Ростелеком: Число DDoS-атак на российские компании выросло в 2,5 раза

Ростелеком: Число DDoS-атак на российские компании выросло в 2,5 раза

Эксперты компании «Ростелеком» представили результаты исследования, согласно которому число DDoS-атак на российские компании значительно увеличилось. Излюбленными мишенями у киберпреступников стали финансовые организации, государственный сектор и онлайн-торговля.

В 2,5 раза — именно о таком росте количества DDoS говорится в отчёте «Ростелеком». При этом эксперты отметили снижение числа подобных атак на игровую индустрию и дата-центры, хотя ещё в прошлом году они были в числе основных жертв.

Само собой, географически выделяется Москва, где организации взяли на себя основную часть DDoS-атак — 60% от общего количества киберинцидентов. Остальные регионы заметно отстают, поскольку доля любого из них не превышает 7%. В столице также фиксировали самые мощные DDoS, средняя цифра — 70 Гбит/с.

Исследователи зафиксировали скачок числа атак на банки — в 3,5 раза. Среди этих целей были и кредитные организации из ТОП-20. А на сферу онлайн-торговли пришлось на 20% больше DDoS, чем за прошлый период. В «Ростелеком» ожидают, что к концу года нас ждёт ещё один всплеск подобных киберкампаний.

Государственный сектор — ещё одна цель, ставшая одной из самых популярных у «дидосеров». Общий рост числа DDoS-атак на этот сегмент составил 17%. В августе и сентябре таких атак на госсектор было в два раза больше, чем за аналогичный период прошлого года.

Интересно, что средняя мощность DDoS также подросла — на 26%. А самая мощная атака 2021 года обогнала пиковые показатели первых трёх кварталов 2020-го. Самая долгая атака, согласно отчёту «Ростелеком», длилась 4,5 дня.

Эксперт GIS, заместитель генерального директора — технический директор компании «Газинформсервис» Николай Нашивочников рассказал, как противостоять DDoS-атакам:

«Целью DDoS-атак является вывод из строя или, по крайней мере, замедление работы ИТ-сервисов, доступных из сети Интернет. Соответственно и контрмеры должны быть направлены на повышение их устойчивости и доступности. С одной стороны, речь идет об установке специализированного программно-аппаратного обеспечения, которое позволит своевременно обнаружить и отразить подобную атаку, а с другой — грамотное планирование архитектуры самого ИТ-решения, исключающее узкие места и позволяющее балансировать нагрузку в случае подобных ситуаций».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры устанавливают бэкдоры в гипервизоры ESXi с помощью VIB-пакетов

При разборе одной из целевых хакерских атак эксперты Mandiant обнаружили несколько неизвестных ранее бэкдоров в гипервизоре VMware ESXi и подконтрольных виртуальных машинах. Как оказалось, для внедрения и сокрытия вредоносных кодов взломщики использовали установочные пакеты vSphere — VIB.

В VIB помимо заархивированной полезной нагрузки входят XML-дескриптор с конфигурационными данными и цифровая подпись. Такие пакеты можно использовать для создания задач автозагрузки, кастомных правил межсетевого экрана, развертывания обновлений и кастомных бинарников при перезапуске ESXi.

Прежде чем принять VIB, хост-система производит верификацию, в ходе которой определяется степень доверия к содержимому. При этом, кроме цифровой подписи, используется пометка в XML-файле: certified («сертифицировано VMware»), accepted (проверено VMware»), partner («создано партнером VMware», минимальный уровень доверия) или community («создано участником сообщества», недоверенный источник).

Проведенный в Mandiant анализ показал, что после входа в сеть и получения доступа к хост-машине хакеры опубликовали свой VIB, выдав его за творение партнера VMware (путем внесения изменений в XML-дескриптор). Поскольку такого трюка недостаточно — ESXi распознает подлог, сверившись с цифровой подписью, (в данном случае она отсутствовала), злоумышленники выставили флаг --force (откат поведения), чтобы обойти это препятствие.

Найденным в гипервизоре имплантам аналитики присвоили имена VirtualPita и VirtualPie. Первый представляет собой 64-битный пассивный бэкдор, который создает службу listener, работающую на заданном порту сервера ESXi. Вредонос, маскирующийся под легитимный сервис VMware, умеет выполнять произвольные команды, загружать и выгружать файлы, а также включать и выключать vmsyslogd.

Бэкдор VirtualPie написан на Python; он запускает прослушку IPv6-адреса на вшитом в код порту и поддерживает выполнение произвольных команд, передачу файлов и обратное подключение. Для коммуникаций зловред использует кастомный протокол и шифрование по RC4.

 

Исследователи также обнаружили два образца VirtualPita, работающих как init-демон в системах Linux vCenter. Оба зловредных бинарника выдавали себя за легитимный ksmd, а для получения команд использовали порт 7475/TCP.

Гостевые Windows на том же узле тоже оказались зараженными — написанный на C вредонос прятался в папке C:\Windows\Temp\avp.exe. Утилита, нареченная VirtualGate, состояла из двух частей — бесфайлового дроппера и полезной нагрузки (DLL), способной выполнять получаемые с гипервизора команды с использованием сокетов VMCI (Virtual Machine Communication Interface).

Разбор киберинцидента не выявил признаков эксплойта какой-либо уязвимости в продуктах VMware, хотя доступ к ESXi требует привилегий админа. В Mandiant полагают, что целью непрошеного вторжения являлся шпионаж, и поставили новую угрозу на контроль как UNC3886, предположительно исходящую из Китая.

Ее появление, по мнению экспертов, вызвано расширением использования систем EDR, позволяющих повысить эффективность детектирования вредоносных программ на Windows-машинах. Злоумышленникам волей-неволей приходится переключаться на мишени, обычно не поддерживающие EDR — устройства для доступа к сети, системы хранения SAN, серверы VMware ESXi.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru