Chroniques de quarantaine: comment DDoS s'est développé

Comme vous le savez, la paresse est le moteur du progrès. Et l'auto-isolement est le moteur de DDoS, ajouterons-nous sur la base des résultats de la compréhension du «passé» en mars-mai 2020. Alors que quelqu'un souffrait de désespoir (littéralement) de sa situation, les «mères hackers» souffraient d' orduresde l'inévitabilité de l'apprentissage en ligne et des examens à venir. "Activement" souffert (cette énergie serait dans une direction pacifique!). En termes de nombre d'attaques DDoS dans l'éducation, la dynamique de croissance la plus élevée a été observée. À son apogée - en avril - le nombre de tentatives de déni de service pour les ressources pédagogiques (journaux électroniques, sites avec des tests, sites de cours en ligne, etc.) a augmenté de 5,5 fois par rapport à mars et de 17 fois par rapport à en janvier 2020. Toutes ces attaques étaient de faible puissance (et probablement gratuites) utilisant des outils simples et facilement disponibles. Bien sûr, d'autres industries ont également été ciblées par des attaquants (bien que plus avancés), mais ici, c'était prévu: le commerce en ligne, le secteur public, le secteur financier, les télécommunications et le segment des jeux. Détails, comme toujours, sous la coupe.







Les analyses présentées ci-dessous sont basées sur des données sur les attaques sur les réseaux Rostelecom de janvier à mai 2020.

Comment le nombre d'attaques a changé

Alors. En mars-mai 2020, le nombre d'attaques DDoS a augmenté de 5 fois par rapport à la même période l'an dernier. En général, au cours des cinq premiers mois de 2020, le nombre total de ces attaques d'une année à l'autre a été multiplié par plus de 4.



On voit clairement comment les cybercriminels ont accru leur activité avec l'introduction de mesures de quarantaine. Le pic était en avril, lorsque le nombre d'attaques a augmenté de 88% par rapport à janvier. Il est à noter qu'un an plus tôt, la dynamique n'était pas si brillante et le nombre d'attaques d'un mois à l'autre est resté le même, plus ou moins.





Pendant la période d'auto-isolement, la nature du trafic Internet a également changé. De nombreuses organisations qui ne travaillaient auparavant que hors ligne ont lancé leurs propres ressources Internet , y compris gratuites . Ajoutez une télécommande de masse ici - et nous aurons une nouvelle réalité sur le réseau: si l'activité Internet précédente augmentait progressivement, atteignant un pic vers 17h00-21h00, une forte augmentation a été notée vers 10h00 et n'a pas diminué avant 23h00. En général, le trafic pour les cinq mois de 2020 a augmenté d'environ 20% (et là où il y a du trafic, il y a des «saboteurs»).

Caractéristiques d'attaque

Avec une forte augmentation du nombre d'attaques DDoS, leur complexité et leur puissance dans son ensemble ont diminué. Fondamentalement, les attaquants ont utilisé une amplification DNS ou NTP ordinaire de petits volumes (jusqu'à 3 Gb / s).



Il est à noter que fin 2019, nous avons enregistré la tendance inverse: une forte augmentation de la puissance et la complexité technique des attaques. Pendant la pandémie, leur nombre n'a pas diminué, mais la part dans son ensemble a chuté dans le contexte d'une forte augmentation des attaques DDoS «ouvrières-paysannes» simples. Cela indique une fois de plus que lors de l'isolement, ce ne sont pas les «pros» qui ont été particulièrement actifs, mais plutôt les «amateurs» qui ont décidé de profiter de la situation.

Qui ont été chassés

Comme nous l'avons dit plus haut, au cours des cinq premiers mois, l'intérêt des attaquants pour les ressources éducatives a fortement augmenté. Tenant compte du fait que dans la plupart des cas, le trafic "indésirable" a été envoyé par clairement "amateurs", les conclusions sur les organisateurs se suggèrent (et oui - ce n'est pas un journal à cacher sous son lit ou chauffer un thermomètre pour éviter un contrôle).





Mais DDoS n'était pas une école unique. Le nombre d'attaques contre les institutions de l'État a également augmenté - en avril plus de 3 fois par rapport à mars.





La troisième industrie avec la dynamique la plus prononcée était le jeu (la croissance des attaques en avril était presque 3 fois supérieure à celle de mars). Le mode d'isolement a attiré non seulement beaucoup de nouveaux utilisateurs dans cette industrie, mais aussi de l' argent en or (et où se trouve l'argent, il y a ..., vous voyez l'idée). En un mot, une lutte sérieuse s'est déroulée sur les terrains du jeu, non seulement parmi les joueurs, mais aussi parmi les sites.





Malgré la baisse globale de la puissance d'attaque au cours de la période considérée, les opérateurs de télécommunications et les centres de données se sont démarqués dans les statistiques générales: plus de 150 Go d'attaques plus souvent que d'habitude. Les DDoS dans ces deux segments vous permettent de désactiver non seulement un site spécifique, mais de toucher "en vrac" sur les clients et les ressources de l'opérateur desservis par le centre de données. De plus, ces entreprises sont mieux protégées que, par exemple, les agences gouvernementales ou le segment éducatif. Par conséquent, les attaquants doivent utiliser des outils plus sophistiqués. Pendant la pandémie, les attaques sur ces deux segments ont été rapides et puissantes et ont été menées, très probablement, via de vrais hôtes assemblés en un botnet avec la possibilité de le rediriger vers une nouvelle victime en quelques minutes.



En général, cette division par industrie poursuit la tendance qui s'est formée en 2019. Par exemple, en 2018, l'industrie des télécommunications ne représentait que 10% de toutes les attaques DDoS et en 2019, déjà 31%. Les petits fournisseurs Internet régionaux, les centres d'hébergement et de données, qui ne disposent généralement pas des ressources nécessaires pour repousser les attaques, sont devenus la cible de pirates.

Total

• Pendant la période de quarantaine, dans un contexte de propagation du COVID-19 (mars-mai 2020), cinq fois plus d'attaques DDoS ont été enregistrées qu'un an auparavant.
• La part des attaques simples et de faible puissance a augmenté, ce qui indique l'activité des attaquants «non professionnels».
• Le nombre d'attaques contre les ressources éducatives a été multiplié par 5,5, et les attaques les plus puissantes au cours de la période considérée ont été dirigées contre les opérateurs de télécommunications et les centres de données.

Le plus grand volume d'attaques en mars-mai est tombé sur le secteur du commerce en ligne (31%), qui est traditionnellement l'une des principales cibles des DDoS. Le deuxième secteur le plus populaire était le secteur public (21% des attaques). Viennent ensuite le secteur financier (17%), les télécommunications (15%), l'éducation (9%) et le segment des jeux (7%).



Le mois le plus difficile pour les propriétaires de ressources Internet a été avril, alors qu'en Russie il y avait un régime strict d'auto-isolement. En mai, l'activité des déserteurs a progressivement commencé à décliner - cette tendance se poursuivra si la situation en Russie et dans le monde se stabilise. Il est également possible de prévoir une diminution du nombre d'attaques dans le domaine de l'éducation lorsque les examens d'entrée et de fin seront terminés.



Cependant, comme l'a montré la quarantaine passée, il est impossible de prédire avec certitude quand exactement les DDoS arriveront dans l'entreprise, il est donc préférable de jeter la paille à l'avance.