Новые для хакеров территории

Зафиксированные ИБ-специалистами полмиллиона DDoS-атак на российские компании в 2024 году почти в два раза превышают их объем за 2023 год. Примечательно, что все чаще целями сетевых атак становятся региональные компании. Специалисты называют среди причин поиск хакерами более уязвимых жертв, но также геополитическую обстановку.

Выйти из полноэкранного режима

Развернуть на весь экран

В географии DDoS-атак отмечен тренд на переориентацию целей злоумышленников с Москвы на регионы, рассказали “Ъ” эксперты ГК «Солар»: «Столица по-прежнему удерживает лидерство по среднему числу атак на одну компанию (192 инцидента в 2024 году), однако в ушедшем году хакеры направили свои мощности и на региональный бизнес».

Так, в Южном федеральном округе показатель за весь год вырос в полтора раза, до 135 случаев на одну компанию. В Приволжском — в два раза, до 126, на Урале — также в два раза, до 116.

В целом за 2024 год, по оценке ГК «Солар», зафиксировано 508 тыс. DDoS-атак на российские организации — это почти в два раза больше аналогичного показателя в 2023 году, но в полтора раза меньше, чем в 2022 году. Средняя мощность таких атак увеличилась в 3,5 раза по отношению к 2023 году. Эксперты связывают это с тем, что злоумышленники стали использовать более мощные ботнеты (сети из большого числа устройств, используемых для кибератак высокой мощности). Роскомнадзор фиксировал самую мощную атаку в 2024 году длительностью более четырех дней. Тогда ее мощность достигала 2,38 Тбит/с, целью стал один из провайдеров хостинга (см. “Ъ” от 30 января).

По данным сервиса Anti-DDoS, среднее число атак на одну компанию за год выросло в 1,8 раза по сравнению с 2023 годом, до 132, однако общая доля атакуемых организаций снизилась на 6 п. п., до 69% год к году. «Это говорит о том, что хакеры не только нарастили мощности, но и стали более тщательно подбирать компании для достижения своих целей, в том числе в регионах»,— объясняет руководитель направления Anti-DDoS ГК «Солар» Сергей Левин.

Называть тенденцию по увеличению DDoS-атак на регионы «переориентацией» не спешат в ГК «Гарда». По словам руководителя отдела аналитики угроз ИБ компании Алексея Семенычева, физически атакуемые сервисы и оборудование могли находиться в регионах, но относиться к московским компаниям. «Однако злоумышленники в целом расширяют охват, и даже небольшие региональные компании становятся жертвами»,— добавляет он. Локальные сервисы для жителей регионов могут быть важнее, чем федеральные, но таких возможностей в части информационной безопасности, как у крупного бизнеса, у них нет. Злоумышленники нацеливаются на них, потому что потенциально ресурсов для успешной атаки потребуется меньше, считают в ГК «Гарда».

С тем, что атакующие ищут более уязвимые регионы для атаки, согласны в «Инфосистемы Джет». В регионах присутствует значительное количество крупных компаний, чьи бизнес-процессы критически зависят от интернет-сервисов, у которых степень защищенности ниже, чем в Москве, отметил руководитель направления по развитию бизнеса сетевой и инфраструктурной безопасности компании Никита Ступак.

Атаки на российские ресурсы в целом в F6 (бывшая Group-IB) связывают с развитием геополитической напряженности вокруг страны.

По словам технического руководителя департамента Threat Intelligence компании Елены Шамшиной, наиболее активными группировками, атакующими компании в России, остаются проукраинские. «В 2024 году со стороны одной группировки было проведено множество атак на регионы, особенно приграничные области — Курская, Белгородская. Но были атакованы интернет-провайдеры и в других регионах. С одной стороны, региональные компании сравнительно просто атаковать — многие до начала 2022 года не задумывались о серьезной киберзащите. С другой, речь идет о PR-эффекте, когда такие инциденты привлекают к себе повышенное внимание»,— отмечает она.

Филипп Крупанин