Crónicas de cuarentena: como creció DDoS

Como saben, la pereza es el motor del progreso. Y el autoaislamiento es el motor de DDoS, agregaremos en función de los resultados de la comprensión del "pasado" de marzo a mayo de 2020. Mientras alguien sufría la desesperanza (literalmente) de su situación, los "piratas informáticos de la madre" sufrieron basura.de la inevitabilidad del aprendizaje en línea y los próximos exámenes. Sufrieron "activamente" (esta energía y en un canal pacífico!). En términos del número de ataques DDoS en educación, se observó la mayor dinámica de crecimiento. En su apogeo, en abril, el número de intentos de organizar una denegación de servicio para recursos educativos (diarios electrónicos, sitios con documentos de prueba, sitios para lecciones en línea, etc.) aumentó 5.5 veces en comparación con marzo y 17 veces en relación con en enero de 2020. Todos estos fueron ataques de baja potencia (y probablemente gratuitos) utilizando herramientas simples y de fácil acceso. Por supuesto, otras industrias cayeron a la vista de los atacantes (aunque ya eran más avanzadas), pero aquí se esperaba: el comercio en línea, el sector público, el sector financiero, las telecomunicaciones y el segmento de juegos. Detalles, como siempre, debajo del corte.







Los análisis a continuación se basan en datos sobre ataques en redes Rostelecom de enero a mayo de 2020.

Cómo ha cambiado la cantidad de ataques

Entonces. En marzo-mayo de 2020, el número de ataques DDoS aumentó 5 veces en comparación con el mismo período del año pasado. En general, en los primeros cinco meses de 2020, el número total de tales ataques se cuadruplicó año tras año.



Es claramente visible cómo los cibercriminales han aumentado su actividad a medida que se introdujeron las medidas de cuarentena. El pico se produjo en abril, cuando el número de ataques en comparación con enero aumentó en un 88%. Cabe señalar aquí que un año antes la dinámica no era tan brillante, y el número de ataques de mes a mes se mantuvo igual más o menos.





Durante el período de autoaislamiento, la naturaleza del tráfico de Internet ha cambiado. Muchas organizaciones que anteriormente trabajaban solo fuera de línea han lanzado sus propios recursos de Internet , incluidos los gratuitos . Agregue un control remoto masivo aquí, y obtendremos una nueva realidad en la red: si la actividad de Internet anterior aumentaba gradualmente, alcanzando un pico entre las 17: 00-21: 00, ahora se observó un fuerte aumento alrededor de las 10:00 y no disminuyó antes de las 23:00. En general, el tráfico durante cinco meses de 2020 creció aproximadamente un 20% (y donde hay tráfico, hay "saboteadores").

Características de ataque

Con un fuerte aumento en el número de ataques DDoS, su complejidad y poder generalmente han disminuido. Básicamente, los atacantes utilizaron la amplificación DNS o NTP ordinaria de pequeños volúmenes (hasta 3 Gb / s).



Cabe destacar que a fines de 2019, registramos la tendencia opuesta: un fuerte aumento en el poder y la complejidad técnica de los ataques. Durante la pandemia, el número de tales no disminuyó, pero la proporción en su conjunto cayó en el contexto de un fuerte aumento de los ataques DDoS simples "trabajadores-campesinos". Esto indica una vez más que durante el autoaislamiento no fueron los "profesionales" los que estuvieron especialmente activos, sino más bien los "aficionados" quienes decidieron aprovechar la situación.

Quienes fueron cazados

Como dijimos anteriormente, en los primeros cinco meses el interés de los atacantes en los recursos educativos aumentó considerablemente. Teniendo en cuenta el hecho de que en la mayoría de los casos el tráfico "basura" fue enviado claramente por "aficionados", las conclusiones sobre los organizadores se sugieren (y sí, este no es un diario para esconderse debajo de la cama o calentar un termómetro para evitar el control).





Pero DDoS no fue la única escuela. El número de ataques contra instituciones estatales también aumentó, en abril más de 3 veces en comparación con marzo.





La tercera industria con la dinámica más pronunciada fue el juego (el crecimiento de los ataques en abril fue casi 3 veces en comparación con marzo). El modo de aislamiento ha atraído no solo a muchos usuarios nuevos a esta industria, sino también al dinero del zoológico (y dónde está el dinero ... bueno, ya entiendes). En una palabra, se desarrolló una seria lucha en los campos de juego, no solo entre jugadores, sino también entre plataformas.





A pesar del hecho de que el poder de ataque general cayó durante el período del informe, los operadores de telecomunicaciones y los centros de datos se destacaron en las estadísticas generales: los ataques de más de 150 GB fueron más comunes aquí. DDoS en estos dos segmentos le permite deshabilitar no solo un sitio específico, sino presionar "en masa" en los clientes y recursos del operador que atiende el centro de datos. Además, tales empresas están mejor protegidas que, por ejemplo, las agencias gubernamentales o el segmento educativo. Por lo tanto, los atacantes tienen que usar herramientas más sofisticadas. Durante la pandemia, los ataques en estos dos segmentos fueron rápidos y potentes y se llevaron a cabo, muy probablemente, a través de hosts reales reunidos en una red de bots con la capacidad de redirigirlo a una nueva víctima en cuestión de minutos.



En general, dicha división por industria continúa la tendencia que se formó en 2019. Por ejemplo, en 2018, la industria de las telecomunicaciones representó solo el 10% de todos los ataques DDoS, y en 2019, ya el 31%. Los pequeños proveedores regionales de Internet, alojamiento y centros de datos, que generalmente no tienen los recursos necesarios para repeler los ataques, se convirtieron en objetivos de los piratas informáticos.

Total

• Durante el período de cuarentena, en el contexto de la propagación de COVID-19 (marzo-mayo de 2020), se registraron cinco veces más ataques DDoS que un año antes.
• La proporción de ataques simples y de baja potencia ha aumentado, lo que indica la actividad de los atacantes "no profesionales".
• El número de ataques a recursos educativos aumentó en 5,5 veces, y los ataques más poderosos en el período del informe recayeron en operadores de telecomunicaciones y centros de datos.

El mayor volumen de ataques en marzo-mayo ocurrió en el sector de comercio en línea (31%), que tradicionalmente es uno de los principales objetivos de DDoS. El segundo más popular fue el sector público (21% de los ataques). Le siguen el sector financiero (17%), las telecomunicaciones (15%), la educación (9%) y el segmento de juegos (7%).



El mes más difícil para los propietarios de recursos de Internet fue abril, cuando en Rusia había un estricto régimen de autoaislamiento. En mayo, la actividad de los dedosers comenzó a disminuir gradualmente, esta tendencia continuará incluso si la situación en Rusia y el mundo se estabiliza. También puede predecir una disminución en el número de ataques en el campo de la educación cuando finalizan los exámenes de ingreso y final.



Sin embargo, como lo demostró la cuarentena anterior, es imposible predecir con certeza cuándo exactamente DDoS llegará a la empresa, por lo que es mejor poner la pajita de antemano.