Хакеры выиграли время
К середине года сетевые кибератаки усилились как по длительности — в пиковые моменты они доходят до 72 часов,— так и по мощности, то есть числу задействованных в них ботов. Длительные кибератаки ведут к значительным простоям интернет-сервисов компаний, что в ряде отраслей критически значимо, а счет возможного времени недоступности ресурсов идет на минуты. Во втором полугодии аналитики ожидают, что хакерские группировки будут чаще объединяться для общих целей.
“Ъ” ознакомился с исследованием вендора решений для противодействия сетевым кибератакам (DDoS) Qrator Labs о ситуации с этой угрозой во втором квартале. По ее данным, продолжительность атак к середине года в пиковые моменты значительно выросла относительно середины 2023 года: их максимальная продолжительность составила 72 часа, тогда как годом ранее была около 20 часов.
В целом наибольшее количество DDoS-атак во втором квартале было совершено на компании в области финтеха, электронной коммерции, IT и телеком-рынка. Увеличилось число атак и на ресурсы букмекерских контор (более 12% от всех атак за период); это произошло потому, что на рассматриваемый период времени пришелся чемпионат Европы по футболу и хакеры активизировались вместе с клиентами букмекеров, объясняет гендиректор Qrator Labs Дмитрий Ткачев.
При этом аналитики оценили и рост с начала года ботнета (сеть, составляющая вредоносный трафик), который был зафиксирован в ряде крупных киберинцидентов. Самая большая сеть во втором квартале состояла из 60,5 тыс. устройств против 51,4 тыс.— в первом квартале. Устройства, входившие в ботнет, происходили из восьми стран: Великобритании, США, Румынии, Польши, Австрии и др. Однако в целом на первом месте стран—источников вредоносного трафика остается Россия (22,3% от всех IP-адресов), оценили в Qrator Labs.
Данные подтверждают специалисты ИБ-компании Angara Security: «Год к году выросла не только продолжительность атак, но и их мощность». Если раньше обычной считалась атака в 10 Гб/с, то сейчас — уже более 30 Гб/с, этот показатель характеризует как раз ботнет-атаки, мощные инциденты могут достигать 200 Гб/с в краткосрочном пике, оценивают в компании.
При этом в июле угроза не пошла на спад. Одной из самых крупных кибератак в середине лета подверглись банки: сбои фиксировались в работе сервисов Газпромбанка, Россельхозбанка, Райффайзенбанка и др. Атаковались одновременно более 400 IP-адресов, мощность атак достигала 300 Гбит/с (см. “Ъ” от 25 июля). В начале августа сбой произошел в работе почтового сервиса Mail.ru (входит в VK): об этом сообщали СМИ 3 августа, сбой был также зафиксирован профильным центром Роскомнадзора (ЦМУ ССОП). По данным собеседников “Ъ” на рынке кибербезопасности, причиной стала DDoS-атака. В самой компании не ответили на запрос.
Длительные кибератаки могут привести к финансовым и репутиционным потерям и компрометации конфиденциальных данных, говорят в МТС. Нападению подвержены организации любого размера и профиля, а сами DDoS-атаки могут служить прикрытием для более опасных действий, напоминают в компании.
Главный риск при DDoS-атаках на бизнес — недоступность ключевых IT-систем, объясняет директор по продуктам Servicepipe Михаил Хлебунов. Промежуток, в который без существенных потерь могут «лежать» сайт или приложение, зависит от отрасли: в банках, согласно требованиям ЦБ, период «недоступности» может длиться два часа, но сами компании оценивают его в три-пять минут, объясняет он. В электронной коммерции и онлайн-торговле допустимое время может составлять 14 минут. Во втором полугодии тактика DDoS-атак будут меняться, прогнозирует господин Хлебунов. Например, считает он, разные хакерские группировки будут чаще объединяться ради общей цели. «Также мы увидим некий гибрид «ковровой атаки», нацеленной сразу на большое количество адресов или сетей, и классической DDoS-атаки, сфокусированной на одной цели, но с высокой мощностью».