DDoS-атака продолжительностью почти 72 часа — новый рекорд года

DDoS-атака продолжительностью почти 72 часа — новый рекорд года

В III квартале 2023-го эксперты Qrator Labs зарегистрировали DDoS-атаку, которая длилась почти трое суток (71 час 58 минут). Это самый высокий показатель в текущем году, он даже побил рекорд 2022 года (около 70 часов).

Атака, о которой идет речь, была проведена в августе в сегменте транспорта и логистики (аэропорты). По словам аналитиков, это была мультивекторная DDoS (UDP+SYN+TCP) с признаками коммерческой (заказной) атаки. Средняя продолжительность DDoS-атак в отчетный период составила 66 минут, что больше показателя II квартала и сопоставимо с результатом I квартала.

Больше прочих от DDoS, как и в предыдущем квартале, страдали финансовые институты, на их долю пришлось 42% атак. Второе место в этом рейтинге заняла сфера электронной коммерции (29,8%), третье — ИТ и телеком (6%).

Более мелкое дробление вертикалей дало следующую картину:

 

«Появление на первых трех строчках среди наиболее атакуемых микросегментов банков, электронных досок объявлений и розничных продаж объясняется подготовкой и началом осеннего сезона, — комментирует гендиректор Qrator Labs Дмитрий Ткачев. — В банках это осенние предложения по вкладам и кредитам, а в электронной коммерции — подготовка к школьному сезону и запуск маркетинговых акций, распродаж».

Географическое распределение источников атак подтвердило ранее подмеченный тренд: для обхода геоблокировки злоумышленники стали активнее использовать локальные возможности, стараясь максимально приблизить DDoS-поток к намеченной мишени.

Количество заблокированных IP-адресов за квартал увеличилось на 116,4%, с 18,5 млн до 40,15 миллиона. Список стран-источников мусорного трафика вновь возглавила Россия с показателем 18,7 млн IP; за ней с большим отрывом следуют США и Китай (5,66 млн и 4,97 млн заблокированных IP соответственно).

 

Число DDoS уровня приложений (L7) продолжает снижаться, в минувшем квартале был зафиксирован спад на 26,7%. Эксперты не преминули отметить, что для L7 нужны уязвимости, без них стоимость организации атаки сильно возрастает; по этой причине подобные DDoS-атаки — по большей части точечные.

Странно, что в отчете Qrator не упомянуты атаки HTTP/2 Rapid Reset. Новая техника позволяет повысить мощность прикладных DDoS в несколько раз (текущий рекорд — 398 млн запросов в секунду).

Количество атак ботов, по оценке экспертов, уменьшилось на 10% (зафиксировано около 806 млн инцидентов). Наиболее высокую активность DDoS-боты проявили в июле; основными мишенями таких атак являются сайты беттинга, ретейла и онлайн-аптеки.

Основной вклад в бот-активность теперь носит фоновый режим: атаки, 24/7 создающие нагрузку на ресурсы жертв без резких перепадов. Однако организаторы таких DDoS быстро прекращают атаку, столкнувшись с контрмерами антибот-систем.

Самый большой из выявленных DDoS-ботнетов был составлен из 85 298 зараженных устройств, расположенных в 20 странах (с наибольшей концентрацией в Индии, Индонезии, России и США). Атака с этого ботнета была зафиксирована 10 августа в сегменте платежных систем.

«Популярность новых инструментов для скрейпинга и автоматизации браузеров (new Chrome headless) сейчас ниже, чем мы ожидали: они не фигурируют в массированных всплесках и не выделяются в общем фоне атак, — резюмирует Ткачев. — Однако это затишье перед штормом. Мы предполагаем массовое использование не засвеченных ранее векторов бот-активности в IV квартале в период Черной пятницы».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ФСБ России может получить доступ к IP-адресам и учеткам путешественников

Минтранс России подготовил проект приказа, согласно которому перевозчики с 1 сентября должны будут передавать в отраслевую ГИС дополнительные данные клиентов, в том числе имейл, номер телефона, IP-адрес, пароль к аккаунту, информацию о платежах.

Перечень сведений о пассажирах, подлежащих передаче в единую государственную информационную систему обеспечения транспортной безопасности (ЕГИС ОТБ) был утвержден еще в 2009 году. Оператором сводной базы является ФГУП «ЗащитаИнфоТранс», доступ к ней имеют, в частности, Ространснадзор, МВД и ФСБ.

Согласно действующим нормам, перевозчики обязаны направлять в ГИС паспортные данные пассажиров, даты и маршруты поездок. Новый приказ по отрасли обяжет их предоставлять также следующую информацию:

  • сведения, которые пассажир указывает при бронировании и покупке билета (Passenger Name Records, PNR), в том числе имейл и телефон;
  • логин и пароль пользователя сайта или приложения;
  • IP-адрес заказчика и номер порта;
  • номер платежной карты (последние четыре цифры), название банка, стоимость билета, класс обслуживания.

Все эти данные должны передаваться в ГИС в течение 15 минут после завершения операции — трудновыполнимая задача с учетом того, что перевозчики используют разные системы бронирования (к примеру, воздушный транспорт сейчас пользуется Leonardo и «ТАИС»). Срок хранения данных в ЕГИС ОТБ — семь лет.

Новый порядок централизованного сбора ПДн должен заработать с 1 сентября и будет действовать на воздушном, водном, железнодорожном транспорте, а также на автотранспорте (международные и междугородные рейсы, кроме Москва / Подмосковье и Питер / Ленобласть).

Кстати, доступ к данным пассажиров такси у ФСБ уже есть, соответствующий закон вступил в силу 1 сентября прошлого года.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru