„Kaspersky Lab“ paskelbė pirmojo 2018 m. ketvirčio ataskaitą apie DDoS atakas. Kompanijos ekspertai pranešė, kad padidėjo tiek senų, tiek naujų botnetų aktyvumas, išaugo DDoS atakų populiarumas ir sugrįžo ilgalaikės (keleto dienų) DDoS atakos.
Per pirmąjį 2018 m. ketvirtį DDoS botnetai užpuolė 79 šalis. Šalys, kuriose įvyko didžiausias atakų skaičius, dar kartą buvo Kinija, JAV ir Pietų Korėja. Visos jos pirmauja tarp užpuolikams lengvai prieinamų serverių bei svetainių ir kitų paslaugų. Tačiau įdomu tai, kad tarp 10 labiausiai puolamų šalių Honkongas ir Japonija pakeitė Nyderlandus ir Vietnamą.
Pasikeitimai tarp 10 populiariausių C&C serverių buvo ryškesni: Italija, Honkongas, Vokietija ir Jungtinė Karalystė pakeitė Kanadą, Turkiją, Lietuvą ir Daniją.
Tikėtina, kad taip nutiko, nes aktyvių „Darkai“ („Mirai“ klonas) ir „AESDDoS“ botų C&C serverių skaičius itin išaugo, o ir senieji „Xor“ bei „Yoyo“ botnetai tęsia savo veiklą. Nors dauguma šių botnetų naudoja „Linux“, pirmajame metų ketvirtyje, palyginti su praėjusių metų pabaiga, „Linux“ botnetų skaičius sumažėjo nuo 71 % iki 66 %.
Be to, atrodo, kad po trumpo atokvėpio, sugrįžo ilgalaikiai išpuoliai: ilgiausia ketvirčio DDoS ataka truko 297 valandas (daugiau nei 12 dienų). Paskutinį kartą tokia ilga ataka buvo užfiksuota 2015 m. pabaigoje.
Šio laikotarpio pabaiga pasižymėjo „Memcached“ potvyniais, kurie savo galios atžvilgiu buvo beprecedenčiai – kai kuriais atvejais viršijo 1 terabaitą. Tačiau „Kaspersky Lab“ ekspertai tikisi, kad jų populiarumas bus trumpalaikis, nes „Memcached“ išpuoliai ne tik paveikia savo taikinius, bet ir jų pasirinktas įmones, per kurias jie vykdo atakas.
Pavyzdžiui, vasario mėnesį viena bendrovė susisiekė su „Kaspersky DDoS Protection“ technine pagalba ir skundėsi, kad jų ryšių kanalai yra perkrauti, todėl kompanija turėjo įtarimų, kad patyrė DDoS ataką. Pasirodo, kad vieną iš įmonės serverių su pažeidžiama „Memcached“ paslauga nusikaltėliai panaudojo atakuoti kitą taikinį ir taip sukūrė tokius didžiulius išeinančio srauto kiekius, kad šie „užlaužė“ įmonės internetinius išteklius. Štai kodėl šie išpuoliai yra pasmerkti būti trumpalaikiais. „Memcached“ išpuoliuose dalyvaujantys nepageidaujami bendrininkai greitai praneša apie didesnę apkrovą ir skuba pašalina pažeidžiamas sritis, kad išvengtų nuostolių, o taip užpuolikams automatiškai sumažėja prieinamų serverių skaičius.
Apskritai, amplifikacijos išpuolių populiarumas pirmąjį ketvirtį įgijo pagreitį. Pavyzdžiui, nepaisant jos efektyvumo, aptikome retos rūšies ataką, kurioje LDAP protokolas buvo naudojama kaip stiprintuvas. Kartu su „Memcached“, NTP ir DNS, šis protokolas turi vieną didžiausių išplėtimo lygių. Tačiau, skirtingai nuo „Memcached“, nepageidaujamas LDAP srautas nesugeba visiškai užkimšti išeinančio kanalo, todėl pažeisto serverio savininkui sunkiau nustatyti ir ištaisyti susidariusią padėtį. Nepaisant gana mažo LDAP serverių skaičiaus gali būti, kad tokio pobūdžio atakos ateityje taps „Darknet“ hitu.
„Kibernetiniams nusikaltėliams, kurie kuria DDoS botnetus, pažeidžiamumų išnaudojimas yra mėgstamiausias įrankis. Tačiau, kaip parodė pirmieji metų mėnesiai, nukenčia ne tik DDoS atakų taikiniai, bet ir tos įmonės, kurių infrastruktūrą nusikaltėliai panaudoja savo išpuoliams vykdyti. Pirmojo ketvirčio įvykiai dar kartą patvirtino paprastą tiesą: platforma, kurią bet kuri bendrovė naudoja daugiasluoksnei internetinei saugai įgyvendinti, turi garantuoti reguliarų pažeidžiamumų taisymą ir nuolatinę apsaugą nuo DDoS atakų“, – komentavo Alexey Kiselev, „Kaspersky DDoS Protection“ komandos projektų vadovas.
„Kaspersky DDoS Protection“ sujungia „Kaspersky Lab“ patirtį kovojant su kibernetinėmis grėsmėmis ir unikalų įmonės vystymąsi. Šis saugumo sprendimas saugo nuo visų tipų DDoS atakų, nepriklausomai nuo jų sudėtingumo, stiprumo ar trukmės. Siekiant sumažinti DDoS atakų riziką „Kaspersky Endpoint Security for Business“ teikia pažeidžiamumų ir pataisų valdymo komponentą. Jis leidžia įmonėms automatiškai pašalinti infrastruktūros programinės įrangos pažeidžiamumą, reguliariai ją pataisyti ir atsisiųsti programinės įrangos naujinius.
