Оглавление
- Введение
- Каким был DDoS в 2024 году
- Ключевые характеристики
- Продолжительность DDoS-атак
- Векторы атак
- Кого атаковали
- География атак
- Выводы
Введение
2024 год сохранил ландшафт угроз для онлайн-ресурсов и показал изменения в поведении злоумышленников, которые по-прежнему считают своей ключевой целью нанести максимальный ущерб сайтам российских компаний. Хакеры продолжают активно проводить DDoS-атаки, чтобы сделать онлайн-ресурсы недоступными для пользователей и тем самым нарушить работу компаний или государственных сервисов. Также хактивисты применяли дефейс, размещая на сайтах организаций провокационную информацию.
Эксперты ГК «Солар» подготовили отчет о том, как киберпреступники использовали DDoS-атаки в минувшем году. Аналитика составлена на основе данных об атаках, зафиксированных и отраженных сервисом Anti-DDoS платформы Solar MSS с января по декабрь 2024 года. Учтена информация о массовых атаках на магистральную сеть, канальную инфраструктуру доступа к услугам, клиентское оборудование.
Для отчета была проанализирована информация о почти 700 компаниях из различных отраслей, включая ретейл, финансовый и государственный сектора.
Каким был DDoS в 2024 году
В данной главе описаны атаки, зафиксированные и отраженные сервисом мониторинга трафика и защиты от DDoS-атак (Anti-DDoS). DDoS-атака – это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры организации, ее порталов и веб-ресурсов. Хакеры искусственно создают нелегитимный трафик, чтобы сделать ресурсы недоступными для интернет-пользователей.
Количество DDoS-атак
Количество атак за месяц в 2022 году, тыс. шт.
Количество атак за месяц в 2023 году, тыс. шт.
Количество атак за месяц в 2024 году, тыс. шт.
В 2024 году эксперты ГК «Солар» зафиксировали 508 тыс. DDoS-атак на российские организации, что почти в два раза больше аналогичного показателя 2023 года, но в тоже время в полтора раза меньше, чем в 2022 году.
Ключевые характеристики
Средняя мощность DDoS (Гбит/с)
2022 год
2023 год
2024 год
Средняя мощность DDoS-атак многократно увеличилась в 2024 году по сравнению с величиной 2022 и 2023 года, но пиковый период сместился к концу года:
- 3,5 Гбит /c в феврале 2022 года
- 2,8 Гбит /c в марте 2023 года
- 9,8 Гбит/с в декабре 2024 года
Во втором квартале 2024 года средняя мощность атаки начала возрастать, сравнявшись в апреле по значению с аналогичными показателями 2023 года, но после этого продолжила свой рост вплоть до декабря 2024 года. Это обусловлено тем, что злоумышленники получили в свое управление более мощные ботнеты и начали их использовать для реализации атак.
Средняя мощность DDoS (Mpps)
2022 год
2023 год
2024 год
Средняя мощность в миллионах пакетов в секунду (Mpps) показывает среднегодовые величины в 2024 году больше, чем в 2023 и в 2022 годах:
- 0,17 Mpps в 2022 году
- 0,24 Mpps в 2023 году
- 2,92 Mpps в 2024 году
Первая половина 2024 года по динамике в Mpps совпадает с 2023 годом, но во второй половине 2024 года наблюдается резкий рост значений.
Максимальная мощность DDoS (Mpps)
2022 год
2023 год
2024 год
Максимальная мощность DDoS-атак в Mpps также росла к концу года. Если в начале они держались на уровне начала 2022 и 2023 года (порядка 63 Mpps), то уже с мая наблюдается рост до 1317 Mpps в декабре 2024 года.
При этом атаки с одинаковым количеством пакетов в секунду могут иметь совершенно разный показатель в Гбит/c в зависимости от величины пакетов в килобайтах.
Максимальная мощность DDoS (Гбит/с)
2022 год
2023 год
2024 год
Динамика мощности в Гбит/с показала, что ожидаемые атаки в марте 2024 в период выборов Президента РФ не были самыми мощными в году. Один из пиков атак пришелся на 3-й квартал 2024 года, когда под одновременным ударом оказался целый ряд ведущих организаций банковского сектора.
