Больше всего пострадал финансовый сектор
Qrator Labs, специализирующаяся на обеспечении доступности интернет-ресурсов и нейтрализации DDoS-атак, представляет статистику DDoS-атак во втором квартале 2023 года.
Больше всего от DDoS-атак пострадал финансовый сегмент, на долю которого пришлось 44,34% всех атак на уровне L3-L4. Вторую и третью строчки заняли сегменты электронной коммерции и онлайн образования — 13,68% и 11,32% соответственно.
Углубляясь в детали сегментов, можно выделить следующее:
- Наибольшее количество атак во втором квартале пришлось на банки. Их доля выросла почти на 30%. В частности, основной пик атак пришелся на апрель, в мае наблюдался небольшой спад, который компенсировался активным ростом в июне. В общей сложности на банки пришлось 37,6% всех зафиксированных атак во втором квартале. Данный рост в первую очередь связан с тем, что лето является активным бизнес-сезоном для многих, включая банки, которые начинают активно привлекать вклады и выдавать кредиты на путешествия, строительство и ремонт.
- На втором месте образовательные сервисы, на долю которых пришлось 11% всех атак. Повышенное внимание злоумышленников к этой сфере связано с окончанием учебного года, началом выпускных экзаменов и поступлением школьников в вузы. Кроме того, в начале лета обычно растет спрос на образовательные онлайн-программы на период школьных каникул, а значит, увеличивается конкуренция в этой сфере, что стимулирует спрос на организацию DDoS-атак.
- Третье место практически поделили между собой сегмент электронных досок объявлений — 9,8% — и сфера онлайн-гейминга с 9,6% атак.
В абсолютных значениях количество атак продолжает расти. Резкое падение более чем на 30%, которое наблюдали в четвертом квартале прошлого года, продолжает отыгрывать свои позиции. За прошедшие шесть месяцев общее число снова выросло, увеличившись на 40%.
«В целом можно говорить о том, что в организации DDoS-атак присутствует фактор сезонности. Из года в год второй и третий квартал получают больше атак, чем первый и четвертый, что можно объяснить повышенной активностью злоумышленников в весенний период и в сентябре – в начале бизнес-сезона», – комментирует основатель Qrator Labs Александр Лямин.
Продолжительность DDoS-атак
Длительность атак во втором квартале показала отрицательную динамику. Средняя продолжительность уменьшилась на 29,15%, практически вернувшись к показателям четвертого квартала 2022 года, составив 47 минут. Аналогичный показатель в первом квартале составлял более одного часа.
Максимальная продолжительность снижалась, в этот раз уменьшившись с 42 часов в первом квартале до 20,7 часа во втором. В отличие от первого квартала, где самая продолжительная атака пришлась на банковский сектор, на этот раз под удар попала индустрия онлайн игр.
Самая продолжительная атака на банковский сектор составила всего 4,9 часов, оказавшись лишь на пятом месте. На первых трех позициях разместились игровые платформы (20,7 часов), онлайн медиа (17,3 часа) и сервисы путешествий (12 часов).
«Сокращение максимальной длительности DDoS-атак можно связать с тем, что злоумышленники сейчас не фокусируются на отдельных ресурсах, атакуя их в течение длительного периода времени. Если атака не результативна, они сразу переключаются на другие цели, которых у злоумышленников огромное количество, и не тратят свое время», – отмечает Александр Лямин.
Географическое распределение источников атак
Во втором квартале наибольшее количество заблокированных IP адресов пришлось на Россию — 8,2 млн. США стала вторым по популярности источником атак с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку лидеров Китай, на долю которого пришлось 1,4 млн адресов.
Всего по итогам второго квартала в черный список было внесено почти 19,5 млн IP адресов, с которых совершались атаки. В ТОП стран также вошли Франция (830 тыс), Индия (638 тыс), Индонезия (573 тыс), Германия (543 тыс), Бразилия (524 тыс) и Великобритания (500 тыс).
Результаты исследований, полученные по итогам второго квартала, показали, что блокировка по гео IP стала менее эффективной. Причиной тому послужило поведение злоумышленников, которые для обхода блокировки стали использовать локальные источники трафика в странах, где располагаются их жертвы.
Самый большой ботнет
Во втором квартале 2023 года, по сравнению с предыдущим периодом, не было серьезных изменений с точки зрения источника атак. Самый значительный источник атаки включал в себя 136 590 устройств — почти столько же, сколько и в первом квартале 2023 года. Тем не менее, эта цифра почти в 2 раза больше, чем количество устройств, задействованных в самом крупном источнике атаки во втором квартале 2022 года (84 000 устройств).
Статистика защиты от ботов
В сравнении с первым кварталом, количество атак ботов продолжило расти, достигнув 4 196 806 693 и превысив показатели первого квартала более чем на 1 миллиард. Больше всего атак ботов пришлось на май с показателем 1,48 млрд. заблокированных запросов ботов.
Как и в первом квартале, больше всего от активности ботов страдали сегменты беттинга (42,8%) и онлайн ритейла (22,2%). На их долю пришлось 65% всех атак. На третьей и четвертой позициях на этот раз оказались фармацевтика и финансовые организации, оттеснив недвижимость и онлайн-образование.
Крупнейшая атака ботов была в беттинге 21 мая. В этот день было зафиксировано 33 170 356 запросов ботов в данном сегменте. А наиболее быстрая атака произошла 6 июня в сегменте электронной коммерции, показатели которой составили 12 510 запросов ботов в пике (rps).
«Очевидно, с развитием интернета популярность вредоносных ботов продолжит расти, поскольку позволяет злоумышленникам за относительно небольшой бюджет совершать простые в эксплуатации, но довольно эффективные мошенничества. Этот тренд усилился после пандемии, (например, в 2022 году средний объем ботов на сайтах составил 40%) когда стало очевидно, что это вполне прибыльный полулегальный бизнес, который крайне сложно отследить и привлечь к ответственности», – резюмирует Александр Лямин.
О компании
Qrator Labs предоставляет услуги по сетевой безопасности с 2010 года, обеспечивая непрерывную доступность интернет-ресурсов и противодействие DDoS-атакам для клиентов по всему миру. Облачная инфраструктура компании базируется на 15 точках фильтрации трафика, подключенных к каналам крупнейших магистральных интернет-провайдеров в Северной и Южной Америке, Европе, странах Ближнего Востока и Азии.
Благодаря непрерывной R&D деятельности и совершенствованию алгоритмов фильтрации, Qrator Labs обладает возможностями нейтрализации архитектурно сложных, нестандартных и масштабных атак и сетевых аномалий.
Компания имеет широкий спектр услуг сетевой безопасности, среди которых Qrator Availability Network – сеть непрерывной доступности, Web Application Firewall (WAF), CDN, Bot Protection (защита от ботов), защищенный DNS, защита интернет-инфраструктуры провайдеров. Уникальная глобальная система мониторинга интернета Qrator.Radar является разработкой компании и предоставляет данные о BGP-сессиях в реальном времени (свыше 800 BGP-сессий).