Hai un par de anos, as axencias de investigación e os provedores de servizos de seguridade da información comezaron a informar número de ataques DDoS. Pero no primeiro trimestre de 1, os mesmos investigadores informaron do seu abraiante nun 84 %. E entón todo foi de máis en forza. Incluso a pandemia non contribuíu á atmosfera de paz; pola contra, os cibercriminales e os spammers consideraron isto un excelente sinal para atacar e o volume de DDoS aumentou. .
Cremos que o tempo dos ataques DDoS sinxelos e facilmente detectables (e das ferramentas sinxelas que poden evitalos) rematou. Os ciberdelincuentes melloraron a ocultar estes ataques e realizalos con cada vez máis sofisticación. A industria escura pasou da forza bruta aos ataques a nivel de aplicación. Recibe ordes serias de destruír procesos comerciais, incluídos os que non teñen conexión.
Irrompendo na realidade
En 2017, unha serie de ataques DDoS dirixidos aos servizos de transporte suecos resultaron prolongados . En 2019, o operador ferroviario nacional de Dinamarca Os sistemas de venda caeron. Como resultado, as máquinas de billetes e as portas automáticas non funcionaron nas estacións e máis de 15 mil pasaxeiros non puideron saír. Tamén en 2019, un poderoso ataque cibernético provocou un corte de enerxía .
As consecuencias dos ataques DDoS agora as experimentan non só os usuarios en liña, senón tamén as persoas, como din, IRL (na vida real). Aínda que historicamente os atacantes só se dirixían aos servizos en liña, o seu obxectivo é agora moitas veces interromper as operacións comerciais. Estimamos que hoxe en día máis do 60% dos ataques teñen ese propósito: extorsión ou competencia desleal. As transaccións e a loxística son especialmente vulnerables.
Máis intelixente e máis caro
DDoS segue a considerarse un dos tipos de cibercrimen máis comúns e de máis rápido crecemento. Segundo os expertos, a partir de 2020 o seu número só aumentará. Isto está asociado con varias razóns: cunha transición aínda maior dos negocios en liña debido á pandemia, e co desenvolvemento da industria na sombra do cibercrime, e mesmo con .
Os ataques DDoS fixéronse "populares" nun momento debido á súa facilidade de implantación e ao seu baixo custo: hai só un par de anos podían lanzarse por 50 dólares ao día. Hoxe, tanto os obxectivos como os métodos de ataque cambiaron, aumentando a súa complexidade e, como resultado, o custo. Non, os prezos desde 5 dólares por hora aínda están nas listas de prezos (si, os ciberdelincuentes teñen listas de prezos e horarios de tarifas), pero para un sitio web con protección xa demandan desde 400 dólares ao día, e o custo dos pedidos "individuais" para as grandes empresas. alcanza varios miles de dólares.
Actualmente existen dous tipos principais de ataques DDoS. O primeiro obxectivo é facer que un recurso en liña non estea dispoñible durante un período de tempo determinado. Os atacantes cobran por eles durante o propio ataque. Neste caso, ao operador DDoS non lle importa ningún resultado específico e o cliente paga por adiantado para lanzar o ataque. Tales métodos son bastante baratos.
O segundo tipo son os ataques que só se pagan cando se consegue un determinado resultado. É máis interesante con eles. Son moito máis difíciles de implementar e, polo tanto, significativamente máis caros, xa que os atacantes deben escoller os métodos máis eficaces para acadar os seus obxectivos. En Variti, ás veces xogamos a partidas de xadrez enteiras con ciberdelincuentes, onde cambian de táctica e ferramentas ao instante e tentan entrar en varias vulnerabilidades en varios niveis á vez. Trátase claramente de ataques de equipo nos que os hackers saben perfectamente como reaccionar e contrarrestar as accións dos defensores. Tratalos con eles non só é difícil, senón que tamén é moi custoso para as empresas. Por exemplo, un dos nosos clientes, un gran venda polo miúdo en liña, mantivo durante case tres anos un equipo de 30 persoas, cuxa tarefa era combater os ataques DDoS.
Segundo Variti, os ataques DDoS simples realizados puramente por aburrimento, trolling ou insatisfacción cunha determinada empresa representan actualmente menos do 10% de todos os ataques DDoS (por suposto, os recursos desprotexidos poden ter estatísticas diferentes, miramos os datos dos nosos clientes ) . Todo o demais é traballo de equipos profesionais. Non obstante, tres cuartas partes de todos os bots "malos" son complexos que son difíciles de detectar usando as solucións do mercado máis modernas. Imitan o comportamento de usuarios ou navegadores reais e introducen patróns que dificultan a distinción entre solicitudes "boas" e "malas". Isto fai que os ataques sexan menos perceptibles e, polo tanto, máis efectivos.
Datos de GlobalDots
Novos obxectivos DDoS
Informe dos analistas de GlobalDots di que agora os bots xeran o 50% de todo o tráfico web e o 17,5% deles son robots maliciosos.
Os bots saben como arruinar a vida das empresas de diferentes xeitos: ademais de que "crash" sitios web, agora tamén se dedican a aumentar os custos de publicidade, facer clic en anuncios, analizar os prezos para facerlles un centavo menos e atraer compradores e roubar contido con diversos fins malos (por exemplo, recentemente sobre sitios con contido roubado que obrigan aos usuarios a resolver captchas doutras persoas). Os bots distorsionan en gran medida varias estatísticas comerciais e, como resultado, as decisións tómanse baseándose en datos incorrectos. Un ataque DDoS adoita ser unha cortina de fume para delitos aínda máis graves, como a piratería informática e o roubo de datos. E agora vemos que se engadiu unha nova clase de ameazas cibernéticas: esta é unha interrupción do traballo de certos procesos comerciais da empresa, moitas veces fóra de liña (xa que no noso tempo nada pode estar completamente "sen conexión"). Especialmente a miúdo vemos que os procesos loxísticos e as comunicacións cos clientes rompen.
"Non entregado"
Os procesos comerciais loxísticos son fundamentais para a maioría das empresas, polo que moitas veces son atacados. Aquí están os posibles escenarios de ataque.
Non dispoñible
Se traballas no comercio en liña, probablemente xa esteas familiarizado co problema dos pedidos falsos. Cando son atacados, os bots sobrecargan os recursos loxísticos e fan que os produtos non estean dispoñibles para outros compradores. Para iso, realizan un gran número de pedidos falsos, igual ao número máximo de produtos en stock. Estes bens non se pagan e despois dun tempo devólvense ao sitio. Pero a escritura xa está feita: foron marcados como "esgotados", e algúns compradores xa acudiron aos competidores. Esta táctica é moi coñecida na industria de billetes de avión, onde os bots ás veces "venden" instantáneamente todos os billetes case tan pronto como están dispoñibles. Por exemplo, un dos nosos clientes, unha gran compañía aérea, sufriu un ataque deste tipo organizado por competidores chineses. En só dúas horas, os seus robots pediron o 100% dos billetes para determinados destinos.
Bots de zapatillas
O seguinte escenario popular: os bots compran ao instante toda unha liña de produtos e os seus propietarios véndenos máis tarde a un prezo inflado (de media un 200 %). Estes bots chámanse bots de tenis, porque este problema é ben coñecido na industria das zapatillas de deporte de moda, especialmente nas coleccións limitadas. Os bots compraron novas liñas que acababan de aparecer en case minutos, mentres bloqueaban o recurso para que os usuarios reais non puidesen pasar por alí. Este é un caso raro cando se escribiu sobre os bots en revistas brillantes de moda. Aínda que, en xeral, os revendedores de entradas para eventos xeniais como os partidos de fútbol utilizan o mesmo escenario.
Outros escenarios
Pero iso non é todo. Hai unha versión aínda máis complexa dos ataques á loxística, que ameaza con graves perdas. Isto pódese facer se o servizo ten a opción "Pago ao recibir a mercadoría". Os bots deixan pedidos falsos para estes produtos, indicando enderezos falsos ou mesmo reais de persoas desprevenidas. E as empresas incorren en custos enormes para a entrega, o almacenamento e os detalles. Neste momento, as mercadorías non están dispoñibles para outros clientes, e tamén ocupan espazo no almacén.
Que máis? Os bots deixan enormes críticas falsas sobre produtos, bloquean a función de "devolución do pago", bloquean transaccións, rouban datos de clientes, envían spam a clientes reais - hai moitas opcións. Un bo exemplo é o recente ataque a DHL, Hermes, AldiTalk, Freenet, Snipes.com. Hackers , que están "probando os sistemas de protección DDoS", pero ao final deixaron o portal de clientes empresariais da empresa e todas as API. Como resultado, houbo importantes interrupcións na entrega de mercadorías aos clientes.
Chama mañá
O ano pasado, a Comisión Federal de Comercio (FTC) informou dunha duplicación das queixas de empresas e usuarios sobre spam e chamadas fraudulentas de bots telefónicos. Segundo algunhas estimacións, ascenden a todas as chamadas.
