Wydarzenia w II kwartale
Kaspersky Lab posiada spore doświadczenie w zwalczaniu cyberzagrożeń, łącznie z atakami DDoS różnego rodzaju i poziomu złożoności. Eksperci firmy monitorują aktywność botnetów przy pomocy systemu DDoS Intelligence.
System DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) został stworzony w celu przechwytywanie i analizowanie poleceń wysyłanych do botów z serwerów kontroli (C&C). Aby zebrać dane, nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników czy wykonane polecenia cyberprzestępców.
Przedstawiany raport zawiera statystyki pochodzące z systemu DDoS Intelligence obejmujące drugi kwartał 2016 r.
W kontekście tego raportu jeden (osobny) atak DDoS oznacza incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Gdyby ten sam zasób sieciowy został zaatakowany przez ten sam botnet po przerwie trwającej ponad 24 godziny, mówilibyśmy o osobnym ataku DDoS. Ataki na ten sam zasób sieciowy z dwóch różnych botnetów również uważa się za osobne ataki.
Rozkład geograficzny ofiar ataków DDoS oraz serwerów kontroli określa się za pomocą ich adresów IP. W tym raporcie liczba celów ataków DDoS jest obliczana na podstawie liczby unikatowych adresów IP w statystykach kwartalnych.
Należy zauważyć, że statystyki DDoS Intelligence ograniczają się jedynie do botnetów, które zostały wykryte i przeanalizowane przez Kaspersky Lab. Ponadto botnety stanowią zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego też przedstawione w tym raporcie dane nie obejmują każdego ataku DDoS, który miał miejsce w danym okresie.
Podsumowanie II kwartału
Rozkład geograficzny ataków
W II kwartale 2016 r. obszar celów ataków DDoS zawęził się do 70 państw, przy czym 77,4% ataków dotknęło Chiny. W rzeczywistości 97,3% atakowanych zasobów było zlokalizowanych w zaledwie 10 krajach. Bez zmian pozostała trójka najczęściej atakowanych państw, czyli Chiny, Korea Południowa oraz Stany Zjednoczone.
Rozkład geograficzny ataków DDoS według państwa, I kwartał 2016 r. a II kwartał 2016 r.
Według statystyk dla analizowanego kwartału, 94,3% ataków posiadało unikatowe cele w 10 najczęściej atakowanych państwach.
Rozkład geograficzny unikatowych celów ataków DDoS według państwa, I kwartał 2016 a II kwartał 2016
Również pod tym względem Chiny stanowiły lidera: celem 71,3% wszystkich ataków DDoS były unikatowe zasoby zlokalizowane w tym państwie (dla porównania, w I kwartale odsetek ten wynosił 49,7%).
Wzrost odsetka ataków na chińskie zasoby spowodował spadek udziału ataków na zasoby zlokalizowane w pozostałych państwach zestawienia TOP 10: udział Korei Południowej zmniejszył się o 15,5 punktu procentowego, natomiast Stanów Zjednoczonych spadł o 0,7 punktu procentowego.
Rosja opuściła pierwszą piątkę, po tym jak jej udział zmniejszył się o 1,3 punktu procentowego. Jej miejsce zajął Wietnam, którego udział pozostał na niezmienionym poziomie (1,1%). Z rankingu TOP 10 wypadły zarówno Niemcy jak i Kanada, a ich miejsce zajęła Francja i Holandia, których udział wyniósł odpowiednio 0,9% oraz 0,5%.
Zmiany dotyczące liczby ataków DDoS
Aktywność DDoS była stosunkowo nierównomierna w II kwartale 2016 roku. Pod koniec kwietnia rozpoczął się okres spokoju, który trwał do końca maja, przy czym 29 maja i 2 czerwca aktywność ta osiągnęła szczytowy poziom. Największa liczba ataków w ciągu jednego dnia wynosiła 1 676 i została odnotowana 6 czerwca.
Liczba ataków DDoS na przestrzeni czasu* w II kwartale 2016 roku
*Ataki DDoS mogą trwać kilka dni. W tym przedziale czasowym ten sam atak może zostać policzony kilkakrotnie, tj. jeden raz dla każdego dnia jego trwania.
Analiza danych dla pierwszej połowy 2016 r. pokazuje, że chociaż rozkład liczby ataków DDoS według dnia tygodnia pozostaje nierówny, widoczny jest stały trend wzrostowy.
Liczba ataków DDoS, I kwartał 2016 – II kwartał 2016
W II kwartale najaktywniejszym dniem tygodnia jeśli chodzi o ataki DDoS był wtorek (15,2% ataków), następnie poniedziałek (15,0%). Czwartek, który w I kwartale uplasował się na drugim miejscu, spadł o jedno miejsce (-1,4 punktu procentowego). Najspokojniejszym dniem tygodnia pod względem ataków DDoS okazała się niedziela (13,0%).
