Отчеты о DDoS-атаках

DDoS-атаки в третьем квартале 2022 года

Обзор новостей

В третьем квартале 2022 года основу информационного фона в части DDoS-атак продолжили создавать политически мотивированные акции. Больше всего новостей, как и ранее, касалось конфликта России и Украины, однако другие громкие события квартала также сказались на DDoS-ландшафте.

Пророссийская группировка Killnet, активная с января 2022 года, записала на свой счет еще несколько кибератак. Так, по словам хактивистов, под их удар попало более 200 сайтов в Эстонии, в том числе платежная система ESTO AS. В соседней Литве пострадали сайты и электронные сервисы энергетической компании Ignitis Group. Обе атаки пострадавшие охарактеризовали как крупнейшие за последние 10–15 лет.

Та же группировка Killnet взяла на себя ответственность за атаку на сайт и сервисы Федеральной налоговой платежной системы США. В своем Telegram-канале атакующие заявили, что «тестировали новый метод DDoS». В ходе атаки, по их словам, администрация сайта попыталась сменить поставщика защиты от DDoS, но в итоге передумала. Кроме того, хактивисты Killnet на пару часов нарушили работу сайта Конгресса США.

По другую сторону Тихого океана, в Японии, от DDoS-атаки пострадали 20 сайтов четырех разных правительственных департаментов. Хактивисты Killnet заявили о своей причастности и к этому инциденту. Основной ущерб защищающейся стороне удалось ликвидировать в течение суток, хотя административный портал e-Gov продолжал испытывать сложности с доступом и на следующий день.

Менее известная пророссийская группировка Noname057(16) записала на свой счет атаки на сайт парламента Финляндии и правительственный архив публикаций этой же страны, который им удалось временно вывести из строя. Если верить Telegram-каналу группировки, поводом для атак стало «активное желание властей страны вступить в НАТО».

В свою очередь, российские ресурсы пострадали от DDoS-атак со стороны проукраинских хактивистов. Под удар попали платежные системы Unistream, Korona Pay и «Мир», а также российская Национальная система платежных карт, которая обеспечивает работу «Мира» и Системы быстрых платежей. Кроме того, активисты положили сайт, кол-центр и SMS-провайдера Газпромбанка, банк «Открытие» отмечал сбои в работе интернет-банка и мобильного приложения, а Сбербанк сообщил о 450 DDoS-атаках, отраженных за первые два месяца третьего квартала. По словам представителей организации, это столько же, сколько она отразила за последние пять лет.

Под ударом оказались и операторы электронного документооборота, в частности «СКБ Контур» и «Такском». Их сайты были недоступны или работали медленно, в связи с чем у некоторых производителей молочных продуктов возникли сложности с отгрузкой. Также мишенью DDoS стали сайты политических партий «Единая Россия», «Молодая гвардия Единой России» и «Справедливая Россия — За правду».

Не остались без внимания и СМИ: атаки на ресурсы РИА «Новости» и Sputnik длились почти сутки, некоторое время был недоступен сайт портала «Аргументы и Факты». А специалисты компании StormWall сообщили, что от мусорного трафика пострадали 70 региональных изданий в 14 городах России — Брянске, Калуге, Челябинске, Пскове, Омске, Тюмени, Сочи и других.

Волна DDoS-атак прокатилась по многим компаниям из сферы высоких технологий и индустрии развлечений. Хактивисты атаковали около 20 российских платформ для видеоконференций. В частности, пострадали сервисы TrueConf, Videomost, Webinar.ru и iMind. Помимо этого, мишенью стали сайты кинотеатров «Киномакс», Mori Cinema, «Люксор», «Алмаз Синема» и других. Также хактивисты пытались вывести из строя автомобильный интернет-портал «Дром», сайт магазина дронов MyDrone и сайт компании — поставщика средств безопасности «Авангард».

Уже в первом квартале широкое распространение получили сайты и приложения, с помощью которых технически неискушенные пользователи, сочувствующие Украине, могли присоединиться к DDoS-атакам против российских ресурсов. Русскоязычная APT-группа Turla воспользовалась этим ажиотажем. В июле исследователи из Google сообщили о вредоносном ПО для Android, которое злоумышленники распространяли под видом утилиты для DDoS-атак на российские сайты. Как отмечают эксперты, это первый зловред для Android в арсенале Turla.

Помимо российско-украинского конфликта, новости о политически мотивированных DDoS-атаках приходили и из других болевых точек планеты. Посещение Тайваня спикером Конгресса США Нэнси Пелоси вызвало не только бурную общественную реакцию, но и целый ряд кибератак как перед прибытием политика на остров, так и в первые часы после завершения визита. В частности, сбои в работе испытывали сайт президента острова и сеть Министерства национальной обороны Тайваня. Также пострадали ресурсы Министерства иностранных дел и крупного аэропорта Taoyuan International.

Мишенью DDoS стал и Израиль: злоумышленники атаковали сайты Минздрава страны и муниципалитета Тель-Авива. В результате доступ к ресурсам из-за рубежа был ограничен. Ответственность за кибератаки взяла на себя группировка Al-Tahira (aka ALtahrea), выступающая против НАТО и ее союзников.

На постсоветском пространстве также было неспокойно. На фоне обострения конфликта между Арменией и Азербайджаном DDoS-атака обрушилась на официальный ресурс ОДКБ. В организации отметили, что под прикрытием DDoS злоумышленники «пытались внести изменения в некоторые информационные сообщения» на сайте организации. А в двадцатых числах сентября казахстанский сегмент интернета подвергся массированной DDoS-атаке из-за рубежа. Примерно в то же время от DDoS пострадали локальные СМИ — Top Press, New Times и Skif News.

Были в третьем квартале и события, которые нельзя назвать однозначно политическими. Так, российский экологический оператор сообщил о DDoS-атаках на Биржу вторичных материальных ресурсов сразу после объявления о запуске площадки. Хотя это могла быть часть хактивисткой кампании, новые электронные ресурсы регулярно сталкиваются с DDoS накануне открытия и в спокойное время. Также об атаках в третьем квартале заявили крупнейший русскоязычный торрент-трекер RuTracker и развлекательный портал Live62. Оба ресурса сталкивались с претензиями по поводу нарушения авторских прав, а RuTracker заблокирован в России как пиратский.

Кроме того, ряд компаний, специализирующихся на защите от DDoS, в третьем квартале сообщил об атаках, отличавшихся значительной мощностью.

Akamai рассказала о двух крупных атаках на одного и того же клиента из Восточной Европы. В обоих случаях выдающимся было количество пакетов в секунду, отправляемое злоумышленниками. Первая атака произошла 21 июля и на пике достигала 659,6 млн пакетов в секунду — по данным Akamai, на тот момент это был рекорд для Европы. При этом речь идет не об изолированном случае: за июль этого клиента атаковали более 70 раз. Рекорд продержался до атаки, которая произошла 12 сентября: ее мощность достигала уже 704,8 млн пакетов в секунду.

В продолжение тенденции, которая наметилась во втором квартале, компания Google рассказала о DDoS-атаке через протокол HTTPS, которая на пике достигла 46 млн запросов в секунду, — это на 77% больше, чем в рекордной по мощности HTTPS-атаке, о которой мы рассказывали в прошлом отчете. По данным специалистов, в атаке было задействовано более пяти тысяч IP-адресов из 132 стран, при этом около 30% трафика пришло из Бразилии, Индии, России и Индонезии. Географическое распределение и характеристики ботнета указывают на использование семейства Mēris.

Компания Lumen отчиталась о предотвращении атаки мощностью более 1 терабайта в секунду на серверы своего клиента. На момент атаки на целевых серверах работал игровой сервис. В течение недели перед инцидентом злоумышленники тестировали разные способы DDoS и изучали возможности защиты жертвы, отдавая команды ботам с трех разных С2-серверов.

Игровые сервисы регулярно становятся мишенью DDoS. Продолжительная серия атак в третьем квартале затронула серверы компании Gaijin Entertainment, разработчика игр War Thunder, Enlisted и Crossout. Кибератаки начались 24 сентября, и пользователи продолжали жаловаться на сбои на момент написания этого отчета. Чтобы снизить негативный эффект от DDoS, разработчик обещал продлить акции и премиум-подписки, а также выдать игрокам бонусы в течение недели.

Североамериканские дата-центры Final Fantasy 14 были атакованы в начале августа. Игроки испытывали проблемы с подключением, авторизацией и обменом данными. Мультиплеерные игры компании Blizzard — Call of Duty, World of Warcraft и Overwatch, а также Hearthstone и Diablo: Immortal также в очередной раз пострадали от DDoS.

Официальный киберспортивный матч ESL между командами NaVi и Heroic был поставлен на паузу более чем на час из-за DDoS-атаки, направленной против отдельных игроков. После того как организатор разобрался с угрозой, матч продолжился.

В свою очередь, разработчики игры «Танки Онлайн» заявили об окончательной нейтрализации DDoS-атак, которые досаждали игрокам с лета. После усовершенствования защиты и стабилизации работы серверов организаторы поблагодарили участников за терпение раздачей призов.

Это не единственная хорошая новость, касающаяся DDoS-атак на игровые сервисы: в Швеции в третьем квартале полиция задержала подозреваемого в DDoS-атаках на Esportal, платформу для проведения соревнований по CS:GO. Ему может грозить от 6 месяцев до 6 лет тюрьмы.

Меры по борьбе с DDoS принимаются и на государственном уровне. Так, Израиль анонсировал запуск проекта Cyber-Dome, который должен обеспечить безопасность национальных цифровых ресурсов. По словам местного кибердиректората (Cyber Directorate), появление в стране единого защитного комплекса должно повысить уровень кибербезопасности и смягчить последствия крупномасштабных атак.

В Бангладеш правительственная группа по реагированию на компьютерные инциденты потребовала у всех ключевых организаций, включая ответственных за IT-инфраструктуру страны, разработать и принять меры против DDoS-атак. Это произошло после сообщения о всплеске таких атак.

Одновременно с этим глобальный юридический консенсус о том, что любая DDoS-атака — это киберпреступление, в третьем квартале оказался под угрозой, причем с неожиданной стороны. Венгерская ассоциация кабельной связи (MKSZ) выступила с просьбой внести изменения в законодательство и официально разрешить членам ассоциации, легальным предприятиям из телеком-индустрии, совершать DDoS-атаки в качестве средства борьбы с IPTV-пиратством. Традиционные меры, такие как блокировка IP-адресов и доменных имен, в MKSZ назвали медленными и неэффективными, а кибератаки под защитой закона — мерой, реально способной заставить подписчиков отказаться от пиратских сервисов.

Атаковать злоумышленников пришло в голову не только венгерским телеком-компаниям. После того как группировка кибервымогателей LockBit взломала компанию Entrust, специализирующуюся на кибербезопасности, и начала публиковать конфиденциальные данные, неизвестные атаковали сайт, на котором злоумышленники сливают информацию о жертвах. В пакеты, поступающие со стороны атакующих, было вложено недвусмысленное сообщение: DELETE_ENTRUSTCOM_[BAD_WORD].

Тенденции квартала

Третий квартал 2022 года прошел практически без неожиданностей, что несколько удивительно само по себе: с конца 2021-го без неожиданностей не обходилось. Однако это не значит, что квартал не был интересным. Давайте посмотрим на статистику.

