Лаборатория Касперского: DDoS-атаки во втором квартале 2016

Во втором квартале 2016 года злоумышленники уделили пристальное внимание финансовым учреждениям, чей бизнес связан с криптовалютами. Другим фактом, продемонстрировавшим устойчивый тренд, является использование уязвимых IoT-устройств в качестве ботов для организации бот-сети для DDoS-атак. 

Только факты

  • Во втором квартале 2016 года были зафиксированы DDoS-атаки по целям, расположенным в 70 странах мира.
  • Во втором квартале 2016 года 77,4% DDoS-атак пришлись на цели, расположенные в Китае.
  • И по числу DDoS-атак, и по количеству их целей первенство остается за Китаем, Южной Кореей и США.
  • Наиболее продолжительная DDoS-атака второго квартала 2016 года длилась 291 час (12,1 дня), что заметно превышает максимум прошлого квартала (8,2 дня).
  • Самыми популярными методами атак по-прежнему остаются SYN-DDoS, TCP-DDoS и HTTP-DDoS. При этом доля SYN-DDoS в распределении методов атак выросла в 1,4 раза.
  • Во втором квартале 2016 года 70,2% всех выявленных атак проводилось с Linux-ботнетов – это почти вдвое превышает показатель прошлого квартала.

Ключевые события

DDoS-атаки на сервисы онлайн-кошельков криптовалют сыграли важную роль в жизни этих сервисов. Так, во втором квартале 2016 года сразу две компании – CoinWallet и Coinkite, объявили о прекращении своей работы вследствие продолжительных DDoS-атак. Согласно опубликованному в официальном блоге компании Coinkite сообщению, сервис веб-кошельков будет закрыт, а вместе с ним прекратит работу его API. В Coinkite признают, что такое решение во многом было обусловлено постоянным атаками и давлением со стороны различных государств, которые стремятся регулировать криптовалюту.

Обнаружено вредоносное программное обеспечение, которое обладает функционалом червя истроит ботнет из роутеров (включая точки доступа Wi-Fi). Зловред распространяется посредством Telnet. Анализ кода червя показал, что он может использоваться в DDoS-атаках различных типов.

Эксперты отмечают рост количества командных серверов ботнетов, функционирующих на базе инструмента для проведения DDoS-атак – LizardStresser. Исходные коды LizardStresser принадлежат хакерской группе Lizard Squad и попали в открытый доступ в конце 2015 года, что и повлекло за собой рост количества бот-сетей, функционирующих на базе новых версий данного инструмента.

Исследователи обнаружили ботнет, который состоит из 25 000 устройств, большинство из которых являются камерами видеонаблюдения. Специалисты отмечают, что 46% зараженных устройств — это CCTV-системы H.264 DVR. Кроме того, среди других скомпрометированных производителей присутствуют продукты ProvisionISR, Qsee, QuesTek, TechnoMate, LCT CCTV, Capture CCTV, Elvox, Novus и MagTec CCTV.

Обнаружен новый ботнет, получивший название Jaku и находящийся преимущественно в Японии и Южной Корее. Исследователи отмечают, что операторы ботнета в основном нацелены на крупные цели: машиностроительные компании, международные общественные организации, научные учреждения.

Обнаружена модификация вымогательского программного обеспечения Cerber, которое использует зараженное устройство для DDoS-атак. Троянец-шифровальщик осуществляет отправку UDP-пакетов, в которых изменяет адрес отправителя на адрес жертвы. Таким образом хост, который получает данный пакет, отправляет ответ на адрес жертвы. Данная техника используется для организации UDP-флуда, так что данный троянец, помимо основной функциональности вымогателя, несет функциональность DDoS-бота.

Подготовлено по материалам Лаборатории Касперского

Напоминаем, что Лаборатория Касперского в этом году выступит на ежегодной международной конференции Business Information Security Summit 2016 в статусе "Золотого спонсора". Узнать подробнее

 

Оцените материал:
Total votes: 106
Тэги: 
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.