Ataki typu DDoS ewoluują, a ich liczba w regionie EMEA stale rośnie - wynika z danych uzyskanych przez F5 Labs. Dzięki ich analizie udało się określić, w jaki sposób zmieniają się te zagrożenia.
Jak wynika z uzyskanych przez działające w Polsce Security Operations Center (SOC) F5 Networks informacji, w 2017 roku nastąpił 64-procentowy wzrost liczby ataków. Region EMEA jest na pierwszej linii frontu - doszło w nim do 51 proc. zarejestrowanych na świecie ataków.
Wzrost aktywności cyberprzestępców spowodował zwiększenie o 100 proc. liczby firm w regionie EMEA, które wprowadziły w ostatnim roku technologię Web Application Firewall (WAF). Jednocześnie o 76 proc. wzrosła liczba wdrożeń systemów zwalczających oszustwa, a o 58 proc. - rozwiązań zabezpieczających przed atakami DDoS.
Kluczowym odkryciem był relatywny spadek siły pojedynczego ataku. W 2016 SOC zarejestrował wiele ataków o mocy ponad 100 Gbps. Niektóre miały ponad 400 Gbps.
Kliknij w obrazek by zobaczyć infografikę
W 2017 roku najmocniejszy atak miał siłę 62 Gbps. To sugeruje, że rośnie znaczenie bardziej zaawansowanych i efektywnych ataków DDoS Layer 7, których przeprowadzenie wymaga mniejszej przepustowości. 66 proc. zarejestrowanych ataków miała wielokierunkowy charakter, a ich odparcie wymagało stosowania zaawansowanych metod i dużej wiedzy.
"W porównaniu do innych regionów, w państwach EMEA zagrożenia związane z DDoS rosną. W porównaniu z 2016 rokiem widzimy znaczące zmiany w ich zakresie i stopniu skomplikowania. Biznes musi zdać sobie sprawę z tej zmiany i zrozumieć, że priorytetem jest wdrożenie odpowiednich rozwiązań do zatrzymania ataków DDoS zanim zaszkodzą one aplikacjom i prowadzeniu biznesu. Region EMEA to punkt zapalny, jeśli chodzi o ataki na skalę globalną, a zatem osoby odpowiedzialne za podejmowanie decyzji nie mogą sobie pozwolić nawet na chwilę nieuwagi" - mówi Kamil Woźniak, zarządzający SOC F5.
Cztery powody, by mieć oko na zagrożenia
Pierwszy kwartał 2017 roku zaczął się z hukiem - klienci F5 musieli zmierzyć się z atakami o niespotykanej dotychczas skali. Bardzo odczuwalne były ataki typu flood, wykorzystujące User Diagram Protocol (UDP). Stanowiły one 25 proc. wszystkich zarejestrowanych ataków. Przestępcy zwykle wysyłają duże pakiety UDP do pojedynczego adresata lub do przypadkowego portu, przedstawiając się przy tym jako zaufani nadawcy, a następnie wykradają dane. Inne popularne metody ataków to DNS Reflection (18 proc.) i floody SYN (16 proc.).
„Hitem” pierwszego kwartału były także ataki wykorzystujące Internet Control Message Protocol (ICMP), w których cyberprzestępcy oszałamiają firmy za pomocą szybkich pingów, wysyłanych bez czekania na uzyskanie odpowiedzi. Dla porównania w pierwszym kwartale 2016 roku ataki dzieliły się mniej więcej po połowie między floody bazujące na UDP i Simple Service Discover Protocol (SSDP).
Drugi kwartał okazał się równie wielkim wyzwaniem, a na prowadzenie wysunęły się floody SYN (25 proc.). Za nimi znalazły się ataki wykorzystujące Network Time Protocol i UDP (po 20 proc.).
W trzecim kwartale liczba ataków z użyciem UDP wzrosła do 26 proc. Znaczący był także wzrost liczby floodów NTP (w III kw. 2016 roku 8 proc., w tym samym okresie rok później już 22 proc.). Często spotykane były także ataki bazujące na odbijaniu DNS (17 proc.).
Miniony rok zakończył się dominacją floodów UDP (25 proc. wszystkich ataków). Był to także najbardziej burzliwy okres jeżeli chodzi o ataki wykorzystujące DNS. Stanowiły one 20 proc. ataków (8 proc. w analogicznym okresie 2016 roku).
Jednym z najważniejszych odkryć w trzecim kwartale było opisanie sposobu funkcjonowania trojana Ramnit i tego, jak się rozprzestrzeniał. Pierwotnie powstał, by atakować banki, jednak z analizy przeprowadzonej przez F5 Labs wynika, że w okresie świątecznym 64 proc. jego celów stanowiły amerykańskie sklepy internetowe. Atakował także strony związane z podróżami, rozrywką, jedzeniem, randkami i pornografią. To pokazuje, jak elastycznie i sprawnie potrafią działać cyberprzestępcy. Innym trojanem bankowym, który zaczął działać na nowych obszarach, jest Trickbot, który do rozprzestrzeniania się wykorzystuje inżynierię społeczną, w tym phishing i fałszywe reklamy internetowe. Oszukuje użytkowników i nakłania ich do kliknięcia linków lub ściągnięcia plików, w których kryje się malware.
"W regionie EMEA kierunki i sposoby przeprowadzania ataków nadal będą się zmieniać. Biznes musi posiadać odpowiednie rozwiązania i usługi, by chronić aplikacje niezależnie od tego, gdzie są one umieszczone. Miniony rok dowiódł, że większość ruchu w sieci jest szyfrowana za pomocą SSL/TLS, a zatem narzędzia chroniące przed atakami DDoS muszą być w stanie ocenić ich naturę i rosnący stopień komplikacji. Pełny ogląd sytuacji i lepsza kontrola są niezbędne, by utrzymać zaufanie klientów. Będzie to szczególnie ważne w 2018 roku, gdy w życie wejdzie GDPR" - powiedział Kamil Woźniak.
Źródło: F5 Networks