Сравнительное количество DDoS-атак, Q3 2021, а также Q2 и Q3 2022. За 100% приняты данные за Q3 2021 (скачать)

Первое, что стоит отметить, — это ощутимый рост количества DDoS-атак всех типов относительно предыдущего отчетного периода. При этом в рамках квартала картина просто эталонная: относительно спокойные летние месяцы, за которыми следует резкий скачок DDoS-активности. За сентябрь команда Kaspersky DDoS Protection отразила 51% от общего числа атак за квартал, то есть примерно столько же, сколько за два предыдущих месяца. Это нормальная ситуация, она наблюдается каждый год, и каждый год мы об этом пишем в наших отчетах. Обычно в общей картине года осенний рост — это скорее восстановление после летнего падения, но суть не меняется: в сентябре количество DDoS-атак резко увеличивается. Это обусловлено общим повышением активности и ускорением жизни после медленных летних месяцев: люди выходят из отпусков, студенты и школьники начинают учиться — растет все, в том числе и рынок DDoS.

Доля умных атак, Q3 2021, а также Q2 и Q3 2022 (скачать)

Что необычно, так это продолжающийся рост доли умных атак, которая уже перевалила за половину и составила более 53% — рекорд за всю историю наблюдений. Более того, количество DDoS-атак на HTTP(S) в этом квартале впервые превысило количество атак на TCP, которые всегда были проще в организации и до сих пор оставались самым популярным типом DDoS.

Соотношение HTTP(S)- и TCP-атак, Q2 2021 — Q3 2022. За 100% принято количество атак по протоколу TCP за соответствующий период (скачать)

Самое интересное в этом то, что в абсолютных показателях количество атак на HTTP(S) последний год остается достаточно стабильным. Падает доля атак на TCP. И это хорошо отражает общую тенденцию: популярность тупых DDoS-атак снижается, соответственно, растет доля умных атак. Это должно было случиться рано или поздно: различные инструменты как на стороне атакующих, так и на стороне защищающихся развиваются, а их доступность растет. Организовать L7-атаку становится все проще, а эффективность L4-атак снижается. В результате они все меньше и меньше используются профессионалами в чистом виде (хотя L4-векторы в смешанных атаках еще используются) и все больше становятся уделом дилетантов. Цифры выше это хорошо иллюстрируют.

Стоит обратить внимание на данные за первый квартал 2022 года: DDoS-атак на HTTP(S) вдвое меньше, чем на TCP. В феврале и марте мы наблюдали значительный рост непрофессиональных хактивистских атак в связи с геополитической ситуацией, о чем сообщали в нашем отчете. Хактивисты — люди пассионарные, но непостоянные, поэтому игра в DDoS им достаточно быстро надоела, и доля таких атак постепенно начала уменьшаться. К третьему кварталу она фактически сошла на нет. А вот количество качественных профессиональных атак как увеличилось в первом квартале — так и остается на высоком уровне. Не меняются и цели: в основном это по-прежнему финансовый и государственные сектора. Оба этих факта продолжают укреплять нас в мысли, что с весны и по меньшей мере до конца сентября против этих секторов профессионалы отрабатывают заказ, что отражается в нашей статистике.

С точки зрения продолжительности DDoS-атак в этот раз обошлось без рекордов: если второй квартал отметился самой долгой атакой за всю историю наблюдений, то в третьем ситуация была более спокойной: в среднем атаки длились около восьми часов, а самая длительная продолжалась чуть меньше четырех дней. На фоне прошлого квартала это выглядит довольно скромно, но это все еще огромные цифры: в прошлом году в третьем квартале длительность DDoS-атак измерялась минутами, а не часами. В этом плане ситуация продолжает оставаться сложной.

Средняя продолжительность DDoS-атак, Q3 2021, а также Q2 и Q3 2022. За 100% приняты данные за Q3 2021 (скачать)

Статистика по DDoS-атакам

Методология

«Лаборатория Касперского» имеет многолетний опыт противодействия киберугрозам, в том числе DDoS-атакам разных типов и разной степени сложности. Эксперты компании отслеживают действия ботнетов с помощью системы Kaspersky DDoS Intelligence.

Система DDoS Intelligence является частью решения Kaspersky DDoS Protection и осуществляет перехват и анализ команд, поступающих ботам с серверов управления и контроля. При этом для начала защиты не требуется дожидаться заражения каких-либо пользовательских устройств или реального исполнения команд злоумышленников.

Данный отчет содержит статистику DDoS Intelligence за третий квартал 2022 года.

За отдельную (одну) DDoS-атаку в данном отчете принимается та, во время которой перерыв между периодами активности ботнета не превышает 24 часов. Например, в случае если один и тот же ресурс был атакован одним и тем же ботнетом с перерывом в 24 часа и более, это рассматривается как две атаки. Также за отдельные атаки засчитываются запросы на один ресурс, произведенные ботами из разных ботнетов.

Географическое расположение жертв DDoS-атак и серверов, с которых отправлялись команды, определяется по их IP-адресам. Количество уникальных мишеней DDoS-атак в данном отчете считается по числу уникальных IP-адресов в квартальной статистике.

Статистика DDoS Intelligence ограничена только теми ботнетами, которые были обнаружены и проанализированы «Лабораторией Касперского». Следует также иметь в виду, что ботнеты — лишь один из инструментов осуществления DDoS-атак, и представленные в настоящем разделе данные не охватывают все без исключения DDoS-атаки, произошедшие за указанный период.

Итоги квартала

В третьем квартале 2022 года:

  • Система Kaspersky DDoS Intelligence обнаружила 57 116 DDoS-атак.
  • В США было расположено 39,61% целей, на которые пришлось 39,60% атак.
  • Самым беспокойным днем недели стала пятница — 15,36% атак, а четверг, наоборот, самым спокойным — 12,99%.
  • Июль оказался самым контрастным месяцем: 1-го и 5-го числа произошли 1494 и 1492 атаки, а 24-го числа — 135.
  • Атаки продолжительностью менее 4 часов составили 60,65% от общей продолжительности атак и 94,29% от общего числа атак.
  • UDP-флуд составил 51,84% общего числа атак, а SYN-флуд — 26,96%.
  • Больше всего ботов, атакующих SSH-ханипоты «Лаборатории Касперского», находилось в США (17,60%).

География DDoS-атак

В третьем квартале 2022 года первые четыре страны, чьи ресурсы атаковали чаще всего, не изменились по сравнению с прошлым отчетным периодом. США (39,60%) остались на первом месте, хотя и потеряли 6,35 п. п. Доля материкового Китая (13,98%) увеличилась практически на столько же — на 6,31 п. п.; страна при этом сохранила второе место. Германия (5,07%) по-прежнему на третьем, а Франция (4,81%) — на четвертом месте.

Гонконг (4,62%) в прошлом квартале замыкал десятку стран и территорий с наибольшим числом DDoS-атак, в этом же его доля увеличилась более чем вдвое, и теперь он занимает пятое место. Бразилия (4,19%) поднялась на шестое место, а Канада (4,10%) и Великобритания (3,02%), в прошлом квартале занимавшие пятую и шестую строчки, опустились на седьмую и восьмую. Закрывают TOP 10 Сингапур (2,13%) и Нидерланды (2,06%).

Распределение DDoS-атак по странам и территориям, Q2 и Q3 2022 (скачать)

Распределение уникальных целей DDoS-атак по странам и территориям почти полностью повторяет рейтинг атак. На первом месте находятся США (39,61%), на втором — материковый Китай (12,41%), чья доля выросла за квартал заметнее всего — на 4,5 п. п. Третье место по-прежнему у Германии (5,28%), а четвертое у Франции (4,79%).

Как и в распределении атак, пятое и шестое места по числу уникальных целей заняли Бразилия (4,37%) и Гонконг (4,36%), но в обратном порядке. В южноамериканской стране мишеней DDoS-атак оказалось незначительно больше, при этом Гонконг показал более высокий рост по сравнению с прошлым отчетным периодом — 2,36 п. п. Канада (3,21%), Великобритания (2,96%) и Сингапур (2,11%) заняли места с седьмого по девятое, а вот десятая строчка досталась Польше (2,00%), которая обошла покинувшие TOP 10 Нидерланды (1,86%).

Распределение уникальных целей по странам и территориям, Q2 2022 и Q3 2022 (скачать)

Динамика числа DDoS-атак

Число DDoS-атак в третьем квартале 2022 года снова уменьшилось: в прошлом отчетном периоде оно снизилось на 13,72% по сравнению с предыдущим, в текущем — еще на 27,29%, до 57 116. Август оказался самым насыщенным: в этом месяце система Kaspersky DDoS Intelligence выявляла в среднем 824 атаки в день. Июль, напротив, выдался спокойным: 45,84% всех атак за месяц произошло за первые семь дней, сохраняя динамику июня — в среднем 1301 в день, — однако начиная со второй недели среднее количество атак упало до 448 в день. Таким образом, средний показатель июля составил всего 641 атаку, немного опередив еще более тихий сентябрь — в среднем 628,5 DDoS-атаки в день. При этом в сентябре атаки распределялись более равномерно в течение месяца.

Все пиковые точки квартала пришлись на июль: самым агрессивным днем стало 1 июля с 1494 атаками, самым спокойным — 24 июля (всего 135 атак). В августе свыше тысячи атак было отмечено только 8 и 12 числа, 1087 и 1079 соответственно, а самым тихим днем стало 30-е — 373 атаки. Сентябрь не принес примечательно высоких или низких цифр.

Динамика числа DDoS-атак, Q3 2022 (скачать)

Воскресенье (13,96%) в третьем квартале потеряло 1,85 п. п. по сравнению с предыдущим отчетным периодом и перестало лидировать среди дней недели по уровню загруженности. Доля субботы снизилась, но осталась выше 15%. Первое место по числу DDoS-атак перешло к пятнице, которая показала заметный рост — с 13,33 до 15,36%. Четверг стал единственным днем, чья доля опустилась ниже 13% — до 12,99%.

Распределение DDoS-атак по дням недели, Q3 2022 (скачать)

Также четверг оказался единственным будним днем, чья доля снизилась.

Длительность и типы DDoS-атак

В третьем квартале 2022 года 19,05% от общей продолжительности атак принадлежат длительным атакам от 20 часов и выше. Этот показатель вырос почти втрое после падения в предыдущем отчетном периоде и почти достиг уровня начала года. Соответственно, выросла и доля длительных атак в количественном отношении: с 0,29 до 0,94%.

Краткосрочные атаки продолжительностью до четырех часов показали незначительное снижение — до 94,29%. При этом их доля от общей продолжительности DDoS-атак упала значительно — с 74,12 до 60,65%. Атаки длительностью от 5 до 9 часов остались на втором месте по количеству (3,16%), на третьем — атаки, продолжавшиеся от 10 до 19 часов (1,60%).

Самая длительная атака третьего квартала продолжалась 451 час (около 18 суток и 19 часов). Второе место уже гораздо скромнее — 241 час (10 суток и 1 час). Средняя продолжительность атак незначительно выросла, примерно до 2 часов 2 минут, что неудивительно, учитывая рост доли длительных атак и снижение доли кратковременных.

Распределение DDoS-атак по длительности, Q2 и Q3 2022 (скачать)

В третьем квартале 2022 года в рейтинге типов DDoS-атак положение не изменилось по сравнению с предыдущим отчетным периодом. Доля UDP-флуда сократилась с 62,53 до 51,84%, однако этот тип DDoS остался самым распространенным. Второй по распространенности SYN-флуд, наоборот, увеличил свою долю до 26,96%. TCP-флуд (15,73%) перешел от падения к росту, прибавил более 4 п. п. и остался на третьем месте. Доля GRE-флуда составила 3,70%, а HTTP-флуд составил 1,77% от общего числа атак.

