Отчет: в 1-м квартале 2021 года зафиксировано 3000 DDos-атак Интернета вещей по всему миру

Распределенные атаки типа "отказ в обслуживании" (DDoS) продолжают развиваться по сложности, частоте и масштабу. Компания Lumen Technologies отслеживает и смягчает эти угрозы, включая семейства ботнетов Gafgyt и Mirai. Компания выпустила квартальный отчет о DDoS-атаках за первый квартал 2021 года. Это исследование дает представление о DDoS-ландшафте с выводами, которые подтверждают и расширяют эти тенденции.

Чтобы создать отчет, команда безопасности Lumen изучила данные Black Lotus Labs, подразделения компании по исследованию угроз и тенденции атак, полученные с помощью платформы Lumen DDoS Mitigation Service, которая интегрирует контрмеры непосредственно в обширную и хорошо изученную глобальную сеть компании.

"Поскольку зависимость организаций от приложений для получения дохода усиливается, многие понимают, что они больше не могут рисковать, отказываясь от необходимой защиты от DDoS-атак. Информация в этом отчете является еще одним подтверждением этого", - говорит Майк Бенджамин, вице-президент Lumen по безопасности и Black Lotus Labs. "По мере того, как ботнеты DDoS в Интернете вещей продолжают развиваться, Lumen фокусируется на использовании нашей видимости для выявления и уничтожения вредоносной инфраструктуры".

Ключевые моменты:

Масштабы нарушений в отчете о DDoS отражают крупнейшие атаки, очищенные глобальной инфраструктурой очистки от DDoS-атак Lumen, а наиболее крупные, наблюдаемые через сеть Lumen.

Ботнеты Интернета вещей:

• Известные бот-сети Интернета вещей, такие как Gafgyt и Mirai, остаются серьезными угрозами DDoS: 700 активных серверов управления и контроля (C2) вместе атакуют 28000 уникальных жертв.
• В первом квартале 2021 Lumen отследил около 3000 DDoS-атак C2 по всему миру. Больше всего было размещено в Сербии (1260), за ней следуют США (380) и Китай (373).
• Из наиболее активных глобальных C2, которые наблюдала Lumen, отдававших команды атаки, больше всего было у США (163), за ними следуют Нидерланды (73) и Германия (70).
• Lumen отслеживал более 160000 глобальных хостов DDoS-ботнетов. Почти 42 000 человек были в Соединенных Штатах - больше, чем в любой другой стране.

Тенденции DDoS-атак

• Самая большая атака Lumen, измеренная по очищенной полосе пропускания, составила 268 Гбит/с; самая большая атака, измеренная по очищенной скорости пакетов, составила 26 млн пакетов в секунду.
• Самый продолжительный период DDoS-атаки, который Lumen нейтрализовал для отдельного клиента, длился почти две недели.
• Многовекторные меры по смягчению последствий представляют 41% всех мер по предотвращению DDoS-атак, при этом наиболее распространенным является использование потока запросов DNS в сочетании с потоком TCP SYN.
• В первую тройку отраслей, ставших объектом 500 крупнейших атак в 1 квартале 21 года, вошли: финансы, программное обеспечение и технологии, а также правительство.

Отражатели протокола отслеживания пользовательских диаграмм (UDP)

Одним из ключевых инструментов в руках киберпреступников, стремящихся увеличить пропускную способность своих атак, являются службы отражения на основе UDP, такие как Memcached, CLDAP и DNS.

Посредством этого процесса злоумышленник подделывает исходный IP-адрес, а затем использует промежуточный сервер в качестве отражателя для отправки массивных пакетов ответа на IP-адрес жертвы, а не обратно злоумышленнику.

Black Lotus Labs использует прозрачность своей обширной глобальной сети для выявления сервисов, которые потенциально могут быть использованы для запуска таких типов атак.

Согласно данным за 1 квартал 2021 г. Black Lotus Labs считает, что сегодня активно используются службы Memcached, CLDAP и DNS.

DDоS Германия Правительство США