Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Raport Kaspersky DDoS Intelligence dla II kwartału 2016 r.

Tagi:

Wydarzenia w II kwartale

  • Ataki DDoS na serwisy portfela kryptowaluty odegrały istotną rolę w historii tych serwisów. W II kwartale 2016 r. dwie firmy - CoinWallet i Coinkite – poinformowały o zakończeniu swojej działalności na skutek długotrwałych ataków DDoS. Według oficjalnego blogu Coinkite, jego serwis e-portfela, jak również API, zostanie zamknięty. Firma przyznaje, że decyzja ta była spowodowana głównie ciągłymi atakami oraz presją wywieraną przez różne rządy, które chcą regulować kryptowalutę.     
  • Wykryto szkodliwe oprogramowanie, które posiada funkcjonalność robaka i buduje botnet ruterów opartych na Linuksie (łącznie z punktami dostępowymi Wi-Fi). Szkodnik ten rozprzestrzenia się za pośrednictwem Telnetu. Analiza kodu robaka pokazała, że może być wykorzystywany w różnych rodzajach ataków DDoS.
  • Eksperci odnotowali rosnącą liczbę serwerów kontroli botnetów działających w oparciu o LizardStresser – narzędzia stosowanego do przeprowadzania ataków DDoS. Kody źródłowe LizardStresser należą do ugrupowania hakerskiego Lizard Squad i zostały publicznie udostępnione pod koniec 2015 roku. To spowodowało wzrost liczby botnetów wykorzystujących nowe wersje tego narzędzia.   
  • Badacze wykryli botnet złożony z 25 000 urządzeń, stanowiących w większości kamery monitoringowe. Według ekspertów, 46% zainfekowanych urządzeń to systemy telewizji przemysłowej H.264 DVR. Pozostałe zhakowane urządzenia zostały wyprodukowane przez ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus oraz MagTec CCTV.  
  • Wykryto nowy botnet o nazwie Jaku zlokalizowany głównie w Japonii i Korei Południowej. Badacze stwierdzili, że operatorzy botnetu skupiają się na dużych celach: firmach inżynieryjnych, międzynarodowych organizacjach i instytucjach naukowych. 
  • Wykryto nową modyfikację ransomware Cerber wykorzystującą zainfekowane urządzenie w celu przeprowadzania ataków DDoS. Ten trojan szyfrujący odpowiada za wysyłanie pakietów UDP, w których zmienia adres nadawcy na adres ofiary. Host, który otrzymuje pakiet, wysyła odpowiedź na adres ofiary. Technika ta jest stosowana podczas przeprowadzania ataków typu UDP flood, co oznacza, że trojan, oprócz podstawowej funkcjonalności ransomware, integruje również funkcjonalność bota DDoS.   

Statystyki dotyczące ataków DDoS przeprowadzanych przy użyciu botnetów

Metodologia

Kaspersky Lab posiada spore doświadczenie w zwalczaniu cyberzagrożeń, łącznie z atakami DDoS różnego rodzaju i poziomu złożoności. Eksperci firmy monitorują aktywność botnetów przy pomocy systemu DDoS Intelligence.  

System DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) został stworzony w celu przechwytywanie i analizowanie poleceń wysyłanych do botów z serwerów kontroli (C&C). Aby zebrać dane, nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników czy wykonane polecenia cyberprzestępców.

Przedstawiany raport zawiera statystyki pochodzące z systemu DDoS Intelligence obejmujące drugi kwartał 2016 r.

W kontekście tego raportu jeden (osobny) atak DDoS oznacza incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Gdyby ten sam zasób sieciowy został zaatakowany przez ten sam botnet po przerwie trwającej ponad 24 godziny, mówilibyśmy o osobnym ataku DDoS. Ataki na ten sam zasób sieciowy z dwóch różnych botnetów również uważa się za osobne ataki.

Rozkład geograficzny ofiar ataków DDoS oraz serwerów kontroli określa się za pomocą ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana na podstawie liczby unikatowych adresów IP w statystykach kwartalnych.

Należy zauważyć, że statystyki DDoS Intelligence ograniczają się jedynie do botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Ponadto botnety stanowią zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego też przedstawione w tym raporcie dane nie obejmują każdego ataku DDoS, który miał miejsce w danym okresie.     

