Ataki DDoS coraz groźniejsze
W 2020 roku odnotowano na świecie i w Polsce zwiększoną liczbę incydentów DDoS polegających na nieustannym nękaniu zasobów sieciowych firm wywoływanym sztucznie ruchem. W efekcie ataku, generowany jest tak duży wolumen przesyłanych danych, że uniemożliwia on rzeczywistym użytkownikom dostęp do zasobów informatycznych i grozi zaatakowanej firmie gigantycznymi stratami.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
DDoS zlecane są po to, by szkodzić konkurencyjnym firmom, czy nawet całym państwom. Czasami są elementem większego ataku i łączą się z cyberszantażem (ransomware), tak jak to miało miejsce pod koniec stycznia br w przypadku kliniki kardiologicznej American Heart of Poland1. Największa w Polsce sieć oddziałów szpitalnych wyspecjalizowanych w leczeniu chorób układu sercowo-naczyniowego padła ofiarą włamania hackerów, w wyniku którego zasoby sieciowe zainfekowano ransomware i zablokowany został dostęp do danych. Następnie ofierze grożono publikacją wykradzionych rzekomo informacji medycznych. Dodatkowo, cyberprzestępcy prowadzili atak DDoS na witrynę firmy, by „zmiękczyć” zarząd podejmujący decyzję o tym, czy ulec szantażowi. W chwili, kiedy powstaje ten artykuł nie znamy jeszcze dalszych losów ataku, w którym DDoS odgrywał dla przestępców rolę pomocniczą. Z informacji docierających z firmy wynika, że jest ona dobrze przygotowana do zmierzenia się z tym problemem.
Rekordowe ataki w czasie pandemii
W połowie lutego 2020 odnotowano największy w całym roku DDoS. Był to atak na infrastrukturę AWS Amazon o wartości 2,3 Tbps2. Nie był to jednak największy incydent tego rodzaju w całej historii. Za rekordowy uważa się bowiem atak na zasoby Google z 2017 r. o wartości 2,54 Tbps3.
Istotnym czynnikiem zwiększającym częstotliwość incydentów DDoS w 2020 był lockdown. Według danych NETSCOUT4 podczas pandemii cyberprzestępcy powszechnie przeprowadzili ataki na platformy i usługi internetowe. Częstotliwość ataków wzrosła od marca do czerwca 2020, w szczytowych miesiącach pandemii, o 25%. W samym tylko maju miało miejsce ponad 929 tys. DDoS, co stanowi największą liczbę tego rodzaju incydentów, jakie kiedykolwiek zaobserwowano w ciągu jednego miesiąca. W pierwszej połowie 2020 miało miejsce ogółem 4,83 miliona ataków DDoS, co oznacza przyrost o 15% w porównaniu do roku poprzedniego.
Także F5 Labs Security Incident Response Team (F5 SIRT)5 informuje o znaczącym wzroście liczby DDoS w 2020. Od marca ich liczba była trzykrotnie wyższa niż pozostałych typów ataków rejestrowanych przez grupę. Od stycznia do sierpnia 45% zgłoszonych incydentów związanych z bezpieczeństwem dotyczyło właśnie DDoS. Większość analizowanych przez F5 SIRT ataków DDoS miała charakter wolumetryczny (ang. volumetric) i polegała na saturacji łącza śmieciowymi pakietami danych.
Powszechną metodą zakłócania działania stron internetowych w 2020 był także atak DDoS na system nazw domen, czyli Domain Name System (DNS). W 2019 roku 17% wszystkich ataków DDoS zgłoszonych F5 SIRT zostało zidentyfikowanych właśnie jako próby przeciążenia DNS. Jedną z technik ataku DDoS na DNS jest zalew zapytań systemu domen, w którym atakujący wysyła celowo zniekształcone żądania mające powodować wyczerpanie zasobów serwera DNS. W 2020 12% ataków DDoS stanowiły właśnie takie złośliwe żądania skierowane do serwerów DNS klientów.
Dane F5 SIRT dotyczące incydentów ujawniły również specyfikę geograficzną tego rodzaju ataku. Najwyższy odsetek DDoS dotyczy Azji, gdzie stanowią one 83% wszystkich zgłoszeń. W regionie EMEA, czyli m.in. w Europie DDoS odpowiadają za 54% incydentów.
DDoS w Polsce
Trendy obserwowane na świecie zauważalne są także w Polsce. Również u nas wzrosło zagrożenie DDoS, zwłaszcza w okresie początkowym pandemii. Według informacji podawanych w raporcie NETSCOUT największe nasilenie ataków miało miejsce w okresie styczeń – kwiecień, kiedy to odnotowywano od 18 do 22,5 tys. DDoS miesięcznie. Następnie liczba tych incydentów mocno spadła do 3 – 8 tysięcy w okresie od maja do września, by przybrać nieco na sile w ostatnim kwartale 2020, kiedy to odnotowano ich od około 12 tys. do 15 tys.
Z danych NETSCOUT wynika, że największy atak w Polsce w 2020 roku miał miejsce w styczniu i osiągnął wartość 317 Gbps. Dla porównania, w 2019 roku największy atak w marcu osiągnął wartość 226 Gbps. Biorąc pod uwagę inny parametr – Mpps czyli Million Packets Per Second odnoszący się do przepustowości urządzeń sieciowych, czyli przełączników i routerów największy w 2020 atak w Polsce miał miejsce w maju osiągając wartość 41,2 Mpps, co było wynikiem nieco niższym od rekordowego incydentu w 2019 roku o wartości 42,8 Mbps.
