По данным экспертов направления «Кибербезопасность» компании «Ростелеком», пик активности хакеров пришелся на IV квартал, когда произошло почти 40% всех DDoS-атак. Это связано с резким увеличением спроса на услуги онлайн-магазинов, так как в этот период начинается сезон распродаж и подготовка к новогодним праздникам. В случае успешной реализации ущерб от подобных атак мог составить в среднем около 600 тыс. руб. в день для крупного онлайн-магазина и 50–100 тыс. руб. в день – для небольшого.
Интернет-торговля находится в фокусе внимания киберпреступников уже не первый год. Однако на фоне введения различных карантинных мер популярность этой отрасли возросла, что сделало ее еще более привлекательной целью для злоумышленников.
Целями DDoS-атак на ретейл остаются: удар по репутации магазина, нанесение бизнесу серьезного финансового вреда, а также вымогательство, когда хакеры совершают слабую показательную атаку и требуют деньги, чтобы предотвратить более масштабный сбой. Иногда DDoS-атака используется как своего рода «шумовая завеса», отвлекающая ИБ-службу компании-жертвы от другого, более серьезного инцидента – например, кражи конфиденциальных данных покупателей.
В целом прошедший год отличает использование простых технологий для организации DDoS. Этот тренд прослеживается в контексте атак не только на онлайн-ретейл, но и на другие отрасли. Как подчеркивают аналитики, на фоне резкого увеличения спроса на онлайн-услуги злоумышленники стали искать быстрые и дешевые методы организации DDoS «здесь и сейчас». При этом киберпреступники сделали ставку на длительность атак, чтобы «измотать» жертву и наверняка вывести из строя ее ресурсы.
Хакеры отдавали предпочтение простым методам организации DDoS, однако их инструментарий стал более разнообразным. Если раньше более чем 80% атак на онлайн-ретейл приходилось на UDP-flood, то в 2020 году его доля сократилась до четверти. Суть метода заключается в том, что сервер-жертва получает огромное количество UDP-пакетов, которые занимают всю полосу пропускания. В итоге канал сервера оказывается перегружен и не может обрабатывать другие запросы.
SYN-flood, на который годом ранее приходилось менее 10% атак, в 2020 сравнялся по количеству с UDP-flood. В этом случае, получая запрос на подключение, сервер-жертва резервирует свои ресурсы и ожидает завершения установки соединения, которого так и не происходит. Такие полуоткрытые соединения переполняют очередь подключений, вынуждая сервер отказывать в обслуживании реальным клиентам.
В целом злоумышленники старались использовать весь доступный арсенал инструментов, чтобы реализовать атаку. Помимо SYN- и UDP-flood также активно применялись TCP Reset Flood, атаки фрагментированными пакетами, DNS- и NTP-amplification и подобные инструменты.