Podsumowanie II kwartału

  • W II kwartale 2016 r. ataki DDoS były wymierzone w zasoby znajdujące się w 70 krajach.
  • 77,4% atakowanych zasobów było zlokalizowanych w Chinach.
  • Pod względem liczby ataków DDoS oraz liczby celów w czołówce znalazły się Chiny, Korea Południowa oraz Stany Zjednoczone.
  • Najdłuższy atak DDoS w II kwartale 2016 r. trwał 291 godzin (czyli 12,1 dnia) – znacznie dłużej niż wynosi rekord poprzedniego kwartału (8,2 dnia).
  • SYN DDoS, TCP DDoS oraz HTTP DDoS pozostają najczęstszymi scenariuszami ataków DDoS. Odsetek ataków przy użyciu metody SYN DDoS zwiększył się 1,4 raza w stosunku do poprzedniego kwartału.
  • W II kwartale 2016 r. 70,2% wszystkich wykrytych ataków zostało przeprowadzonych z botnetów Linuksa – prawie dwukrotnie więcej niż w pierwszym kwartale.

Rozkład geograficzny ataków

W II kwartale 2016 r. obszar celów ataków DDoS zawęził się do 70 państw, przy czym 77,4% ataków dotknęło Chiny. W rzeczywistości 97,3% atakowanych zasobów było zlokalizowanych w zaledwie 10 krajach. Bez zmian pozostała trójka najczęściej atakowanych państw, czyli Chiny, Korea Południowa oraz Stany Zjednoczone.

q2_ddos_2016_en_1_auto.png

Rozkład geograficzny ataków DDoS według państwa, I kwartał 2016 r. a II kwartał 2016 r.

Według statystyk dla analizowanego kwartału, 94,3% ataków posiadało unikatowe cele w 10 najczęściej atakowanych państwach.

q2_ddos_2016_en_2_auto.png

Rozkład geograficzny unikatowych celów ataków DDoS według państwa, I kwartał 2016 a II kwartał 2016

Również pod tym względem Chiny stanowiły lidera: celem 71,3% wszystkich ataków DDoS były unikatowe zasoby zlokalizowane w tym państwie (dla porównania, w I kwartale odsetek ten wynosił 49,7%). 

Wzrost odsetka ataków na chińskie zasoby spowodował spadek udziału ataków na zasoby zlokalizowane w pozostałych państwach zestawienia TOP 10: udział Korei Południowej zmniejszył się o 15,5 punktu procentowego, natomiast Stanów Zjednoczonych spadł o 0,7 punktu procentowego.     

Rosja opuściła pierwszą piątkę, po tym jak jej udział zmniejszył się o 1,3 punktu procentowego. Jej miejsce zajął Wietnam, którego udział pozostał na niezmienionym poziomie (1,1%). Z rankingu TOP 10 wypadły zarówno Niemcy jak i Kanada, a ich miejsce zajęła Francja i Holandia, których udział wyniósł odpowiednio 0,9% oraz 0,5%.     

Zmiany dotyczące liczby ataków DDoS

Aktywność DDoS była stosunkowo nierównomierna w II kwartale 2016 roku. Pod koniec kwietnia rozpoczął się okres spokoju, który trwał do końca maja, przy czym 29 maja i 2 czerwca aktywność ta osiągnęła szczytowy poziom. Największa liczba ataków w ciągu jednego dnia wynosiła 1 676 i została odnotowana 6 czerwca.  

q2_ddos_2016_en_3_auto.png

Liczba ataków DDoS na przestrzeni czasu* w II kwartale 2016 roku

*Ataki DDoS mogą trwać kilka dni. W tym przedziale czasowym ten sam atak może zostać policzony kilkakrotnie, tj. jeden raz dla każdego dnia jego trwania.

Analiza danych dla pierwszej połowy 2016 r. pokazuje, że chociaż rozkład liczby ataków DDoS według dnia tygodnia pozostaje nierówny, widoczny jest stały trend wzrostowy.

q2_ddos_2016_en_4_auto.png

Liczba ataków DDoS, I kwartał 2016 – II kwartał 2016

W II kwartale najaktywniejszym dniem tygodnia jeśli chodzi o ataki DDoS był wtorek (15,2% ataków), następnie poniedziałek (15,0%). Czwartek, który w I kwartale uplasował się na drugim miejscu, spadł o jedno miejsce (-1,4 punktu procentowego). Najspokojniejszym dniem tygodnia pod względem ataków DDoS okazała się niedziela (13,0%).     

