В последние годы внимание к DDoS-атакам сосредоточивалось на США, Индии и Китае. Однако во втором квартале 2024 года на первый план вышла Европа, что можно объяснить рядом значительных событий в этом регионе, включая выборы в нескольких странах.
Рассмотрим, как изменилась статистика DDoS-угроз во втором квартале 2024 года и какие тренды были выявлены в России.
Краткий обзор
Во втором квартале 2024 года число DDoS-атак в мире возросло на 104% по сравнению с тем же периодом прошлого года. В России прирост составил 76%.
Главным мировым трендом второго квартала стало резкое увеличение числа атак на Европу, которая обошла США, Индию и Китай. Согласно нашим данным, 50,4% всего вредоносного трафика было направлено на цели в странах Евросоюза. На США, Китай и Индию пришлось только 23,8% от общего числа атак.
Для сравнения: в предыдущем квартале Европа была затронута только в 30% случаев. В то время как США, Индия и Китай были объектами 37% мирового зловредного трафика.
Среди значимых событий, повлиявших на картину DDoS-атак во втором квартале, можно отметить:
- Масштабную парламентскую выборную кампанию в Евросоюзе, где избиратели голосовали в 27 странах с 6 по 9 июня. В этот период хактивисты и APT-группировки активно атаковали правительственные сайты.
- 31% атак был направлен на государственный сектор, при этом объем вредоносного трафика в этом секторе вырос на 183% по сравнению с предыдущим кварталом.
- В странах Европы также прошли местные выборы. Например, отставка премьер-министра Бельгии вызвала бурный интерес в сети, что сделало Бельгию самой атакуемой страной с совокупным объемом атак 14,8% от общемирового.
- Увеличилось количество атак на веб-приложения и API, особенно в финансовом секторе, сфере телекоммуникаций и ритейле.
Во время выборов наблюдались две тенденции. С одной стороны, легитимный трафик снижался примерно на 10% в дни голосования. С другой стороны, он увеличивался на 20% в дни оглашения результатов. Эти изменения соответствуют типичному поведению избирателей.
Активность DDoS-атак во время выборных кампаний в Евросоюзе возросла на 1100%. Пик атак пришелся на 5 июня, за день до начала выборов в Европейский парламент, и достиг максимума 6 июня, когда началось массовое голосование. После этого атаки резко сократились до 9 июня, последнего дня выборов.
Похожий тренд был замечен в предыдущем квартале в Азии, когда Тайвань стал самой атакуемой страной региона на фоне президентских выборов.
Итак, можно сделать следующие выводы:
- Политически значимые события неизбежно приводят к увеличению числа DDoS-атак. Хакеры активно нацеливаются на государственные структуры, которые должны быть готовы к таким атакам;
- Большинство DDoS-атак сейчас исходят от хактивистов и APT-группировок — высокоорганизованных и хорошо финансируемых преступных структур. Современные DDoS-атаки напоминают бурное развитие преступных синдикатов в США в 1920-х годах. Группы вроде Killnet и HackNeT можно сравнить с Аль Капоне и Майером Лански: они представляют серьезную угрозу для бизнеса, государств и общества.
Какие отрасли страдали чаще всего
Мы уже выяснили, что во втором квартале 2024 года основными целями DDoS-атак стали государственные структуры. На этот сектор пришлось 31% всего вредоносного трафика, что на 183% больше по сравнению с предыдущим годом.
Атакующие также часто нацеливались на финансовый сектор. Доля этого сектора возросла с 12% в предыдущем квартале до 16% в текущем, что составляет прирост на 126% по сравнению с апрелем-июнем 2023 года.
Индустрия развлечений также заметно пострадала, количество атак здесь увеличилось на 82% за год.
На четвертом месте оказались провайдеры телекоммуникационных услуг, которые подверглись 14% атак. Общее количество атак на эту отрасль увеличилось на 43%.
Госсектор
Большинство атак на госсектор происходило в Южной Корее, Северной Корее и странах Евросоюза, где в апреле-июне 2024 года проходили значимые выборы.
В частности, 5 и 6 июня заметное увеличение вредоносного трафика произошло в Нидерландах и Бельгии. Также зафиксирована крупная атака на Христианско-демократический союз Германии, в результате которой пострадала часть веб-ресурсов крупнейшей партии страны.
