Raport Kaspersky Lab dotyczący ataków DDoS w IV kwartale, obejmujący dane dla ostatnich trzech miesięcy oraz całego 2018 r., wskazuje na spadek łącznej liczby ataków DDoS o 13% w porównaniu ze statystykami dla poprzedniego roku. Jednocześnie wzrasta czas trwania ataków, co sugeruje, że cyberprzestępcy porzucają mechanizmy podstawowe i zwracają się w kierunku bardziej wyrafinowanych technik.
Niski koszt usług polegających na wynajęciu ataku DDoS sprawia, że stanowią one jedną z najprzystępniejszych cyberbroni dla nieuczciwej konkurencji lub trolli internetowych. Zagrożenie to dotyka firmy niezależnie od ich rozmiaru czy branży, powodując straty z tytułu przychodów oraz problemy wizerunkowe, w przypadku gdy legalni użytkownicy oraz klienci nie mogą uzyskać dostępu do zasobów online firmy. Spadek liczby ataków DDoS w 2018 r. nie przekłada się jednak bezpośrednio na poprawę bezpieczeństwa – mimo mniejszej liczby ataków nie stały się one słabsze. Według badaczy z Kaspersky Lab w związku z tym, że coraz więcej organizacji stosuje rozwiązania zapewniające ochronę przed prostymi atakami DDoS, w 2019 r. cyberprzestępcy będą prawdopodobnie rozwijali swoje umiejętności w celu obejścia standardowych mechanizmów ochrony przed tego typu zagrożeniami oraz zwiększą poziom ogólnej złożoności swoich technologii.
Mimo spadku liczby ataków analiza ekspertów Kaspersky Lab wskazuje na wydłużenie się przeciętnego czasu trwania ataku. W porównaniu z początkiem roku, przeciętna długość ataków zwiększyła się ponad dwukrotnie – z 95 minut w I kwartale do 218 minut w IV kwartale. Warto zauważyć, że ataki typu UDP flood (gdy atakujący wysyła dużą liczbę pakietów UDP do portów atakowanego serwera, co prowadzi do przeciążenia go i braku odpowiedzi), które odpowiadają za niemal połowę (49%) ataków DDoS w 2018 r., były bardzo krótkie i rzadko trwały dłużej niż 5 minut.
Eksperci z Kaspersky Lab zakładają, że skrócenie czasu trwania ataków UDP flood to dowód na kurczenie się rynku łatwych do zorganizowania działań typu DDoS. Powszechne stosowanie ochrony przed tego typu atakami sprawia, że w większości przypadków są one nieskuteczne. Badacze uważają, że przestępcy przeprowadzali wiele ataków UDP flood w celu sprawdzenia, czy potencjalna ofiara jest chroniona. Jeśli od razu było widać, że próby są bezskuteczne, ataki były przerywane.
Jednocześnie bardziej złożone ataki, które wymagają więcej czasu i pieniędzy, nadal będą trwały długo. Jak wynika z raportu, wyrafinowane działania DDoS stanowią około 80% czasu trwania wszystkich ataków DDoS w skali roku. Mamy zatem do czynienia z przykładem na to, że w niektórych przypadkach mniej znaczy więcej.
– W sytuacji, gdy większość prostych ataków DDoS nie osiąga zakładanego celu, osoby zarabiające pieniądze na ich przeprowadzaniu mają dwie możliwości. Po pierwsze, mogą przekonfigurować wykorzystywane w atakach DDoS zdolności produkcyjne na inne źródła przychodów, takie jak kopanie kryptowaluty. Ewentualnie cyberprzestępcy organizujący ataki DDoS będą musieli udoskonalić swoje umiejętności techniczne, ponieważ ich klienci będą poszukiwać osób z większym doświadczeniem. Z tego powodu można przypuszczać, że ataki DDoS będą ewoluowały w 2019 r., a firmom trudniej będzie je wykrywać i bronić się przed nimi – powiedział Aleksiej Kisielew, menedżer ds. rozwoju biznesu w dziale odpowiedzialnym za rozwiązanie Kaspersky DDoS Protection.
Wyniki dla ostatniego kwartału 2018 r. wskazują, że najdłuższy atak DDoS trwał 329 godzin (prawie 14 dni) – tak długi atak ostatni raz odnotowano pod koniec 2015 r.
Trójka państw, z których zainicjowano najwięcej ataków ataków DDoS, nie zmieniła się. Chiny po raz kolejny znalazły się na pierwszym miejscu, jednak ich udział znacząco zmniejszył się — z 77,67% do 50,43%. Na drugiej pozycji utrzymują się Stany Zjednoczone, trzecią natomiast zajmuje Australia.
W IV kwartale nastąpiły również zmiany pod względem państw, w których znajduje się najwięcej serwerów wykorzystywanych przez cyberprzestępców do kontrolowania swoich działań. Podobnie jak w poprzednim kwartale, liderem pozostały Stany Zjednoczone, jednak na drugim i trzecim miejscu uplasowały się Wielka Brytania i Holandia, zastępując odpowiednio Rosję i Grecję. Wynika to prawdopodobnie ze znacznego wzrostu liczby aktywnych serwerów kontroli botnetu Mirai we wspomnianych wyżej państwach.
Porady bezpieczeństwa
Kaspersky Lab zaleca następujące działania w celu zapewnienia ochrony organizacjom przed atakami DDoS:
- Organizowanie szkoleń dla personelu, aby potrafił odpowiednio reagować na takie incydenty.
- Dopilnowanie, aby firmowe strony internetowe i aplikacje sieci online były w stanie obsłużyć duży ruch.
- Stosowanie profesjonalnych rozwiązań w celu ochrony przed atakami DDoS. Na przykład Kaspersky DDoS Protection łączy w sobie szeroką wiedzę ekspercką firmy Kaspersky Lab w zakresie zwalczania cyberzagrożeń oraz unikatowe, wewnętrznie rozwijane technologie firmy. Rozwiązanie to zabezpiecza przed wszystkimi typami ataków DDoS niezależnie od ich złożoności, siły czy czasu trwania.