q2_ddos_2016_en_5_auto.png

Rozkład liczby ataków DDoS według dnia tygodnia

Rodzaje i czas trwania ataków DDoS

Ranking najpopularniejszych metod ataków nie zmienił się od poprzedniego kwartału. Metoda SYN DDoS jeszcze bardziej umocniła swoją pozycję lidera: jej udział zwiększył się z 54,9% do 76%. Odsetek pozostałych typów ataków zmniejszył się nieznacznie, z wyjątkiem metody UDP DDoS, której udział wzrósł o 0,7 punktu procentowego. Jednak te niewielkie fluktuacje nie wpłynęły na kolejność w zestawieniu Top 5.      

q2_ddos_2016_en_6_auto.png

Rozkład ataków DDoS według rodzaju

Wzrost popularności metody SYN-DDoS spowodowany jest głównie tym, że w drugim kwartale 2016 roku 70,2% wszystkich wykrytych ataków zostało przeprowadzonych z botnetów opartych na Linuksie. Po raz pierwszy od kilku kwartałów zaobserwowaliśmy tak znaczną dysproporcję pomiędzy aktywnością linuksowych i windowsowych botów DDoS. Wcześniej różnica ta nie przekraczała 10 punktów procentowych. Boty linuksowe stanowią najodpowiedniejsze narzędzie do wykorzystywania metody SYN-DDoS.

q2_ddos_2016_en_7_auto.png

Korelacja pomiędzy atakami przeprowadzonymi z botnetów opartych na systemach Windows i Linux

Najpopularniejsze nadal były ataki trwające nie dłużej niż cztery godziny, chociaż ich udział zmniejszył się z 67,8% w I kwartale do 59,8% w II kwartale 2016 roku. Jednocześnie znacznie zwiększył się udział dłuższych ataków – ataki trwające od 20 do 49 godzin stanowiły 8,6% (3,9% w pierwszym kwartale), natomiast te, które trwały od 50 do 99 godzin, stanowiły 4% (0,8% w poprzednim kwartale).  

Najdłuższy atak DDoS w II kwartale 2016 roku trwał 291 godzin, znacznie przekraczając maksymalną długość w I kwartale, która wynosiła 197 godzin.

q2_ddos_2016_en_8_auto.png

Rozkład ataków DDoS według długości trwania (w godzinach)

Typy serwerów kontroli i botnetów

W II kwartale Korea Południowa pozostała wyraźnym liderem pod względem liczby zlokalizowanych na jej terytorium serwerów kontroli, które stanowiły 69,6% - o 2 punkty procentowe więcej w porównaniu z pierwszym kwartałem 2016 r. Pierwsza trójka państw hostujących najwięcej serwerów kontroli (84,8%) pozostała niezmieniona, jednocześnie do rankingu TOP 10 weszły Brazylia (2,3%), Włochy (1%) oraz Izrael (1%).   

q2_ddos_2016_en_9-1_auto.png

Rozkład serwerów kontroli botnetów według państwa w II kwartale 2016 r.

Podobnie jak w poprzednich kwartałach, 99,5% celów ataków DDoS w II kwartale 2016 r. zostało zaatakowanych przez boty należące do jednej rodziny. Cyberprzestępcy przeprowadzali ataki przy użyciu botów z dwóch różnych rodzin (wykorzystywanych przez jednego operatora botnetu lub ich większą liczbę) w zaledwie 0,5% przypadków. Najpopularniejszymi rodzinami w badanym kwartale były Xor, Yoyo oraz Nitol.  

Zakończenie

W drugim kwartale 2016 roku cyberprzestępczy zwrócili szczególną uwagę na instytucje finansowe pracujące z kryptowalutą. Kilka z tych organizacji wskazało na ataki DDoS jako powód zaprzestania swojej działalności. Zacięta konkurencja prowadzi do wykorzystywania nieuczciwych metod, takich jak stosowanie ataków DDoS. Duże zainteresowanie ze strony osób atakujących ma związek ze szczególną właściwością podmiotów zaangażowanych w przetwarzanie kryptowaluty – nie wszyscy cieszą się z braku regulacji w zakresie obrotu kryptowalutą.

Innym trendem jest wykorzystywanie podatnych na ataki urządzeń Internetu Rzeczy w celu przeprowadzania ataków DDoS. W jednym z naszych wcześniejszych raportów pisaliśmy o pojawieniu się botnetu złożonego z kamer telewizji przemysłowej; w drugim kwartale 2016 roku organizatorzy botnetów wykazali pewne zainteresowanie takimi urządzeniami. Możliwe, że pod koniec tego roku świat usłyszy o jeszcze bardziej „egzotycznych” botnetach, w tym złożonych z podatnych na ataki urządzeń Internetu Rzeczy.