Kronik karantina: bagaimana DDoS tumbuh

Seperti yang Anda tahu, kemalasan adalah mesin kemajuan. Dan isolasi diri adalah mesin DDoS, kami akan menambahkan berdasarkan hasil memahami "masa lalu" pada Maret-Mei 2020. Sementara seseorang menderita keputusasaan (secara harfiah) dari situasi mereka, "ibu peretas" menderita sampahdari keniscayaan pembelajaran online dan ujian yang akan datang. "Aktif" menderita (energi ini akan berada di arah yang damai!). Dalam hal jumlah serangan DDoS dalam pendidikan, dinamika pertumbuhan tertinggi diamati. Pada puncaknya - pada bulan April - jumlah upaya untuk membuat penolakan layanan terhadap sumber daya pendidikan (buku harian elektronik, situs dengan pekerjaan tes, situs untuk pelajaran online, dll.) Meningkat 5,5 kali dalam kaitannya dengan Maret dan 17 kali dalam kaitannya dengan pada Januari 2020. Semua ini adalah serangan berdaya rendah (dan mungkin gratis) menggunakan alat sederhana dan mudah diakses. Tentu saja, industri lain jatuh ke mata penyerang (meskipun yang sudah lebih maju), tetapi di sini diharapkan: perdagangan online, sektor publik, sektor keuangan, telekomunikasi dan segmen game. Detail, seperti biasa, di bawah potongan.







Analisis yang disajikan di bawah ini didasarkan pada data serangan di jaringan Rostelecom dari Januari hingga Mei 2020.

Bagaimana jumlah serangan telah berubah

Begitu. Pada Maret-Mei 2020, jumlah serangan DDoS meningkat 5 kali dibandingkan periode yang sama tahun lalu. Secara umum, dalam lima bulan pertama tahun 2020, jumlah total serangan semacam itu dari tahun ke tahun meningkat lebih dari 4 kali lipat.



Terlihat jelas bagaimana penjahat dunia maya telah meningkatkan aktivitas mereka saat tindakan karantina diperkenalkan. Puncaknya terjadi pada bulan April, ketika jumlah serangan dibandingkan dengan Januari meningkat sebesar 88%. Perlu dicatat bahwa setahun sebelumnya dinamika itu tidak begitu cerah, dan jumlah serangan dari bulan ke bulan tetap sama, plus atau minus.





Selama periode isolasi diri, sifat lalu lintas Internet juga berubah. Banyak organisasi yang sebelumnya hanya bekerja offline telah meluncurkan sumber daya online mereka sendiri , termasuk yang gratis . Mari kita tambahkan remote control besar-besaran di sini - dan kita akan mendapatkan kenyataan baru di jaringan: jika aktivitas Internet sebelumnya secara bertahap meningkat, mencapai puncaknya pada pukul 17: 00-21: 00, sekarang peningkatan tajam tercatat sekitar pukul 10:00 dan tidak berkurang sebelum pukul 23:00. Secara umum, lalu lintas selama lima bulan tahun 2020 tumbuh sekitar 20% (dan di mana ada lalu lintas, ada "penyabot").

Karakteristik serangan

Dengan peningkatan tajam dalam jumlah serangan DDoS, kompleksitas dan kekuatan mereka umumnya menurun. Pada dasarnya, penyerang menggunakan DNS biasa atau amplifikasi NTP volume kecil (hingga 3 Gb / dtk).



Patut dicatat bahwa pada akhir 2019, kami mencatat tren yang berlawanan: peningkatan tajam dalam kekuatan dan kompleksitas teknis serangan. Selama pandemi, jumlah tersebut tidak berkurang, tetapi bagian secara keseluruhan jatuh dengan latar belakang peningkatan tajam dalam DDoS "buruh-tani" sederhana. Ini sekali lagi menunjukkan bahwa selama isolasi diri itu bukan "pro" yang sangat aktif, tetapi "amatir" yang memutuskan untuk mengambil keuntungan dari situasi.

