Ресурсы провайдеров облачных услуг все чаще используются киберпреступниками для организации DDoS-атак. К такому выводу пришли эксперты компании Akamai в результате исследования источников вредоносного трафика. По словам ИБ-специалистов, ежедневно они фиксируют до 30 нападений с IP-адресов, принадлежащих онлайн-сервисам.

Исследователи разработали собственную методику, позволяющую выделить вредоносные пакеты со стороны облачных провайдеров в общем трафике DDoS-кампаний. Специалисты фиксировали количество автономных систем с адресами сетевых сервисов в первые три минуты нападения и их число в такой же период времени за десять минут до атаки.

Аналитики определили, что если в обычных условиях доля трафика, принадлежащего автономным сетям, расположенным в облаке, не превышает 1% от общего числа пакетов, то во время DDoS-атаки этот показатель возрастает до 20% и более. Специалисты также отметили, что рост исходящего трафика за счет вредоносных запросов может варьироваться в зависимости от тематики сетевого ресурса. Так, поток запросов с аккаунтов игровой направленности при нападениях увеличивался более чем в 4 раза.

По мнению экспертов, чтобы получить доступ к профилям облачных хранилищ, киберпреступники используют учетные данные, похищенные на других ресурсах (credential stuffing). В дальнейшем скомпрометированные аккаунты привлекают для участия в DDoS-атаках вместе с IP-адресами, выделяемыми провайдерами в рамках бесплатного пробного доступа к сервису.

В марте этого года компания NETSCOUT Systems опубликовала результаты обратного исследования. Специалисты выяснили, сколько облачных сервисов являются мишенью, а не источником DDoS-атак. Как показал анализ вредоносной активности, злоумышленники все больше обращают внимание на интернет-хранилища — если в 2016 году на их долю приходилось около 25% всех нападений, то в 2018-м этот показатель вырос до 44%.

Кроме того, как показал опрос компании Bitglass, новым вектором криминальных компаний в Интернете являются облачные приложения, распространяемые по принципу SaaS. Исследователи обнаружили, что каждая третья программа, арендуемая в Сети, содержит ту или иную форму вредоносного кода.

Категории: DoS-атаки, Аналитика, Главное