През първото тримесечие на 2023 г. хиперволуметричните DDoS (разпределени атаки за отказ на услуга) се пренасочиха от използване на компрометирани IoT устройства към използване на нарушени виртуални частни сървъри (VPS).

Според компанията за интернет сигурност Cloudflare по-новото поколение ботнети постепенно изоставят тактиката на изграждане на големи рояци от индивидуално слаби IoT устройства и сега се насочват към поробване на уязвими и неправилно конфигурирани VPS сървъри, използвайки изтекли API пълномощия или известни експлойти.

Този подход помага на престъпниците да изграждат по-лесно и често по-бързо високопроизводителни ботнети, които могат да бъдат до 5000 пъти по-силни от ботнетите, базирани на IoT.

„Новото поколение ботнети използва малка част от броя на устройствата, но всяко устройство е значително по-силно“, обяснява Cloudflare в доклада.

„Доставчиците на изчисления в облак предлагат виртуални частни сървъри, за да позволят на стартиращи фирми и предприятия да създават производителни приложения. Недостатъкът е, че това също така позволява на нападателите да създават високопроизводителни ботнети, които могат да бъдат до 5000 пъти по-силни.“

Cloudflare работи с ключови доставчици и партньори в областта на изчислителните облаци, за да се пребори с тези нововъзникващи заплахи, базирани на VPS, и твърди, че е успяла да унищожи значителна част от тези нови ботнети.

DDoS пейзаж за първото тримесечие на 23 г.

Като цяло Cloudflare съобщава за стабилна DDoS активност през първото тримесечие на годината, като се забелязва 60% увеличение на годишна база на DDoS атаките с цел откуп, които представляват 16% от всички регистрирани/докладвани DDoS атаки.

Тези базирани на изнудване DDoS атаки причиняват прекъсване на услугите на целта, като я бомбардират с боклукчийски трафик и продължават безкрайно, докато жертвата не изпълни исканията на нападателя.

През първото тримесечие на 23 г. най-често обект на DDoS атаки като цяло е бил Израел, следван от САЩ, Канада и Турция. Секторите, към които са насочени най-много атаки, са интернет услугите, маркетингът, софтуерът и игрите/хазартът.

Най-значителната атака, наблюдавана от Cloudflare през това тримесечие, достигна пик от над 71 милиона заявки в секунда. Друг забележителен инцидент беше DDoS атака със скорост 1,3 терабита в секунда, насочена към доставчик на телекомуникационни услуги в Южна Америка.

Що се отнася до размера и продължителността на атаките, повечето от тях (86,6%) са продължили под 10 минути, а 91% не са надхвърлили 500 Mbps.

Броят на по-големите атаки обаче продължава да расте, като атаките надхвърлят 100 Gbps, отбелязвайки ръст от около 6,5% в сравнение с предходното тримесечие.

Възникващи тенденции

DDoS атаките могат да се проявят по много начини и докато защитите се развиват, за да се справят с тях, нападателите могат да разработят нови методи или да се върнат към стари тактики, които по-новите системи за защита вече не приоритизират.

През това тримесечие Cloudflare регистрира следните нови тенденции:

• 1 565% увеличение на броя на базираните на SPSS (решения за статистически продукти и услуги) DDoS атаки в сравнение с предходното тримесечие. Това се подхранва от използването на два недостатъка (CVE-2021-22731 и CVE-2021-38153) в услугата Sentinel RMS License Manager, използвани за стартиране на отразяващи DDoS атаки.
• 958% ръст спрямо предходното тримесечие при DDoS атаките с усилване на DNS, при които нападателите използват недостатъци в DNS инфраструктурата, за да генерират големи количества трафик.
• Увеличение с 835% спрямо предходното тримесечие на DDoS атаки, базирани на GRE (generic routing encapsulation), при които нападателите злоупотребяват с протокола GRE, за да наводнят мрежата на жертвата с ненужни заявки.

DDoS атаките през първото тримесечие на 2023 г. показват тенденция към увеличаване на размера и продължителността им, като са насочени към широк спектър от индустрии. Ето защо ефективните стратегии за защита изискват автоматизирани решения за откриване и смекчаване на атаките.