新闻概述

自2020年初以来，由于COVID-2019大流行，人们的生活几乎完全转移到了网络上-世界各地的人们现在正在工作，学习，购物和在线娱乐，这是前所未有的。最近的DDoS攻击的目标反映了这一点，第一季度针对性最强的资源是医疗组织，交付服务以及游戏和教育平台的网站。

例如，3月中旬的攻击者试图禁用美国卫生与公共服务部（HHS）的网站。攻击的目的似乎是剥夺公民获取有关该流行病以及针对该流行病采取的措施的官方数据。与此同时，身份不明的网络传播的演员误传在社交网络，并通过文本和电子邮件关于引进在美国全国范围内检疫。尝试失败：尽管负载增加，HHS网站仍继续运行。

另一个DDoS攻击的受害者是总部位于巴黎的大型医院AssistancePublique-Hôpitauxde Paris。网络罪犯试图破坏医疗机构的基础设施。结果，远程医院的工作人员一段时间无法使用程序和公司电子邮件。但是，攻击者未能使整个组织瘫痪。

送餐服务Lieferando（德国）和Thuisbezorgd（荷兰）发现自己的处境更加尴尬。对两家公司的DDoS攻击意味着，尽管他们可以接受订单，但他们无法处理订单，必须退还客户的钱。而且，针对Lieferando的网络犯罪分子要求2 BTC（在撰写本文时，金额超过13,000美元）才能停止DDoS。

德国远程学习平台Mebis 在偏远的上学第一天就遭到袭击。该服务中断了几个小时，该服务使巴伐利亚州的教师可以与学童交换材料，作业和测试。

由于隔离检疫，在线游戏的人气一路飙升。特别是，攻击者充斥着垃圾流量，充斥着Battle.net和Eve Online的服务器，后者连续面临9天的轰炸。白俄罗斯公司Wargaming也遭到了抨击：《战车世界》，《战舰世界》和其他游戏的玩家连续几天都在服务器速度方面遇到问题。但是，持怀疑态度的用户声称，这些问题与网络犯罪分子完全无关。

3月下旬，澳大利亚当局报告了MyGov社交服务门户网站上的DDoS攻击，但在重大声明发布几小时后，他们被迫承认自己犯了一个错误。事实证明，该站点无法应对由于大流行而失业的公民提出的完全真实的要求。

除了直接或间接与无所不能的冠状病毒相关的DDoS攻击外，本季度还继续出现出于政治目的的攻击。例如，在一月下半月，未知的网络参与者曾两次尝试关闭希腊政府机构和紧急服务的网站。暂时离线使用的资源包括总理，几个部委，消防局和警察局的网站。在土耳其安卡组添Neferler声称对第一次进攻的责任，但希腊当局并不急于定论，尤其是第二次攻击的肇事者还没有宣布自己。

今年将举行下届美国总统大选，而且选举将如往常一样伴随着DDoS攻击。例如，一个选民注册和信息网站在2月初遭到攻击。攻击者使用PRSD（伪随机子域攻击）技术将大量请求发送到站点的不存在子域。但是，DDoS尝试失败：保护资源免受此类攻击。

金融机构也没有幸免。2月，加密货币交易所OKEx和Bitfinex遭受了复杂的DDoS攻击。第一个保证了它在不损害用户的情况下处理了该事件，而第二个则被迫离线一个小时。根据Bitfinex管理层的说法，这是建立专门保护的必要条件。事件是相似还是相关尚不清楚。

该BitMEX加密交换同样宣布了DDoS攻击本季度-不是一次，而是两次。它的访问问题与比特币的价值急剧下降同时发生，这引起了客户的怀疑。一些人认为交易所有意下线以防止大量抛售。后来，BitMEX承诺支付赔偿，但只赔偿156个在ETH / USD对中丢失交易的用户。

与上一季度一样，知名APT组织的勒索软件攻击也成为了新闻。2月下旬，澳大利亚金融机构收到了要求使用加密货币门罗币的大笔电子邮件。攻击者将自己介绍为沉默组，并威胁要对DDoS攻击进行不付款。此前，新加坡，土耳其，南非和其他国家的公司收到了具有类似威胁的电子邮件。这些勒索分子使用了“舒适熊”，“花式熊”，“匿名者”，“卡尔巴纳克”和“ Emotet”的各种名称，希望受害者能用谷歌搜索并害怕服从。

与这些国际勒索软件组织不同，来自敖德萨的一名少年去年试图向一家拒绝合作的公司进行DDoS攻击，于2020年1月被警方抓获。这名少年想强迫乌克兰互联网服务提供商移交有关客户的信息。在遭到拒绝后，他试图禁用该公司的网络。据报道，这次攻击非常强大。

总体而言，过去一个季度的逮捕人数相当丰富。2月，亚瑟·达姆（Arthur Dam）在美国被拘留，罪名是于2018年在国会候选人布莱恩·卡福里奥（Bryan Caforio）的网站上进行了四次DDoS攻击，使其离线总共21个小时。控方指出，达姆的妻子为卡福里奥的竞争对手凯蒂·希尔工作，后者最终赢得了投票。

3月中旬，另一名网络犯罪分子因攻击俄罗斯Cherepovets一家公司的在线商店而在克拉斯诺达尔被拘留。尽管他仔细掩盖了DDoS攻击的来源，但网络警察还是设法追踪了他。该个人声称，他只是想展示自己的技能，并向公司提供服务以防御DDoS攻击。但是，这个想法甚至在他被捕之前就失败了，因为他无法撤下现场。

