Киберпреступники возобновили масштабные DDoS-атаки на российский финансовый сектор после недели затишья. При этом увеличилось количество атакуемых организаций. Злоумышленники задействуют новые вектора и техники, которые не использовались ранее, номинальная мощность атак снизилась, но выросла их сложность.
По данным российского центра мониторинга киберугроз (SOC) международного сервис-провайдера Orange Business Services, с 10 по 15 сентября количество проведенных атак резко снизилось: было выявлено не более десяти инцидентов свыше 10 Гбит/с, в то время как за предыдущий месяц наблюдения в среднем фиксировалось по пять крупных запросов в сутки. Но уже 16 сентября в 10:30 была детектирована первая атака из новой волны, характеризующейся еще более высокой интенсивностью, чем в предыдущий месяц наблюдений. С этого момента по вечер 25 сентября выявлено уже более 75 масштабных инцидентов разных типов, пиковая емкость самого мощного из них составила 45 Гбит/с. При этом на 10% увеличилось количество атакуемых организаций.
Злоумышленники задействуют новые типы атак. К примеру, стал массово применяться до этого редко использовавшийся в нынешних волнах нападений вектор TCP SYN/ACK Amplification. Это атака использует особенности веб-серверов, которые подвергаются нападениям. С помощью специальных запросов канал связи, соединяющий сервер с интернетом, массово забивается однотипными сообщениями.
Также новую волну атак характеризует поиск киберпреступниками неиспробованных до этого комбинаций техник и векторов. Так, впервые с 9 августа площадные атаки, затрагивающие 256 и более адресов за раз, стали комбинироваться с вектором TCP SYN. Он нарушает работу сервисов через переполнение очереди на подключение к атакуемому веб-серверу, на котором может работать интернет-банк, процессинг или другая внешняя или внутренняя служба.
Главная особенность такой комбинации состоит в том, что, несмотря на невысокую номинальную мощность атак, составляющую в среднем 2 Гбит/с, количество пересылаемых выбранному для нападения сервису паразитных пакетов увеличивается в среднем в 400-500 раз. При этом атака идет сразу на множество служб финансовой организации, что значительно усложняет ее отражение.
Ранее в период с 9 августа по 9 сентября SOC Orange Business Services зафиксировал более 150 масштабных атак на российские финансовые организации. Самая мощная была зафиксирована 6 сентября — ее объем превысил 150 Гбит/с, что в три раза больше самой крупной зафиксированной ФинЦЕРТ атаки на финансовые организации в 2019 — 2020 годах.
«Киберпреступники не собираются отступать. Они планомерно расширяют список применяемых техник и векторов в надежде найти уязвимость в системах защиты финансовых учреждений. С технической точки зрения в такой ситуации на первый план выходит применение систем защиты, позволяющих инспектировать входящий интернет-трафик для оперативного детектирования аномалий и реагирования на них. На стратегическом уровне критически важной компонентой безопасности всей отрасли остается налаженная координация между финансовыми организациями, регулятором и провайдерами услуг информационной безопасности, работающими с участниками рынка», — говорит операционный директор Orange Business Services в России и СНГ Ольга Баранова.