Обострение ситуации связано с ростом ботнетов: среднее количество используемых устройств увеличилось втрое за год, с 6 тысяч во втором квартале 2023 года до 18 тысяч во втором квартале 2024 года. Это позволило многим атакам достигать скорости свыше 1 Тбит/с. Самая мощная атака во втором квартале достигла 1,5 Тбит/с.
Финансовый сектор
Финансовый сектор занял второе место в нашем рейтинге по количеству атак во втором квартале 2024 года. Также этот сектор стал лидером по темпам роста атак за год.
Инциденты чаще всего касались банков в Европе, на Ближнем Востоке и в Азии. Большинство атак были целенаправленными, с признаками активности APT-группировок.
Индустрия развлечений
Индустрия развлечений оказалась на третьем месте, получив 14% всех мировых DDoS-атак и показав рост инцидентов на 82% за год.
Основная причина увеличения атак — крупные мировые события, такие как Чемпионат Европы по футболу.
Атаки также затронули другие спортивные стриминговые, букмекерские и новостные сайты, достигая пика во время матчей.
Телеком
Во втором квартале 2024 года на телекоммуникационную отрасль пришлась 11% от общего числа DDoS-атак. Растущее количество инцидентов в этом секторе продемонстрировало увеличение на 43% по сравнению с тем же периодом 2023 года.
Операторы телекоммуникационных услуг традиционно являются мишенью для хакеров, и это объясняется наличием у крупных компаний отрасли обширной инфраструктуры и большими объемами персональных данных пользователей. Утечка данных из таких компаний привлекает внимание СМИ. Наша практика показывает, что DDoS-атаки часто применяются в качестве «дымовой завесы» для отвлечения внимания от других более серьезных угроз.
Второй квартал 2024 года зафиксировал крупнейшую DDoS-атаку на телекоммуникационную компанию, чья мощность превысила 1 Тбит/с. Мы успешно защитили клиента из Азии от вредоносного трафика, и его инфраструктура осталась невредимой.
Стоит отметить, что атаки на телекоммуникационные компании стали самыми продолжительными. Средняя продолжительность атак увеличилась с 5 часов в апреле до 8 часов в мае и достигла 16 часов в июне.
DDoS-атаки и страны
2024 год стал годом выборов: в 64 странах проходят выборы глав государств, а также выборы в Европейский парламент. Во всех странах, где проводятся выборы, наблюдается рост количества DDoS-атак. Эта тенденция начала проявляться с первого квартала и продолжается, что подтверждают наши данные о самых атакуемых странах:
На первом месте по числу атак оказалась Европа, что связано с выборами в Европарламент и местными выборами.
Бельгия заняла первое место с 14,8% от общего числа DDoS-атак. Франция на втором месте — 11,6%, а Германия на третьем — 10,4%.
Необычно высокие позиции заняли Южная Корея и Северная Корея, получившие 7,4% и 5,3% мирового DDoS-трафика соответственно. Выборы в этих странах прошли в апреле, что могло повлиять на активность атак в последующем квартале.
Что происходит с DDoS-атаками в России
Из-за большого количества атак в других странах Россия опустилась на 11 место по числу атак — 4,2% от общего числа.
Тем не менее, уровень DDoS-атак в России остается высоким. Основная часть атак связана с политически мотивированными хактивистами.
Атаки распределились по отраслям следующим образом:
- 32% атак пришлось на телекоммуникационный сектор. На втором месте ИТ — 21%, и на третьем — госсектор — 16%. Во всех этих секторах хакеры действовали с максимальной эффективностью, что объясняет их фокус на этих областях. Например, атаки на телекоммуникационный сектор оказались эффективными в 61% случаев.
- В то же время количество инцидентов в финансовом секторе сократилось на 92%. Хакеры также реже нацеливались на ритейл и индустрию развлечений, где наблюдалось снижение на 78% и 69% соответственно. Это связано с переключением хакеров на более эффективные сектора.
Выводы
Второй квартал 2024 года отметился изменением географии DDoS-атак. Европа стала лидером по количеству атакуемых целей. Хакеры традиционно следовали за крупными спортивными и политическими событиями, такими как выборы в Европарламент и Евро-2024.
Также стоит отметить тренд снижения вредоносного трафика от хактивистов и рост числа атак с финансовой мотивацией. Этот тренд подтверждает второй квартал 2024 года.
Хактивизм продолжает задавать тренды DDoS-атак, определяя, где, как и почему происходят атаки. Тем не менее, граница между геополитикой и киберпреступностью становится все более размыта.
