Исследование DDoS-атак и уязвимостей в веб-приложениях в первой половине 2015 года

Qrator Labs и Wallarm исследовали DDoS-атаки в первой половине 2015 года

Qrator Labs и Wallarm, представили отчет по результатам исследования угроз, которым подверглись ресурсы Рунета в первой половине 2015 года. В первой половине 2015 года Qrator Labs с помощью собственного одноименного сервиса нейтрализовала 9 347 DDoS-атак.

В аналогичном периоде 2014 года эта цифра составила 2 715. Рост общего числа атак обусловлен как ростом клиентской базы компании, так и существенным повышением активности киберпреступников. Максимальное число атак в день, нейтрализованных сетью фильтрации трафика Qrator, увеличилось с 38 в первом полугодии 2014 до 109 в 2015 году. Также выросло и среднее количество DDoS в день ­ — c 15 до 51, соответственно.

Максимальный размер ботнета, задействованного в атаке, уменьшился с 420 489 до 162 528 машин, а максимальная длительность атаки увеличилась с 91 дня в 2014 году до 122 дней в 2015. Увеличилась также доля Spoofing-атак – с 1 557 до 6 065. Это атаки, в которых вместо IP-адреса реального пользователя подставляется фальшивый.

По сравнению с первым полугодием 2014, в аналогичном периоде 2015 года число атак со скоростью более 1 Гб/с выросло со 198 до 276. Увеличилось количество и высокоскоростных атак – более 100 Гб/с – с 45 до 67 соответственно.

«Продолжается тенденция увеличения массовости простых DDoS-атак. Общий рост в немалой степени обусловлен атаками на полосу скоростью около 1 Гб/с. Такой полосы недостаточно, чтобы создать проблемы крупным Интернет-сервисам, но достаточно для небольших сайтов, которые размещены на хостинге со скромными ресурсами, например, с 1 Гб пропускной полосы на всю стойку физических серверов. Кроме того, затраты на проведение таких атак невысоки, и, соответственно, они относительно дешевы для заказчика. Поэтому компаниям с бизнесом в интернете, у которых нет профильных специалистов, стоит насторожиться. Рост атак на компании из сектора e-commerce и услуг такси в частности это наглядно иллюстрирует», – комментирует Александр Лямин, руководитель Qrator Labs.

 

Среднее количество атак на одного клиента Qrator Labs

 

1H15

рост по сравнению с 1H14

Платежные системы

53,2

582%

Такси

18,9

503%

Социальные сети

18,8

647%

Недвижимость

16,8

236%

Реклама

11,4

-14%

Туризм

8,8

46%

Банки

6,7

223%

Медицина

5,8

28%

Сайты-визитки

5,5

88%

E-commerce

5,0

149%

Правительство

5,0

4%

СМИ

4,4

-54%

Информационные услуги

4,2

-4%

Купоны

3,3

74%

Биржы и Forex

2,2

-69%

Торговля

2,1

36%

Страховые компании

2,1

40%

Микрофинансы

1,7

-32%

Игры и развлечения

1,6

-31%

Кинотеатры

1,4

-23%

Общее

7,8

98%

 

Наметился тренд по уменьшению количества амплификаторов в сети благодаря действиям операторов связи по противодействию данной угрозе. Однако, вопреки прогнозам, этого пока недостаточно, чтобы сократилось число атак с применением амплификаторов. Их всё равно еще слишком много и достаточно для организации атаки полосой в несколько сотен гигабит в секунду. Под амплификатором понимается UDP-сервер, работающий без авторизации, который на небольшой запрос способен посылать в разы больший ответ. Для его использования злоумышленник подделывает адрес отправителя UDP-пакета, подставляя адрес атакуемого сервиса. В результате хакер посылает небольшие пакеты, не очень нагружая свои каналы, а амплификатор отвечает в разы большими в адрес атакуемого сервиса.

Снова появилась тенденция по увеличению числа DDoS-атак на веб-приложения на уровне L7 сетевой модели OSI с использованием классических ботнетов. Такой ботнет может по удалённой команде выполнять сетевые атаки без ведома владельцев зараженных компьютеров. Если раньше ботнеты использовались в основном для рассылки спама, майнинга криптовалют и выполнения примитивных DDoS-атак, то сегодня они стали более серьёзной угрозой безопасности. По прогнозам Qrator Labs, подобных атак в ближайшее время станет еще больше.

Объемные DDoS-атаки стали проводиться все реже, но иногда они опять возвращаются. Яркий пример – атаки с использованием серверов Wordpress.

«В 2015 году появился новый тренд – атаки на инфраструктуру сети (маршрутизаторы, коммутаторы), в том числе манипуляции с протоколами маршрутизации. Такие атаки влияют не на приложения или каналы, а на информацию о маршрутах, работоспособность оборудования, которое пересылает пакеты. В этом направлении будет смещаться фокус атак в ближайшие несколько лет, поскольку с атаками на полосу пропускания, например, уже научились бороться, методы очевидны, и противодействовать им легко. А атаки, влияющие на инфраструктуру сети, крайне разрушительны, поскольку их сложно обнаружить, и методы противодействия только начинают разрабатываться»,– отмечает Александр Лямин.

