Аналитики Qrator Labs зафиксировали беспрецедентный рост числа DDoS-атак на финансовый рынок РФ. Сообщается, что атаки организованны с помощью нового ботнета Mēris, и в минувшие выходные их количество резко выросло более чем в три раза.
Напомню, что об этом ботнете недавно детально рассказали специалисты «Яндекса» и все той же Qrator Labs. Именно он ответственен за мощнейшие DDoS-атаки последнего времени, пиковая мощность которых составляла 17,2 и 21,8 млн запросов в секунду, что является новым рекордом. К примеру, в последнее время Mēris атаковал «Яндекс», одного из клиентов Cloudflare, а также стоял за DDoS-атаками в Новой Зеландии, из-за которых в стране местами перестал работать интернет, возникли проблемы у банков, почтовых отделений и так далее.
Ботнету дали имя Mēris – «чума» по-латышски, так как считается, что в основном он состоит из устройств латвийской компании Mikrotik.
Теперь исследователи говорят, что в августе и сентябре 2021 года в целом наблюдается рост числа DDoS-атак на компании из самых разных секторов экономики: от небольших бизнесов до крупнейших корпораций, а с начала сентября 2021 года злоумышленники сфокусировали свое внимание на российском финансовом секторе. Число DDoS-атак на банковские организации непрерывно растет, одновременно злоумышленники наращивают интенсивность и сложность атак, используя мощности Mēris.
Пик нападений пришелся на 11 сентября, когда была организована целая серия DDoS-атак на ведущие банки и платежные системы. Исследователи зафиксировали три волны атак, максимальные скорости которых достигали 212 Гб/сек и десятки миллионов запросов в секунду.
Особенность наблюдаемых атак заключается в том, что это атаки уровня приложения (Application Layer, L7), трафик которых может максимально походить на активность обычных пользователей. В таких нападениях используется шифрованный HTTPS трафик, для очистки которого требуется большое количество ресурсов и вычислительных мощностей, поскольку к обработке незашифрованных запросов добавляется криптографическая нагрузка.
Отмечается, что у российского финансового рынка «есть определенная специфика в области информационной безопасности, что осложняет фильтрацию подобного рода атак». То есть банк не имеет права раскрывать третьим лицам финансовую тайну, поэтому его трафик не может быть дешифрован без риска отзыва лицензии. Соответственно предоставлять ключи шифрования своему поставщику услуг защиты от DDoS-атак банки не имеют права – это идет вразрез с политиками безопасности. Именно по этой причине атаки Mēris, затронувшие банковскую индустрию, оказались сложны в выявлении и нейтрализации.
«Обычно мы наблюдаем не более 90 значимых DDoS-инцидентов в неделю, а на 11 сентября их пришлось более 300, – рассказывает основатель и генеральный директор Qrator Labs Александр Лямин. — Mēris не сдает своих позиций: атаки с его использованием продолжаются и носят феноменальный характер. В минувшие выходные в фокусе внимания злоумышленников был банковский сектор, но это не значит, что атаки не коснутся и других отраслей экономики. С учетом высокого бизнес-сезона, начавшегося в России, компаниям любого размера стоит озаботиться вопросами защиты заранее, и если система противодействия распределенным атакам на отказ в обслуживании способна в автоматическом режиме обрабатывать весь трафик HTTPS без раскрытия ключей шифрования, это поможет достойно выдержать любые атаки без сбоев в работе сервисов».