Атаки максимальной мощности за 2024 год были зафиксированы в 4-ом квартале и в декабре достигли значения 1Тбит/с, что совпало со значением сентября 2023 года. В этот период под ударом оказались отрасли телекома и ИТ.
Продолжительность DDoS-атак
Средняя продолжительность DDoS-атаки (часы)
2022 год
2023 год
2024 год
Максимальная продолжительность DDoS-атаки (дни)
2022 год
2023 год
2024 год
Максимальная продолжительность DDoS-атаки в 2024 году снизилась почти в восемь раз в сравнении с 2023, до 36 дней.
Злоумышленники нарастили мощности ботнетов для реализации атак, но при этом сократили время атак на организации, стоящие под защитой Anti-DDoS. Иными словами, они сконцентрировались на поиске компаний без полноценной защиты, которым такие мощные атаки нанесут максимальный ущерб.
Векторы атак
В 2024 году лидирует тот же TOP-5 векторов, что и в 2023 и в 2022 году: TCP ACK, SYN Flood, UDP Flood, атаки на GRE и атаки фрагментированными пакетами. До 90% от всех мощных DDoS-ударов реализованы с применением SYN Flood. Большая часть из них осуществляются по одному и тому же шаблону с применением ботнет-сетей, а эффективность атаки напрямую зависит от распределения элементов ботнета.
SYN Flood растет линейно от года к году (в 2023-ем доля таких инцидентов составляла 16,41%, а в 2024-ом – уже 28,4%). Это усложняет борьбу с DDoS-атаками, т.к. SYN Flood сложно отличить от легитимной нагрузки: непонятно, это SYN, который пришел на установку соединения, или часть флуда.
SYN и SYN-ACK — это пакеты, которые используются при установке TCP-соединения. При успешном ответе на запрос пакета SYN-ACK устанавливается соединение для передачи пакетов. При флуде за пакетом SYN не следует ничего, поэтому после ответа на этот пакет соединение не устанавливается. При этом такой флуд увеличивает нагрузку на инфраструктуру даже крупных компаний и может привести к росту продолжительности обработки легитимный соединений. Именно поэтому для защиты от SYN Flood необходима опытная экспертная команда.
Векторы DDoS-атак
TCP ACK
SYN-флуд
UDP-флуд
Атаки на GRE
BIG_FRAG + Frag
Динамика применения TOП-5 векторов атак в сумме осталась стабильной и совпадает с динамикой 2023 – с ростом от января до декабря в течение года.
Динамика ТОП-5 векторов атак
Сумма TOП-5 векторов атак в 2022 году, %
Сумма TOП-5 векторов атак в 2023 году, %
Сумма TOП-5 векторов атак в 2024 году, %
Кого атаковали
Динамика второго полугодия 2024 года показывает спад доли организаций, подвергавшихся DDoS-атакам, в сравнении с 2023 годом. Общая динамика атак за 2023 и 2024 года остается неизменной.
Доля атакуемых организаций среди клиентов Anti-DDoS
Процент атакуемых организаций в 2023 году
Процент атакуемых организаций в 2024 году
Число DDoS-атак на одну организацию (шт.)
2022 год
2023 год
2024 год
Следует заметить, что среднее количество атак, приходящихся на одну организацию, выросло в 1,8 раза по сравнению с 2023 годом, до 132. При этом общая доля атакуемых компаний, являющихся клиентами сервиса Anti-DDoS, снизилась с 75 до 69% год к году. Это означает, что злоумышленники перешли от тактики «ковровых бомбардировок» к более адресным атакам для достижения максимального эффекта по наиболее привлекательным жертвам.
При этом наблюдается небольшой рост количества DDoS-атак на одну организацию в середине 2024 года, когда были одновременно атакованы многие компании банковского сектора. Пики приходятся на третий квартал, что отличается от равномерной динамики 2023 года и похоже на динамику 2022 года, когда наблюдались явные всплески в первом и втором кварталах.
Топ самых атакуемых отраслей в 2024 году выглядит следующим образом:
ТОП атакуемых отраслей в 2024 г.
