Raport Kaspersky DDoS Intelligence dla II kwarta艂u 2016 r.

Wydarzenia w II kwartale

  • Ataki DDoS na serwisy portfela kryptowaluty odegra艂y istotn膮 rol臋 w historii tych serwis贸w. W II kwartale 2016 r. dwie firmy - CoinWallet i Coinkite - poinformowa艂y o zako艅czeniu swojej dzia艂alno艣ci na skutek d艂ugotrwa艂ych atak贸w DDoS. Wed艂ug oficjalnego blogu Coinkite, jego serwis e-portfela, jak r贸wnie偶 API, zostanie zamkni臋ty. Firma przyznaje, 偶e decyzja ta by艂a spowodowana g艂贸wnie ci膮g艂ymi atakami oraz presj膮 wywieran膮 przez r贸偶ne rz膮dy, kt贸re chc膮 regulowa膰 kryptowalut臋.     
  • Wykryto szkodliwe oprogramowanie, kt贸re posiada funkcjonalno艣膰 robaka i buduje botnet ruter贸w opartych na Linuksie (艂膮cznie z punktami dost臋powymi Wi-Fi). Szkodnik ten rozprzestrzenia si臋 za po艣rednictwem Telnetu. Analiza kodu robaka pokaza艂a, 偶e mo偶e by膰 wykorzystywany w r贸偶nych rodzajach atak贸w DDoS.
  • Eksperci odnotowali rosn膮c膮 liczb臋 serwer贸w kontroli botnet贸w dzia艂aj膮cych w oparciu o LizardStresser - narz臋dzia stosowanego do przeprowadzania atak贸w DDoS. Kody 藕r贸d艂owe LizardStresser nale偶膮 do ugrupowania hakerskiego Lizard Squad i zosta艂y publicznie udost臋pnione pod koniec 2015 roku. To spowodowa艂o wzrost liczby botnet贸w wykorzystuj膮cych nowe wersje tego narz臋dzia.   
  • Badacze wykryli botnet z艂o偶ony z 25 000 urz膮dze艅, stanowi膮cych w wi臋kszo艣ci kamery monitoringowe. Wed艂ug ekspert贸w, 46% zainfekowanych urz膮dze艅 to systemy telewizji przemys艂owej H.264 DVR. Pozosta艂e zhakowane urz膮dzenia zosta艂y wyprodukowane przez ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus oraz MagTec CCTV.  
  • Wykryto nowy botnet o nazwie Jaku zlokalizowany g艂贸wnie w Japonii i Korei Po艂udniowej. Badacze stwierdzili, 偶e operatorzy botnetu skupiaj膮 si臋 na du偶ych celach: firmach in偶ynieryjnych, mi臋dzynarodowych organizacjach i instytucjach naukowych. 
  • Wykryto now膮 modyfikacj臋 ransomware Cerber wykorzystuj膮c膮 zainfekowane urz膮dzenie w celu przeprowadzania atak贸w DDoS. Ten trojan szyfruj膮cy odpowiada za wysy艂anie pakiet贸w UDP, w kt贸rych zmienia adres nadawcy na adres ofiary. Host, kt贸ry otrzymuje pakiet, wysy艂a odpowied藕 na adres ofiary. Technika ta jest stosowana podczas przeprowadzania atak贸w typu UDP flood, co oznacza, 偶e trojan, opr贸cz podstawowej funkcjonalno艣ci ransomware, integruje r贸wnie偶 funkcjonalno艣膰 bota DDoS.   

Statystyki dotycz膮ce atak贸w DDoS przeprowadzanych przy u偶yciu botnet贸w

Metodologia

Kaspersky Lab posiada spore do艣wiadczenie w zwalczaniu cyberzagro偶e艅, 艂膮cznie z atakami DDoS r贸偶nego rodzaju i poziomu z艂o偶ono艣ci. Eksperci firmy monitoruj膮 aktywno艣膰 botnet贸w przy pomocy systemu DDoS Intelligence.  

System DDoS Intelligence (wchodz膮cy w sk艂ad Kaspersky DDoS Protection) zosta艂 stworzony w celu przechwytywanie i analizowanie polece艅 wysy艂anych do bot贸w z serwer贸w kontroli (C&C). Aby zebra膰 dane, nie musi czeka膰, a偶 zostan膮 zainfekowane urz膮dzenia u偶ytkownik贸w czy wykonane polecenia cyberprzest臋pc贸w.

Przedstawiany raport zawiera statystyki pochodz膮ce z systemu DDoS Intelligence obejmuj膮ce drugi kwarta艂 2016 r.

W kontek艣cie tego raportu jeden (osobny) atak DDoS oznacza incydent, podczas kt贸rego jakakolwiek przerwa w aktywno艣ci botnetu trwa kr贸cej ni偶 24 godziny. Gdyby ten sam zas贸b sieciowy zosta艂 zaatakowany przez ten sam botnet po przerwie trwaj膮cej ponad 24 godziny, m贸wiliby艣my o osobnym ataku DDoS. Ataki na ten sam zas贸b sieciowy z dw贸ch r贸偶nych botnet贸w r贸wnie偶 uwa偶a si臋 za osobne ataki.

Rozk艂ad geograficzny ofiar atak贸w DDoS oraz serwer贸w kontroli okre艣la si臋 za pomoc膮 ich adres贸w IP. W tym raporcie liczba cel贸w atak贸w DDoS jest obliczana na podstawie liczby unikatowych adres贸w IP w statystykach kwartalnych.

Nale偶y zauwa偶y膰, 偶e statystyki DDoS Intelligence ograniczaj膮 si臋 jedynie do botnet贸w, kt贸re zosta艂y wykryte i przeanalizowane przez Kaspersky Lab. Ponadto botnety stanowi膮 zaledwie jedno z narz臋dzi wykorzystywanych do przeprowadzania atak贸w DDoS; dlatego te偶 przedstawione w tym raporcie dane nie obejmuj膮 ka偶dego ataku DDoS, kt贸ry mia艂 miejsce w danym okresie.     

Podsumowanie II kwarta艂u

  • W II kwartale 2016 r. ataki DDoS by艂y wymierzone w zasoby znajduj膮ce si臋 w 70 krajach.
  • 77,4% atakowanych zasob贸w by艂o zlokalizowanych w Chinach.
  • Pod wzgl臋dem liczby atak贸w DDoS oraz liczby cel贸w w czo艂贸wce znalaz艂y si臋 Chiny, Korea Po艂udniowa oraz Stany Zjednoczone.
  • Najd艂u偶szy atak DDoS w II kwartale 2016 r. trwa艂 291 godzin (czyli 12,1 dnia) - znacznie d艂u偶ej ni偶 wynosi rekord poprzedniego kwarta艂u (8,2 dnia).
  • SYN DDoS, TCP DDoS oraz HTTP DDoS pozostaj膮 najcz臋stszymi scenariuszami atak贸w DDoS. Odsetek atak贸w przy u偶yciu metody SYN DDoS zwi臋kszy艂 si臋 1,4 raza w stosunku do poprzedniego kwarta艂u.
  • W II kwartale 2016 r. 70,2% wszystkich wykrytych atak贸w zosta艂o przeprowadzonych z botnet贸w Linuksa - prawie dwukrotnie wi臋cej ni偶 w pierwszym kwartale.

Rozk艂ad geograficzny atak贸w

W II kwartale 2016 r. obszar cel贸w atak贸w DDoS zaw臋zi艂 si臋 do 70 pa艅stw, przy czym 77,4% atak贸w dotkn臋艂o Chiny. W rzeczywisto艣ci 97,3% atakowanych zasob贸w by艂o zlokalizowanych w zaledwie 10 krajach. Bez zmian pozosta艂a tr贸jka najcz臋艣ciej atakowanych pa艅stw, czyli Chiny, Korea Po艂udniowa oraz Stany Zjednoczone.

q2_ddos_2016_en_1_auto.png

Rozk艂ad geograficzny atak贸w DDoS wed艂ug pa艅stwa, I kwarta艂 2016 r. a II kwarta艂 2016 r.

Wed艂ug statystyk dla analizowanego kwarta艂u, 94,3% atak贸w posiada艂o unikatowe cele w 10 najcz臋艣ciej atakowanych pa艅stwach.

q2_ddos_2016_en_2_auto.png

Rozk艂ad geograficzny unikatowych cel贸w atak贸w DDoS wed艂ug pa艅stwa, I kwarta艂 2016 a II kwarta艂 2016

R贸wnie偶 pod tym wzgl臋dem Chiny stanowi艂y lidera: celem 71,3% wszystkich atak贸w DDoS by艂y unikatowe zasoby zlokalizowane w tym pa艅stwie (dla por贸wnania, w I kwartale odsetek ten wynosi艂 49,7%). 

