Количество DDoS-атак снизилось, а мощность возросла

Компании Qrator Labs и Wallarm опубликовал отчет на основе данных первого полугодия 2014 года по результатам исследования угроз, которым подверглись интернет-ресурсы Рунета. В первой половине 2014 года компания Qrator Labs нейтрализовала 2 715 DDoS-атак. В аналогичном периоде 2013 года эта цифра составила 4 375. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, сократилось со 151 в первом полугодии 2013 до 38 в 2014 году. Также уменьшилось и среднее количество DDoS в день  — c 23,9 до 14,8 соответственно.



Кроме того, наметился общий тренд по снижению атак класса DNS/NTP Amplification, которые ранее составляли более половины всех атак. Максимальный размер ботнета, задействованного в атаке, вырос со 136 644 до 420 489 машин.

С начала 2014 года наметился тренд к «укрупнению» атак, то есть их стало меньше, но скорости существенно выросли, что стало представлять серьезную проблему для небольших операторов связи и хостинг-компаний.

Максимальная длительность атаки увеличилась с 21 дня в первой половине 2013 года до 90 дней в 2014, а уровень средней доступности WEB-ресурсов компаний, пользующихся услугами сети Qrator, вырос с 99,83% до 99,87%. 

Выявленные в первой половине 2014 года тенденции продолжат свое развитие во втором полугодии. Так, набравший популярность метод атак класса DNS Amplification был полностью вытеснен его «братом близнецом» NTP Amplification. Разница между ними в том, что в атаку вовлекается в первом случае DNS-сервер, который рассылает «мусорные» запросы. Во втором – сервер синхронизации времени, передает cybersecurity.ru.

«В связи с обострением ситуации на Украине мы наблюдали новую волну атак, причем амплитуда этих атак была настолько широкой, что опасности подвергались не только отдельные web-приложения, но целые дата-центры. Мы видели, что в случае политических предпосылок для проведения атаки, атакующая сторона проводила полный анализ топологии дата-центра и атаковала все подключенные к дата-центру каналы связи от сторонних провайдеров (uplink)», — комментирует Александр Лямин, генеральный директор и основатель Qrator Labs.

Глава Qrator Labs также считает, что будет происходить откат к методам менее профессиональным – атакам с помощью ботнетов. Пример такого рода наблюдался в указанном отчетном периоде. Ботнет из почти пяти миллионов голов была задействована для проведения целого ряда атак на сайты российских СМИ.

Также в связи с тем, что с DNS Amplification и NTP Amplification научились успешно бороться, атаки будут происходить на более глубоких уровнях, которые пока не покрыты экспертизой и для которых не разработаны комплексные подходы к защите. Речь идет об инфраструктурном уровне и стеке сетевых протоколов.

Продукты Wallarm, предотвращающие хакерские атаки, ежедневно обнаруживают в среднем 850 зловредных запросов на одного веб-приложение, которые могут создать угрозу взлома. При этом во втором квартале 2014 года среднее число атак на одного клиента увеличилось в 2.5 раза по сравнению с первым кварталом текущего года. Для одной атаки в среднем используются запросы с двух-трех IP-адресов.
Среди основных причин взлома сайтов по-прежнему остаются: старое ПО и незащищенные тестовые приложения «по соседству», заражение вирусом компьютеров, принадлежащих сотрудникам компаний, попавшие в открытый доступ учетные записи, ошибки администрирования (например, оставленные пароли по умолчанию) и слабая парольная политика.

Взломанные ресурсы активно использовались злоумышленниками для совершения DDoS и других атак, а также заражения пользователей вирусами. В некоторых случаях владельцы ресурса сталкивались с саботажем. Известный финансовый брокер столкнулся с шантажистом, который сначала устроил DDoS-атаку на веб-приложение и позже сумел осуществить его взлом, требуя с владельцев $100 000 в BitCoin’ах за предотвращение атаки. В результате хакерской атаки на сайт «Российской газеты», ее сайт был значительное время недоступен для посещения.
Главным событием в сфере информационной безопасности в первом полугодии текущего года стало, по мнению Ивана Новикова, генерального директора Wallarm, обнаружение уязвимости HeartBleed. Эта уязвимость была найдена в библиотеке OpenSSL, повсеместно используемой для шифрования данных. Она позволяет злоумышленникам получать доступ к любым зашифрованным данным, включая пароли к учетным записям пользователей или, например, номера кредитных карт в открытом виде.

«Во втором полугодии 2014 года мы скорее всего столкнемся с увеличившимся количеством атак на ресурсы, написанные на платформе Ruby On Rails и различных фреймворках Java, в том числе Struts 2», – говорит о прогнозах Иван Новиков.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google закрыла в Chrome две 0-day, показанные на Pwn2Own 2024

Google оперативно устранила в Chrome две уязвимости нулевого дня (0-day), которые исследователи показали в ходе соревнования Pwn2Own 2024. Помимо этого, разработчики закрыли ещё пять дыр в браузере.

Одна из 0-day получила идентификатор CVE-2024-2887 и высокую степень риска. Класс этой бреши — несоответствие используемых типов данных (type confusion) в стандарте WebAssembly (Wasm).

На эту уязвимость указал Манфред Пол в первый день состязания Pwn2Own 2024, проходившего в Ванкувере. Эксперт также «пробил» и другие браузеры: Safari и Edge.

Вторую 0-day нашли исследователи из KAIST Hacking Lab. Её отслеживают под идентификатором CVE-2024-2886 (ошибка использования динамической памяти — use-after-free). Брешь затрагивает API WebCodecs, предназначенный для кодирования и декодирования аудио- и видеоконтента.

Сынхён Ли из KAIST Hacking Lab продемонстрировал удалённое выполнение кода на устройстве целевого пользователя с помощью эксплойта для CVE-2024-2886.

С выходом Google Chrome версий 123.0.6312.86/.87 (для Windows, macOS) и 123.0.6312.86 (для Linux) разработчики устранили перечисленные проблемы.

Напомним, на днях Mozilla тоже закрыла две 0-day в Firefox, показанные на Pwn2Own 2024. Девелоперы браузеров отработали качественно и оперативно, что не может не радовать.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru