מחקר: הקורונה ייצרה צונאמי של מתקפות DDoS והשתלטות על חשבונות

מגיפת הקורונה הביאה לעלייה משמעותית במתקפות מניעת שירות מבוזרות (DDoS) והשתלטות על חשבונות (Account Takeover), זאת על פי ניתוח חדש של F5 Labs.

המחקר, המבוסס על נתונים גלובליים חדשים שמקורם בצוות תגובת אירועים של החברה, SIRT, חושף נוף איומים אינטנסיבי ופגיע בעקבות הסגר. על פי החוקרים, "הסגר פותח איומים חדשים". כך, בינואר, מספר כל האירועים המדווחים עמד על מחצית מהממוצע שדווח בשנים קודמות. עם הטלת הסגרים מחודש מרץ ואילך, מספר האירועים עלה בצורה חדה. המספרים הגיעו עד פי שלושה לעומת השנים הקודמות באפריל, והחלו לרדת לערכים נורמליים רק במאי וביוני. ביולי הם עלו חזרה עד פי שניים מהרמה שנראתה באותה תקופה בשנת 2019.

F5 Labs

התקפות DDoS מגיעות לשיאים חדשים ומשתנות

החוקרים חילקו את ההתקפות לשני סוגים: התקפות מניעת שירות ומתקפות השתלטות על חשבונות. המתקפות על החשבונות כללו מתקפות Brute Force ו-Credential Stuffing. בשתיהן, התוקפים מנסים לפלס את דרכם לחשבון המשתמש. מינואר עד אוגוסט, 45% מהאירועים שדווחו היו מתקפות DDoS ו-43% היו התקפות סיסמאות. ה-12% הנותרים היו דיווחים על נוזקות, מתקפות רשת או התקפות שלא סווגו.

ניתוח הממצאים מעלה כי התקפות DDoS מגיעות לשיאים חדשים ומשתנות: בינואר, התקפות DDoS היו אחראיות רק על כעשירית מהאירועים המדווחים. בחודש מרץ הן גדלו עד פי שלושה מכלל האירועים. בשנת 2019, 4.2% מהתקפות אלו זוהו כממוקדות באפליקציות Web. שיעור זה גדל פי 6 בשנת 2020 והגיע ל-26%. בינתיים, סוגי התקיפה הפכו למגוונים יותר. בשנת 2019, 17% מכלל התקפות ה-DDoS זוהו כמתקפות מוגברות של DNS – שמזייפות בקשות DNS על מנת להציפן בחזרה לקורבן. שיעור זה כמעט הוכפל והגיע ל-31% השנה.

אינפוגרפיקה מהמחקר. מקור: F5 Labs

מתקפות DNS Query Flood (הצפת שאילתות DNS) גם נמצאות בעלייה. במהלך התקפות אלו, התוקף שולח בקשות זדוניות שעוצבו בצורה לא-תקנית בכוונה תחילה, כדי לגרום לשרת ה-DNS להתרוקן ממשאבים. 12% מהתקפות ה-DDoS השתמשו בשיטה זו.

עוד עלה כי הקמעונאים נושאים בנטל התקפות הסיסמאות: 67% מכל ההתקפות שדווחו אודות קמעונאים בשנת 2020 היו התקפות סיסמאות, עלייה של 27% לעומת השנה שעברה. באותה תקופה, מחצית מכלל האירועים שחוו נותני השירות יוחסו להתקפות סיסמאות. 43% מהאירועים הללו נרשמו עבור לקוחות השירותים הפיננסיים. מעבדות F5 גם הבחינו בעלhיה בשיעור התקפות הזדהות על ממשקי ה-API, שהוכפל מ-2.6% בשנת 2019 ל-5% עד כה ב-2020 – למול התקופה המקבילה אשתקד.

אינפוגרפיקה מהמחקר. מקור: F5 Labs

"ניצול של התנהגות אונליין הקשורה למגיפה"

לדברי דביר פרץ, מהנדס פתרונות ב-F5, "גם בישראל אנחנו רואים עלייה משמעותית במתקפות משני הסוגים. ארגונים רבים אמנם מיישמים הגנות מפני מתקפות DDoS בשכבת הרשת – אך לא תמיד עושים זאת גם בשכבה האפליקטיבית. מצב זה הופך לנקודת תורפה משמעותית עבורם. במהלך התקופה אחרונה סייענו לארגונים רבים להיחלץ ממתקפות מניעת שירות אפליקטיביות' באמצעות מנגנון אשר מאפשר זיהוי מתקפות מניעת שירות אפליקטיביות – בהתבסס על זיהוי דפוסי התנהגות".

"התוקפים עושים בבירור כל שביכולתם כדי לנצל התנהגות אונליין הקשורה למגיפה", אמר ריימונד פומפון, מנהל מעבדות F5, "צפו לסערות נוספות בהמשך. עונת הקניות של החגים, למשל, תתרחש יותר מתמיד אונליין ותמצא תחת אש עזה מצד עברייני רשת. דבר אחד ברור: השימוש הגובר והתלות בטכנולוגיה הביאו גם לגידול נוסף בהתקפות, שגם כך היו במגמת עלייה".