Спецпроекты

Безопасность Стратегия безопасности Бизнес Кадры Маркет

Больше половины DDoS-атак в сентябре организовали школьники

В сентябре 2019 г. исследователи безопасности зафиксировали всплеск хакерской активности и одновременно падение уровня ее профессионализма. Это связано с тем, что школьники, у которых начался учебный год, массово атакуют электронные дневники, школьные сайты и другие образовательные ресурсы.

Школьники наступают

Около 60% DDoS-атак, которые имели место в сентябре, были нацелены на различные образовательные ресурсы, в том числе электронные дневники и школьные сайты. Как поясняет на своем сайте «Лаборатория Касперского», это были по большей части непродолжительные дилетантские атаки.

«В прошлом году мы наблюдали примерно ту же картину, и причины остались теми же: школьники возвращаются в школы. Большинство этих атак — хулиганские акции, организованные дилетантами, скорее всего, без цели получения материальной выгоды», — сообщает компания.

Оценивая третий квартал 2019 г., «Лаборатория» отмечает, что летние месяцы обычно характеризуются затишьем, которое сменяется всплеском DDoS-активности в сентябре в связи с началом учебного года. На сентябрь пришлось 53% всех атак, которые были осуществлены в течение квартала.

В связи с тем, что многие сентябрьские атаки были выполнены на невысоком уровне, по итогам всего квартала на 22 процентных пункта сократилась доля так называемых умных атак в общем количестве нападений. Это единственный квартал с начала года, когда количество умных атак показало спад. В целом исследователи говорят о том, что из-за активности школьников сентябрь создает перекос в общей статистической картине.

В общей сложности в сентябре 2019 г. было совершено больше DDOS-атак, чем за аналогичный период 2018 г. — рост составил 35 процентных пунктов. При этом в целом по кварталу рост был несколько ниже — 32 процентных пункта. Совсем иная ситуация сложилась с умными атаками: в сентябре их количество показало годовой рост всего на 27 процентных пунктов, хотя по итогам квартала он составил 58 процентных пункта. Доля умных атак по сравнению с прошлым годом в сентябре сократилась на 3 процентных пункта.

География атак

Около 63% всех DDoS-атак, совершенных в мире в третьем квартале, исходили из Китая. На втором месте по-прежнему находится США с долей 17,4%. Первую тройку замыкает Гонконг с результатом 5,4%.

На четвертом месте находится ЮАР, доля которой резко выросла до 2,4% с 0,2% в предыдущем квартале, когда эта страна занимала в рейтинге девятнадцатое место. Нидерланды, которые занимали четвертую строчку, опустились на девятое место — их доля упала с 1,5% до 0,7%.

В число лидеров вернулась Южная Корея, но в топ-3, где она некогда фигурировала, не вошла — страна занимает восьмое место с долей 0,7%. Также в десятку лидеров вернулась Румыния, которая заняла шестое место с результатом 1,1%. Румыния, ЮАР и Южная Корея заменили в рейтинге Тайвань, Австралию и Вьетнам.

В сентябре хакерская активность возрастает благодаря школьникам, у которых начинается учебный год

Великобритания с результатом 1,7% находится на пятом месте, Сингапур с долей около 1% — на шестом, а Канада с показателем на уровне 0,7% замыкает первую десятку.

Список стран, где находятся цели атак, в общих чертах похож на список стран, откуда они были совершены. В первую тройку здесь тоже взошли Китай, США и Гонконг с показателями 57,2%, 22,2% и 4,3% соответственно. Дальше в списке есть расхождения с предыдущим рейтингом: Великобритания и ЮАР поменялись местами, Нидерланды и Канада поднялись повыше, Румыния спустилась ниже, Южная Корея не попала в первую десятку, зато в топе-10 фигурирует Франция.

По количеству командных серверов, размещенных на территории страны, лидируют США с долей 47,6%. Так же в первую тройку вошли Нидерланды (22%) и Китай (6,4%), у всех трех стран показатель подрос. На четвертом месте находится Великобритания с долей 4,9%, на пятом — Россия с результатом 3,9%. Далее идут Франция (3,4%), Германия (2,5%), Канада (1,5%), Вьетнам (1,5%) и Румыния (1,5%).

Исследователи отмечают, что в третьем квартале продолжается следующая тенденция: какая-нибудь неожиданная страна стремительно вырывается в лидеры, однако впоследствии довольно быстро покидает вершину. В данном случае речь идет прежде всего о ЮАР.

Статистика по кварталу

Самым активным с точки зрения работы DDoS-ботнетов месяцем по итогам квартала стал июль. Максимальное количество атак пришлось на 22 число — 457 нападений. В 17,5% случаев хакеры выбирали для совершения атак понедельник, который таким образом стал самым активным днем. Самым непопулярным для нападений днем было воскресенье — 10,7% случаев.

Самая длинная атака квартала продолжалась 11 суток (279 часов). Около 84% атак длились четыре часа и менее, около 8% — от пяти до девяти часов, примерно 4% — от десяти до 19 часов, и только чуть более 3% атак длились дольше.

Самым распространенным типом атак остался SYN-флуд с долей 79,7%. Второе место занимает UDP-флуд с показателем 9,4%. На третьем месте находится TCP-флуд (8,7%), а на четвертом — HTTP-флуд (1,7%), причем по сравнению с предыдущим кварталом они поменялись местами. Гораздо менее популярен ICMP-флуд (0,5%).

По итогам квартала 97,6% атак было осуществлено через Linux-ботнеты. Их доля продемонстрировала квартальный рост почти на 2% в ущерб доле Windows-ботнетов.

Примечательные случаи

Из крупных атак, имевших место в третьем квартале, «Лаборатория Касперского» упоминает несколько волн атак на World of Warcraft Classic в начале сентября. О каждой новой волне предварительно сообщалось в Twitter, организатор атаки позднее был арестован.

С помощью ботнета, похожего на Mirai, в июле была проведена 13-дневная атака на стриминговый сервис. Ее мощность достигла 292 тыс. запросов в секунду, в ботнет было включено 400 тыс. устройств, большая часть — домашние маршрутизаторы.

В конце августа был атакован сайт LIHKG, через который участники политических протестов в Гонконге согласовывали свои действия. На сайт обрушилось 1,5 млрд запросов за 16 часов, из-за чего он был недоступен.

Вечером 6 сентября началась атака на Wikipedia, из-за чего ресурсом какое-то время не могли воспользоваться жители Европы, Африки и Ближнего Востока. Атака примечательна своей мощностью — более терабита в секунду, если верить косвенным данным. Она продолжалась трое суток.

Валерия Шмырова

Короткая ссылка