Как видим, в 2024 году максимальное количество DDoS-атак в разрезе одной организации пришлось на компании банковской сферы – их число выросло на 40% в сравнении с предыдущим годом. Всплеск пришелся на июль, когда были одновременно атакованы крупнейшие банковские организации РФ, но к 4-му кварталу количество атак на банки снизилось.
Второе место среди наиболее атакуемых заняли компании строительного сектора (+14% в сравнении с 2023 годом и + 108% в сравнении с 2022 годом). В данную категорию попали крупнейшие девелоперы и владельцы крупных общественных объектов недвижимости, а также застройщики жилых домов. Пик атак пришелся на первый квартал 2024 года.
Компании из ИТ-отрасли находятся только на третьем месте среди наиболее атакуемых, хотя в 2023 году занимали второе место. Тем не менее, число DDoS-атак год к году в разрезе на одну организацию в данном секторе увеличилось в 5 раз в сравнении с аналогичным периодом прошлого года.
ТОП атакуемых отраслей в 2023 г.
ТОП атакуемых отраслей в 2022 г.
Видно, что за 2023 год список ключевых целей злоумышленников поменялся относительно 2022 года.
Динамика количества в разрезе на одну организацию по топ-5 отраслей показывает их общий рост по всем отраслям в сравнении с 2023 годом.
Количество DDoS-атак удельно на одну организацию в разных отраслях
Телеком
ИТ
Финансы
Госсектор
Строительство
География атак
По географии динамика атак на одну организацию совпадает с общей динамикой: в 2024 фиксируется общее увеличение количества атак в три раза относительно 2023 года, но в то же время в полтора раза снизилось количество атак относительно 2022 года.
Количество DDoS-атак удельно на одну организацию в разных федеральных округах и в Москве
Юг
Москва
Поволжье
Урал
Северо-Запад
Среднее количество DDoS-атак на одну организацию в регионах в 2024 году (шт.)
Среднее количество DDoS-атак на одну организацию в регионах в 2023 году, (шт.)
Среднее количество DDoS-атак на одну организацию в регионах в 2022 году (шт.)
Традиционно наибольшее количество DDoS-атак направлено на Москву. Однако в первой половине 2024 года злоумышленники сфокусировались на других регионах. Так, в I квартале лидером по количеству атак было Поволжье, далее вектор атак сместился на Москву и к концу года – на Южный федеральный округ. Злоумышленники нацелились на региональный бизнес. В частности, в Южном федеральном округе среднее количество атак в разрезе одной организации выросло в 1,5 раза, а в Приволжском - в 2 раза в сравнении с 2023 годом.
Выводы
- Злоумышленники перешли с тактики ковровых атак на более адресные и мощные удары для достижения наибольшего эффекта.
- Максимальная мощность DDoS в четвертом квартале 2024 года достигла уровня самой крупной атаки 2023 года (1 Тбит/c). Это дополнительно говорит об усилении возможностей злоумышленников осуществлять мощные целевые удары.
- Несмотря на сохранение лидерства Москвы, хакеры стали все чаще атаковать организации из других федеральных округов. В частности, заметен рост атак на Приволжский и Южный федеральные округа.
- Банки и строительные компании вышли в топ наиболее атакуемых отраслей, сместив с первых строк рейтинга телеком и логистику.
Напомним, что успешная DDoS-атака может нанести серьезный удар по организации, например:
- Клиенты, не получив доступа к сайту, могут перейти к конкурентам, а сам сайт на время пропадет из поисковой выдачи;
- Могут быть атакованы не только публичные ресурсы, но и непубличные, которые используют сотрудники для работы (парализована почта или удаленный доступ к рабочему месту), что приведет к нарушению бизнес-процессов;
- Хакеры часто атакуют ресурсы, являющиеся основными инструментами бизнеса, что может привести к серьезным потерям (например, внутренние банковские ресурсы, которые отвечают за транзакции и др.);
- Хакеры могут потребовать крупный выкуп, чтобы прекратить DDoS-атаку на сайт жертвы;
- Простая DDoS-атака может стать «дымовой завесой» для более серьезного инцидента, и, пока ИБ-специалисты пытаются восстановить работу сервера, хакеры могут похитить конфиденциальные данные клиентов или корпоративную информацию.
Скачать отчет
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.