Siapa yang diburu

Seperti yang kami katakan di atas, dalam lima bulan pertama, minat penyerang dalam sumber daya pendidikan meningkat tajam. Mempertimbangkan fakta bahwa dalam kebanyakan kasus "sampah" lalu lintas dikirim oleh "amatir" yang jelas, kesimpulan tentang penyelenggara menyarankan diri mereka sendiri (dan ya - ini bukan buku harian untuk bersembunyi di bawah tempat tidur Anda atau menghangatkan termometer untuk menghindari yang kontrol).





Tapi DDoS tidak hidup sebagai sekolah tunggal. Jumlah serangan terhadap institusi negara juga meningkat - pada bulan April lebih dari 3 kali dibandingkan Maret.





Industri ketiga dengan dinamika paling menonjol adalah permainan (pertumbuhan serangan di bulan April hampir 3 kali lipat dibandingkan dengan bulan Maret). Mode isolasi telah menarik tidak hanya banyak pengguna baru ke industri ini, tetapi juga kebun binatang uang (dan di mana uang itu ada ... well, Anda mengerti). Singkatnya, perjuangan serius terjadi di bidang permainan, tidak hanya di antara para pemain, tetapi juga di antara situs.





Terlepas dari kenyataan bahwa kekuatan serangan keseluruhan turun selama periode pelaporan, operator telekomunikasi dan pusat data menonjol dalam statistik keseluruhan: serangan 150+ GB lebih umum di sini. DDoS dalam dua segmen ini memungkinkan untuk menonaktifkan bukan hanya satu situs tertentu, tetapi untuk "grosir" pelanggan operator dan sumber daya yang dilayani oleh pusat data. Terlebih lagi, perusahaan semacam itu lebih terlindungi daripada, misalnya, lembaga negara atau segmen pendidikan. Karena itu, penyerang harus menggunakan alat yang lebih canggih. Selama pandemi, serangan pada dua segmen ini cepat dan kuat dan kemungkinan besar dilakukan melalui host nyata yang dikumpulkan menjadi botnet tunggal dengan kemampuan untuk mengarahkannya ke korban baru dalam hitungan menit.



Secara umum, pembagian seperti itu oleh industri melanjutkan tren yang dibentuk pada tahun 2019. Misalnya, pada 2018, industri telekomunikasi hanya menyumbang 10% dari semua serangan DDoS, dan pada 2019 - sudah 31%. Sasaran para peretas adalah penyedia layanan Internet kecil, hosting dan pusat data, yang biasanya tidak memiliki sumber daya yang diperlukan untuk mengusir serangan.

Total

• Selama periode karantina, dengan latar belakang penyebaran COVID-19 (Maret-Mei 2020), lima kali lebih banyak serangan DDoS dicatat daripada tahun sebelumnya.
• Proporsi serangan sederhana dan berdaya rendah telah meningkat, yang menunjukkan aktivitas penyerang "tidak profesional".
• Jumlah serangan terhadap sumber daya pendidikan meningkat 5,5 kali, dan serangan paling kuat dalam periode pelaporan jatuh pada operator telekomunikasi dan pusat data.

Volume serangan terbesar pada bulan Maret-Mei terjadi di sektor perdagangan online (31%), yang secara tradisional merupakan salah satu target utama untuk DDoS. Sektor publik menjadi yang paling populer kedua (21% dari serangan). Ini diikuti oleh sektor keuangan (17%), telekomunikasi (15%), pendidikan (9%) dan segmen permainan (7%).



Bulan yang paling sulit bagi pemilik sumber daya Internet adalah April, ketika rezim isolasi diri yang kuat berlaku di Rusia. Pada bulan Mei, aktivitas para deduktor secara bertahap mulai menurun - tren ini akan terus berlanjut bahkan jika situasi di Rusia dan dunia stabil. Dimungkinkan juga untuk memprediksi penurunan jumlah serangan di bidang pendidikan saat ujian masuk dan ujian akhir sudah berakhir.



Namun, seperti yang ditunjukkan oleh karantina sebelumnya, tidak mungkin untuk memprediksi dengan pasti kapan tepatnya DDoS akan datang ke perusahaan, jadi lebih baik untuk meletakkan sedotan di muka.