W ciągu ostatnich trzech miesięcy 2016 roku miał miejsce znaczący rozwój ataków DDoS, których celem jest zatrzymanie funkcjonowania infrastruktury IT.
Analizując działalność cyberprzestępców w IV kwartale ubiegłego roku, eksperci z Kaspersky Lab zidentyfikowali kilka nowych trendów — stosowane metody stają się coraz bardziej wyrafinowane, botnety wykorzystują coraz bardziej zróżnicowane urządzenia, a atakujący manifestują swoje umiejętności, wybierając większe i bardziej znaczące cele.
W czwartym kwartale 2016 roku system firmy Kaspersky Lab zarejestrował ataki DDoS oparte na botnecie w 80 krajach — dla porównania, w poprzednim kwartale ich liczba wynosiła 67. Odnotowano zmiany w pierwszej dziesiątce państw z największą liczbą ofiar takich ataków: Niemcy i Kanada weszły na miejsce Włoch i Holandii. Trzy państwa z Europy Zachodniej (Holandia, Wielka Brytania i Francja) utrzymały się drugi kwartał z rzędu w pierwszej dziesiątce państw o największej liczbie serwerów wykorzystywanych przez cyberprzestępców do koordynowana szkodliwych działań. W IV kwartale dołączyła do nich Bułgaria i Japonia.
Najdłuższy atak DDoS w czwartym kwartale trwał 292 godziny (ponad 12 dni), co stanowiło rekord w 2016 roku. W badanym okresie zidentyfikowano także niespotykaną wcześniej liczbę ataków DDoS w ciągu jednego dnia — 915 (5 listopada).
Koniec 2016 roku obfitował w głośne ataki DDoS na szeroki wachlarz celów, które obejmowały firmę Dyn (dostawcę usługi DNS), Deutsche Telekom oraz kilka dużych banków. Firmy te stanowiły jedne z pierwszych ofiar nowego trendu — ataków DDoS przeprowadzanych za pośrednictwem ogromnych botnetów złożonych z podatnych na ataki urządzeń Internetu Rzeczy, czego przykładem jest botnet Mirai. Podejście zastosowane przez twórców tego botnetu stanowiło model dla wielu innych sieci złożonych z zainfekowanych urządzeń Internetu Rzeczy.
Rosnąca liczba ataków wymierzonych w urządzenia Internetu Rzeczy to tylko jeden z głównych trendów obserwowanych w IV kwartale. W ciągu ostatnich trzech miesięcy roku miał miejsce znaczy spadek liczby ataków DDoS powodujących zwiększenie ruchu na stronie, które były popularne w pierwszej połowie roku. Przyczyniła się do tego udoskonalona ochrona przed tego rodzaju zagrożeniami oraz mniejsza liczba podatnych na ataki serwerów dostępnych dla cyberprzestępców.
Niszę zwolnioną przez te ataki wypełniają teraz szkodliwe działania na poziomie aplikacji, w tym ataki WordPress Pingback. Wykrywanie tego rodzaju aktywności stanowi znacznie większe wyzwanie, ponieważ imituje ona działania wykonywane przez prawdziwych użytkowników. Poziom zagrożenia zwiększa dodatkowo fakt, że tego rodzaju ataki częściej wykorzystują szyfrowanie, co znacząco zwiększa skuteczność działań cyberprzestępców.
Eksperci z Kaspersky Lab przewidują, że wzrost złożoności ataków DDoS oraz powstawanie kolejnych botnetów Internetu Rzeczy to trendy, które będą istotne również w 2017 roku.
Urządzenia Internetu Rzeczy mają potencjał przeprowadzenia dowolnie złożonych ataków DDoS, łącznie z atakami na poziomie aplikacji z wykorzystaniem szyfrowania. Biorąc pod uwagę skuteczność botnetów Internetu Rzeczy, jak również coraz większą liczbę słabo zabezpieczonych urządzeń tego typu, możemy przewidywać wzrost liczby takich ataków, a także ich mocy i złożoności. To oznacza, że firmy muszą zawczasu zadbać o swoje bezpieczeństwo i skrupulatnie wybrać usługę filtrowania ataków DDoS — powiedział Kirył Iłganajew, dyrektor działu odpowiedzianego za rozwiązanie Kaspersky DDoS Protection.