Статистика по хакерским атакам и уязвимостям веб-приложений

В первой половине 2015 года компания Wallarm зарегистрировала на 37,8% больше атак на уровень приложений, чем за аналогичный период 2014 года.

Показатель средневзвешенного числа атак на один веб-проект в день также увеличился с 47 до 89 атак. Эта цифра показывает количество автоматизированных инструментов (сканеров), выполняющих анализ в Интернете в непрерывном режиме. Таким образом, можно говорить об увеличивающейся «агрессивности» сети по отношению к сайтам.

Среднее число уязвимостей, обнаруженных Wallarm в первый месяц после подключения нового клиента, увеличилось с 5 до 7 штук. При этом доля критических уязвимостей из них, как и в прошлом году, в среднем составляет 2.

Доля проектов, где за первый месяц не было обнаружено ни одной уязвимости, как и в прошлом году, не превысила 2%.

Зоны риска взломов по отраслям, по сравнению с 2014 годом, выглядят иначе. На первое место выходит игровая индустрия, а лидер прошлого года — электронный банкинг — опустился на 4 позицию.

  1. Игровая индустрия [+3]
  2. Рекламные сети (CPA: партнерские сети)
[+3]
  3. Электронная коммерция (магазины и аукционы)
[-1]
  4. Платежные системы и банки
[-3]
  5. СМИ
[-2]

«Злоумышленники стали использовать игры как источник доходов из-за слабого контроля игровых валют. Никакого финансового мониторинга «волшебных кристаллов» не существует. После взлома хакер получает возможность создавать своим персонажам игровую валюту прямо в базе данных, без оплаты ее реальными деньгами. Затем через форумы и социальные сети игровую валюту предлагается купить честным игрокам за 25-50% от реальной цены в игре. Игроки отправляют деньги хакерам через электронные системы, а хакеры переводят валюту внутри игры от своих персонажей персонажам покупателей», — комментирует Иван Новиков, генеральный директор Wallarm.

Рекламные сети испытывали пик интереса со стороны хакеров в 2005-2008 годах. В первом полугодии 2015 эта отрасль сместилась с 5 на 2 позицию. Злоумышленники питают особый интерес к СРА ввиду своей безопасности. Сама партнерская сеть, будучи взломанной, не несет экономические потери, а, напротив, только выигрывает. Хакер, получив доступ к базе данных партнерской сети, увеличивает число показов для своих сайтов. Таким образом, взломщик повышает свои выплаты, не оказывая на самом деле услугу показа рекламных материалов на эту сумму. Система получает комиссию, а расплачиваться за все приходится рекламодателю. Получается интересная ситуация – если произошел взлом СРА сети, то пострадали ее рекламодатели, а сама сеть только заработала больше. Разумеется, в долгосрочной перспективе это несет репутационный ущерб сети, но до этого времени может пройти несколько лет.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Каждый десятый сотрудник в России светит рабочую почту на сторонних сайтах

Специалисты BI.ZONE Brand Protection проверили около 700 тысяч корпоративных аккаунтов в российских компаниях и выяснили тревожную вещь: 9% сотрудников используют рабочую почту для регистрации на сторонних сервисах, причём часто никак не связанных с их работой.

И тут кроется серьёзная угроза: каждый пятый из таких пользователей ставит один и тот же пароль сразу в нескольких местах. Для киберпреступников это подарок: нашли логин и пароль в утечке — и получили доступ к корпоративным системам.

По статистике, именно с этого начинается треть (33%) кибератак на компании. Год назад было меньше — 27%.

«На теневых форумах базы с логинами и паролями выкладывают регулярно, иногда даже бесплатно — ради идеологии, — говорит Дмитрий Кирюшкин, руководитель BI.ZONE Brand Protection. — И если пароль от стороннего ресурса совпадает с корпоративным, то атака — дело времени. Особенно опасно, когда речь идёт об учётках администраторов или доступах к чувствительной информации».

Что ещё усугубляет ситуацию:

  • у одного ИТ-специалиста в компаниях обычно от 3 до 7 привилегированных учёток;
  • в 30–40% случаев у таких учётных записей одинаковые пароли;
  • пароли часто не меняют годами, а доступы после увольнения сотрудников не всегда отключают.

Помимо прямого взлома, найденные корпоративные почты злоумышленники могут использовать для фишинга — рассылать письма от имени компании. Результат предсказуем: удар по репутации.

Что делать? Эксперты советуют простое:

  • не использовать рабочую почту для регистрации на «левых» сайтах;
  • если всё же нужно — ставить сложный и уникальный пароль;
  • внедрять PAM-системы для управления админскими учётками, ротации паролей и автоматического отзыва прав;
  • мониторить тёмный веб с помощью DRP-решений, чтобы вовремя узнать о свежих утечках и сбросить скомпрометированные пароли.

BI.ZONE напоминает: в мире, где автомобили становятся «компьютерами на колёсах», а рабочие почты светятся на форумах даркнета, кибергигиена сотрудников — это уже не «совет», а реальная линия обороны для бизнеса.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru