научились защищать их, поэтому первый квартал этого года получился… обычным. Просто обычным, без каких-либо перекосов: просадка в цифрах обусловлена именно аномальным предыдущим годом, а не падением в текущем.
При этом доля умных атак в первом квартале выросла и относительно конца 2020 года (с 44,29% до 44,60%), и относительно его начала. Это также косвенно подтверждает теорию о перенаправлении мощностей на отличную от DDoS активность, которое происходит за счет простых в организации и защите атак, поскольку они становятся невыгодны для операторов ботнетов.

Доля умных атак, Q1 2021, а также Q1 и Q4 2020 (скачать)

В отчете за четвертый квартал 2020-го мы отмечали тенденцию к снижению продолжительности коротких атак и увеличению продолжительности длинных. Эта тенденция сохранилась и в этом квартале, что хорошо видно по показателям продолжительности в сравнении с четвертым кварталом предыдущего года. Можно осторожно предположить, что эта тенденция будет сохраняться и дальше.

Продолжительность DDoS-атак, Q1 2021, а также Q1 и Q4 2020. За 100% приняты данные за Q1 2020 (скачать)

Статистика

Методология

«Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы Kaspersky DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля. При этом для начала защиты не требуется дожидаться заражения каких-либо пользовательских устройств или реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за первый квартал 2021 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского». Следует также иметь в виду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем разделе данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Отметим, что начиная с четвертого квартала 2020 года увеличилось число ботнетов, активность которых попадает в статистику DDoS Intelligence. Это может отразиться на представленных в настоящем отчете данных.

Итоги квартала

В первом квартале 2021 года:

• США сместили Китай с первого места как по числу DDoS-атак, так и по количеству уникальных мишеней.
• Мы наблюдали всплеск DDoS-активности в январе, на пике она достигала более 1800 атак в день: 1833 атаки 10 января и 1820 атак 11 января. Также несколько дней в январе суточное количество атак превышало 1,5 тысячи.
• Распределение атак по дням недели было довольно равномерным: разница между самым активным и самым тихим днями составила всего 2,32 п. п.
• Заметно выросло количество коротких (менее 4 часов) DDoS-атак.
• Самым распространенным стал UDP-флуд (41,87%), а SYN-флуд опустился на третье место (26,36%).
• Linux-ботнеты (99,90%) продолжили отвечать практически за весь DDoS-трафик.

География атак

В первом квартале 2021 года бессменные лидеры по числу DDoS-атак поменялись местами: США (37,82%) прибавили 16,84 п. п. и вышли на первое место, оттеснив Китай (16,64%), потерявший 42,31 п. п. по сравнению с предыдущим отчетным периодом. Специальный административный район Гонконг (2,67%), продолжительное время занимавший третью строчку, в этот раз опустился на девятое место, а в тройку лидеров выбилась Канада (4,94%).

Великобритания (4,12%) тоже потеряла позицию, несмотря на то что ее доля выросла на 2,13 п. п., и переместилась с четвертого на шестое место, уступив Нидерландам (4,48%) и Франции (4,43%). А ЮАР, в прошлом квартале бывшая пятой, вообще выпала из десятки.
На седьмое место поднялась Германия (3,78%), вытеснив Австралию (2,31%), которая в этом квартале замыкает рейтинг. А восьмой стала Бразилия (3,36%), ранее редко поднимавшаяся выше одиннадцатой строчки.

Распределение DDoS-атак по странам, Q4 2020 и Q1 2021 (скачать)

TOP 10 стран с наибольшим числом мишеней DDoS-атак традиционно выглядит похоже на рейтинг по количеству атак. Лидером в первом квартале стали США (41,98%), чья доля увеличилась на 18,41 п. п. Доля Китая, напротив, уменьшилась более чем в четыре раза — с 44,49% до 10,77%, благодаря чему он опустился на второе место. При этом есть и незначительные различия в двух рейтингах. Так, Гонконг выбыл из десятки стран с наибольшим числом мишеней, а на третью строчку поднялись Нидерланды (4,90%). Великобритания (4,62%) укрепила свои позиции, заняв четвертую строчку, а Канада (4,05%), напротив, переместилась с шестого на седьмое место, на сотые доли процентного пункта отстав от Германии (4,10%) и Франции (4,08%).
Бразилия (3,31%), как и в рейтинге по количеству DDoS-атак, поднялась на восьмую строчку, а Австралия (2,83%) поднялась с десятого на девятое место, уступив позицию Польше (2,50%). Последняя, как и Бразилия, нечастый гость в первой десятке.