Rozkład liczby ataków DDoS według dnia tygodnia
Ranking najpopularniejszych metod ataków nie zmienił się od poprzedniego kwartału. Metoda SYN DDoS jeszcze bardziej umocniła swoją pozycję lidera: jej udział zwiększył się z 54,9% do 76%. Odsetek pozostałych typów ataków zmniejszył się nieznacznie, z wyjątkiem metody UDP DDoS, której udział wzrósł o 0,7 punktu procentowego. Jednak te niewielkie fluktuacje nie wpłynęły na kolejność w zestawieniu Top 5.
Rozkład ataków DDoS według rodzaju
Wzrost popularności metody SYN-DDoS spowodowany jest głównie tym, że w drugim kwartale 2016 roku 70,2% wszystkich wykrytych ataków zostało przeprowadzonych z botnetów opartych na Linuksie. Po raz pierwszy od kilku kwartałów zaobserwowaliśmy tak znaczną dysproporcję pomiędzy aktywnością linuksowych i windowsowych botów DDoS. Wcześniej różnica ta nie przekraczała 10 punktów procentowych. Boty linuksowe stanowią najodpowiedniejsze narzędzie do wykorzystywania metody SYN-DDoS.
Korelacja pomiędzy atakami przeprowadzonymi z botnetów opartych na systemach Windows i Linux
Najpopularniejsze nadal były ataki trwające nie dłużej niż cztery godziny, chociaż ich udział zmniejszył się z 67,8% w I kwartale do 59,8% w II kwartale 2016 roku. Jednocześnie znacznie zwiększył się udział dłuższych ataków – ataki trwające od 20 do 49 godzin stanowiły 8,6% (3,9% w pierwszym kwartale), natomiast te, które trwały od 50 do 99 godzin, stanowiły 4% (0,8% w poprzednim kwartale).
Najdłuższy atak DDoS w II kwartale 2016 roku trwał 291 godzin, znacznie przekraczając maksymalną długość w I kwartale, która wynosiła 197 godzin.
Rozkład ataków DDoS według długości trwania (w godzinach)
W II kwartale Korea Południowa pozostała wyraźnym liderem pod względem liczby zlokalizowanych na jej terytorium serwerów kontroli, które stanowiły 69,6% - o 2 punkty procentowe więcej w porównaniu z pierwszym kwartałem 2016 r. Pierwsza trójka państw hostujących najwięcej serwerów kontroli (84,8%) pozostała niezmieniona, jednocześnie do rankingu TOP 10 weszły Brazylia (2,3%), Włochy (1%) oraz Izrael (1%).
Rozkład serwerów kontroli botnetów według państwa w II kwartale 2016 r.
Podobnie jak w poprzednich kwartałach, 99,5% celów ataków DDoS w II kwartale 2016 r. zostało zaatakowanych przez boty należące do jednej rodziny. Cyberprzestępcy przeprowadzali ataki przy użyciu botów z dwóch różnych rodzin (wykorzystywanych przez jednego operatora botnetu lub ich większą liczbę) w zaledwie 0,5% przypadków. Najpopularniejszymi rodzinami w badanym kwartale były Xor, Yoyo oraz Nitol.
W drugim kwartale 2016 roku cyberprzestępczy zwrócili szczególną uwagę na instytucje finansowe pracujące z kryptowalutą. Kilka z tych organizacji wskazało na ataki DDoS jako powód zaprzestania swojej działalności. Zacięta konkurencja prowadzi do wykorzystywania nieuczciwych metod, takich jak stosowanie ataków DDoS. Duże zainteresowanie ze strony osób atakujących ma związek ze szczególną właściwością podmiotów zaangażowanych w przetwarzanie kryptowaluty – nie wszyscy cieszą się z braku regulacji w zakresie obrotu kryptowalutą.
Innym trendem jest wykorzystywanie podatnych na ataki urządzeń Internetu Rzeczy w celu przeprowadzania ataków DDoS. W jednym z naszych wcześniejszych raportów pisaliśmy o pojawieniu się botnetu złożonego z kamer telewizji przemysłowej; w drugim kwartale 2016 roku organizatorzy botnetów wykazali pewne zainteresowanie takimi urządzeniami. Możliwe, że pod koniec tego roku świat usłyszy o jeszcze bardziej „egzotycznych” botnetach, w tym złożonych z podatnych na ataki urządzeń Internetu Rzeczy.
Analizy
Blog