Do mesmo xeito que con DDoS, os obxectivos de TDoS (ataques masivos de bots contra teléfonos) van desde "engaños" ata competencia sen escrúpulos. Os bots poden sobrecargar os centros de contacto e evitar que se perdan clientes reais. Este método é eficaz non só para os centros de chamadas con operadores "en directo", senón tamén para os que se usan sistemas AVR. Os bots tamén poden atacar masivamente outras canles de comunicación cos clientes (chat, correos electrónicos), perturbar o funcionamento dos sistemas CRM e mesmo, en certa medida, afectar negativamente á xestión do persoal, porque os operadores están sobrecargados tratando de facer fronte á crise. Os ataques tamén se poden sincronizar cun ataque DDoS tradicional aos recursos en liña da vítima.
Recentemente, un ataque semellante interrompeu o traballo do servizo de rescate nos EE. UU.: a xente común que necesitaba axuda simplemente non podía pasar. Ao mesmo tempo, o zoolóxico de Dublín sufriu a mesma sorte, con polo menos 5000 persoas que recibiron mensaxes de texto SMS de spam que os animaban a chamar urxentemente ao número de teléfono do zoolóxico e preguntar por unha persoa ficticia.
Non haberá wifi
Os cibercriminales tamén poden bloquear facilmente toda unha rede corporativa. O bloqueo de IP úsase a miúdo para combater os ataques DDoS. Pero esta práctica non só é ineficaz, senón tamén moi perigosa. O enderezo IP é fácil de atopar (por exemplo, mediante a supervisión de recursos) e fácil de substituír (ou falsificar). Tivemos clientes antes de chegar a Variti nos que o bloqueo dunha IP específica simplemente desactivaba a wifi nas súas propias oficinas. Houbo un caso en que un cliente foi "esligado" coa IP requirida e bloqueou o acceso ao seu recurso a usuarios de toda unha rexión, e non se decatou diso durante moito tempo, porque se non, todo o recurso funcionaba perfectamente.
Que hai de novo?
As novas ameazas requiren novas solucións de seguridade. Non obstante, este novo nicho de mercado apenas comeza a xurdir. Hai moitas solucións para repeler de forma eficaz ataques de bot simples, pero cos complexos non é tan sinxelo. Moitas solucións aínda practican técnicas de bloqueo de IP. Outros necesitan tempo para recoller os datos iniciais para comezar, e eses 10-15 minutos poden converterse nunha vulnerabilidade. Existen solucións baseadas na aprendizaxe automática que permiten identificar un bot polo seu comportamento. E ao mesmo tempo, os equipos do “outro” lado presumen de contar xa con bots que poden imitar patróns reais, indistinguibles dos humanos. Aínda non está claro quen vai gañar.
Que facer se tes que lidar con equipos de bot profesionais e ataques complexos en varias etapas en varios niveis á vez?
A nosa experiencia demostra que tes que centrarte en filtrar solicitudes ilexítimas sen bloquear os enderezos IP. Os ataques DDoS complexos requiren filtrado en varios niveis á vez, incluíndo o nivel de transporte, o nivel de aplicación e as interfaces da API. Grazas a isto, é posible repeler ata ataques de baixa frecuencia que adoitan ser invisibles e, polo tanto, adoitan perderse. Finalmente, todos os usuarios reais deben poder pasar, aínda que o ataque estea activo.
En segundo lugar, as empresas necesitan a capacidade de crear os seus propios sistemas de protección en varias etapas, que, ademais de ferramentas para previr ataques DDoS, terán sistemas integrados contra fraude, roubo de datos, protección de contidos, etc.
En terceiro lugar, deben funcionar en tempo real desde a primeira solicitude: a capacidade de responder instantáneamente aos incidentes de seguridade aumenta moito as posibilidades de evitar un ataque ou de reducir o seu poder destrutivo.
Futuro próximo: xestión da reputación e recollida de big data mediante bots
A historia de DDoS evolucionou de simple a complexa. Nun primeiro momento, o obxectivo dos atacantes era deixar de funcionar o sitio. Agora consideran máis eficiente orientar os procesos comerciais fundamentais.
A sofisticación dos ataques seguirá aumentando, é inevitable. Ademais, o que están a facer os robots malos agora: roubo e falsificación de datos, extorsión, spam, os robots recollerán datos dunha gran cantidade de fontes (Big Data) e crearán contas falsas "robustas" para a xestión da influencia, a reputación ou o phishing masivo.
Actualmente, só as grandes empresas poden permitirse o luxo de investir en DDoS e protección contra bots, pero mesmo elas non sempre poden supervisar e filtrar completamente o tráfico xerado polos bots. O único positivo do feito de que os ataques de bot son cada vez máis complexos é que estimula o mercado a crear solucións de seguridade máis intelixentes e avanzadas.
Que pensas: como se desenvolverá a industria da protección contra bots e que solucións son necesarias no mercado agora mesmo?
Fonte: www.habr.com