По статистике, в последнюю пятницу перед декабрём обыватели начинают массово закупаться подарками к Новому году. Например, в США примерно 70% взрослых граждан делают покупки в этот день, который в связи с огромной прибылью (чёрный цвет в бухгалтерии) коммерсанты называют «чёрным» днём.

К сожалению, статистика известна не только ритейлерам, но и кибермошенникам, которые тоже традиционно активизируются в это время года.

В связи с повышенным риском Федеральное управление по информационной безопасности Германии (BSI) в преддверии 26.11.2021 повысило уровень угрозы до «жёлтого» (пресс-релиз). По оценке специалистов, в ближайшие дни ожидаются DDoS-атаки с рекордными значениями.

Нужно заметить, что DDoS-атакам часто сопутствуют следующие явления:

• рэкет под видом «защиты от DDoS»;
  
• фишинг пользователей с направлением на поддельные сайты без сертификатов EV SSL (фишинг упрощается, если оригинальные сайты лежат под DDoS).

Опасный период начинается с чёрной пятницы 26.11 и продолжится до самого Нового года, включая «киберпонедельник» 29.11, предрождественские и рождественские распродажи.

Рекорды по DDoS

В этом году установлено несколько новых рекордов по инфраструктуре и сопровождению DDoS-атак:

1. В ходе атаки на облако Microsoft Azure побит рекорд по пиковому трафику: 2,4 Тбита/с. В качестве вектора атаки злоумышленники выбрали отражение и усиление трафика по протоколам, которые используют транспорт UDP, с примерно 70 000 точками атаки преимущественно из Ю.-В. Азии.
   
   Атака продолжалась более десяти минут, с очень короткими всплесками, каждый из которых достигал терабитных объемов в течение нескольких секунд. Всего наблюдалось три пика: первый 2,4 Тбита/с, второй 0,55 и третий 1,7 Тбита/с.
   
   
   
2. В атаке на «Яндекс» использовался ботнет Meris, который установил новый рекорд по количеству запросов: почти 21,8 миллиона запросов в секунду. Ботнет Meris в основном состоит из домашних маршрутизаторов от латвийского производителя MikroTik.
   
   

Тревожные изменения наблюдаются и по другим метрикам. Например, обнаружено рекордное количество вариантов XorDDoS — Linux-трояна для контейнеров Docker.



Ботнет XorDDoS использовался для масштабных DDoS-атак несколько лет назад.

Рэкет под видом защиты от DDoS

Не секрет, что DDoS-атаки и защиту от них часто предлагают одни и те же компании.

Количество инцидентов, связанных с DDoS-рэкетом, продолжает неуклонно расти. Они всё чаще попадают в поле зрения общественности. В последнее время жертвами вымогателей часто становятся телекоммуникационные компании и VoIP-провайдеры.

В преддверии рождественских продаж становится особенно выгодно DDoS'ить интернет-магазины, для которых цена простоя резко возрастает. Сейчас ожидается значительный рост преступности, особенно в сфере DDoS-рэкета.

Меры безопасности

Рекомендации для компаний:

1. Заранее составить план действий на случай попыток DDoS-вымогательства.
   
2. Не реагировать на требования денег за защиту от DDoS.
   
3. BSI рекомендует такой список из 12-ти квалифицированных провайдеров для защите от DDoS, куда входят Cloudfare и Akamai.
   
4. В качестве превентивной меры против XorDDoS рекомендуется отключить Telnet и защитить SSH как минимум надёжным паролем или ключом. Для борьбы с брутфорсом можно использовать fail2ban.

Пользователям рекомендуется обращаться внимание на наличие сертификата EV SSL у интернет-магазина, чтобы не стать жертвой фишинга.

Мошенники поднимают сайты, которые выглядят как настоящий интернет-магазин. Этот сайт раскручивается через спамерские рассылки в мессенджерах и по почте. Поэтому при переходе по такой ссылке нужно дважды проверить URL, иначе деньги уйдут преступникам.

Чтобы такого не произошло, браузеры с недавнего времени на всех сайтах без SSL-сертификатов выводят предупреждение о «незащищённом соединении».


Один из заброшенных российских сайтов без сертификата SSL

Это может быть приемлемо для бесплатной библиотеки, но не очень подходит для интернет-магазина, который потеряет часть клиентов.