Рейтинг
0.00

DDOS GUARD хостинг

10 читателей, 83 топика

Перерастая reverse proxy — технология удаленной защиты и оптимизации сайтов без изменения А-записей DNS



Вы решили защитить свой растущий проект от DDoS-атак. В основе любой защиты лежит анализ и фильтрация входящего трафика. Но чтобы очистить трафик, его сначала нужно доставить в центр очистки. Далее по тексту под “решением по защите” мы будем иметь в виду совокупность технологий по доставке и очистке трафика.

Скорее всего, первое решение, которое вам попадется, будет основано на технологии reverse proxy со сменой A-записей DNS. Поэтому сначала мы рассмотрим принцип работы технологии, ее возможности (если вы хорошо знакомы с reverse proxy — смело пропускайте эти два подраздела) и ограничения, связанные с доставкой трафика (это пропускать не стоит). Затем мы покажем, как эти ограничения можно обойти на примере реального кейса. В конце мы дадим несколько общих рекомендаций по организации защиты интернет ресурса.

Reverse proxy — принцип работы
Здесь мы рассмотрим reverse proxy, как средство доставки трафика. Схема ее работы всем хорошо знакома, но не упомянуть ее здесь просто нельзя.

  • Изменение А-записей DNS — вместо IP адреса веб-сервера указывается IP адрес прокси сервера. Распространение внесенных изменений по миру (DNS propagation).
  • ОС посетителя запрашивает IP-адрес, соответствующий доменному имени сайта (DNS resolution).
  • DNS сервер отвечает на запрос, сообщая IP-адрес прокси сервера.
  • Браузер посетителя открывает HTTP(s) сессию и отправляет запросы прокси серверу, который, переустанавливает соединение с целевым веб-сервером и передает запросы ему.

Reverse proxy — возможности
Какие возможности предоставляют решения работающие через reverse proxy со сменой А-записей?
  • Мониторинг запросов и защита сайта от атак на уровне приложений. Технология позволяет обработать каждый запрос уровня приложений, поступающий к целевому серверу.
  • Снижение нагрузки на целевой веб-сервер и ускорение сайта. На проксирующих серверах можно сжимать и кэшировать данные — это является основой работы сетей доставки контента CDN (Content Delivery Network).
  • Гибкое распределение нагрузки между несколькими целевыми веб-серверами. Технология позволяет распределить нагрузку по обработке запросов между несколькими машинами. Это повышает отказоустойчивость и производительность системы.
  • Простота подключения. Чтобы подключить защиту достаточно поменять А-записи DNS и дождаться, когда изменения вступят в силу. Переезд, новое оборудование и ПО — не требуются.
  • Сокрытие реального IP-адреса целевого веб-сервера. Посетитель используют IP-адрес проксирующего сервера для обращения, и с него же получают ответы, что обеспечивает анонимность целевого веб-ресурса.

Reverse proxy — ограничения
У данной технологии есть ряд подводных камней, о которых не очень-то принято говорить. К ее ограничениям можно отнести:
  • Отсутствие защиты от прямых DDoS-атак для самого веб-сервера и инфраструктуры. Если известен IP-адрес целевого веб-сервера, злоумышленники могут провести атаку напрямую, не обращаясь к DNS-серверу. Настройка файрвола на защищаемом сервере не спасает от пакетных DDoS-атак и атак на переполнение каналов.
  • Изменение IP-адресов, используемых для доступа к веб сайтам. Если одних интересует анонимность, то для других сохранение собственных IP-адресов является принципиально важным. Например если компания обладает собственными IP-адресами или целой автономной системой и не хочет ассоциировать себя с компанией, которой принадлежат IP адреса проксирующих серверов.
  • Ощутимые задержки при включении/отключении защиты. Задержки связаны со скоростью обновления информации на DNS серверах по всему миру (DNS propagation). При лучшем сценарии это занимает несколько часов, но может затянутся и на несколько суток. Длительность DNS propagation зависит от времени жизни TTL (Time to Live) DNS-записей, которое определяет через какое время сервер обновит кэш записей.
  • Нельзя защитить сайты и веб-приложения, использующие TCP-порты, отличные от стандартных 80 и 443. Если веб-приложение использует, например, UDP-порт, защитить его не получится. Запросы не будут проксироваться и легитимные пользователи просто не смогут воспользоваться приложением.


Недостатки решений по защите от DDoS-атак на базе “классической” Reverse Proxy начинают ощущаться, по мере того как растущий проект упирается во все большее число ограничений технологии. Какие технические решения способны нивелировать или значительно снизить риски недоступности сайта из-за перечисленных недостатков? — читайте ниже.

Перерастая reverse proxy
Давайте рассмотрим проблему на реальном примере из нашей практики. В прошлом году к нам обратился крупный клиент, с конкретным списком требований к услугам по защите. Мы не можем раскрыть название компании по понятным причинам, а вот потребности клиента — пожалуйста:
  • Обеспечить защиту сайтов от атак на уровне приложений.
  • Снять часть нагрузки с целевых веб-серверов и ускорить загрузку сайтов — у клиента много статического контента, и он заинтересован в кэшировании и сжатии данных на узлах CDN.
  • Обеспечить защиту от прямых атак на IP-адрес/сеть (защита от DDoS-атак на уровнях L3-L4 OSI).
  • Сервисы должны подключаться без изменения внешних IP-адресов ресурсов. У клиента своя AS и блоки адресов.
  • Управление сервисами обработки трафика и переключение на резервные каналы должно происходить в режиме реального времени — уровень доступности ресурса критически важен для клиента.

Решения на основе “классической” reverse proxy с изменением А-записей DNS позволяют закрыть первые два пункта из спиcка.

Услуги вроде защищенного хостинга, виртуальных и выделенных серверов позволяют защититься от атак на уровнях L3-L7 OSI, но требуют переезда и означают использование единственного провайдера защиты. Что делать?

Защита от DDoS внутри сети с защищаемыми сервисами
Установка фильтрующего оборудования в своей сети позволяет защитить сервисы на уровнях L3-L7 OSI и свободно управлять правилами фильтрации. Вы несете существенные капитальные (CaPex) и операционные расходы (OpEx), выбирая такое решение. Это расходы на:
  • оборудование для фильтрации трафика + лицензии на ПО (CapEx);
  • продление лицензий на ПО (OpEx);
  • штатные специалисты для настройки оборудования и контроля его работы (OpEx);
  • каналы доступа в сеть Интернет, достаточные для приема атак (CapEx + OpEx);
  • оплата входящего «мусорного» трафика (OpEx).

В результате эффективная цена за мегабит неочищенного трафика становится неоправданно высокой. Возможности по фильтрации трафика у такого решения в любом случае будут ниже, чем у специализированных провайдеров. Более того, чтобы повысить скорость работы сайта, так или иначе придется прибегнуть к услугам CDN провайдеров. Из достоинств решения стоит отметить, что расшифрованный трафик не покидает периметра защищаемой сети. Этот вопрос мы обсудим подробнее чуть позже.

Даже для крупных компаний, такое решение часто является экономически нецелесообразным, не говоря о среднем и малом бизнесе. Нашему клиенту оно также не подошло.

Проксирование без смены А-записей.
Чтобы удовлетворить потребности таких клиентов, мы разработали технологию перехвата веб-трафика и реализовали ее в рамках услуги удаленной защиты без смены А-записей. В основе решения лежит принцип: Все соединения между АС клиента и публичными сетями должны быть защищены. Клиент передает нам анонсы своих IP адресов/сетей по BGP, а мы анонсируем их в Интернет.


Весь трафик, предназначенный защищаемым ресурсам, проходит через нашу сеть. Клиент может оставить несколько резервных подключений и использовать их в случае непредвиденных обстоятельств, сняв анонсы с сети DDoS-GUARD. В штатном режиме мы советуем использовать только наши подключения для выхода в сеть Интренет, чтобы мы могли гарантировать защиту клиентских сервисов.

На схеме ниже показано, как организована обработка трафика в нашей сети на примере веб-трафика.


  • Клиент указывает IP-адреса, подсети и домены, которые он хочет защитить на уровне L7. Это можно сделать для анонсируемых сетей в личном кабинете или при помощи API
  • В сеть провайдера услуги из сети Интернет попадает клиентский трафик. В первую очередь он проходит базовый анализ и очистку от «мусора» на уровнях L3-4 модели OSI.
  • Система перехвата сепарирует и обрабатывает трафик на основании используемых протоколов уровня приложений. В данном случае TCP пакеты на 80 и 443 порты, содержащие HTTP заголовки, направляются на анализ веб-трафика, остальной трафик доставляется в сеть клиента как легитимный.
  • Веб-трафик проверяется на принадлежность защищаемой подсети. Пакеты с адресом назначения отличным от указанных клиентом проходят дополнительную проверку по имени домена.
  • Весь трафик указанных клиентом IP адресов/доменов проходит обработку на уровне L7. На проксирующих серверах осуществляется фильтрация трафика, оптимизация контента и его кеширование.

Правила для сетей и доменов можно создавать независимо друг от друга. При создании правила для домена не нужно указывать IP-адрес его веб-сервера. Такой подход позволяет не вносить изменения в правила фильтрации при миграции доменов между веб-серверами внутри защищаемой сети. По запросу клиента мы можем изменить правила обработки таким образом, чтобы перехватывать трафик на любых других портах.

Заключение
Теперь давайте проверим удовлетворяет ли разработанное DDoS-GUARD решение списку требований из раздела «Перерастая reverse proxy».
  • Клиент получает защиту от атак на уровнях L3-L7 OSI.
  • Контент сжимается и кэшируется на узлах нашей CDN, что уменьшает нагрузку на целевые веб-серверы.
  • Управление защитой происходит в реальном времени. Клиент управляет правилами фильтрации трафика для подсетей, IP-адресов и отдельных доменов через личный кабинет или API. Изменения вступают в силу пределах 1 минуты. В экстренной ситуации клиент может перенаправить весь трафик в обход сети DDoS-GUARD, просто сняв анонсы по BGP.
  • IP-адреса, принадлежащие компании, остались неизменными. Клиенту не нужно закупать новое оборудование, программное обеспечение, нанимать дополнительный персонал и платить за неочищенный трафик.

В добавок появляется возможность защитить сервисы и приложения, работающие на нестандартных портах.

P.S.
Общие рекомендации по организации защиты вашего проекта:
  • Избегайте туннелей, в т.ч. при доставке очищенного трафика через сеть провайдера — это снижает MTU (Maximum Transmission Unit). Чем ниже MTU, тем больше пакетов приходится фрагментировать, т.е. разбивать, понижая тем самым скорость передачи данных) и ставит ваш сервис в зависимость от политик по приоритезации трафика транзитных операторов.
  • Обращайте внимание на связность сети поставщика услуг — нерационально строить маршрут Красная площадь — ВДНХ, через Рязань или Франкфурт.
  • Резервируйте все подключения (каналы), операторов, оборудование, персонал. В случае с защитой от DDoS предусмотрите «стоп-кран», который позволит экстренно отключать влияние на трафик.
  • Вне зависимости от особенностей используемой схемы защиты веб-сайта, сервис должен предоставлять возможность управлять защитой в реальном времени. Учитывая, что 100% точность фильтрации недостижима, система должна быть управляемой для снижения ошибок I и II рода.

https://ddos-guard.net

Алгоритмы Brotli, рекомпрессия и HSTS: что нового предлагает DDoS-GUARD и причём тут швейцарские булки



Здравствуйте!
Быстрая загрузка сайта — путь к вершинам поисковой выдачи, высокой конверсии и довольным клиентам. DDoS-GUARD предлагает передовые решения для скорейшей и безопасной загрузки сайта без потерь контента и ошибок 404. Сегодня мы расскажем о трех современных технологиях, доступных клиентам DDoS-GUARD — как они работают и зачем вообще нужны.

1. Сжатие GZIP/Brotli
Brotli — традиционная швейцарская булочка. А ещё именно так специалисты Google назвали отличный алгоритм сжатия данных, уменьшающий их размер при «запаковывании» без потерь содержимого. Последние версии алгоритмов существенно ускоряют загрузку файлов HTML, CSS, JavaScript — плоти и крови Вашего сайта. Brotli работает у 9 из 10 пользователей Сети: если у гостей Вашего сайта Chrome моложе 51 версии, мобильный Chrome или любой браузер на основе Chromium – Opera, Яндекс.Браузер или Firefox новых версий — им доступно такое сжатие. У всех остальный сайт загрузится по привычным алгоритмам GZIP.

Теперь наши клиенты могут сжимать трафик алгоритмами Brotli. Такая опция доступна для всех тарифов.

2. Эвристическая рекомпрессия
Эта услуга объединяет мощности алгоритмов сжатия GZIP и Brotli. По данным исследований CertSimple, Brotli сжимает лучше на 14-21%, в зависимости от типа трафика (а по оценкам некоторых системных администраторов — на 25-30%). Механизмы DDoS-GUARD могут распаковывать файлы, уже сжатые на GZIP, и снова запаковывать их посредством Brotli – если браузер Вашего пользователя поддерживает более совершенный алгоритм. Более того, перед началом эвристической рекомпрессии система определяет, какой из алгоритмов сжатия более продуктивен в каждом конкретном случае — и запускает именно его.

Данная технология ориентирована на тех, кто придает значение каждому сэкономленному байту и каждой выигранной милисекунде. Она доступна всем пользователям тарифных планов Normal и выше.

3. HSTS: защита от атак «Man-in-the-middle»
HSTS (HTTP Strict Transport Security) — принцип взаимодействия сервера и браузера, при котором запросы по HTTP (менее защищенному протоколу) автоматически и прямо в Вашем браузере преобразуются в HTTPS-запросы, предполагающие надёжное шифрование. Как это работает? Посетителю сайта не удастся открыть страницу, подписанную просроченным или подозрительным SSL-сертификатом. Это защитит Вас и Ваших клиентов от атаки man-in-the-middle с подложным сертификатом. Ваши пользователи не смогут зайти на сайт злоумышленника, выдающего себя за Вас, и отдать ему свои данные и файлы cookies. Браузер увидит устаревший или подставной сертификат и разорвет соединение, не давая обычной для более ранних технологий возможности «все равно перейти на небезопасный сайт».

Важно: для включения этой функции необходимо настроить HTTPS на всех Ваших поддоменах. Сделать это одновременно с включением HSTS не получится — современные браузеры просто не откроют такие страницы. Гости Вашего сайта вместо страницы увидят только сообщение о небезопасности соединения, а «откат» изменений в аварийном режиме может занять значительное время.

DDoS-GUARD всегда на страже Вашей скорости и безопасности.
Оставайтесь с нами — оставайтесь под защитой.
https://ddos-guard.net

Обидеть хостера каждый может. Должен ли провайдер отвечать за контент своих клиентов?



Сабж
Российский хостинг-провайдер (далее – хостер) «Макхост» был оштрафован в ноябре 2020 года за то, что предоставлял услуги сайтам. Там любой желающий мог приобрести, казалось бы, безобидный товар – плюшевого персонажа знаменитого мультсериала «Свинка Пеппа».

Гендиректор «Макхоста» сказал в интервью «Коммерсанту» следующее: «Присужденная сумма такова, будто хостинг-провайдер сам продавал эти игрушки и наживался, но никаких доходов от игрушек провайдер не получал, доходы от хостинга каждого сайта находятся в пределах 500 рублей в месяц».

В то же время, основной закон в сфере блокировки информации ФЗ N 149 содержит исчерпывающие основания для блокировки, а процедура урегулирования таких конфликтов предусмотрена только в отношении владельца сайта. Но никак не в отношении хостера.

Справедливо ли наказывать провайдера, который оказывает услуги? Имеют ли законы сетевого нейтралитета право на существование в современных интернет-реалиях? Должен ли хостер быть рефери на нивах различной запрещенки? Эти вопросы вдохновили нас на написание этой статьи.

«Русские хакеры» vs американский демократический строй
Наша компания предоставляет сетевой сервис по защите от DDoS-атак. И, к сожалению, мы тоже столкнулись с трудностями из-за действий клиента, пусть и немного иного характера.

История берет начало в ноябре 2020 года. Американский кибер–аналитик Брайан Кребс обратился к подписчикам в твиттере со следующими словами:


После чего нам написал представитель сети американских дата-центров CoreSite, где располагался наш узел фильтрации трафика. Суть обращения проста – для продолжения работы с дата–центром в Лос–Анджелесе нам было необходимо перестать обслуживать домены, определенным образом связанные с ХАМАС.

Мы предполагаем, что некое третье лицо (заказчик сервиса) воспользовалось нашим бесплатным сервисом для подключения доменов, так или иначе связанных с ХАМАС.

Это лицо может быть одновременно и владельцем и администратором сайта, а может быть и сторонним заказчиком. Эти данные скрыты. Причем установить связь заказчика сервиса с указанным доменом невозможно — для этого потребовалось бы чуть ли не собственная разведывательная служба.

7 января 2021 года нас ошарашило очередное письмо от CoreSite. Американская сторона решила в одностороннем порядке завершить с нами сотрудничество. Партнеры обуславливали решение тем, что мы водили их вокруг пальца и не прекратили обслуживать доменные имена, связанным с ХАМАС. Только через пару дней в сети мы обнаружили причину расторжения контракта с CoreSite – исследование Брайана Кребса, опубликованное 5 января.


Кибер-аналитик, поклонник теорий заговоров, господин Кребс обнаружил, что наш клиент, канадский провайдер VanwaTech, обслуживал доменные имена организаций, имеющих, мягко говоря, неоднозначную репутацию.

Среди них печально известный имиджборд 8chan и портал, посвященный популярной теории заговора QAnon. Особое внимание приковано к 8chan, ведь, по данным Кребса, сторонники Дональда Трампа обсуждали там организацию разгрома Капитолия, произошедшую 6 января 2021. Вскоре и с VanwaTech было прекращено сотрудничество, о чем в статье рассказали журналисты The Guardian.

Тут же CoreSite услужливо демонтировал и сложил оборудование компании до нашего приезда. И несмотря на то, что ситуация разворачивалась в новогодние праздники, мы сделали так, что наши клиенты не заметили потери узла фильтрации.

После того, как ситуация приобрела мировой масштаб, на нас обрушился шквал запросов СМИ со всех краев земного шара: журналистам было интересно, есть ли в этой истории пресловутый “русский след”, и как в этом замешана наша компания.

На этом чудеса, как говорится, не закончились. История, которая получила еще бОльшую огласку, случилась с нами на пару со скандальной социальной сетью Parler.com. О нашей связи с ними, кстати, тоже писал Кребс, но уже заранее запросив наш комментарий.


Журналисты Reuters усмотрели наш IP-адрес в А-записях Parler, тут же решив, что мы предоставляем социальной сети услуги хостинга. Коллеги связали это с фактом расторжения сотрудничества Parler с хостингом Amazon, а также с удалением социальной сети из магазинов приложений Google и Apple.

Мы снова начали отстаивать правду перед всем миром, но уже не только перед журналистами, но и перед экспертами и рядовыми читателями. Об этом, кажется, не слышал только глухой. Федеральные СМИ, профильные YouTube-каналы и даже «Редакция» Пивоварова – все эти средства коммуникаций так или иначе обозначали нашу компанию как фигуранта этого неоднозначного дела. Мы сказали мировому сообществу, что мы услуг хостинга Parler не предоставляем, а лишь защищаем сайт от DDoS-атак – это наша первоочередная задача.



Собственно, хостинг
В связи с тем, что многие не понимают, как работает закон в отношении хостера, мы попытаемся приоткрыть завесу тайны. Хотя, не такая уж это и тайна.

Юридическая сторона вопроса. Section 230 – крик души сетевого нейтралитета

Начнем с сетевого нейтралитета. Его суть здорово описана законодателями из Соединенных Штатов в так называемой Section 230. В переводе на русский язык нормативный акт звучит примерно так:

«Ни провайдер, ни пользователь интерактивного компьютерного сервиса не считаются издателем или носителем какой-либо информации, предоставленной другим провайдером информационного контента».

Проще говоря, компании, которые предоставляют хостинг для сервисов в интернете, не считаются авторами сообщений, которые размещены на этих сервисах. И поэтому хостеры не должны нести ответственность за контент клиентов, даже если этот контент незаконный.

По словам экспертов, закон не делает хостеров нейтральными, наоборот, Section 230 приспосабливает их к современным интернет-реалиям. Специалисты считают, что закон подтолкнул хостеров выстраивать собственные отношения с клиентами и внедрять модерацию контента.

Хостер и право. Россия
Отечественное законодательство относится к хостерам, владельцам сайтов и судопроизводству по этим вопросам несколько иначе.

ФЗ N 149 «Об информации, информационных технологиях и о защите информации» — этот закон регулирует права на поиск, передачу, распространение, производство и защиту информации.

Отечественным правом было определено, что хостер – это лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, которая постоянно подключена к интернету. Тогда же провайдеру хостинга отвели роль информационного посредника.

Досудебная процедура удаления контента заключается в разрешении вопроса о правомерности использования: хозяин прав просит об удалении размещенного владельцем сайта контента и предоставляет владельцу сайта доказательства своих авторских или иных прав.

Владелец сайта, в свою очередь, может возразить — он мог ранее приобрести права на этот объект, либо объект находился в открытом доступе. Для владельца сайта имеется интерес в размещении контента — он может получать прибыль от использования сайта, либо от предоставления сайта как площадки для общения пользователей в Интернете.

Тем самым все требования, заявленные к провайдеру как к третьему лицу, исчерпываются требованиями об ограничении информации по решению компетентного суда, который внимательно проверяет основания для такого заявления. Именно такие решения и исполняет хостер.

Без судебного решения, даже если лицо обратится в Роскомнадзор с требованием удалить контента правообладателя, никаких ограничительных мер со стороны Роскомнадзора не последует, поскольку это не входит в его полномочия.

1 февраля 2021 года вступил в силу закон, согласно которому социальные сети должны самостоятельно выявлять и блокировать запрещенный контент.

Однако, нужно обратить внимание, что данный закон применим к социальным сетям, в которых имеются российские пользователи, численность которых должна соответствовать установленным законом пределам, а также находится в перечне специального реестра Роскомнадзора. На текущий момент, тот же Parler, как американская социальная сеть под эти требования не попадает.

Интересно будет вспомнить материал РБК, написанный спустя год после появления на свет закона о безопасности информационной инфраструктуры России (ФЗ N 187). За 12 месяцев существования правового акта, судебные иски подавали исключительно к хостерам, а ответчики лишь трижды явились на слушания по делам.

А что Amazon?
От Parler отвернулись американские it-гиганты. В частности, Amazon прекратил оказывать услуги хостинга одиозной социальной сети. Parler подал иск на Amazon в суд, чтоб доказать противоправность действий корпорации, но судейская мантия пока еще не приняла соответствующее решение.

Преподаватель Гарвардского юридического факультета Эвелин Доук ожидает, что между сайтами и хостерами разгорятся новые конфликты из–за высказываний в интернете.

Она считает, что социальная сеть – неподходящее место для модерации контента. Также Доук упомянула, что компания Amazon приводит 98 материалов спорного содержания в судебных документах по делу о Parler.

«Это меня даже слегка рассмешило», – сказала она в интервью американскому изданию WRVO. «Amazon вообще выходит в интернет? 98 материалов или около того – не так уж и много. Я имею в виду, в Amazon вообще видели, что размещается на Amazon?»

Иными словами, эксперт не видит логики в действиях Amazon, однако существует и другая сторона вопроса. Может ли тот же Amazon будучи хостером отслеживать все, что происходит на сайтах клиентов? Мониторинг «незаконных» клиентов займет столько пар рук и зарплат, сколько не может позволить себе даже такой гигант, как Amazon. Не говоря уже о провайдерах, обслуживающих сайты за 500 рублей в месяц.

Что делать, если к тебе пришли за объяснениями?
От подобных ситуаций не застрахован ни один провайдер. Поэтому мы собрали ряд советов, которые сделают проще жизнь коллег:
  1. Отнеситесь внимательно к сообщениям, которые приходят на ваш официальный (юридический) почтовый адрес. Это могут быть абьюзы, просьбы, различные решения компетентных органов, либо поддельные документы, не имеющие под собой оснований.
  2. Осуществляйте внимательную фильтрацию этих запросов на предмет их правомерности. Если имеются сомнения в подлинности документов или их достаточности, или полномочий того или иного лица или государственного органа – предоставляйте соответствующий ответ. Если у вас есть специальный человек на эти задачи – прекрасно, если нет – штурмуйте hh.ru.
  3. Действуйте по принципу сетевого нейтралитета и следуйте по пути закона стран пребывания вашей компании;
  4. Будьте лояльны, не рубите с плеча. Если на клиента поступила жалоба или решение ведомства, не спешите его отключать. Проведите беседу, выясните причины проблемы и попросите ее решить в установленный срок;
  5. Теперь про обращения СМИ:
    • Если вдруг у вас нет отдельной почты для обращений СМИ – заведите ее. Не помешает;
    • Наша PR-служба советует не прятаться от СМИ и давать развернутые и честные комментарии. Если вы не отвечаете на запросы журналистов, вы попросту рискуете прослыть негодяем не только для них, но и для общественности;
    • Имейте за пазухой подробный пресс-релиз произошедшего в виде официального документа. Опубликуйте его на сайте, если есть возможность. Это поможет вам тратить меньше времени на ответы СМИ. В зависимости от течения истории, документ можно всегда отредактировать;
    • Анализируйте каждое слово, сказанное вами в инфополе, ведь это поле минное;
  6. Ознакомьтесь с аналогичными ситуациями, в которых побывали ваши коллеги по цеху. Не стесняйтесь интересоваться у них, какой был план действий, как это отразилось в СМИ, и какие репутационные и финансовые риски понесли эти компании в результате своих действий;
  7. Проработайте план Б по работе с клиентами. А вдруг и вас нежданно-негаданно попросят освободить стойку в дата-центре?

Finita la commedia
Мы считаем, что суд над контентом клиентов – это не задача хостера. Вот причины:
  • Клиент может предоставить хостеру нерелевантные данные при регистрации – имена, номера телефонов и почтовые адреса;
  • Иногда направленность сервиса клиента меняется в режиме реального времени: под защиту может встать сайт по реализации мягких игрушек, а через месяц он уже продает алкоголь;
  • Нет причин, по которым хостер должен делать работу правоохранительных и других компетентных органов.

Таким образом, мы проанализировали СМИ, ознакомились с юридической стороной вопроса, перевели несколько статей и интервью экспертов с целью дать вам пищу для размышлений.

И нам кажется, что на этом наша история еще не окончена.

Запущен новый узел фильтрации сети DDoS-GUARD в Азии

Фильтрующее оборудование установлено в дата-центре Equinix HK1 (Гонконг). Equinix HK1 является одним из пяти ЦОД International Business Exchange ™, он оснащен самыми современными и надежными системами контроля температуры, энергосбережения и освещения.

Открытие нового узла позволяет DDoS-GUARD обеспечить своим клиентам отличную связность в странах Азиатско-Тихоокеанского региона, а по запросу клиентов — и с операторами связи из КНР. Фильтрующее оборудование способно защитить сеть от DDoS-атак мощностью до 1,28 Tbps без использования Pre-Firewall filter, а значит исключить потери легитимного трафика даже при сверхмощных атаках.

Подключение услуг защиты для хостинг провайдеров и дата-центров возможно посредством виртуальных туннелей (GRE, IPIP) и прямым линком. При оформлении услуг «IP-транзит» или «Защищенный IP-транзит» предусмотрен бесплатный тестовый период сроком до 3 суток.

Планомерное расширение фильтрующей сети является приоритетной стратегической задачей развития DDoS-GUARD. Расположение фильтрующих узлов в разных частях света позволяет обрабатывать трафик наиболее близко к его источнику. На сегодняшний день геораспределенная сеть фильтрации с узлами в Нидерландах, России, Германии, Японии, США и Китае имеет пропускную способность более 1.5 Tbps и обеспечивает защиту от DDoS-атак 6000 клиентов со всего мира.

DDoS-GUARD представляет бесплатный сервис защиты от DDoS-атак

К сожалению, в современных реалиях вебмастер или сисадмин не может обойтись своими силами для отражения кибератаки, а профессиональная защита доступна не всем. Стартапы, личные блоги, форумы, сайты различных некоммерческих проектов, небольшие онлайн-магазины — их владельцы зачастую не имеют лишних средств, чтобы обезопасить свой ресурс от DDoS-атак.

Миссия компании DDoS-GUARD — сделать Интернет безопасным для всех его пользователей. Именно поэтому мы запускам бесплатный сервис защиты от DDoS-атак.


Новый сервис — это полноценная комплексная защита, работающая по технологии Reverse Proxy. Подключиться к ней может владелец практически любого интернет-ресурса. Вместе с защитой от DDoS-атак пользователь получает безопасность SSL/TLS уровня А+, подключение к геораспределенной CDN (сети доставки контента). Благодаря последнему работа сайта заметно ускоряется и он лучше индексируется в поисковых системах.

Фильтрация трафика происходит на собственном оборудовании компании. Фильтрующие узлы в Нидерландах, России и Германии, а также в Японии, США и Китае с пропускной способностью более 1,5 Tbps позволяют обрабатывать трафик максимально близко к его источнику и минимизировать задержки при передаче данных.

Подключение к сервису происходит мгновенно, даже в режиме «под атакой». Владелец защищенного ресурса получает доступ к личному кабинету, где может посмотреть данные по легитимному и «мусорному» трафику и другую полезную информацию.

Мы не ограничиваем желающих получить качественную защиту бесплатно какими-либо условиями. Неважно, хотите Вы защитить один сайт или 10 — условия будут одинаковыми. Чтобы защитить свой сайт уже сейчас, просто зарегистрируйтесь на сайте ddos-guard.net и закажите услугу в личном кабинете.

Обновление раздела SSL-сертификатов и настройка ключей шифрования

Обновили интерфейс раздела SSL-сертификатов в услуге защиты сайта от DDoS‑атак. Теперь при наличии пользовательского SSL-сертификата настройка TLS-протокола происходит именно в этом модуле.

Мы также добавили возможность выбрать Пользовательский набор шифров, который позволит вам исключить ключи шифрования, например, если вашей организации требуется использование определенных TLS-протоколов и алгоритмов шифрования, или веб-сервер разрешает только определенные протоколы и алгоритмы.

Функционал пользовательского набора шифров доступен для услуги «Защита и ускорение сайта» на тарифах Medium, Premium и Enterprise.

ddos-guard.net/

Тенденции DDoS-атак в 2022 году

DDoS-атаки находятся на самом большом подъеме за всю историю. В пределах прошедшего года интенсивность в плане киберугроз особенно заметна: по нашим данным, во втором полугодии число атак выросло на 20% по сравнению с первым. Мы собрали аналитику в большой отчет и рассказываем, как изменились DDoS-атаки в 2022 году.

Общие тенденции
В связи с геополитическими событиями количество атак на Рунет выросло на 700% по сравнению с 2021 годом. Основной удар пришелся на СМИ, госсектор и сайты банков.
1 255 573 — общее число DDoS-атак, зафиксированных DDoS-Guard за 2022 год.
Среднее количество DDoS-атак в сутки выросло в 10 раз, а количество атак в час — в 11 раз. Самыми «горячими» месяцами стали март и август.


Значимой разницы между числом атак в разные дни недели не наблюдалось — хактивисты ориентировались на другие параметры. Наибольшее число атак происходит в рабочее время, с 9 утра до 20 вечера.

Повышение частоты атак
По сравнению с 2021 годом длительность атак сократилась, но их частота выросла в 3-4 раза. Дело в том, что для атак на российские сайты не используют мощные ботнеты — это слишком дорого. Вместо этого хактивисты объединяются в сообщества и делятся инструкциями по запуску вредоносных скриптов и софта для участия в атаках. Сети такого рода способны на массовые, но непродолжительные атаки.

Абсолютное большинство DDoS-атак занимали до 20 минут, также значительное количество занимали от 20 минут до 1 часа. Атаки длиной в сутки и больше составили менее 1% от общего количества инцидентов.


Организовать атаку стало намного проще. Теперь даже не обязательно устанавливать специальное ПО, чтобы сделать свое устройство частью ботнета и генерировать вредоносный трафик. Хактивисты создали целый сегмент сайтов, предназначенных специально для организации DDoS-атак. Пользователю достаточно просто зайти на такой ресурс, и он примет участие в массовом киберпреступлении.

Общий тренд, как видно из статистики — как можно больше «микро-укусов» для как можно большего числа сайтов.

Хактивизм
Ландшафт кибератак кардинально изменился в 2022 году из-за геополитических сдвигов. Если в начале года общая тенденция прослеживалась в виде однотипных длительных атак, то уже в феврале картина оказалась совсем иной.

Раньше наиболее распространенными причинами DDoS-атак были конкуренция за доступность в поисковой выдаче и сезонность — например, перед праздниками, когда пользователи делают больше всего покупок онлайн. Злоумышленники атакуют сайты в моменты пиковых посещений и требуют выкуп за прекращение атаки. Владельцам сайтов приходится делать выбор между тем, чтобы платить без гарантий окончания атаки, и тем, чтобы наблюдать, как пользователи уходят к конкурентам из-за недоступности сайта.

Эти тенденции сохраняются и по сей день, однако главной мотивацией для DDoS-атак в 2022 году стал хактивизм — ангажированные киберпреступления, которые совершают в поддержку и для демонстрации тех или иных политических идей. В ходе своих кампаний хактивисты использовали все известные им методы и инструменты. Первое время паттерны атак были хаотичными, но весной их организаторы стали действовать более слаженно, появились в том числе специализированные сообщества, цель которых — массовые кибератаки на российский сегмент интернета.

Начало 2022 года стало стресс-тестом для всех нас. Пришлось быстро перестраиваться и внедрять новые инструменты мониторинга, анализа и фильтрации. До начала августа мы находились в режиме пожара. Вектор атак постоянно менялся, атакующих устройств становилось все больше. Информационный фон стал влиять на специфику атак и потенциальные цели хакеров. Эта тенденция сохранится в ближайшем будущем.
Дмитрий Никонов, руководитель направления защиты на уровне L7, DDoS-Guard

Упор на уровень L7
В 2022 году большинство атак — разница уже в первом полугодии составила более 600% — пришлось на уровень веб-приложений (L7 по системе OSI). При этом динамика атак менялась вместе с сезонами.

В начале года мы наблюдали разнородные, специфические атаки. Весной, после того как хактивисты скоординировались, они начали массово применять одни и те же направления и методы, из-за чего атаки в какой-то момент стали достаточно однотипными и предсказуемыми, несмотря на массовость.

В начале осени методы и паттерны атак сохраняли однотипный характер, однако поведение атакующих начало заметно меняться. Они стали более тщательно готовиться: уделять больше времени координации, оценивать сайты потенциальных жертв и выбирать наиболее уязвимые.

Путь вредоносных запросов в ходе модернизированной атаки может несколько раз меняться, переключаясь между уязвимыми компонентами сайта: от корневого раздела до форм авторизации или инструментов для работы с внешними приложениями — API.

Поскольку трафик API роботизирован и однотипен, даже легитимный, нужен особый подход для диагностики и фильтрации атак. Так мы подошли к созданию нового продукта — модуля для настройки клиентом индивидуальных правил фильтрации.

Смена главных целей атак
В начале 2022 основной мишенью киберпреступников были развлекательные сайты. Эта категория с двукратным отрывом превосходила показатели по бизнес-порталам, образовательным и телеком-ресурсам, которые были в нашем топе. Все эти цели оставались в фокусе, динамика атак в них выросла многократно — например, развлекательные сайты атаковали в 6 раз чаще — 44 тысячи инцидентов против 7700 в 2021.

Однако главные объекты интереса хакеров сменились во втором полугодии. В итоге чаще всего под лавиной вредоносного трафика были новостные сайты — количество DDoS-атак на СМИ выросло в рекордные 76 раз (51 842 инцидентов против 670 в 2021). Веб-ресурсы, связанные с госорганами показали рост в 55 раз (20 766 инцидентов против 370), а на сайты банков и финансовых организаций пришлось в 20 раз больше атак, чем в 2021 году (27 600 инцидентов против 1318).

Микроатаки на СМИ
Очень частый кейс в 2022 году — множество маленьких атак по каждому из небольших сайтов, или по каждому IP всей сети. Чаще всего по такой схеме пытались вывести из строя сайты небольших региональных СМИ.

В ходе такой атаки на каждое конкретное издание нагрузка может быть небольшой, от 500 до 2000 запросов в секунду, однако в сумме цифры становятся уже заметными. Используя такую схему, атакующие, вероятно, делают расчет на то, что маленькие атаки хуже фильтруются и действуют более эффективно. Система DDoS-Guard умеет распознавать такие атаки и своевременно на них реагирует.


При этом бывают весьма интересные случаи: например, сайт одного небольшого проекта находился под атакой около 70 дней подряд. Атака поглощалась системой DDoS-Guard, и клиент ее даже не чувствовал. Но для сайта без защиты подобный инцидент будет означать полное прекращение нормальной деятельности, ведь при постоянном потоке вредоносного трафика администратору останется только повесить табличку «технические работы».

Сезонность и календарность атак
В 2022 году DDoS-атаки нередко бывали приурочены к конкретным датам, когда они могут нанести больше всего вреда: например, мы фиксировали интенсивные атаки на финансовые организации, справочные ресурсы и бухгалтерские сервисы в дни сдачи квартальной и полугодовой отчетности.

Аналогичным образом сайты локальных провайдеров связи и поставщиков ЖКХ становились целью злоумышленников в дни, когда нужно подавать данные счетчиков и оплачивать счета. Параллельно атаки направлялись на банки, чтобы нарушить прием платежей.

Хактивисты также активно работали по календарю и следили за новостной повесткой. Например, фиксировали атаки, приуроченные к конкретным датам — 9 мая, 12 июня. Любой массово освещаемый инфоповод — политические события, изменения в законодательстве — это гарантированный триггер для волны DDoS-атак на сайты СМИ. Мероприятия с участием ведущих компаний в какой-либо отрасли (особенно финансового сектора) также притягивали атаки на ресурсы, где проводилась прямая трансляция или публиковалась запись выступлений.

К чему готовиться в 2023 году
Учитывая геополитическую напряженность, к весне 2023 мы ожидаем прирост числа инцидентов еще примерно на 300%. Однако в целом тенденция изменится от количества к качеству. Постоянные DDoS-атаки как явление — теперь норма, с которой приходится жить, и от которой необходимо иметь надежную защиту.

Если в прошлом году атаки имели массовый характер, то теперь они будут более интеллектуальными, более изощренными в плане подготовки и методов. Урон от успешно проведенной атаки повысится в разы. Внимание киберактивистов сосредоточится на сервисах внутри корпоративных экосистем и приложениях, которыми одновременно пользуются сотни компаний. Наличие уязвимостей станет дополнительным фактором при выборе цели.

Ожидается рост киберузгроз с использованием малвари, шифровальщиков, и, как следствие, больше информационных утечек. Останутся актуальны и все прежние типы атак, в частности TCP-, UDP-флуд.

Незащищенные ресурсы из ранее непопулярных секторов, теперь могут оказаться интересны хакерам из-за своей принадлежности к российскому сегменту интернета. Но также сохраняется риск стать случайной жертвой атаки. В 2023 году от DDoS-атаки не застрахован никто: ни большой корпоративный ресурс, ни маленькие сайты. При этом для последней категории такие инциденты в принципе могут стать фатальными.

ddos-guard.net/info/protect?id=40148

Итоги 2022 года в DDoS-Guard



В последнюю неделю уходящего года принято подводить итоги. Давайте вместе посмотрим, чем запомнился 2022 в DDoS-Guard.

Достижения и инновации
Мы прислушивались к запросам клиентов и создавали продукты, которые помогут решить их задачи. Один из ключевых факторов успеха — удобство для пользователя. При разработке каждого продукта мы также уделили внимание автоматизации, дополнили личный кабинет детальной аналитикой и инструментами для управления сервисами.

Разработали уникальную услугу Global Proxy для платформы Tilda
Tilda искали решение, которое бы помогло реализовать «зонтичную» защиту от DDoS-атак на инфраструктуру сервиса. Стандартные решения по обеспечению безопасности не подходили, при этом постоянно рос и без того значительный объем сайтов. Также требовался единый «пульт управления» защитных опций для всех клиентов Tilda. Мы справились с задачей и создали уникальный продукт, который обеспечил нашего клиента всеми необходимыми инструментами защиты.

Создали услугу TwinTunnel, которая гарантирует 100% доставку трафика по всему миру
Теперь, при подключении к системе фильтрации DDoS-Guard, туннелирование трафика происходит одновременно со всех основных узлов сети. Это позволяет обеспечить 100% доставку трафика в любую точку мира, нивелируя проблемы, которые могут возникнуть на отдельно взятом маршруте.

Обновили конфигуратор защищенных VDS в DDoS-Guard
Раньше были доступны только фиксированные конфигурации виртуального выделенного сервера. Теперь вы можете самостоятельно настроить необходимый объем RAM, SSD и CPU. Увеличились мощности самого железа и появилась возможность выбрать полосу легитимного трафика: 100 Мбит/с и 1 Гбит/с.

Запустили новый тариф «Medium»
Его ждали многие. Теперь, в услуге «Защита и ускорение сайта» можно выбрать тариф «Medium», который имеет сбалансированный функционал, созданный с учетом запросов клиентов:
  • Защита 3 доменов.
  • Выделенный IP-адрес.
  • Высокий приоритет обработки трафика.
  • Черные/белые списки: до 30 правил.
  • Балансировка нагрузки: до 5 серверов.
  • Возможность использования геоблокировки.

Тариф подойдет тем, кому необходимо защитить 1-3 домена с высоким приоритетом обработки трафика, отчетами об атаках и возможностью управления услугой через API.

Общественная жизнь
Мы побывали на множестве онлайн- и офлайн- конференций. Были участниками отраслевых выставок, где делились опытом и знаниями. А еще отпраздновали 11-летие компании.
Финал рейтинга работодателей hh.ru 2021
Получили диплом финалиста и не собираемся останавливаться на достигнутом. В 2022 году мы продолжаем развиваться —проводим внутренние митапы и модернизируем процесс адаптации новых сотрудников.

Онлайн-конференция Anti-Malware
С ведущими экспертами в области информационной безопасности обсудили, как обеспечить эффективную защиту веб-приложениям в турбулентных условиях рынка.

Конференция российских операторов связи
Слушали доклады и обменивались опытом с с коллегами по телекоммуникационной отрасли.

Выступление на Linkmeup
Дмитрий Шмидт — ведущий инженер информационной безопасности DDoS-Guard — рассказал о мощности нашей сети, узлах фильтрации трафика и процессе подключения клиентов к услугам.

Selectel Network Meetup
Делились опытом с сетевыми инженерами ведущих компаний и обсуждали решение проблем с безопасностью. Дмитрий Никонов — руководитель направления защиты L7 — рассказал, как кибератаки повлияли на рынок информационной безопасности в РФ.

GITEX Global
Ездили в Дубай для участия в международной выставке информационных технологий. Вдохновились масштабом мероприятия: более 5000 стендов, передовые разработки, слияние реальности и цифрового пространства. Участие в GITEX Global стало новым этапом развития цифрового будущего нашей компании.

HighLoad++ 2022 в Москве
Крупнейшая профессиональная конференция для разработчиков высоконагруженных систем традиционно удивляет участников разнообразием активностей на стендах. Специально для мероприятия мы разработали игру в стиле Tower Defense и устроили кибертурнир.
Команда DDoS-Guard на нашем стенде.
Публикации
В 2022 году мы обновили наш фирменный блог на сайте. Стали выпускать регулярные статьи, где рассказываем о технологиях простыми словами.

Блог на сайте DDoS-Guard
Актуальные статьи и новости об обновлениях наших сервисов в удобном формате. Теперь читатели могут использовать поисковую панель для быстрого доступа к нужным темам. Мы разделили статьи на 7 категорий, куда вошли аналитические отчеты, жизнь компании, рекомендации по защите от DDoS-атак и другие.

Блог DDoS-Guard на VC.ru
Там мы позволяем себе отойти от серьезных технологических вопросов и больше пишем о жизни компании: берем интервью у коллег, рассказываем о дизайне, делимся личными достижениями сотрудников и даже гайдами по рукоделию.

Телеграм-канал DDoS-Guard
Публикуем короткие статьи, истории и советы. В конце каждого месяца выходит дайджест о самых громких событиях в мире кибербезопасности. Присоединяйтесь!
2022 год запомнится нам активным, инновационным и сложным. Мы стали более гибкими, выросли в мощностях и запустили несколько новых проектов. Улучшили функционал ряда услуг и помогали клиентам 24/7 в решении сложных задач. Команда DDoS-Guard умеет работать в сложившихся реалиях информационной безопасности и готова к новым вызовам индустрии.
Поздравляем вас с наступающим Новым годом! Пусть 2023 будет успешным и счастливым, сюрпризы — только приятными, а путешествия по просторам Интернета — безопасными.

Дайджест событий в мире кибербезопасности за 2022 год

Масштабы и разнообразие киберпреступлений в 2022 году впечатляют. Редакция DDoS-Guard просмотрела тысячи инфоповодов и сделала подборку с инфографикой.



Январь
2022 год начался с нестандартных краж: киберпреступники похитили NFT-токены со «скучающими обезьянами» на 2,2 млн долларов, получив доступ к облачному хранилищу коллекционера Тодда Крамера.

NFT (non-fungible token — англ.) представляет собой уникальный виртуальный идентификатор, созданный на базе блокчейн-технологий. NFT используют для подтверждения прав на владение цифровыми активами: изображениями, музыкой, игровыми предметами и другими.

  • Сразу две финансовые онлайн-платформы стали жертвами взлома. Сначала хакеры увели $80 млн цифровых активов из Qubit. А позже у пользователей криптобиржи Crypto.com украли $15 млн.
  • Пожалуй, самая громкая новость января, разлетевшаяся по всему миру, связана с арестом хакерской группировки REvil. В течение многих лет REvil зарабатывала сотни миллионов долларов на корпорациях. Используя специализированное вирусное ПО, злоумышленники сливали и зашифровывали данные компаний, а затем требовали у них выкуп за восстановление.

Февраль
В феврале 2022 мир накрыло неожиданным снегом и заморозками. В Канаде дворовые коты в попытке согреться «атаковали» спутниковую тарелку Starlink и оставили её владельца без интернета. В соцсетях эту ситуацию прозвали «уязвимостью CAT5». Вышло иронично, ведь так называется стандартный интернет-кабель, а котов на тарелке как раз 5 штук.

  • За новостью о январском аресте REvil, последовала еще одна: под ликвидацию попала группировка Lurk. Члены группировки проводили масштабные атаки на банковскую систему и госучреждения. За годы «карьеры» они успели внедрить вредоносное ПО в сети крупнейших банков, похитив в сумме 1,26 миллиарда рублей.
  • Команда вымогателей Lapsus$ получила несанкционированный доступ к почтовому серверу Nvidia и установила вредоносное ПО, в результате чего завладела 1 ТБ данных компании. Сотрудники компании не смирились с потерей данных — в качестве ответного удара они проникли в систему хакеров и зашифровали украденные данные. Lapsus$ заявили, что у них осталась резервная копия, защищенная от взлома.

  • Встречайте одну из крупнейших криптовалютных краж с хэппи-эндом: хакеры увели более $324 млн в криптовалюте из блокчейн-платформы Wormhole, а затем вернули всю сумму. Разработчики Wormhole предложили вознаграждение в $10 млн за подробности об эксплойте и возвращении украденных средств. Похоже, это один из редких случаев, когда хакеры сменили черные шляпы на белые.
  • Black hats — хакеры, которые нарушают закон и совершают неправомерные действия в виде взломов и вымогательств.
  • White hats — специалисты, которые находят уязвимости, но не выходят за рамки закона и не вымогают деньги. Крупные компании готовы платить за обнаружение критически важного бага десятки и даже сотни тысяч долларов.
  • Последний день февраля ознаменовался утечкой данных пользователей «Яндекс.Еды». Миллионы строк с адресами, номерами телефонов, именами и подробностями заказов оказались в руках злоумышленников. Компания подчеркивала, что данные банковских карт не попали в открытый доступ.

Март
  • История с «Яндекс.Едой» получила продолжение: сервис разослал уведомления владельцам скомпрометированных данных, опубликовал пресс-релиз и официальные комментарии с извинениями. В конце марта в сети появился сайт с интерактивной картой и информацией о доставках за последние полгода. Сайт был позже заблокирован, а пользователи «Яндекс.Еды» подали коллективные иски против компании.
  • Финансовые организации, СМИ и другие проекты, так или иначе связанные с российским правительством, в марте оказались под угрозой массированных кибератак. Многие сайты также подверглись взлому: «Коммерсантъ», «Известия», Forbes, Buro 24/7, РБК, ТАСС, Znak, «Фонтанка.ру» и E1.
  • Сервис доставки Boxberry подвергся массированной DDoS-атаке, которая вызвала временные перебои в работе сайта и личных кабинетов пользователей. Компания сообщила, что также наблюдались проблемы с оформлением заказов, отправкой и выдачей посылок.
  • На зарубежных хакерских форумах и в Телеграм-каналах развернулись кампании по организации DDoS-атак на российские сайты. На фоне этих событий специалисты DDoS-Guard зафиксировали феноменальный всплеск вредоносного трафика.


Апрель
  • В сети появилась новая хакерская организация Black Cat, которая практикует двойное вымогательство. Сначала хакеры похищают данные и требуют выкуп за предотвращение утечки, а затем требуют оплату за расшифровку.
  • После введения санкций против «Сбера» из App Store и Google Play удалили официальные приложения банка. На фоне этого мошенники стали распространять поддельные приложения через Телеграм-каналы и чаты в мессенджерах. А после ухода Intel и других зарубежных брендов в рунете появились поддельные онлайн-магазины Apple и Samsung.
  • Злоумышленники также предлагали услуги посредничества при оплате подписок PlayStation, Youtube, Amazon и Prime. Мы рекомендуем не жалеть времени и внимательно изучать всю информацию о сайтах и товарах, чтобы убедиться в честности магазина и не потерять свои деньги.
  • Еще один вредоносный тренд был замечен в сегменте NFT-игр. Хакеры взломали мобильную игру Axie Infinity и завладели $625 млн в криптовалюте. А спустя неделю жертвой аналогичного взлома стала игра WonderHero, весь внутриигровой контент которой представляет собой NFT токены. За промежуток времени, когда разработчиком был замечен взлом и отключены игровые серверы, злоумышленникам удалось вывести токенов на сумму $300 000.


Май
  • Начало месяца принесло новость об очередной утечке данных. В центре внимания оказалась база клиентов лаборатории «Гемотест». Хакеры выставили на продажу более 30 миллионов строк, среди которых ФИО, даты рождения, адреса, паспортные и контактные данные. Позднее появился еще один лот, содержащий более 500 млн. результатов анализов пациентов.
  • Новая карта с данными 6 млн пользователей Яндекс.Еды, WildBerries, Avito, ГИБДД и других сервисов появилась в интернете. Она пополнилась номерами автомобилей, ссылками на соцсети и списком публичных личностей, имевших аккаунты на скомпрометированных ресурсах.

  • В сеть также попала информация о курьерах и заказах пользователей Delivery Club. По разным данным, объем базы составил 250 млн строк.
  • От слива данных не спрятаться даже за сервисами VPN. В сеть выложили данные 21 миллиона пользователей SuperVPN, GeckoVPN и ChatVPN. В базе содержатся полные имена, никнеймы, адреса электронной почты, платежные данные и случайные строки паролей. Мы собрали все риски использования бесплатных VPN и советы по выбору надежного сервиса в специальном материале.

Июнь
  • Встретили лето с новостями об утечке конфиденциальных данных авиакомпании Pegasus Airlines. Массив в 6,5 терабайт содержит 23 млн файлов с исходным кодом корпоративного сервиса, журналами безопасности, информацией о членах экипажа и другими данными, которые попали в сеть из-за некорректной настройки облачного хранилища.
  • Данные пользователей GeekBrains тоже оказались в открытом доступе: в обнародованном файле около 100 000 строк с ФИО и контактами. Но это был только тизер — полная версия базы насчитывает 6 млн строк.
  • «Ростелеком» дважды за месяц оказался в центре внимания: сначала в сеть утекла база сотрудников, а через несколько дней после инцидента в интернете также появились данные пользователей «Умного дома» — сервиса для наблюдения за жильем в целях безопасности.
  • Блокчейн-мост Horizon потерял $100 млн в результате взлома. Средства выводили в течение трех дней, используя один и тот же алгоритм. Из-за совпадения времени транзакций с часовым поясом Азиатско-Тихоокеанского региона под подозрение попала хакерская группировка Lazarus.
  • С началом приемной кампании на сайты вузов по всей стране обрушились DDoS-атаки. Портал «Госуслуг» также стал жертвой массированной атаки и в течение нескольких часов работал нестабильно. В DDoS-Guard зафиксировали всплеск вредоносной активности и подвели итоги первого полугодия — наша сеть фильтрации отразила более 500 000 атак.


Июль
  • Хакеры взломали базу данных полиции Шанхая и получили доступ к персональным данным 1 миллиарда жителей Китая. За массив с именами, адресами, контактами и национальными идентификаторами общим объемом в 23 Тб злоумышленники хотят получить 10 биткоинов.
  • В Южной Корее мощная ransomware-атака парализовала работу национальной системы вызова такси. Компании пришлось заплатить выкуп, чтобы получить ключ дешифровки и восстановить свои сервисы.
  • В результате взлома финансовая площадка Crema Finance потеряла $8,8 млн. Однако позже компании удалось заключить сделку с хакером. Он вернул большую часть суммы и в качестве вознаграждения получил $1,65 млн.
  • По данным РБК, за первое полугодие 2022 различные криптоплатформы суммарно потеряли более $670 млн.
  • В открытом доступе оказались 2,5 млн строк с информацией о пользователях сервиса покупки билетов «Туту.ру». А «Почта России» допустила утечку в 10 млн строк с ФИО, адресами и другими деталями отправлений.

Август
Злоумышленники распространили в сети вирусный файл, который выдает себя за приложение DDoS-Guard. Напомним, что у DDoS-Guard нет ПО, которое требовалось бы устанавливать на пользовательские устройства.

  • Хакерская группировка Quantum парализовала работу Доминиканского аграрного института. Злоумышленники зашифровали данные и потребовали выкуп в размере $600 000 за расшифровку. От аналогичной программы-вымогателя пострадал и американский производитель одежды HanesBrands. Компания была вынуждена приостановить поставки и потеряла $100 млн.
  • Блокчейн Solana подвергся масштабной атаке с помощью неизвестного эксплойта. Под удар попало более 7900 кошельков, владельцы которых потеряли $5,8 млн.
  • Сведения о десятках тысяч клиентов компании «СДЭК» утекли в сеть: имена, адреса электронной почты, телефоны, хешированные пароли и другая информация. База данных 44 млн пользователей онлайн-кинотеатра Start также оказалась в открытом доступе.
  • Популярный генератор паролей LastPass был взломан. Хакеры похитили фрагменты исходного кода и часть проприетарной технической документации.
  • Google отразил крупнейшую DDoS-атаку в истории – она длилась чуть более часа и насчитывала 46 млн запросов в секунду.

Сентябрь
  • 1 сентября в результате атаки на «Яндекс.Такси» десятки машин отправились на вызовы в московский район Фили. Это спровоцировало огромную пробку и временные проблемы с реальными заказами.
  • Неизвестный хакер получил доступ к внутренним сервисам Uber: корпоративной почте, облачному хранилищу и репозиториям. Злоумышленники с громкими именами также проявили себя в этом месяце:
  • Киберпреступники из KillNet вывели из строя японскую платежную систему JCB, соцсеть Mixi и сервис, аналогичный российским «Госуслугам».
  • Группировка REvil взломала производителя бытовой техники Midea и украла 400 Гб конфиденциальных данных.
  • Команда BlackCat похитила 700 Гб данных у итальянской энергетической компании.
Октябрь
  • В сеть утекли данные 16 млн пользователей магазина DNS: ФИО, адреса электронной почты, номера телефонов и юзернеймы.
  • Хакеры из группировки LockBit заявили, что похитили 1,4 ТБ данных у DIY-ритейлера Kingfisher, включая личные данные сотрудников и клиентов.
  • Группировка KillNet атаковала 14 сайтов американских аэропортов. Из-за DDoS-атаки стала недоступна информация о загруженности и времени ожидания.
  • Российский хакер взломал платформу JEE, которая используется для проведения объединенного вступительного экзамена в Индии, и решал задачи за студентов.
  • Приятная новость: инженеры Apple исправили ошибку, которая позволяла приложениям подслушивать разговоры с Siri.

Ноябрь
Последний месяц осени принес немало новостей об утечках информации:
  • Группировка BlackCat атаковала французскую сеть товаров для дома Conforama и украла 1ТБ конфиденциальных данных компании.
  • В открытый доступ попала база данных 2 миллиона пользователей российского сервиса вертикальных видео Yappy: телефоны, никнеймы, информация об устройствах и связанные идентификаторы VK и Google.
  • В сеть слили базу из 7 млн уникальных номеров телефонов и других данных пользователей сервиса аренды самокатов Whoosh.
  • Авиакомпания AirAsia стала жертвой атаки программы-вымогателя, в результате которой в открытом доступе оказались личные данные 5 млн уникальных пассажиров и всех сотрудников.
  • Злоумышленники обнародовали данные 4 млн пользователей провайдера «Дом.ру». База содержит данные абонентов из Санкт-Петербурга: ФИО, дату рождения, ИНН, адреса, банковские реквизиты, а также номера телефонов.
  • WhatsApp также не смог предотвратить утечку 500 млн. номеров телефонов пользователей из разных стран.
  • Хакеры получили доступ к 130 репозиториям исходного кода DropBox. Помимо этого им стала доступна личная информация клиентов хостинга.
  • В результате взлома можно лишиться не только данных, но и денег — так криптобиржа Deribit потеряла около $28 млн.

Декабрь
В Канаде прошел хакерский турнир Pwn2Own Toronto 2022. Участники проявили навыки взлома умных устройств, сетевых хранилищ, маршрутизаторов и мобильных телефонов. Самые успешные увезли домой почти миллион долларов в качестве вознаграждения.

Британский центр правительственной связи (GCHQ) опубликовал рождественскую открытку с ребусом для юных кибершпионов. Он состоит из головоломок по семи направлениям: кибербезопасность, лингвистика, шифрование, анализ, инжиниринг, взлом кода и математика. А чтобы расшифровать итоговое секретное послание, придется проявить нестандартное мышление.

На хакерском форуме опубликовали доступы к аккаунтам более 5 миллионов клиентов криптобиржи Gemini. Представители биржи рекомендуют настроить двухфакторную аутентификацию, чтобы злоумышленники не смогли использовать скомпрометированные данные и вывести средства с частных счетов.

Успешная фишинговая атака привела ко взлому сайта ФБР. Группировка Killnet получила доступ к аккаунтам 10 000 сотрудников и даже к их медицинским картам.

Сразу две австралийские компании сообщили об утечке данных. Страховая компания Medibank не смогла защитить информацию о 9,7 млн своих клиентов, а мобильный оператор Telstra — 130,000.

В сеть слили данные 242 тысяч пользователей онлайн-магазина Вкусвилл. Массив состоит из номеров телефонов, email-адресов и информации о заказах.

В руки злоумышленников также попали контактные данные сотрудников магазинов электроники DNS и персональные данные 900 тысяч пользователей Level.Travel — сервиса подбора путешествий.

Данная подборка не охватывает весь спектр киберпреступлений за 2022 год — мы выбрали ключевые моменты. Похоже, что главным трендом стали утечки данных, и в ближайшем будущем этот тренд продолжит набирать обороты.



Хотим напомнить, что DDoS-атаки остаются популярным инструментом для «прикрытия» взломов и перехвата конфиденциальной информации. Злоумышленники отвлекают внимание администраторов ресурса внезапными всплесками вредоносного трафика, выводят из строя часть инфраструктуры. Параллельно пытаются получить доступ к нужным серверам или внедряют вредоносные скрипты в код веб-приложения.