Каким был 2021 год: атаки типа «отказ в обслуживании»
This post is also available in: Английский Французский Немецкий Итальянский Португальский, Бразилия Испанский
Для индустрии безопасности 2021 год выдался бурным. На фоне пандемии COVID злоумышленники с пугающей скоростью создавали все новые и новые угрозы, совершенствуя свой арсенал. Способна ли отрасль меняться в том же темпе и противостоять криминальному сообществу, чьи ресурсы постоянно расширяются?
Если говорить об успехах в борьбе с киберпреступниками, прошлый год вряд ли можно назвать успешным. Мы видим, что злоумышленники учатся на своих ошибках и снижают активность в соцсетях. Набирает популярность вымогательство с использованием DoS-атак (Ransom Denial of Service), а сами вымогатели все чаще объединяются с операторами DDoS-инструментов. И, как всегда, в прошлом году поставлены новые рекорды по количеству DDoS-атак.
Действия правоохранителей в 2021 году
В прошлом году активные попытки противодействовать злоумышленникам с участием правоохранительных структур мало повлияли на ландшафт DDoS-атак. Например, Служба безопасности Украины (СБУ) арестовала человека за создание ботнета, насчитывающего более 100 000 инфицированных узлов. Полиция Нидерландов уведомила 29 граждан страны, что их подозревают в использовании услуг по организации DDoS-атак. Министерство юстиции США обвинило гражданина Турции в организации DDoS-атак через ботнет WireX, состоящий из смартфонов на базе Android.
Кто-то может подумать, что усилий полиции и служб безопасности достаточно, чтобы уменьшить волну DDoS-атак, но это ошибочное мнение. В третьем квартале 2021 года компания Radware сообщила, что за первые девять месяцев 2021 года ею было отражено на 75 % больше DDoS-атак, чем в 2020 году. Это было ожидаемо, поскольку исследователи Radware отмечали в 2020 году рост популярности услуг по организации DDoS-атак в начале пандемии, несмотря на многочисленные попытки правоохранительных органов замедлить распространение таких угроз.
В основе всего — жажда наживы. На кону слишком много денег, чтобы злоумышленники отказались от DDoS-атак. Сегодня, когда удается обезвредить одного преступника, его место сразу занимает другой.
Вне зоны видимости
Те, кто не гонится за прибылью, в первую очередь хактивисты, усвоили уроки прошлого. В 2021 году характер атак стал меняться. Например, хактивисты из группы DragonForce, совершившие несколько кибератак на Израиль весной и летом 2021 года, отказались от координации действий через традиционные соцсети и создали для этих целей собственный форум.
Это было интересное новшество, хотя и ожидаемое. В начале 2021 года сами преступные сообщества столкнулись с проблемой обнаглевших вымогателей и их пособников, которые открыто вели дела на публичных форумах. Это было похоже на те случаи, когда хактивисты использовали соцсети для координации DDoS-атак. В результате злоумышленники были забанены на этих форумах.
Хактивисты усвоили уроки, и в 2021 году они научились скрываться от общественности, запустили свои платформы и перестали бояться потери инструмента общения. Следить за преступниками стало сложнее, поскольку они отказались от централизованных платформ и начали обсуждать дела на специализированных закрытых форумах.
[Также вам может быть интересно. Прогнозы в сфере кибербезопасности на 2022 год: открытый формат банковского обслуживания]
Рост RDoS-атак
В начале 2021 года компания Radware предупреждала о группе преступников, которые выбирали для RDoS-атак (вымогательство под угрозой DoS-атаки) предыдущих жертв — из тех, кто уже был атакован летом 2020 года. В новых письмах с требованием выкупа преступники заявляли, что компании не заплатили им в августе 2020 года и потому подвергнутся атаке, если не заплатят сейчас.
Это был примечательный случай, и его можно рассматривать как начало впечатляющей череды RDoS-атак. В июне 2021 года во время одного из выпусков программы Radware Threat Research Live при обсуждении кампании Fake DarkSide, нацеленной на энергетический и продовольственный сектор, я предсказал скорое появление RDoS-групп, действующих под именами групп вымогателей. Три месяца спустя волна RDoS-атак обрушилась на поставщиков VoIP-сервисов. В частности, злоумышленники, атаковавшие сервис VoIP.ms, называли себя REvil. Это имя известной группы вымогателей, которая исчезла с радаров после атаки на Kaseya VSA, а теперь вернулась на сцену.
