Самые заметные DDoS-атаки 2024. Тренды, причины и последствия

Сегодня жертвами атаки типа «отказ в обслуживании» могут стать как представители малого и среднего бизнеса, где не предусмотрен большой бюджет на ИБ, так и крупные холдинги и экосистемы с собственной инфраструктурой и профессиональной ИБ-командой. Злоумышленникам достаточно легко организовать DDoS-атаку, а последствия для пострадавшей стороны могут носить репутационный, финансовый и даже регуляторный характер.

В этой статье рассказываем:

➡️ почему DDoS-атаки остаются серьезной угрозой;
➡️ 3 самых нашумевших кейса уходящего года;
➡️ как компания может использовать средства защиты от DDoS;
➡️ топ-3 главных преимущества работы с провайдером.

Почему DDoS-атаки остаются серьезной угрозой?

Доступность. Сейчас организовать DDoS-атаку в Даркнете может любой скрипт-кидди, имея совсем небольшой бюджет. Пара кликов — и открывается доступ к целой индустрии профессиональных исполнителей с готовым инструментарием. Заказать «услугу» можно не только баловства ради, но и для агрессивной конкурентной борьбы, в ходе которой будут задействованы серьезные ресурсы.

Рост хактивизма. Глобализация, с одной стороны, и сложная геополитическая обстановка, с другой, способствуют росту количества людей, занимающихся DDoS-атаками «за идею».

Рост количества и мощности атак. С каждым годом DDoS-атаки становятся сложнее, мощнее и разрушительнее.
По различным данным*, в 2024 году:

• зафиксировано на 70% больше DDoS-атак, чем в 2023;
• средняя продолжительность атак возросла до 30+ минут;
• 2,38 Тбит/с — мощность самой крупной DDoS-атаки.

*По данным Роскомнадзора, ГК «Солар», NGENIX

Cамые громкие DDoS-атаки на российские ресурсы в 2024 году и их последствия

НСПК, июнь 2024

Что случилось?
20 июня около 10:00 на оператора карт «Мир» — Национальную систему платежных карт (НСПК) — была совершена DDoS-атака, которая затронула сервисы банков и сторонних компаний.

Последствия DDoS-атаки: нарушение в работе систем продолжалось в течение всего дня.

➡️ По данным сервиса Downdetector 592 пользователя пожаловались на работу НСПК, 610 пользователей отметили проблемы в работе СБП. Пик жалоб пришелся на 14:00.

➡️ У части клиентов были зафиксированы сложности при проведении платежей в интернете с использованием sms- и push-уведомлений (Альфа-Банк, СберБанк), доступом в мобильные приложения (Райффайзенбанк, ВТБ), оплатой через банковские карты (ЮKassa) и СБП (интернет-провайдер Tritel).

➡️ В этот день сбои также произошли в работе различных мессенджеров и операторов связи.

СберБанк, июль 2024

Что случилось?
В конце июля 2024 года СберБанк подвергся DDoS-атаке, которую в компании назвали самой мощной в истории банка. Деньги клиентов при этом не пострадали.

Особенности DDoS-атаки:
➡️ атака была организована хактивистами и длилась 13 часов;
➡️ использовалась как инфраструктура хактивистов, так и несколько сторонних бот-сетей;
➡️ сторонние бот-сети состояли более чем из 62 000 устройств;
➡️ больше 50% из них находились на территории России.

Комментарий NGENIX

Если иметь в своем распоряжении средства мониторинга и ИБ-специалистов, обнаружить и отразить DDoS-атаки можно, обратив внимание на очевидные аномалии трафика: например, на подозрительные IP-адреса, генерирующие множество мусорных запросов. В случае с атаками хактивистов эта задача сложнее.

Во-первых, за хактивистами могут стоять крупные игроки, которые располагают большими ресурсами для организации атак. В этом случае мощность атаки может мгновенно вырасти
и превысить миллионы запросов в секунду.

Во-вторых, в некоторых случаях к атакам присоединяются легитимные пользователи. Они могут добровольно стать частью ботнета, установив на своих устройствах специальный скрипт. И когда на веб-ресурс компании начинают приходить мусорные запросы со множества легитимных IP-адресов, системе защиты oт DDoS трудно распознать такую аномалию.

NGENIX отражает подобные атаки, настраивая логику обработки запросов особым образом. Мы можем заблокировать IP-адрес по геолокации, referer в заголовке и другим признакам.

Rutube, сентябрь 2024

Что случилось?
6 сентября видеохостинг столкнулся с крупнейшей DDoS-атакой за последние два года.

Последствия DDoS-атаки:
➡️ к вечеру на сервис «Сбой. РФ» поступило около 1700 жалоб на перебои в работе Rutube;
➡️ больше всего проблем с доступностью сайта ощутили жители Москвы (27% жалоб), Санкт-Петербурга (8%) и Московской области (5%);
➡️ пользователи не могли просматривать видео и оставлять комментарии.