Распределение DDoS-атак по типам, Q3 2022 (скачать)

Географическое распределение ботнетов

Управляющие ботнетами серверы по-прежнему в основном находятся в США (43,10%), однако доля этой страны снизилась на 3 п. п. Нидерланды (9,34%), занимавшие в прошлом квартале вторую строчку, потеряли более 5 п. п. и вновь поменялись местами с Германией (10,19%). Россия осталась на четвертом месте (5,94%).

Ниже расположились страны Азии: пятое место у Сингапура (4,46%), шестое у Вьетнама (2,97%), чья доля в третьем квартале продолжила расти, хотя уже и не так бурно, как во втором. За ними следует новый участник рейтинга, чья доля увеличилась более чем в шесть раз, — Болгария (2,55%).

Франция с пятого места переместилась на восьмое (2,34%), а Великобритания (1,91%) — на девятое. Замыкавшие ТОП 10 прошлого квартала Канада и Хорватия покинули рейтинг, уступив по числу командных серверов Гонконгу (1,49%).

Распределение командных серверов ботнетов по странам и территориям, Q3 2022 (скачать)

Атаки на IoT-ханипоты

В третьем квартале материковый Китай перестал быть лидером по числу ботов, атакующих SSH-ханипоты «Лаборатории Касперского»: его доля снизилась до 10,80%. А на первое место с 17,60% вышли боты из США. На третьем, четвертом и пятом — с минимальной разницей — находятся Индия (5,39%), Южная Корея (5,20%) и Бразилия (5,01%). Германия (4,13%) с третьей позиции, которую занимала в прошлом квартале, опустилась сразу на седьмую, однако боты, расположенные в этой стране, в третьем квартале были одними из самых активных: они отвечали за 11,22% атак. Выше этот показатель только у США — 27,85%. Также более пяти процентов атак совершили боты из Сингапура (5,95%) и Индии (5,17%), третье и четвертое места соответственно.

TOP 10 стран и территорий по числу устройств, с которых осуществлялись атаки на SSH-ловушки «Лаборатории Касперского», Q3 2022 (скачать)

Если же говорить о Telnet-ханипотах «Лаборатории Касперского», здесь материковый Китай продолжает лидировать среди стран и территорий мира — и по числу атак, и по числу атакующих устройств. Первый показатель, впрочем, сократился с 58,89 до 38,18%, а вот второй немного вырос — с 39,41 до 41,91%. Второе место по количеству атак досталось США (11,30%), третье у России (9,56%). По доле ботов эти страны находятся в рейтинге чуть ниже: на шестом (4,32%) и четвертом (4,61%) месте соответственно. В тройку лидеров по числу ботов вошли Южная Корея (8,44%) и Индия (6,71%). Пятое место с 4,39% занял Тайвань.

TOP 10 стран и территорий по числу устройств, с которых осуществлялись атаки на Telnet-ловушки «Лаборатории Касперского», Q3 2022 (скачать)

Заключение

Ситуация в третьем квартале 2022 года говорит о стабилизации рынка DDoS после суматохи первого полугодия, хотя и продолжает оставаться тяжелой. При этом картина меняется каждый квартал и прогнозировать ее достаточно сложно: произойти может что угодно. Тем не менее мы не ожидаем каких-то значительных скачков или падений в четвертом квартале. Если наши выводы верны и рынок действительно вошел в обычное предсказуемое русло, от следующего квартала мы ждем примерно тех же показателей, что и в этом, с поправкой на небольшой рост, который обычно наблюдается к концу года. Во всяком случае, такое развитие можно предполагать с точки зрения количества и качества атак. Что касается продолжительности — тут мы можем только гадать: рынок DDoS еще очень далек от нормы и продолжительность атак скачет очень сильно. Мы надеемся, что четвертый квартал покажет и в этом плане относительно стабильную картину и не принесет с собой новых рекордов.

DDoS-атаки в третьем квартале 2022 года

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике