Атаки меняют угол: DDoS-нападения на банки продолжаются

   По оценкам Orange Business Services, через которую идет значительная часть трафика крупных банков по картам, в октябре DDoS-атаки на российские финансовые организации не прекратились. Интенсивность их снизилась, но остается выше уровня первого полугодия. Более того, в октябре, как утверждают эксперты, появились новые типы DDoS-атак, которые не наблюдались в августе и сентябре.
   Как рассказали "Ъ" в Orange Business Services, в октябре DDoS-атаки на российские финансовые организации ослабли, но не прекратились. "Интенсивность давления снизилась - начиная с 23 сентября мы зафиксировали около 70 атак на финансовые организации, при этом надо отметить, что их частота все равно гораздо выше, чем в месяцы до 9 августа, когда мы детектировали начало волны DDoS-атак. В среднем этот показатель за последний месяц в четыре раза выше, чем до 9 августа",- сообщили в компании. Там отметили, что фиксируют регулярные атаки мощностью от 14 до 20 Гбит/с и не ожидают, что они прекратятся.
   В начале сентября зампред правления Сбербанка Станислав Кузнецов сообщил, что в последнюю неделю августа кредитная организация отразила "самую мощную в мире атаку на финансовый сектор" (см. "Ъ" от 2 сентября). Тогда эксперты оценили ее мощность в 50 Гбит/с и отметили, что это на 2 Гбит/с превышает рекорд, выявленный ФинЦЕРТом в 2019-2020 годах. После выхода этой новости атака повторилась и оказалась более масштабной - в результате на несколько часов у ряда крупных банков возникли проблемы с проведением платежей и обслуживанием карт (см. "Ъ" от 4 сентября). По количеству зафиксированных атак этот август сравним со всем прошлым годом, оценивают в компании.
   Несмотря на снижение числа атак и их интенсивности, появились новые векторы для перегрузки каналов связи финансовых организаций, отмечают в Orange Business Services. "В октябре злоумышленники стали использовать атаки типа NTP Amplification, STUN Amplification и WS Discovery-Amplification. Последние две атаки являются достаточно редкими, и судя по тому, что они применялись против одних и тех же организаций, что и ранее зафиксированные нами "экзотические" векторы, по крайней мере часть наблюдаемых атак совершается все теми же злоумышленниками, что и ранее",- сообщил "Ъ" директор центра по кибербезопасности Orange Business Services в России и СНГ Юрий Бармотин.
   По словам директора технического департамента RTM Group Федора Музалевского, эти векторы стали распространенными в последнее время. "При атаке с NTP Amplification потенциальный злоумышленник может использовать сеть "ботнет" (компьютерную сеть, состоящую из компьютеров с зараженным ПО), которая будет отправлять множество запросов на NTP-сервер, тем самым перегружая его, вызывая отказ в обслуживании. Эта атака представляет опасность вообще для всех устройств, подключенных к сети",- поясняет он.
   Как пояснил инженер компании RuSIEM Александр Герман, злоумышленники адаптируют тактики и техники проведения атак к усложняющемуся "ландшафту защиты". "По мере того как информационная безопасность делает "работу над ошибками" и вырабатывает средства и способы защиты от последних известных актуальных угроз, эффективность атак снижается и злоумышленники разрабатывают новые способы обхода этой защиты",- говорит он.
   Руководитель отдела аналитики Positive Technologies Евгений Гнедин отмечает, что классический мотив DDoS-атак - недобросовестная конкурентная борьба. "Но бывают и другие, например, такие атаки используются и с целью демонстрации силы злоумышленника или даже для вымогательства выкупа за остановку атаки",- поясняет он.
   По мнению ряда экспертов, тот факт, что волна DDoS-атак длится уже почти три месяца и наиболее мощные атаки были направлены на крупнейшие российские банки, может говорить о том, что они маскировали другие атаки. "Под прикрытием DDoS-атак в корпоративные сети могли попытаться внедрить вирус, способный передать злоумышленникам клиентскую базу или управление какими-либо внутренними системами банка",- пояснил собеседник "Ъ". Но удалась ли эта скрытая атака, по его словам, можно будет узнать только после того, как эта гипотетическая закладка сработает.

Источник: Коммерсант https://www.kommersant.ru/doc/5049548