ВТБ в сентябре 2021 года подвергся рекордной по мощности DDоS-атаке на свои сервисы, пик которой достигал 350 Гбит/с, рассказал РБК представитель кредитной организации. Это в семь раз больше самой крупной зафиксированной «ФинЦЕРТом» Банка России атаки на финансовые организации в 2019–2020 годах.
DDoS-атака — это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры компании и клиентских сервисов. Для проведения DDoS-атаки хакеры используют так называемые ботнет-сети, которые создают лавинообразный рост запросов к онлайн-ресурсу, чтобы увеличить на него нагрузку и вывести его из строя. Ботнет-сети могут состоять, например, из зараженных компьютеров, которые хакеры используют удаленно без ведома пользователя, или из IoT-устройств: «умных» колонок, пылесосов и т. д. Размер ботнета может достигать сотен тысяч устройств.
В целом ВТБ с начала сентября отразил свыше 80 DDоS-атак — это больше, чем за все восемь месяцев с начала года. Также была зафиксирована рекордная для банка продолжительность DDоS-атаки — шесть часов. «Основной целью злоумышленников является недоступность онлайн-сервисов банка. В первую очередь кибермошенники стремятся вывести из строя сайт и интернет-банк, а также сервисы 3ds (сервис защиты интернет-платежей. — РБК)», — пояснил представитель банка.
По его словам, банк успешно отразил атаки злоумышленников и обеспечил непрерывность предоставления услуг клиентам банка. «Этому способствовали как средства защиты самой кредитной организации, так и сервисы по фильтрации сетевого трафика на стороне провайдеров телекоммуникационных услуг», — объяснил представитель ВТБ.
В августе Сбербанк отразил «самую мощную в мире кибератаку» на финансовую систему, рассказывал зампред правления Сбербанка Станислав Кузнецов. По данным источников «Коммерсанта», ее мощность превышала 50 Гбит/с. В своем последнем обзоре компьютерных атак ЦБ отмечал, что в 2019–2020 годах была выявлена самая мощная атака на банк, которая велась с интенсивностью 49 Гбит/с, что на 2 Гбита больше рекорда 2018 года, когда мощность атаки составила 47 Гбит/с. «Эта атака также не привела к нарушению доступности сервисов, предоставляемых организацией», — говорится в докладе Банка России.
Однако в третьем квартале 2021 года уже фиксировались атаки скоростью до 1 Тб/с, организованные на одного из игроков рынка финансовых услуг, рассказал РБК основатель и генеральный директор Qrator Labs Александр Лямин. 11 сентября компания зафиксировала беспрецедентный рост числа DDoS-атак на финансовый рынок России: их количество резко выросло — более чем в три раза. «Было зафиксировано три волны атак, максимальные скорости которых достигали 212 Гб/с, и десятки миллионов запросов в секунду. Если обычно мы наблюдаем не более 90 значимых DDoS-инцидентов в неделю, то на 11 сентября их пришлось более 300», — указал Лямин.
Международный сервис-провайдер Orange Business Services также фиксирует резкий рост атак на финансовые организации с 9 августа. «С тех пор прошло более 220 хорошо скоординированных атак. Самая большая, зафиксированная нами в этот период, по мощности составляла 150 Гбит/с», — рассказала операционный директор компании в России и СНГ Ольга Баранова.
В целом мощность в 350 Гбит/с можно назвать рядовой для индустрии, говорит Лямин: «28 сентября компания Group-IB зафиксировала DDoS-атаку на свой официальный сайт скоростью 370 Гб/с, а в мае компания Cindicator подверглась широкомасштабным атакам, полоса которых достигала 487 Гбит/с».
«Ростелеком-Солар» фиксировал самую мощную атаку в мае 2021 года — ее мощность составила 462 Гбит/с, но она была произведена на компанию из другой сферы, добавил руководитель направлений Anti-DDoS и WAF компании «Ростелеком-Солар» Тимур Ибрагимов.
По данным «Ростелеком-Солара», за три квартала 2021 года количество DDoS-атак на банки и финансовые организации выросло более чем в три раза. При этом пик активности хакеров наблюдается в сентябре, когда было совершено почти 90% всех атак. «В целом же количество DDoS-атак на российские организации за неполный 2021 год уже значительно превосходит показатели 2019 и 2020 годов, вместе взятых», — рассказал Ибрагимов. С 16 по 25 сентября количество атакуемых финансовых организаций увеличилось на 10%, следует из статистики Orange Business Services.
Мощность атак на Газпромбанк может составлять в разное время от 100 Мбит/с до 10 Гбит/с, при этом в третьем квартале 2021-го банк не сталкивался с DDoS-атаками мощностью 350 Гбит/с, рассказал заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков. Почта Банк совсем не фиксировал DDоS-атаки в сентябре. РБК направил запрос в другие крупные банки.
«Банк России фиксирует в сентябре повышенное количество DDоS-атак. Однако большинство из них имеют невысокие технические характеристики и были отражены штатным образом средствами защиты финансовых организаций. Как правило, атаки направлены на сервисы, обслуживающие платежи в электронной коммерции», — сообщил РБК представитель ЦБ. Сентябрьские атаки «не повлияли на работоспособность сервисов финансовых организаций», добавил он.
Резкий рост числа DDoS-атак начался с августа 2021 года, говорит Лямин: «Происходит это, вероятнее всего, за счет использования мощностей нового ботнета Meris, поставившего в сентябре этого года абсолютный рекорд по скорости DDoS-атак в 17 млн запросов в секунду». Предположительный масштаб Meris составляет 200 тыс. устройств, добавляет Ибрагимов. По данным Лямина, заказать DDoS-атаку на основе этого ботнета уже можно в реальном времени в некоторых Telegram-каналах.
Цели, которые преследуют злоумышленники при организации DDoS-атак, различны. Это может быть вымогательство путем шантажа или маскировка процесса кражи данных или денежных средств, перечисляет Лямин.
Хакеры часто атакуют банковские ресурсы, в частности системы дистанционного обслуживания и внутренние ресурсы (почта или удаленный доступ к рабочему месту), рассказывает Ибрагимов: «Все это влечет нарушение или полную остановку бизнес-процессов и значительные репутационные потери. Помимо этого, хакеры могут потребовать крупный выкуп за прекращение атаки».
Также DDoS может служить «дымовой завесой» для более серьезного инцидента, и пока ИБ-специалисты пытаются восстановить работу сервера, хакеры могут похитить конфиденциальные данные клиентов или корпоративную информацию, предупреждает Ибрагимов.
Евгения Чернышова