DDoS-активность Linux-ботнетов растет

«Согласно новым результатам, за три месяца доля атак, проведенных как SYN flood, увеличилась на 5 процентных пунктов. Вклад Linux-ботнетов в общий DDoS-трафик продолжает расти и достиг 78,9% против 70,8% во втором квартале.

Напомним, статистика «Лаборатории» не претендует на полный охват картины, так как основана лишь на данных об активности ботнетов, причем тех, которые были обнаружены и изучены силами ИБ-компании.

В третьем квартале «лаборанты» зарегистрировали DDoS-инциденты в 67 странах. Лидеры рейтинга по этому показателю остались прежними: Китай (72,6% атак), США (12,8%) и Южная Корея (6,3%), которая опустилась на третью строчку. Россия в этом списке поднялась с шестого на пятое место (1,2% против прежних 0,6%). Всего на десятку ведущих стран пришлось 97,4% атак с ботнетов, при этом эксперты особо отметили рост DDoS-активности в Западной Европе, в частности в Италии и Германии.

Наибольшее количество DDoS пришлось на период с 21 июля по 7 августа, причем 3 августа был зафиксирован рекордный показатель для текущего года — 1746 атак в сутки; большая их часть была направлена против провайдера, серверы которого размещены в США.

Разделение атак по используемой технике, согласно «Лаборатории», осталось прежним, хотя доля SYN-DDoS увеличилась до 81%. Продолжительность DDoS в целом снизилась, 69% атак длились не более 4 часов, а доля долговременных атак, от 100 до 149 часов, сократилась с 1,7 до 0,1%. Наибольшую продолжительность показала DDoS, направленная против китайского провайдера, — 184 часа (более семи с половиной суток), тогда как рекорд предыдущего квартала составил 291 час (более 12 суток). По числу атак на одну и ту же цель «отличился» популярный китайский поисковик — 19 в течение квартала.

Страны — лидеры рейтинга по числу активных C&C-ботнетов остались прежними, хотя их совокупный вклад сократился. Первое место в этом непочетном списке занимает Южная Корея (45,8%), за ней следуют Китай и США (12,35 и 9,56% соответственно); строчкой ниже располагается Россия (5,18%). «Лаборанты» также отметили рост участия европейских ресурсов в управлении ботнетами. На долю Западной Европы в третьем квартале пришлось около 13% активных C&C-серверов, обнаруженных исследователями; особо по этому показателю отличились Нидерланды, Великобритания и Франция.

При этом доля атак с Linux-ботнетов (против Windows), как уже говорилось, продолжает расти. «Это коррелирует с ростом популярности SYN-DDoS, для которого Linux-боты являются наиболее подходящим инструментом», — пишут исследователи, добавляя, что причиной также может являться расширение использования в атаках IoT-устройств, работающих на Linux. «Лаборатория» ожидает, что с публикацией исходного кода Mirai этот тренд усилится. Подавляющее большинство DDoS (99,8%), зафиксированных в третьем квартале, проводились с использованием ботов одного семейства...»