С начала августа 2021 года российский финансовый рынок подвергается постоянным масштабным DDoS-атакам. При этом злоумышленники продолжают планомерно увеличивать количество и интенсивность атак, а также применять не только хорошо известные, но и самые новые их типы.
Отдельный интерес к российской банковской сфере среди киберпреступников эксперты начали отмечать ещё в середине лета 2021 года. В июле Банк России сообщал в СМИ о рисках «заражения» финансовых учреждений через участников их экосистем. На конференции Cyber Polygon 2021, прошедшей в июле, эксперты в области информационной безопасности Тереза Уолш и Троелс Оертинг отмечали, что вектор атак смещается в сторону сторонних поставщиков организаций, через которые совершается до 40% атак.
В августе ФинЦЕРТ отметил череду масштабных DDoS-атак не менее чем на 12 крупных российских банков, процессинговых компаний и интернет-провайдеров. Запросы шли из США, Латинской Америки и Азии, сообщали СМИ. В начале сентября российский финансовый сектор вновь атаковали: под влияние попали крупные банки и телеком-операторы, предоставляющие им услуги связи.
С 9 августа российский центр мониторинга киберугроз (SOC) международного сервис-провайдера Orange Business Services фиксирует резкий рост количества запросов. Пытаясь достигнуть своей цели, преступники увеличивают их частоту, площадь адресного пространства и мощность. Кроме того, злоумышленники комбинируют не только хорошо известные векторы атак, такие как TCP SYN, DNS Amplification, UDP Flood и HTTPS Flood, но и только недавно обнаруженные, например, DTLS Amplification. Этот тип атак был впервые замечен в конце 2020 года и начал широко применяться в середине этого года. Он использует уязвимости в серверах Citrix, и даже небольшая ботнет-сеть способна проводить большую по мощности атаку.
В общей сложности за месяц, с 9 августа по 9 сентября 2021 года, зафиксировано более 150 атак. При этом их интенсивность постоянно нарастает. В докладе ФинЦЕРТ по итогам 2020 года отмечалось, что самая мощная атака в 2019-2020 годах велась с интенсивностью 49 Гбит/с (на 2 Гбит/с выше рекорда 2018 года). Уже в августе 2021 года SOC Orange Business Services отбивал запросы мощностью 100 Гбит/с, а 6 сентября этот показатель превысил 150 Гбит/с. Преступники пытаются постоянно увеличивать мощность атак в надежде, что телеком-провайдеры не смогут провести очистку трафика в столь больших объёмах.
Кроме того, в отчетный период злоумышленники задействовали крупные международные ботнеты. Так, эксперты по кибербезопансности выявили одну из сетей, базирующуюся во Вьетнаме и Южной Америке, насчитывающую более 60 тыс. уникальных IP-адресов, и которая использовалась для организации атак типа HTTPS Flood на сервис верификации платежей 3D Secure. Сложность защиты от этого вектора состоит в том, что трафик зашифрован, и его содержание не видно телеком-оператору, поэтому выделить источники запросов возможно зачастую только при взаимодействии с финансовой организацией.
Злоумышленники также использовали вектор HTTPS Flood для невозможности использования приложения банков, в этом случае атака совершалась с IP-адресов России, Украины и Франции. В других случаях были задействованы ботнет-сети из Тайваня, Индонезии, Китая, России и США.
Увеличивается площадь атакуемого адресного пространства. Если в августе фиксировались в основном адресные запросы на конкретные IP-адреса финансовых организаций, то с сентября проводятся атаки, затрагивающие 256 и более адресов за раз. При этом преступники постоянно меняют или комбинируют типы атак для увеличения сложности их отражения. Весь август финансовый рынок имел дело с векторами HTTPS и DNS Amplification, 31 августа к ним добавились атаки TCP SYN, а 2 сентября были зафиксированы векторы IP Fragmentation и DTLS Amplification. Неоднократно фиксировались сразу несколько типов атак, одновременно совершаемых на финансовые организации: к примеру, атака с целью переполнения магистрального канала связи шла параллельно запросам в зашифрованном трафике на сервис платежей.