Распределение уникальных мишеней DDoS-атак по странам, Q4 2020 и Q1 2021 (скачать)

Динамика числа DDoS-атак

Первый квартал 2021 года начался очень динамично. Пик DDoS-активности пришелся на 10 и 11 января, когда число атак превысило 1800 в день. В январе же было и еще несколько дней, в которые наши системы зафиксировали более 1500 атак. Как мы уже упоминали выше, такой всплеск активности, скорее всего, объясняется кратковременным снижением курса биткойна.
После бурного старта наступил относительно спокойный февраль, когда несколько дней подряд — c 13-го по 17-е число — суточная норма по DDoS-атакам не превышала 500. Самым тихим стало 13 февраля, когда мы зафиксировали всего 346 атак. В начале марта мы наблюдали еще один пик, более скромный, чем январский: на 3 марта пришлось 1311 атак, а на 4-е — 1290. Стоит отметить, что перед этим опять-таки наметилось снижение курса биткойна.

Динамика числа DDoS-атак, Q1 2021 (скачать)

Распределение DDoS-атак по дням недели в первом квартале 2021 года было значительно более равномерным, чем в предыдущий отчетный период. Разница между самым бурным и самым тихим днями составила 2,32 п. п. — против 6,48 п. п. в четвертом квартале 2020-го. Больше всего DDoS-атак пришлось на субботу (15,44%), а четверг, лидировавший в прошлом квартале, в этом, наоборот, стал самым неактивным (13,12%). В целом доля дней с пятницы по понедельник в первые три месяца 2021 года выросла, а середина рабочей недели — слегка просела.

Распределение DDoS-атак по дням недели, Q4 2020 и Q1 2021 (скачать)

Длительность и типы DDoS-атак

Средняя продолжительность DDoS-атаки в первом квартале уменьшилась более чем вдвое относительно четвертого квартала 2020-го. Заметно выросла доля очень коротких атак, продолжавшихся менее четырех часов (91,37% против 71,63% в прошлый отчетный период). Доли более длительных атак, напротив, сократились. Атаки продолжительностью от пяти до девяти часов потеряли 7,64 п. п. и составили 4,14% от всех атак, от 10 до 19 часов длилось только 2,07% инцидентов, а от 20 до 49 часов — 1,63%. Атаки длительностью от 50 до 99 часов в первом квартале составили менее 1% от общего числа. Незначительно уменьшились и доли длинных (0,07%) и сверхдлинных (0,13%) атак.

Распределение DDoS-атак по длительности, Q4 2020 и Q1 2021 (скачать)

Распределение атак по типам продолжило меняться. В первом квартале 2021 года сдал свои позиции бессменный лидер этого рейтинга — SYN-флуд (26,36%). Этот вид DDoS потерял 51,92 п. п. и оказался на третьем месте. UDP- (41,87%) и TCP-флуд (29,23%), напротив, приобрели большую популярность среди злоумышленников. Незначительно выросли и доли GRE- (1,43%) и HTTP-флуда (1,10%), замыкающих рейтинг.

Распределение DDoS-атак по типам, Q1 2021 (скачать)

Что касается типов ботнетов, то в первом квартале снова за абсолютное большинство атак отвечали боты на базе Linux. Более того, их доля еще немного выросла по сравнению с предыдущим отчетным периодом: с 99,80% до 99,90%.

Соотношение атак Windows- и Linux-ботнетов, Q4 2020 и Q1 2021 (скачать)

Географическое распределение ботнетов

Больше всего командных серверов, управляющих атаками в первом квартале, традиционно располагалось в США (41,31%). Доля этой страны выросла по сравнению с четвертым кварталом 2020-го на 5,01 п. п. Второе и третье место снова заняли Германия (15,32%) и Нидерланды (14,91%), только в этот раз они поменялись местами: доля Нидерландов снизилась, тогда как доля Германии выросла почти вдвое.
Румыния опустилась с четвертого на седьмое место (2,46%), уступив Франции (3,97%), Великобритании (3,01%) и России (2,60%). Канада осталась на восьмом месте (1,92%), а замыкают рейтинг Сингапур и Сейшельские острова, где в первом квартале располагалось одинаковое число командных серверов (1,37%).

Страны с наибольшим числом командных серверов ботнетов, Q1 2021 (скачать)

Заключение

Первый квартал 2021 года начался со всплеска DDoS-активности на фоне наметившегося падения курса криптовалют, однако в целом он прошел относительно спокойно. При этом мы наблюдали несколько неожиданных рокировок. В частности, США в первом квартале сместили Китай с первого места как по числу DDoS-атак, так и по количеству мишеней. SYN-флуд, продолжительное время остававшийся самым распространенным типом атаки, в этот раз уступил UDP- и TCP-флуду.

Что касается прогноза на второй квартал, никаких предпосылок к значительным сдвигам на рынке DDoS по-прежнему не видно. Традиционно многое будет зависеть от курса криптовалюты, который сейчас небывало высок. Кроме того, опыт предыдущих лет показывает, что второй квартал обычно несколько спокойнее, чем первый, поэтому, если не произойдет никаких потрясений, можно ожидать небольшого снижения или сохранения рынка DDoS примерно на том же уровне. Тем не менее, если рынок криптовалюты вдруг начнет резко падать, мы ожидаем увидеть рост DDoS-активности, причем в первую очередь за счет простых непродолжительных атак.