Wzrost odsetka atak贸w na chi艅skie zasoby spowodowa艂 spadek udzia艂u atak贸w na zasoby zlokalizowane w pozosta艂ych pa艅stwach zestawienia TOP 10: udzia艂 Korei Po艂udniowej zmniejszy艂 si臋 o 15,5 punktu procentowego, natomiast Stan贸w Zjednoczonych spad艂 o 0,7 punktu procentowego.     

Rosja opu艣ci艂a pierwsz膮 pi膮tk臋, po tym jak jej udzia艂 zmniejszy艂 si臋 o 1,3 punktu procentowego. Jej miejsce zaj膮艂 Wietnam, kt贸rego udzia艂 pozosta艂 na niezmienionym poziomie (1,1%). Z rankingu TOP 10 wypad艂y zar贸wno Niemcy jak i Kanada, a ich miejsce zaj臋艂a Francja i Holandia, kt贸rych udzia艂 wyni贸s艂 odpowiednio 0,9% oraz 0,5%.     

Zmiany dotycz膮ce liczby atak贸w DDoS

Aktywno艣膰 DDoS by艂a stosunkowo nier贸wnomierna w II kwartale 2016 roku. Pod koniec kwietnia rozpocz膮艂 si臋 okres spokoju, kt贸ry trwa艂 do ko艅ca maja, przy czym 29 maja i 2 czerwca aktywno艣膰 ta osi膮gn臋艂a szczytowy poziom. Najwi臋ksza liczba atak贸w w ci膮gu jednego dnia wynosi艂a 1 676 i zosta艂a odnotowana 6 czerwca.  

q2_ddos_2016_en_3_auto.png

Liczba atak贸w DDoS na przestrzeni czasu* w II kwartale 2016 roku

*Ataki DDoS mog膮 trwa膰 kilka dni. W tym przedziale czasowym ten sam atak mo偶e zosta膰 policzony kilkakrotnie, tj. jeden raz dla ka偶dego dnia jego trwania.

Analiza danych dla pierwszej po艂owy 2016 r. pokazuje, 偶e chocia偶 rozk艂ad liczby atak贸w DDoS wed艂ug dnia tygodnia pozostaje nier贸wny, widoczny jest sta艂y trend wzrostowy.

q2_ddos_2016_en_4_auto.png

Liczba atak贸w DDoS, I kwarta艂 2016 - II kwarta艂 2016

W II kwartale najaktywniejszym dniem tygodnia je艣li chodzi o ataki DDoS by艂 wtorek (15,2% atak贸w), nast臋pnie poniedzia艂ek (15,0%). Czwartek, kt贸ry w I kwartale uplasowa艂 si臋 na drugim miejscu, spad艂 o jedno miejsce (-1,4 punktu procentowego). Najspokojniejszym dniem tygodnia pod wzgl臋dem atak贸w DDoS okaza艂a si臋 niedziela (13,0%).     

q2_ddos_2016_en_5_auto.png

Rozk艂ad liczby atak贸w DDoS wed艂ug dnia tygodnia

Rodzaje i czas trwania atak贸w DDoS

Ranking najpopularniejszych metod atak贸w nie zmieni艂 si臋 od poprzedniego kwarta艂u. Metoda SYN DDoS jeszcze bardziej umocni艂a swoj膮 pozycj臋 lidera: jej udzia艂 zwi臋kszy艂 si臋 z 54,9% do 76%. Odsetek pozosta艂ych typ贸w atak贸w zmniejszy艂 si臋 nieznacznie, z wyj膮tkiem metody UDP DDoS, kt贸rej udzia艂 wzr贸s艂 o 0,7 punktu procentowego. Jednak te niewielkie fluktuacje nie wp艂yn臋艂y na kolejno艣膰 w zestawieniu Top 5.      

q2_ddos_2016_en_6_auto.png

Rozk艂ad atak贸w DDoS wed艂ug rodzaju

Wzrost popularno艣ci metody SYN-DDoS spowodowany jest g艂贸wnie tym, 偶e w drugim kwartale 2016 roku 70,2% wszystkich wykrytych atak贸w zosta艂o przeprowadzonych z botnet贸w opartych na Linuksie. Po raz pierwszy od kilku kwarta艂贸w zaobserwowali艣my tak znaczn膮 dysproporcj臋 pomi臋dzy aktywno艣ci膮 linuksowych i windowsowych bot贸w DDoS. Wcze艣niej r贸偶nica ta nie przekracza艂a 10 punkt贸w procentowych. Boty linuksowe stanowi膮 najodpowiedniejsze narz臋dzie do wykorzystywania metody SYN-DDoS.

q2_ddos_2016_en_7_auto.png

Korelacja pomi臋dzy atakami przeprowadzonymi z botnet贸w opartych na systemach Windows i Linux

Najpopularniejsze nadal by艂y ataki trwaj膮ce nie d艂u偶ej ni偶 cztery godziny, chocia偶 ich udzia艂 zmniejszy艂 si臋 z 67,8% w I kwartale do 59,8% w II kwartale 2016 roku. Jednocze艣nie znacznie zwi臋kszy艂 si臋 udzia艂 d艂u偶szych atak贸w - ataki trwaj膮ce od 20 do 49 godzin stanowi艂y 8,6% (3,9% w pierwszym kwartale), natomiast te, kt贸re trwa艂y od 50 do 99 godzin, stanowi艂y 4% (0,8% w poprzednim kwartale).  

Najd艂u偶szy atak DDoS w II kwartale 2016 roku trwa艂 291 godzin, znacznie przekraczaj膮c maksymaln膮 d艂ugo艣膰 w I kwartale, kt贸ra wynosi艂a 197 godzin.

q2_ddos_2016_en_8_auto.png

Rozk艂ad atak贸w DDoS wed艂ug d艂ugo艣ci trwania (w godzinach)

Typy serwer贸w kontroli i botnet贸w

W II kwartale Korea Po艂udniowa pozosta艂a wyra藕nym liderem pod wzgl臋dem liczby zlokalizowanych na jej terytorium serwer贸w kontroli, kt贸re stanowi艂y 69,6% - o 2 punkty procentowe wi臋cej w por贸wnaniu z pierwszym kwarta艂em 2016 r. Pierwsza tr贸jka pa艅stw hostuj膮cych najwi臋cej serwer贸w kontroli (84,8%) pozosta艂a niezmieniona, jednocze艣nie do rankingu TOP 10 wesz艂y Brazylia (2,3%), W艂ochy (1%) oraz Izrael (1%).   

q2_ddos_2016_en_9-1_auto.png

Rozk艂ad serwer贸w kontroli botnet贸w wed艂ug pa艅stwa w II kwartale 2016 r.

Podobnie jak w poprzednich kwarta艂ach, 99,5% cel贸w atak贸w DDoS w II kwartale 2016 r. zosta艂o zaatakowanych przez boty nale偶膮ce do jednej rodziny. Cyberprzest臋pcy przeprowadzali ataki przy u偶yciu bot贸w z dw贸ch r贸偶nych rodzin (wykorzystywanych przez jednego operatora botnetu lub ich wi臋ksz膮 liczb臋) w zaledwie 0,5% przypadk贸w. Najpopularniejszymi rodzinami w badanym kwartale by艂y Xor, Yoyo oraz Nitol.  

Zako艅czenie

W drugim kwartale 2016 roku cyberprzest臋pczy zwr贸cili szczeg贸ln膮 uwag臋 na instytucje finansowe pracuj膮ce z kryptowalut膮. Kilka z tych organizacji wskaza艂o na ataki DDoS jako pow贸d zaprzestania swojej dzia艂alno艣ci. Zaci臋ta konkurencja prowadzi do wykorzystywania nieuczciwych metod, takich jak stosowanie atak贸w DDoS. Du偶e zainteresowanie ze strony os贸b atakuj膮cych ma zwi膮zek ze szczeg贸ln膮 w艂a艣ciwo艣ci膮 podmiot贸w zaanga偶owanych w przetwarzanie kryptowaluty - nie wszyscy ciesz膮 si臋 z braku regulacji w zakresie obrotu kryptowalut膮.

Innym trendem jest wykorzystywanie podatnych na ataki urz膮dze艅 Internetu Rzeczy w celu przeprowadzania atak贸w DDoS. W jednym z naszych wcze艣niejszych raport贸w pisali艣my o pojawieniu si臋 botnetu z艂o偶onego z kamer telewizji przemys艂owej; w drugim kwartale 2016 roku organizatorzy botnet贸w wykazali pewne zainteresowanie takimi urz膮dzeniami. Mo偶liwe, 偶e pod koniec tego roku 艣wiat us艂yszy o jeszcze bardziej "egzotycznych" botnetach, w tym z艂o偶onych z podatnych na ataki urz膮dze艅 Internetu Rzeczy.

殴ród艂o: Kaspersky Lab