Nowy raport kwartalny Kaspersky Lab poświęcony atakom DDoS

24 lipca 2018 Grzegorz Stapiński

Kaspersky Lab opublikował nowy raport dotyczący ataków DDoS obejmujący drugi kwartał 2018 r. Na przestrzeni ostatnich trzech miesięcy eksperci z firmy zaobserwowali wykorzystywanie przez cyberprzestępców starych luk w zabezpieczeniach, jak również kamer i drukarek w celu przeprowadzania ataków DDoS, rozszerzanie swojej listy ofiar i czerpanie korzyści finansowych ze swoich działań z wykorzystaniem kryptowaluty.

W drugim kwartale 2018 r. sieci zainfekowanych urządzeń (tzw. botnety) stosowane podczas ataków DDoS atakowały zasoby online w 74 krajach. Po raz pierwszy w historii raportów opartych na systemie DDoS Intelligence w trójce najczęściej atakowanych państw, a dokładniej na drugim miejscu, znalazł się Hongkong: udział ataków na znajdujące się w tym państwie cele zwiększył się pięciokrotnie i stanowił 17% wszystkich ataków DDoS wspomaganych botnetami. Chiny i Stany Zjednoczone utrzymały się odpowiednio na pierwszym i trzecim miejscu, podczas gdy Korea Południowa spadła na czwartą pozycję. Najbardziej atakowanymi zasobami w Hongkongu były serwisy hostingowe oraz platformy przetwarzania w chmurze. Liderem listy krajów, w których znajduje się najwięcej serwerów kontrolujących botnety, są Stany Zjednoczone.

Aktywność botnetów DDoS opartych na systemie Windows zmniejszyła się niemal siedmiokrotnie, podczas gdy w przypadku cyberprzestępczych platform stosujących system Linux – wzrosła o 25%. W efekcie boty linuksowe odpowiadały za 95% wszystkich ataków DDoS w badanym kwartale.

W badanym okresie cyberprzestępcy odbyli podróż do przeszłości i zaczęli wykorzystywać podczas swoich ataków niektóre bardzo stare luki w zabezpieczeniach. Przykładem mogą być opisywane przez badaczy ataki DDoS z udziałem znanej od 2001 r. luki w zabezpieczeniach protokołu Universal Plug-and-Play czy zaobserwowany przez zespół Kaspersky Lab atak przeprowadzony z użyciem luki w zabezpieczeniach protokołu CHARGEN, która została opisana już w 1983 r. Mimo ograniczonego zastosowania tego protokołu, w internecie ciągle można znaleźć wiele otwartych serwerów CHARGEN. Są to głównie biurowe urządzenia sieciowe, takie jak drukarki i fotokopiarki.

Jednak odkurzanie starych technik nie przeszkodziło cyberprzestępcom w generowaniu nowych botnetów. Na przykład w Japonii wykorzystano 50 000 kamer monitoringu w celu przeprowadzenia ataków DDoS.

Jedną z najpopularniejszych metod zarabiania na atakach DDoS pozostaje atakowanie kryptowalut i giełd wymiany takich walut. Przykładem jest atak dotyczący kryptowaluty Verge, w którym cyberprzestępcy zaatakowali kopalnie kryptowaluty, i w zamieszaniu, jakie powstało w efekcie, ukradli 35 milionów XVG.

Atrakcyjny cel nadal stanowią platformy gier, szczególnie podczas zawodów e-sportowych. Ponadto, według Kaspersky Lab, ataki DDoS uderzają nie tylko w serwery gier (których celem jest często wyłudzenie okupu w zamian za niezakłócanie zawodów), ale również w samych graczy, którzy łączą się z serwerami z własnych platform. Zorganizowany atak DDoS na kluczowych graczy danego zespołu może z łatwością doprowadzić do jego przegrania i wyeliminować go z zawodów. Cyberprzestępcy stosują podobne taktyki w celu zarabiania na atakach przeprowadzanych na rynek streamerów – osób przesyłających na żywo transmisje gier wideo. Konkurencja w tym segmencie jest zacięta, a wykorzystując ataki DDoS, cyberprzestępcy mogą ingerować w transmisje online i – co za tym idzie – dochody streamerów.

Ataki DDoS mogą być motywowane różnymi względami, takimi jak protest polityczny czy społeczny, zemsta osobista lub rywalizacja. Jednak w większości przypadków są one przeprowadzane w celu uzyskania korzyści finansowych, dlatego też cyberprzestępcy zwykle atakują te firmy i serwisy, w których zarabia się duże pieniądze. Ataki DDoS mogą stanowić zasłonę dymną dla kradzieży pieniędzy lub żądania okupu w zamian za odwołanie ataku. Kwoty uzyskane w wyniku wyłudzenia lub kradzieży mogą sięgać dziesiątek lub setek tysięcy, a nawet milionów dolarów – komentuje Aleksiej Kisielew, menedżer projektu w zespole odpowiedzialnym za rozwiązanie Kaspersky DDoS Protection, Kaspersky Lab.

Pełny raport Kaspersky Lab poświęcony atakom DDoS w drugim kwartale jest dostępny na stronie https://r.kaspersky.pl/gpwaM.

Kaspersky DDoS Protection łączy szerokie doświadczenie firmy Kaspersky Lab w zakresie zwalczania cyberzagrożeń z unikatowymi, samodzielnie opracowywanymi technologiami bezpieczeństwa. Rozwiązanie zapewnia ochronę przed wszystkimi rodzajami ataków DDoS niezależnie od ich złożoności, mocy czy długości trwania.