В России в 2024 году доля нелегитимного трафика веб-серверов увеличилась до 12% от общего объема. Половина этого трафика связана с действиями вредоносных ботнетов. Об этом сообщает «Коммерсантъ», ссылаясь на хостинг-провайдера RUVDS.
Специалисты отметили, что для проведения DDoS-атак операторы ботнетов все чаще используют зараженные компьютеры и серверы. В дополнение к IoT-устройствам в состав таких ботнетов всё активнее включаются инфицированные виртуальные машины и серверы.
«Для DDoS-атак в большинстве случаев применяют зараженные устройства с простой архитектурой, такие как IoT-устройства или умные гаджеты. Тем не менее, они используются в основном для атак на сетевом (L2) и транспортном (L3) уровнях. В свою очередь, для атак на уровень веб-приложений и серверов (L7) применяются виртуальные серверы и виртуальные машины», – указано в сообщении.
Михаил Хлебунов, директор по продуктам Servicepipe, отметил, что злоумышленники часто арендуют ресурсы хостинг-провайдеров именно для атак на L7-уровне.
«При этом мы сталкивались с ситуациями, когда злоумышленники не покупают виртуальные машины, а используют акционные предложения хостеров и “приобретают” их непосредственно для атаки», – добавил эксперт.
Однако преступники не всегда арендуют ресурсы у провайдеров для своих ботнетов. «Это также связано с эксплуатацией уязвимостей, когда легитимный клиент, сам того не подозревая, генерирует вредоносный трафик», – прокомментировал генеральный директор хостинг-провайдера RUVDS Никита Цаплин.
Евгений Мартынов, директор по информационным технологиям «Рег.ру», отметил, что провайдерам не всегда удается обеспечить защиту арендуемых виртуальных серверов и машин. Это происходит из-за того, что без согласия пользователя хостинг-провайдер не может самостоятельно обновлять клиентское программное обеспечение. Более того, иногда такие обновления могут вызывать сбои в работе.
Денис Полянский, директор по клиентской безопасности провайдера Selectel, добавил, что трудно определить тип атаки, исходящей от арендованного оборудования. По словам эксперта, иногда по характерным признакам можно распознать, что с устройства осуществляется DDoS-атака. Это заметно провайдеру, который фиксирует резкий рост трафика, аномальную сетевую активность и нагрузку на сетевое оборудование. В этом случае он может заблокировать такие атаки, уведомляя клиента о возможном заражении его инфраструктуры. Если атака направлена на ресурсы, подключенные к государственной системе обнаружения ГосСОПКА, провайдер может получить уведомление об атаке уже от регулятора, добавляет эксперт.
Доступ к виртуальным серверам и машинам, который имеют хакеры, представляет собой угрозу, рассказал руководитель направления защиты информации облачного провайдера Nubes Дмитрий Шкуропат. Виртуальные серверы могут использоваться для сокрытия местонахождения как самого ботнета, так и его оператора. «Виртуальные серверы, размещенные в российских центрах обработки данных, позволяют злоумышленникам скрывать свое истинное местоположение и обходить блокировки по GeoIP», – предупреждает руководитель направления киберразведки ЦПК Innostage SOC CyberArt Александр Чернов.
Напоминаем, что в 2024 году эксперты зафиксировали мощные DDoS-атаки на российских хостинг-провайдеров, организованные с помощью нового ботнета. В частности, максимальная мощность атак достигала 1,5 Тбит/с. Специалисты установили, что атаки в основном исходили от IP-адресов таких стран, как США, Китай, Гонконг, Сингапур, Румыния и Украина.
Новый ботнет использует уязвимости в TP-Link