W pierwszych czterech miesiącach 2020 w Polsce odnotowano także największą liczbę ataków o wolumenie wyższym niż 2 Gbps. W styczniu, lutym i marcu było ich ponad 7 tysięcy. O ile jednak największy wolumen ataków miał miejsce w pierwszej połowie roku, o tyle biorąc pod uwagę długość trwania DDoS – do najcięższych dochodziło pod koniec 2020. W okresie styczeń – październik albo nie obserwowano w ogóle ataków trwających dłużej niż godzinę albo było ich około 10. W listopadzie liczba ta osiągnęła już wartość 26, natomiast w grudniu aż 38.
Szczegóły tego rodzaju incydentów zwykle nie przedostają się do mediów, nawet wyspecjalizowanych w ich opisywaniu. Statystyki wskazują jednak, że ataki typu DDoS są realnym, codziennym zagrożeniem dla firm. Do największych znanych DDoS, do których dochodziło w przeszłości niewątpliwie należy głośny atak na Allegro w 2013 roku. Jeden z największych incydentów miał wówczas wolumen 6 Gbps6, co 7 lat temu było jak na warunki polskie dość dużą wartością. Ataki te uderzały w stabilność serwisu i skutkowały dłuższą niedostępnością platformy e-commece dla części użytkowników.
W 2016 roku miały miejsce ataki DDoS o wartości około 40 Gbps7na duże banki w Polsce. W większości przypadków, dzięki zapewnieniu właściwej przepustowości podczas kolejnych prób uczynienia stron niedostępnymi, banki poradziły sobie z nimi bez problemów zauważalnych dla klientów.
Jak chronić się przed atakami DDoS?
Ochronę przed atakami o dużej przepustowości (volumetric DDoS) zapewnić może wyłącznie operator telekomunikacyjny lub właściciel dużego data center dysponujący znacznymi zapasami przepustowości sieciowej dostępnej w modelu cloud.
Dostatecznie rozwinięta infrastruktura telekomunikacyjna jest w stanie „przyjąć na siebie” atak o wolumenie nawet kilkuset Gb. Dzięki inwestycjom w platformę i rozwiązania Arbor Networks T‑Mobile zwiększył w tym roku możliwość odparcia DDoS z 100 Gbps do 200 Gbps. Dzięki tak rozwiniętej infrastrukturze można już radzić sobie nawet z największymi obecnie atakami wolumetrycznymi.
Podsumowanie
Przypomnijmy najważniejsze informacje dotyczące ataków DDoS mających miejsce w minionym roku:
- DDoS realizowane są w celu szkodzenia konkurencyjnym firmom, a nawet całym państwom. Czasami są elementem większego ataku i łączą się z cyberszantażem (ransomware).
- W lutym 2020 odnotowano największy w całym roku DDoS. Był to atak na infrastrukturę AWS Amazon o wartości 2,3 Tbps.
- Według danych NETSCOUT podczas pandemii cyberprzestępcy przeprowadzili częste ataki na platformy i usługi internetowe. Częstotliwość ataków wzrosła od marca do czerwca 2020, w szczytowych miesiącach pandemii, o 25%. W pierwszej połowie 2020 miało miejsce ogółem 4,83 miliona ataków DDoS, co oznacza przyrost o 15% w porównaniu do roku poprzedniego.
- Większość analizowanych przez F5 SIRT ataków DDoS miała charakter wolumetryczny (ang. volumetric) i polegała na saturacji łącza śmieciowymi pakietami danych. Powszechną metodą zakłócania działania stron internetowych w 2020 był także atak DDoS na system nazw domen, DNS.
- Według informacji podawanych w raporcie NETSCOUT największe nasilenie ataków DDoS w minionym roku, w Polsce miało miejsce w okresie styczeń – kwiecień 2020, kiedy to odnotowywano od 18 do 22,5 tys. DDoS miesięcznie.
- Ochronę przed atakami o dużej przepustowości (volumetric DDoS) zapewnić może wyłącznie operator telekomunikacyjny lub właściciel dużego data center dysponujący znacznymi zapasami przepustowości sieciowej dostępnej w modelu cloud. Dzięki inwestycjom w platformę i rozwiązania Arbor Networks T‑Mobile zwiększył w tym roku możliwość odparcia DDoS z 100 Gbps do 200 Gbps.
1https://zaufanatrzeciastrona.pl/post/atak-ransoware-na-najwieksza-siec-klinik-kardiologicznych-w-polsce/
2https://www.zdnet.com/article/aws-said-it-mitigated-a-2-3-tbps-ddos-attack-the-largest-ever/
3https://www.zdnet.com/article/google-says-it-mitigated-a-2-54-tbps-ddos-attack-in-2017-largest-known-to-date/
4https://www.netscout.com/netscouts-threat-intelligence-report-1H2020
5 https://www.f5.com/labs/articles/threat-intelligence/how-cyber-attacks-changed-during-the-pandemic
6https://niebezpiecznik.pl/post/kto-ddos-uje-allegro/
7https://zaufanatrzeciastrona.pl/post/niebezpiecznie-duzy-atak-ddos-na-polskie-banki-wraz-z-proba-szantazu/
Data publikacji: 17.02.2021