Według analizy F5 Labs Security Incident Response Team (SIRT), podczas pandemii znacząco wzrosła liczba cyberataków. Rekordowy był zwłaszcza kwiecień, w którym częstotliwość ich była trzykrotnie wyższa w porównaniu z poprzednimi latami. Największy przyrost odnotowano w obszarze DDoS oraz ataków na login i hasło. Stają się one także coraz bardziej zróżnicowane.
W badaniu F5 Labs wzięto pod uwagę globalne dane dotyczące incydentów zgłoszonych do F5 SIRT w okresie od stycznia do sierpnia 2020 roku. „Cyberprzestępcy robią wszystko, żeby wykorzystać wzmożoną aktywność gospodarczą online i zmianę zachowań związaną z wybuchem pandemii” – mówi Ray Pompon, dyrektor F5 Labs, dodając, iż możemy spodziewać się jeszcze bardziej podwyższonej aktywności cyberprzestępców. „Na przykład, w tegorocznym okresie przedświątecznym proces zakupowy będzie odbywał się online w znacznie większym stopniu niż kiedykolwiek wcześniej. Ze względu na cyfrowy charakter stanie się on również sezonem ataków hakerskich” – wskazuje Ray Pompon.
Lockdown uruchamia nowe zagrożenia
W styczniu 2020 roku liczba wszystkich zgłoszonych do SIRT incydentów była o połowę mniejsza niż średnia odnotowana w poprzednich latach. Natomiast już od marca, w miarę jak rozpoczęły się lockdowny w kolejnych państwach, gwałtownie wzrosła. Ostatecznie, liczba zgłoszonych w kwietniu ataków była, jak już wspomniano, trzykrotnie wyższa w porównaniu z poprzednimi latami. Z kolei w okresie maj-czerwiec wróciła do poziomów zbliżonych w tych miesiącach w poprzednich latach, by w lipcu znów osiągnąć wartość dwukrotnie wyższą niż w analogicznym okresie 2019 roku.
Okazuje się, że najwięcej cyberprzestępstw skupiło się na dwóch obszarach: rozproszonej odmowy usługi (DDoS) oraz atakach na dane dostępowe (login/hasło). Większość z tych ostatnich stanowiły brute force attack (systematyczna technika łamania haseł i kluczy kryptograficznych) i credential stuffing (wyciągania i upychania danych uwierzytelniających) – informują specjaliści F5. W raportowanym okresie, ataki DDoS stanowiły 45%, a te na loginy-hasła 43% zgłoszonych do F5 SIRT incydentów. Pozostałe 12% związanych było z infekcjami złośliwym oprogramowaniem, atakami internetowymi lub atakami, które nie zostały sklasyfikowane.
Ataki DDoS rosną i stają się coraz bardziej zróżnicowane
Z danych F5 wynika, że w styczniu tego roku ataki DDoS stanowiły jedynie 1/10 liczby zgłoszonych incydentów, ale już do marca ich wzrost był trzykrotnie wyższy niż wszystkich pozostałych. W 2019 roku, 4,2% ataków DDoS zgłoszonych do F5 SIRT wymierzonych było w aplikacje internetowe. Z kolei w analogicznym okresie roku 2020 tego typu ataków było już sześciokrotnie więcej – 26%.
Ataki DDoS stają się też coraz bardziej zróżnicowane, zauważają twórcy analizy. Jeszcze w 2019 roku 17% wszystkich ataków DDoS zgłoszonych do SIRT rozpoznano jako DNS Amplification – fałszujących adres zwrotny w zapytaniu, co wyczerpuje przepustowość sieci. W tym roku ich liczba wzrosła prawie dwukrotnie do 31%. Coraz więcej jest również DNS Query Flood – a więc złośliwych zapytań, które mają na celu spowodować wyczerpanie zasobów serwera DNS. W badanym przez F5 Labs okresie metodę tę wykorzystywało 12% ataków DDoS.
Handel detaliczny niepokojony atakami na dane dostępowe
Nawet 67% wszystkich ataków na sprzedawców detalicznych raportowanych w 2020 roku przez SIRT stanowiły ataki na hasła – to 27% wzrost w porównaniu z poprzednim rokiem. W tym samym okresie połowę wszystkich zgłoszeń incydentów od dostawców usług obejmowały ataki na login/hasło. Podobne naruszenia, w wypadku klientów usług finansowych, stanowiły 45% zgłoszeń. Eksperci F5 Labs odnotowali również wzrost liczby ataków uwierzytelniających na interfejsy API. Ich wielkość w analizowanym okresie niemal się podwoiła z 2,6% w 2019 roku, do 5% w 2020.