Масштабные RDoS-кампании были нацелены на VoIP-сервисы, такие как VoIP.ms, Voipfone, VoIP Unlimited и Bandwidth.com. Атаки на критически важную инфраструктуру вызвали большую озабоченность. В результате Совет телекоммуникационных компаний Великобритании заявил, что в октябре «профессиональные киберпреступники провели координированную международную кампанию» по блокировке IP-сервисов с целью получения выкупа. Раньше считалось, что RDoS-атаки не так страшны и их легко отразить. Однако сервис Bandwidth.com может потерять 12 млн долларов из-за простоев, вызванных такой атакой. Это говорит о том, что опасность RDoS-атак растет.
Третья большая волна RDoS-атак пришла в конце года, тогда же, когда были атакованы VoIP-сервисы. Это была RDoS-кампания, нацеленная на сервисы эл. почты, такие как Runbox, Posteo и Fastmail. Любопытно, что группа злоумышленников под названием «Проклятый патриарх» (Cursed Patriarch) требовала выплатить им около 4000 долларов. Это та же сумма, которую преступники вымогали у почтовых сервисов в 2015 году.
В 2022 году RDoS-атаки продолжат развитие и в конце концов станут частью более обширного ландшафта угроз, связанных с программами-вымогателями.
Объединение усилий: программы-вымогатели + DDoS
Возможно, вы спрашиваете себя, чем отличаются атаки программ-вымогателей и RDoS-атаки? Действительно, здесь можно запутаться. К счастью, Паскаль Гиненс (Pascal Geenens), директор Radware по анализу угроз, недавно написал статью в блоге и объяснил разницу. Говоря коротко, программы-вымогатели используют шифрование, чтобы блокировать доступ к данным до тех пор, пока не будет выплачен выкуп. Схема RDoS-атак иная. RDoS-атаки приводят к сбоям в работе сетей или сервисов с целью шантажа жертв и требования выкупа.
В чем проблема? Вымогатели начали сотрудничать с операторами DDoS-атак с целью совершения так называемого тройного вымогательства. Однократное вымогательство подразумевает шифрование данных на целевом устройстве. Двойное вымогательство подразумевает извлечение зашифрованных данных с угрозой их публикации, если выкуп не будет выплачен. Для тройного вымогательства подключается атака типа «отказ в обслуживании». Злоумышленники атакуют сеть, чтобы заставить жертв вернуться за стол переговоров. В 2020 году преступные группы SunCrypt и RagnarLocker использовали DoS-атаки во время переговоров. В 2021 году ту же схему применили группы Avaddon, Darkside, Yanluowang и HelloKitty.
Развитие ботнетов
За последний год в мире DDoS-ботнетов произошли значительные изменения. Например, в начале 2021 года многие специалисты по Интернету вещей следили за развитием P2P-ботнета, известного как Mozi. 360 Netlab были первыми, кто обнаружил этот ботнет в 2019 году. За эти годы небольшое приложение превратилось в многомодульную структуру. Летом 2021 года лаборатория 360 Netlab объявила, что Mozi мертв, поскольку авторы ботнета арестованы в Китае. Это была отличная новость, но все понимали, что ботнет еще не умер окончательно. Он больше не обновляется, но все еще распространяется благодаря своей архитектуре. Как и в случае с ботнетом XTC/Hoaxcall, вероятно, пройдут годы до его полного исчезновения. К несчастью, P2P-ботнет нельзя уничтожить одним ударом. Его «смерть» можно официально констатировать, только когда все зараженные сетевые устройства перезагружены, обновлены или заменены.
Другим ботнетом, который привлек много внимания в 2021 году, стал ботнет Manga/Dark.IoT. В течение года за ним наблюдали специалисты Juniper и Palo Alto Networks. Анализ показал, что в нем нет ничего необычного. Это типичный IoT-ботнет на базе Mirai, который предназначен для DDoS-атак и не используется для майнинга криптовалют или кражи данных. Но все же у него есть одна особенность: возможность быстро его модернизировать, внедряя только что найденные эксплойты. Например, в марте 2021 года исследователи из команды Unit42 в Palo Alto Networks сообщили, что операторы ботнета использовали уязвимости VE-2021-27561 и CVE-2021-27562 уже через несколько часов после публикации данных о них.
Ботнет Manga/Dark.IoT помог исследователям лучше понять, как хакеры используют метод проб и ошибок, разрабатывая DDoS-ботнеты. Один из самых сложных аспектов создания масштабного ботнета — борьба с другими хакерами за уязвимые ресурсы. Те, кто не может найти слабые места, полагаются на публичную информацию об уязвимостях. Как только появляется такая информация, начинается гонка. Первые получают возможность взять под контроль как можно больше уязвимых устройств. Они действуют методом проб и ошибок, но не у всех получается использовать уязвимости. Другие же могут прийти к выводу, что дело не стоит времени и усилий. В 2021 году операторы ботнета Manga/Dark.IoT использовали около двух десятков уязвимостей. В декабре 2021 года этот ботнет атаковал маршрутизаторы TP-Link.
Примечательные DDoS-атаки
Честно говоря, я шокирован тем, что никто не взял на себя ответственность за те рекордные DDoS-атаки, о которых я хочу рассказать. Еще недавно хактивисты и ддосеры сразу же брали на себя ответственность за свои и даже чужие атаки, заявляя об этом в соцсетях. Но сегодня они хранят молчание. В прошлом году рекордные DDoS-атаки шли одна за другой, но никто не подал голоса из преступного подполья. В некоторых случаях вымогатели, например из группы Lockbit, интересовались на подпольных форумах, кто проводит атаку и задействованы ли их сервисы и ботнет. В новых условиях молчания стало намного сложнее следить за действиями преступников. Ясно одно: масштабы DDoS-атак растут.
Например, в августе 2021 года компания Cloudflare зарегистрировала рекордную DDoS-атаку с 17,2 млн запросов в секунду от 20 000 ботов из 125 стран. Менее чем через месяц компания Qrator сообщила о другой рекордной атаке с 21,8 млн запросов в секунду от 56 000 устройств MikroTik. Эти масштабные DDoS-атаки длились всего около 60 секунд и заставили многих исследователей гадать, кто стоит за ними и на чем они основаны.
Первый анализ показал, что в этих атаках задействован ботнет Meris. Это масштабный IoT-ботнет, который состоит из зараженных маршрутизаторов MikroTik и использует конвейерную обработку HTTP для коротких, но мощных DDoS-атак через сеть прокси-серверов SOCKS.
Через месяц после первых атак Meris компания Microsoft сообщила, что она обнаружила и отразила DDoS-атаку с трафиком 2,4 Тбит/с на покупателя услуг Azure из Европы. В атаке использовались около 70 000 ботов из разных стран Азиатско-Тихоокеанского региона, как и в случае с Meris. Эта атака тоже была короткой, всплеск трафика длился около 60 секунд.
И хотя остаются вопросы относительно ботнета Meris и его происхождения, эти DDoS-атаки показали, что угрозы становятся масштабнее. Я прогнозирую, что в 2022 году тенденция сохранится и мы увидим рост DDoS-атак, поскольку злоумышленники учатся максимально эффективно использовать ресурсы ботов и не обсуждают свои действия.
Взгляд вперед
Рассмотрев случай с Meris и другие угрозы прошлого года, мы можем смело сказать, что в 2022 году DDoS-атаки никуда не денутся. Многие сочтут эту угрозу привычной, а ддосеров — преступниками низшего ранга. Но для достижения эффективности атаки необязательно должны быть сложными.
Я надеюсь, что в 2022 году пандемия начнет отступать, но мы должны быть готовы к жизни в дистанционном формате в условиях зависимости от цифровых технологий. Для этого правительства всех стран вместе с сообществом экспертов по кибербезопасности должны найти способы противостоять хакерам и сдерживать угрозы. Только тогда мы сможем дать отпор хорошо вооруженному врагу.