По статистике, в последнюю пятницу перед декабрём обыватели начинают массово закупаться подарками к Новому году. Например, в США примерно 70% взрослых граждан делают покупки в этот день, который в связи с огромной прибылью (чёрный цвет в бухгалтерии) коммерсанты называют «чёрным» днём.
К сожалению, статистика известна не только ритейлерам, но и кибермошенникам, которые тоже традиционно активизируются в это время года.
В связи с повышенным риском Федеральное управление по информационной безопасности Германии (BSI) в преддверии 26.11.2021 повысило уровень угрозы до «жёлтого» (пресс-релиз). По оценке специалистов, в ближайшие дни ожидаются DDoS-атаки с рекордными значениями.
Нужно заметить, что DDoS-атакам часто сопутствуют следующие явления:
- рэкет под видом «защиты от DDoS»;
- фишинг пользователей с направлением на поддельные сайты без сертификатов EV SSL (фишинг упрощается, если оригинальные сайты лежат под DDoS).
Опасный период начинается с чёрной пятницы 26.11 и продолжится до самого Нового года, включая «киберпонедельник» 29.11, предрождественские и рождественские распродажи.
Рекорды по DDoS
В этом году установлено несколько новых рекордов по инфраструктуре и сопровождению DDoS-атак:
- В ходе атаки на облако Microsoft Azure побит рекорд по пиковому трафику: 2,4 Тбита/с. В качестве вектора атаки злоумышленники выбрали отражение и усиление трафика по протоколам, которые используют транспорт UDP, с примерно 70 000 точками атаки преимущественно из Ю.-В. Азии.
Атака продолжалась более десяти минут, с очень короткими всплесками, каждый из которых достигал терабитных объемов в течение нескольких секунд. Всего наблюдалось три пика: первый 2,4 Тбита/с, второй 0,55 и третий 1,7 Тбита/с.
- В атаке на «Яндекс» использовался ботнет Meris, который установил новый рекорд по количеству запросов: почти 21,8 миллиона запросов в секунду. Ботнет Meris в основном состоит из домашних маршрутизаторов от латвийского производителя MikroTik.
Тревожные изменения наблюдаются и по другим метрикам. Например, обнаружено рекордное количество вариантов XorDDoS — Linux-трояна для контейнеров Docker.
Ботнет XorDDoS использовался для масштабных DDoS-атак несколько лет назад.
Рэкет под видом защиты от DDoS
Не секрет, что DDoS-атаки и защиту от них часто предлагают одни и те же компании.
Количество инцидентов, связанных с DDoS-рэкетом, продолжает неуклонно расти. Они всё чаще попадают в поле зрения общественности. В последнее время жертвами вымогателей часто становятся телекоммуникационные компании и VoIP-провайдеры.
В преддверии рождественских продаж становится особенно выгодно DDoS'ить интернет-магазины, для которых цена простоя резко возрастает. Сейчас ожидается значительный рост преступности, особенно в сфере DDoS-рэкета.
Меры безопасности
Рекомендации для компаний:
- Заранее составить план действий на случай попыток DDoS-вымогательства.
- Не реагировать на требования денег за защиту от DDoS.
- BSI рекомендует такой список из 12-ти квалифицированных провайдеров для защите от DDoS, куда входят Cloudfare и Akamai.
- В качестве превентивной меры против XorDDoS рекомендуется отключить Telnet и защитить SSH как минимум надёжным паролем или ключом. Для борьбы с брутфорсом можно использовать fail2ban.
Пользователям рекомендуется обращаться внимание на наличие сертификата EV SSL у интернет-магазина, чтобы не стать жертвой фишинга.
Мошенники поднимают сайты, которые выглядят как настоящий интернет-магазин. Этот сайт раскручивается через спамерские рассылки в мессенджерах и по почте. Поэтому при переходе по такой ссылке нужно дважды проверить URL, иначе деньги уйдут преступникам.
Чтобы такого не произошло, браузеры с недавнего времени на всех сайтах без SSL-сертификатов выводят предупреждение о «незащищённом соединении».
Один из заброшенных российских сайтов без сертификата SSL
Это может быть приемлемо для бесплатной библиотеки, но не очень подходит для интернет-магазина, который потеряет часть клиентов.
Комментарии (6)
gotch
26.11.2021 10:02В качестве превентивной меры против XorDDoS рекомендуется отключить Telnet и защитить SSH как минимум надёжным паролем или ключом. Для борьбы с брутфорсом можно использовать fail2ban.
В 2021 году не многие знают как включить telnet.
mrBarabas
Новость конечно правильная и верная и все разложено, НО, что помешает мошенникам вместо сертификата на условного ООО Хороший Магазин получить заранее 2 десятка ЧП Пупкин и собрать таким же образом «сливки», там более что никто и не знает толком: где и смотреть, что написано в сертификате и как соотнести good.com с ООО Хороший Магазин. Такие пресс-релизы нужны, но также нужны и промежуточные, которые должны поднимать информационную грамотность, где эти все мелочи можно будет узнать