Jelentősen megnövekedett a régi és új botnetek aktivitása, visszatértek a hosszan tartó, akár több napos DDoS támadások 2018 első negyedévében – derül ki a Kaspersky Lab legfrissebb jelentéséből. Összességében megállapítható, hogy a DDoS támadások népszerűsége és gyakorisága nőtt.
A vizsgált időszakban a DDoS botnetek világszerte 79 országban indítottak támadást online források ellen. A legtöbb támadást elszenvedő országok között ismét Kínát, az Egyesült Államokat és Dél-Koreát találjuk, amely országok továbbra is vezetnek a megtámadható szerverek és az azokon tárolt honlapok, valamint szolgáltatások számát illetően, így nem is meglepő az ilyen magas arányú támadási faktor. A TOP 10 megtámadott országok listája változott: Hongkong és Japán váltotta Vietnámot és Hollandiát.
A legtöbb C&C szervert tároló országok listája is változott: Olaszország, Hongkong, Németország és Nagy-Britannia cserélte Kanadát, Törökországot, Litvániát és Dániát. Ez valószínűleg a Darkai (egy Mirai klón) és az AESDDoS botok aktív C&C szervereinek számának drasztikus növekedésének, valamint a régi Xor és Yoyo újraéledt aktivitásának köszönhető. Bár ezek a botnetek többsége Linuxot használ, mégis a Linux alapú botnetek száma csökkent az első negyedévben a tavalyi évhez képest.
Továbbá, egy rövid idejű stagnálás után, visszatértek a tartós támadások: a leghosszabb DDoS támadás 297 órán keresztül zajlott. Utoljára 2015-ben észleltek hasonlóan hosszú DDoS rohamot.
Az elemzett negyedév végét a példátlan teljesítményű Memcached-alapú támadások jellemezték – néhány esetben meghaladták az 1TB-t is. A Memcached olyan alkalmazás, amellyel PHP adatokat lehet tárolni memóriában a szerveren. Eredetileg Linux alá fejlesztették, de ma már elérhető hozzá Win32 verzió is. A Kaspersky Lab szakemberei azonban úgy vélik, hogy ezek népszerűsége rövid életű, mivel a Memcached támadás nemcsak az áldozatra van hatással, hanem azokra a vállalatokra is, amelyeken keresztül zajlik a támadás.
Például februárban a Kaspersky DDoS Protection részlegének technikai ügyfélszolgálata olyan problémával találkozott, ahol egy vállalat a kommunikációs csatornáinak túlterhelésére panaszkodott és arra gyanakodott, hogy egy DDoS támadás áldozata. Kiderült, hogy a vállalat egyik szerverén található sérülékeny Memcached alkalmazást használta ki egy bűnöző csoport egy másik szolgáltató megtámadására. Ezzel azonban olyan hatalmas mennyiségű kimenő forgalmat generált, amelytől a vállalat saját webes forrásai összeomlottak. Emiatt tartják a szakértők kárászéletűnek az ilyen támadásokat, mivel a vétlen bűntársak hamar észlelhetik a nagyobb terheléseket és javíthatják sérülékenységeiket a veszteségek elkerülése érdekében.
Összességében elmondható, hogy az első negyedévben megnőtt a tartós támadások előfordulása, amely korábban csökkenő tendenciát mutatott. Például a kibertanácsadó cég szakemberei egy olyan ritka típusú támadást azonosítottak, – annak ellenére ritka, hogy egyébként hatékonysága kiemelkedően magas – amelyben egy LDAP szolgáltatást erősítőként használtak. Az LDAP – Lightweight Directory Access Protocol – egy „directory service” (címtár szolgáltatás), amely egy hierarchikus adatbázis. A Memcached, az NTP és a DNS mellett az LDAP-nek van a legnagyobb erősítő rátája. Annak ellenére, hogy jelenleg relatíve kevés elérhető LDAP szerver van, a szakértők szerint elképzelhető a közeljövőben a Darkneten az ilyen típusú támadások nagyobb számú megjelenése.
„A sebezhetőségek kiaknázása az egyik legjobban kedvelt eszköz azoknak a kiberbűnözőknek, akik DDoS botnetek fejlesztésével foglalkoznak. Azonban azt látjuk, hogy ezek a támadások nemcsak a célzott szervezeteket érinti, hanem azokat a vállalatokat is, amelyek sérülékeny infrastruktúrákkal rendelkeznek. Az első negyedév kiberincidensei rávilágítanak egy egyszerű igazságra: egy olyan platformnak, amelyet a vállalatok a többrétegű online biztonság érdekében használnak, tartalmaznia kell a sebezhetőségek rendszeres javítását és a DDoS-támadásokkal szembeni állandó védelmet.” – magyarázta Alexey Kiselev, a Kaspersky Lab DDoS Védelem részlegének projekt menedzsere.
A Kaspersky DDoS Protection egyesíti a cég szakértőinek széleskörű szakértelmét a kibercsapdák elleni küzdelemben, valamint a vállalat egyedülálló saját fejlesztéseit. A program valamennyi DDoS támadás ellen hatékony védelmet nyújt, függetlenül azok összetettségétől, erősségétől vagy időtartamától. Annak érdekében, hogy csökkentse a biztonsági rések kockázatát, a Kaspersky Endpoint Security for Business eredményes védelmet biztosít, mert lehetővé teszi a vállalkozások számára, hogy automatikusan javítsák a sérülékenységeket infrastruktúrákon, proaktívan javítsák azokat és frissítsék a szoftvereket.