Комментарий NGENIX

В 2024 году в отношении крупных медиа-платформ мы часто наблюдали кратковременные DDoS-атаки высокой мощности на уровень L7 модели OSI. Целью атак становится корень веб-ресурса, на который за короткое время отправляется большое количество мусорных запросов. Часто подобные атаки имеют интенсивность от 1 000 до 100 000 RPS и длительность меньше 10 минут. Стандартным средствам защиты труднее детектировать такие атаки. Платформа NGENIX отражает burst и другие типы атак благодаря автоматическим системам обнаружение аномалий и фильтрации трафика.

Подробнее познакомиться со статистикой по DDoS-атакам за уходящий год можно в статье: «Статистика DDoS: что было в 2024 и какой прогноз на 2025».

Тенденция на рост количества и мощности DDoS-атак продолжится и в 2025 году. Поэтому каждой организации, для которой важен бесперебойный доступ к своим веб-ресурсам, нужно выстроить стратегию реагирования и защиты от DDoS.

Как компания может использовать средства защиты от DDoS?

Существует три подхода к построению защиты от DDoS-атак:

➡️ on-premise — компания ставит средства защиты на собственных серверах;

➡️ облако — компания обращается к облачному провайдеру, использует его инструменты защиты и инфраструктуру;

➡️ гибрид — часть средств защиты устанавливаются in-house, а провайдер привлекается на конкретные задачи.

Топ-3 главных преимущества работы с провайдером

Доверить защиту своего веб-ресурса облачному провайдеру — оптимальный вариант как для небольших компаний, так и для крупных корпораций. Этому есть несколько причин.

1. У провайдера эластичная инфраструктура

Трафик DDoS-атак крайне непредсказуем, поэтому рассчитать необходимую емкость собственной инфраструктуры практически невозможно. Можно понести убытки, имея как недостаточное количество оборудования (так как будет невозможно отразить атаку очень большой мощности), так и его избыток (в этом случае оборудование простаивает большую часть времени, нуждается в обслуживании и обновлении, что приводит к высоким капитальным затратам).

Большая емкость облака позволяет выдерживать самые мощные атаки. А эластичность инфраструктуры дает возможность подстраиваться под любой (даже самый внушительный) объем нелегитимного трафика и отражать его.

NGENIX дополнительно не тарифицирует нелегитимный трафик, любой объем мусорных запросов будет отражен, вне зависимости от выбранного клиентом тарифа.

2. У провайдера компетентная ИБ-команда

Не у каждого бизнеса или организации есть бюджет, чтобы нанять в штат даже одного специалиста, не говоря о целой команде безопасников. Специалисты облачного провайдера, работая со множеством заказчиков одновременно, сталкиваются с реальными кейсами и имеют больше специфического опыта в отражении DDoS и других видов атак.

Компетенции команды NGENIX успешно применяются в работе с более чем 1000 брендов. В 2024 году мы отразили 40 000+ DDoS-атак, самые мощные из которых достигали 1+ млн RPS. Кроме DDoS мы боремся с атаками ботов, настраиваем WAF, сохраняем доступ к ресурсам клиентов даже при больших пиках легитимного трафика.

3. Провайдер предоставляет средства мониторинга в реальном времени

Чтобы не пропустить DDoS-атаку, нужно следить за состоянием трафика все время. Конечно, будет лучше, если этим займется отдельный специалист. Это сложно, если компания не имеет кадрового, материального или временного ресурса для найма и внедрения в работу такого сотрудника.

Кроме инструментов защиты и ускорения веб-приложений, NGENIX дает доступ к аналитике и мониторингу в реальном времени, предоставляет более 35 видов отчетов, которые помогут здесь и сейчас отслеживать входящий трафик, митигировать атаки, оценивать репутацию IP-адресов и создавать собственные правила блокировки запросов.

Подробнее о преимуществах работы с облачным провайдером читайте в нашем материале: «Как защититься от DDoS: рассказываем, что делать, даже если у вас нет ИБ-команды».

🧑‍💻 Еще больше полезного о защите от атак — в нашем блоге:

«Комплексный подход: рассказываем, что такое эшелонированная защита», где мы рассказали, с какими проблемами может столкнуться веб-ресурс без должной защиты; что такое эшелонированная защита; из чего состоит эшелонированная защита NGENIX.

«Защита от взлома: как WAF помогает защитить сайт», где мы рассказали, откуда появляются уязвимости; чем опасны атаки на веб-приложения; что такое WAF и зачем он нужен; как устроен WAF и какие угрозы предотвращает.

«On-premise или Cloud WAF: какую модель выбрать и почему?», где поделились, какие есть модели использования WAF; кому подойдет on-premise и какие у него недостатки; почему WAF в облаке — это удобно и что такое NGENIX Cloud WAF.