Новости / июнь 2022
"Альфа-Страхование" отбило DDoS

В июне "Альфа-Страхование-Жизнь" столкнулась с массовыми DDoS-атаками, что привело к сбоям в работе сайта и ряда клиентских сервисов. В настоящее время работоспособность всех сервисов восстановлена. До 2022 г. страховые компании в России не подвергались DDoS-атакам.
© ComNews
21.06.2022

В июне компания "АльфаСтрахование-Жизнь" столкнулась с массовыми DDoS-атаками. Они вызвали технические сбои в работе сайта и ряда клиентских сервисов, включая "горячую линию". Но при этом, как заявили в пресс-службе компании по запросу ComNews, атака была скорее сервисного характера, при этом данные клиентов не были затронуты, их утечки не зафиксировано.

До недавнего времени страховой бизнес не был самой желанной целью для киберпреступников. "Страховые компании, как и другие игроки финансового рынка, ведущие бизнес в Сети, постоянно находятся в списке топ-целей киберпреступников, хотя и в чуть меньшей степени, чем банки или криптобиржи. При этом нужно отметить, что рост количества и интенсивности различных кибератак после февраля 2022 г. не так сильно затронул именно страхование, по большей части под ударом сайты госкомпаний и госструктур", - полагает менеджер практики "Информационная безопасность" Accenture в России (бизнес передан российскому руководству 1 апреля) Марат Цихмистров.

Эксперт по кибербезопасности "Лаборатории Касперского" Александр Гутников же считает, что ресурсы страховых компаний атакуют так же, как любые другие интересные хоть кому-то ресурсы в Сети. "Сейчас мы видим сезон политически мотивированных атак, которые сместили на себя основной фокус новостей в этой области, однако обычные коммерчески мотивированные атаки тоже не пропали. Под них попадают в том числе и страховые ресурсы", - отметил он.

Ведущий инженер CorpSoft24 Михаил Сергеев согласен с тем, что до февраля текущего года страховые компании атаковали редко, однако ситуация кардинально изменилась: "До февраля DDoS на страховые компании запускали лишь злоумышленники и конкуренты, а теперь это делают почти все, но в основном атаки идут по указанию с Украины. И с того времени активность злоумышленников не спадает. Атаки в основном идут из открытого телеграм-канала с 250 тыс. подписчиков.

Там есть инструкция, как можно достаточно легко присоединиться к атаке, нужен лишь компьютер и доступ в интернет. Каждые несколько дней публикуется список целей из РФ. Но целей очень много, и они постоянно меняются, поэтому сайт под атакой находится всего лишь пару дней, а потом продолжает нормально функционировать. Хотя какой-то момент им удавалось нарушить работу даже крупных провайдеров".

Руководитель группы мониторинга Центра предотвращения киберугроз CyberART ГК Innostage Ксения Рысаева напоминает, что в текущем году интенсивность DDoS-атак против российских компаний увеличилась в восемь раз. Тем не менее, по ее оценкам, активность злоумышленников была неравномерной. "Пик активности DDoS-атак пришелся на конец февраля - начало марта этого года, однако тогда действия хактивистов были хаотичными. В мае были зафиксированы высокие показатели. Однако сейчас активность и интенсивность DDoS-атак снизилась - как результат, они не несут серьезного вреда защищаемым web-сервисам", - говорит она.

При этом, по словам Ксении Рысаевой, менялись тактики и применяемый инструментарий. С февраля по март действия хактивистов были хаотичными. Далее у них появились централизованные каналы для управления DDoS-атаками: автоматизированные агрегаторы целей и подробные инструкции для сторонников, ботнет-сетей для осуществления кибератак стало больше. Начал также применяться метод модификации html-кода для проведения DDoS-атак. Выявление модификации кода может быть долгим, как результат, атака может занимать много времени. Однако хактивисты прибегают не только к новым методам - они продолжают использовать proxy для осуществления атак. В этом случае нападения можно деактивировать с помощью блокировки всей подсети. "Если говорить об игроках, то среди них можно выделить хакерские группировки, сторонников украинской стороны, простых пользователей сети интернет", - уточняет она.

Александр Гутников полагает, что количество атак на компании финансового сектора снижается, но это компенсируется ростом их продолжительности: "Если посмотреть на статистику по атакам на финсектор, то в марте 2022 г. относительно января мы обнаружили и отбили 275,61% атак, в мае - 212,19%. С точки зрения количества, атак становится меньше. Но посчитав продолжительность этих атак, становится очевидно, что в январе средняя атака на ресурс, относящийся к финсектору, длилась чуть больше 20 минут, в марте средняя продолжительность атак на те же ресурсы была уже больше 32 часов, в мае - более 72 часов. Как можно увидеть, атаки становятся длиннее и измеряются уже сутками. И хотя в штуках количество атак выглядит меньше, время нахождения под атакой клиентов из финсектора, защищаемых нашими решениями, только растет". При этом, по мнению Александра Гутникова, методы и принципы организации атак остались прежними, так как появление технологически новых ботнетов - крайне редкое событие.

Тем не менее Александр Гутников обратил внимание на три новые тенденции: "Первое - "колхозный" хактивизм. Явление, практически полностью сошедшее на нет к июню, однако весьма популярное в конце февраля - начале марта. Идея в том, что обычные пользователи интернета, не являющиеся техническими специалистами, добровольно присоединялись к командным центрам ботнетов для участия в атаках. Второе - значительное увеличение времени проведения атак. При этом DDoS-атаки - это дорого. Держать нагруженный ботнет - тоже дорого. Держать нагруженный неэффективный ботнет сутками - это очень дорого. Именно поэтому раньше атаки измерялись минутами. Коммерчески успешными такие атаки быть не могут, что наводит на мысли о некоммерческих путях финансирования. Третье - мы начинаем наблюдать таргетированные атаки на крупных заказчиков, анализ которых заставляет предположить дизайнерскую настройку под конкретный ресурс. Такие атаки требуют ручной проработки ресурса-жертвы высококлассным специалистом и настройки ботнета для обхода защиты. Задача атакующего в этом случае - замаскировать поведение ботнета под поведение обычного посетителя ресурса. Такие специалисты редки и дороги, и чем больше времени такой специалист потратит на анализ, тем потенциально эффективнее будет атака, тем сложнее будет ее отфильтровать. Дорогое удовольствие, поэтому и крайне редкое".

При этом DDoS-атаки крайне редко используются как прикрытие для других атак. "DDoS-атака выводит сайт/сервис из строя, сервера не отвечают, поэтому применить к нему другую атаку, например, sql-инъекцию, очень проблематично. Единственное, можно атаковать один сервис компании, чтобы применить атаку к другому сервису этой же компании, так как все силы будут брошены на локализацию первой атаки", - считает Михаил Сергеев.

"Прием не новый и достаточно логичный: за валом мусорных запросов удобно скрыть действия, например, по перебору паролей - а это фактически множество запросов в форму логина. Однако в общем количестве DDoS-атак процент таких "прикрывающих" DDoS-активностей я бы оценил как весьма малый", - делится своими наблюдениями Александр Гутников.

По оценке Ксении Рысаевой, кроме "отказа в обслуживании" DDoS-атака может быть нацелена на отвлечение от проникновения в инфраструктуру, но это встречаются нечасто: "В таком случае атака не будет длиться долго. Для проведения такой атаки хактивисты должны быть компетентны и выполнить не только запуск скрипта для направления, а целый ряд действий. Чаще всего наша команда сталкивается с классической DDoS-атакой, нацеленной на недоступность внешних сервисов".

Новости из связанных рубрик