Самые заметные DDoS-атаки 2024. Тренды, причины и последствия
Сегодня жертвами атаки типа «отказ в обслуживании» могут стать как представители малого и среднего бизнеса, где не предусмотрен большой бюджет на ИБ, так и крупные холдинги и экосистемы с собственной инфраструктурой и профессиональной ИБ-командой. Злоумышленникам достаточно легко организовать DDoS-атаку, а последствия для пострадавшей стороны могут носить репутационный, финансовый и даже регуляторный характер.
В этой статье рассказываем:
➡️ почему DDoS-атаки остаются серьезной угрозой;
➡️ 3 самых нашумевших кейса уходящего года;
➡️ как компания может использовать средства защиты от DDoS;
➡️ топ-3 главных преимущества работы с провайдером.
Почему DDoS-атаки остаются серьезной угрозой?
Доступность. Сейчас организовать DDoS-атаку в Даркнете может любой скрипт-кидди, имея совсем небольшой бюджет. Пара кликов — и открывается доступ к целой индустрии профессиональных исполнителей с готовым инструментарием. Заказать «услугу» можно не только баловства ради, но и для агрессивной конкурентной борьбы, в ходе которой будут задействованы серьезные ресурсы.
Рост хактивизма. Глобализация, с одной стороны, и сложная геополитическая обстановка, с другой, способствуют росту количества людей, занимающихся DDoS-атаками «за идею».
Рост количества и мощности атак. С каждым годом DDoS-атаки становятся сложнее, мощнее и разрушительнее.
По различным данным*, в 2024 году:
- зафиксировано на 70% больше DDoS-атак, чем в 2023;
- средняя продолжительность атак возросла до 30+ минут;
- 2,38 Тбит/с — мощность самой крупной DDoS-атаки.
*По данным Роскомнадзора, ГК «Солар», NGENIX
Cамые громкие DDoS-атаки на российские ресурсы в 2024 году и их последствия
НСПК, июнь 2024
Что случилось?
20 июня около 10:00 на оператора карт «Мир» — Национальную систему платежных карт (НСПК) — была совершена DDoS-атака, которая затронула сервисы банков и сторонних компаний.
Последствия DDoS-атаки: нарушение в работе систем продолжалось в течение всего дня.
➡️ По данным сервиса Downdetector 592 пользователя пожаловались на работу НСПК, 610 пользователей отметили проблемы в работе СБП. Пик жалоб пришелся на 14:00.
➡️ У части клиентов были зафиксированы сложности при проведении платежей в интернете с использованием sms- и push-уведомлений (Альфа-Банк, СберБанк), доступом в мобильные приложения (Райффайзенбанк, ВТБ), оплатой через банковские карты (ЮKassa) и СБП (интернет-провайдер Tritel).
➡️ В этот день сбои также произошли в работе различных мессенджеров и операторов связи.
СберБанк, июль 2024
Что случилось?
В конце июля 2024 года СберБанк подвергся DDoS-атаке, которую в компании назвали самой мощной в истории банка. Деньги клиентов при этом не пострадали.
Особенности DDoS-атаки:
➡️ атака была организована хактивистами и длилась 13 часов;
➡️ использовалась как инфраструктура хактивистов, так и несколько сторонних бот-сетей;
➡️ сторонние бот-сети состояли более чем из 62 000 устройств;
➡️ больше 50% из них находились на территории России.
Комментарий NGENIX
Если иметь в своем распоряжении средства мониторинга и ИБ-специалистов, обнаружить и отразить DDoS-атаки можно, обратив внимание на очевидные аномалии трафика: например, на подозрительные IP-адреса, генерирующие множество мусорных запросов. В случае с атаками хактивистов эта задача сложнее.
Во-первых, за хактивистами могут стоять крупные игроки, которые располагают большими ресурсами для организации атак. В этом случае мощность атаки может мгновенно вырасти
и превысить миллионы запросов в секунду.
Во-вторых, в некоторых случаях к атакам присоединяются легитимные пользователи. Они могут добровольно стать частью ботнета, установив на своих устройствах специальный скрипт. И когда на веб-ресурс компании начинают приходить мусорные запросы со множества легитимных IP-адресов, системе защиты oт DDoS трудно распознать такую аномалию.
NGENIX отражает подобные атаки, настраивая логику обработки запросов особым образом. Мы можем заблокировать IP-адрес по геолокации, referer в заголовке и другим признакам.
Rutube, сентябрь 2024
Что случилось?
6 сентября видеохостинг столкнулся с крупнейшей DDoS-атакой за последние два года.
Последствия DDoS-атаки:
➡️ к вечеру на сервис «Сбой. РФ» поступило около 1700 жалоб на перебои в работе Rutube;
➡️ больше всего проблем с доступностью сайта ощутили жители Москвы (27% жалоб), Санкт-Петербурга (8%) и Московской области (5%);
➡️ пользователи не могли просматривать видео и оставлять комментарии.
Комментарий NGENIX
В 2024 году в отношении крупных медиа-платформ мы часто наблюдали кратковременные DDoS-атаки высокой мощности на уровень L7 модели OSI. Целью атак становится корень веб-ресурса, на который за короткое время отправляется большое количество мусорных запросов. Часто подобные атаки имеют интенсивность от 1 000 до 100 000 RPS и длительность меньше 10 минут. Стандартным средствам защиты труднее детектировать такие атаки. Платформа NGENIX отражает burst и другие типы атак благодаря автоматическим системам обнаружение аномалий и фильтрации трафика.
Подробнее познакомиться со статистикой по DDoS-атакам за уходящий год можно в статье: «Статистика DDoS: что было в 2024 и какой прогноз на 2025».
Тенденция на рост количества и мощности DDoS-атак продолжится и в 2025 году. Поэтому каждой организации, для которой важен бесперебойный доступ к своим веб-ресурсам, нужно выстроить стратегию реагирования и защиты от DDoS.
Как компания может использовать средства защиты от DDoS?
Существует три подхода к построению защиты от DDoS-атак:
➡️ on-premise — компания ставит средства защиты на собственных серверах;
➡️ облако — компания обращается к облачному провайдеру, использует его инструменты защиты и инфраструктуру;
➡️ гибрид — часть средств защиты устанавливаются in-house, а провайдер привлекается на конкретные задачи.
Топ-3 главных преимущества работы с провайдером
Доверить защиту своего веб-ресурса облачному провайдеру — оптимальный вариант как для небольших компаний, так и для крупных корпораций. Этому есть несколько причин.
1. У провайдера эластичная инфраструктура
Трафик DDoS-атак крайне непредсказуем, поэтому рассчитать необходимую емкость собственной инфраструктуры практически невозможно. Можно понести убытки, имея как недостаточное количество оборудования (так как будет невозможно отразить атаку очень большой мощности), так и его избыток (в этом случае оборудование простаивает большую часть времени, нуждается в обслуживании и обновлении, что приводит к высоким капитальным затратам).
Большая емкость облака позволяет выдерживать самые мощные атаки. А эластичность инфраструктуры дает возможность подстраиваться под любой (даже самый внушительный) объем нелегитимного трафика и отражать его.
NGENIX дополнительно не тарифицирует нелегитимный трафик, любой объем мусорных запросов будет отражен, вне зависимости от выбранного клиентом тарифа.
2. У провайдера компетентная ИБ-команда
Не у каждого бизнеса или организации есть бюджет, чтобы нанять в штат даже одного специалиста, не говоря о целой команде безопасников. Специалисты облачного провайдера, работая со множеством заказчиков одновременно, сталкиваются с реальными кейсами и имеют больше специфического опыта в отражении DDoS и других видов атак.
Компетенции команды NGENIX успешно применяются в работе с более чем 1000 брендов. В 2024 году мы отразили 40 000+ DDoS-атак, самые мощные из которых достигали 1+ млн RPS. Кроме DDoS мы боремся с атаками ботов, настраиваем WAF, сохраняем доступ к ресурсам клиентов даже при больших пиках легитимного трафика.
3. Провайдер предоставляет средства мониторинга в реальном времени
Чтобы не пропустить DDoS-атаку, нужно следить за состоянием трафика все время. Конечно, будет лучше, если этим займется отдельный специалист. Это сложно, если компания не имеет кадрового, материального или временного ресурса для найма и внедрения в работу такого сотрудника.
Кроме инструментов защиты и ускорения веб-приложений, NGENIX дает доступ к аналитике и мониторингу в реальном времени, предоставляет более 35 видов отчетов, которые помогут здесь и сейчас отслеживать входящий трафик, митигировать атаки, оценивать репутацию IP-адресов и создавать собственные правила блокировки запросов.
Подробнее о преимуществах работы с облачным провайдером читайте в нашем материале: «Как защититься от DDoS: рассказываем, что делать, даже если у вас нет ИБ-команды».
🧑💻 Еще больше полезного о защите от атак — в нашем блоге:
«Комплексный подход: рассказываем, что такое эшелонированная защита», где мы рассказали, с какими проблемами может столкнуться веб-ресурс без должной защиты; что такое эшелонированная защита; из чего состоит эшелонированная защита NGENIX.
«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.
«On-premise или Cloud WAF: какую модель выбрать и почему?», где поделились, какие есть модели использования WAF; кому подойдет on-premise и какие у него недостатки; почему WAF в облаке — это удобно и что такое NGENIX Cloud WAF.