这个家伙绝不是DDoS世界中唯一的“双重代理”。在新泽西州，DDoS缓解公司BackConnect的创始人Tucker Preston承认犯有类似罪行。从2015年12月到2016年2月，普雷斯顿（Preston）聘请第三方来轰炸一家不知名组织的新泽西服务器，该组织的通信量很大。这项罪行可判处最高十年徒刑，最高罚款为250,000美元。

据称曾经用来发起自定义DDoS攻击的网站的所有者也可能被迫出卖。视频游戏发行商育碧（Ubisoft）在汤姆克兰西（Tom Clancy）的《彩虹六号：围攻》（Rainbow Six Siege）服务器遭受一连串攻击后，对该资源提起了诉讼。根据开发人员的说法，该网站（据称可以帮助客户测试自己的安全性）实际上专门从事DDoSing游戏。育碧正在寻求资源的关闭和所有者的损失。

季度趋势

本季度主要由冠状病毒大流行所控制，该大流行已经撼动了包括DDoS市场在内的世界上许多事情。与我们上一份报告中的预测相反，在2020年第一季度，我们发现DDoS攻击的数量和质量均显着增加。与上一个报告期相比，攻击次数增加了一倍，与2019年第一季度相比，攻击次数增加了80％。攻击次数也变得更长：我们观察到平均持续时间和最大持续时间均明显增加。每年第一季度DDoS活动都有一定的增长，但是我们没有想到这种激增。

在总体增长的背景下，智能攻击的份额在过去一年中几乎保持不变：2019年和2020年第一季度处于相同水平，约为42％。这表明专业人士和业余爱好者对DDoS攻击的兴趣都在增加：总体攻击的数量与智能攻击的数量以相同的速度增长，因此比例没有改变。

有趣的是，对教育和行政Web资源的DDoS攻击数量与2019年同期相比增加了两倍。此外，此类攻击在2020年第一季度占事件总数的19％，而一年前仅为11％。

网络犯罪分子对此类资源的兴趣的上升可能与COVID-19的传播有关，COVID-19的传播引起了对远程学习服务和官方信息来源的更多需求。自2020年初以来，大流行影响了所有行业。因此，它也影响DDoS市场是合乎逻辑的。展望未来，这种影响可能会更加明显。

尽管很难在这种全球不稳定的情况下预测任何事情，但是可以假定攻击不会减少：许多组织现在都在转向远程工作，并且可行目标的数量正在增加。如果在大多数情况下，较早的目标是公司的公共资源，则现在关键的基础结构元素（如公司VPN网关或非公共Web资源（邮件，公司知识库等））可能会受到威胁。这为攻击组织者打开了新的壁ni，并可能导致DDoS市场的增长。

统计
方法

卡巴斯基在打击网络威胁方面有着悠久的历史，包括各种类型和复杂性的DDoS攻击。公司专家使用卡巴斯基DDoS智能系统监控僵尸网络。

作为Kaspersky DDoS Protection的一部分  ，DDoS Intelligence系统可以拦截并分析机器人从C＆C服务器接收的命令。该系统是主动的，不是被动的，这意味着它不等待用户设备被感染或命令被执行。

该报告包含2020年第一季度的DDoS Intelligence统计信息。

在此报告的上下文中，仅当僵尸网络活动时间间隔不超过24小时时，该事件才被视为一次DDoS攻击。例如，如果相同的Web资源被相同的僵尸网络攻击间隔为24小时或更长时间，则这被视为两次攻击。来自不同僵尸网络但针对一种资源的Bot请求也算作单独的攻击。

用于发送命令的DDoS攻击受害者和C＆C服务器的地理位置由它们各自的IP地址确定。此报告中DDoS攻击的唯一目标数是按季度统计中的唯一IP地址数来计算的。

DDoS Intelligence统计信息仅限于卡巴斯基检测和分析的僵尸网络。请注意，僵尸网络只是用于DDoS攻击的工具之一，并且本节并不涵盖在审核期间发生的每一个DDoS攻击。

季度总结

●到2020年第一季度，大多数C＆C服务器仍在美国注册（39.93％），而大多数僵尸程序在巴西。

●就总体攻击次数的动态而言，本季度与上一季度非常相似-2月14日和15日的攻击次数超过了230次，而1月25日的攻击次数则下降至16次。

●DDoS攻击者在星期一最活跃，而更有可能在星期三休息。

●SYN泛滥仍然是最受欢迎的攻击类型（甚至以92.6％的攻击强度巩固了它的地位），而ICMP攻击出乎意料地跃居所有其他攻击类型的第二位。

●Windows僵尸网络继续流行：使用它们的攻击份额增长了3个百分点，达到5.64％。

攻击中使用的唯一IP地址的地理位置

本季度，我们决定研究僵尸网络及其组成的僵尸网络在国家/地区的分布。为此，我们分析了用于注册蜜罐攻击的唯一IP地址的位置。

在漫游器数量排名前十的国家中，第一名是巴西，其唯一IP地址占12.25％。排在第二位的是中国（11.51％），仅落后于一个百分点，而埃及（7.87％）则排在第三位，差距更大。其余前十个国家的僵尸IP地址总数得分从6.5％到2.5％。该评级还包括几个亚洲国家（越南（6.41％），第四（台湾（3.96％），第七（3.65％）），伊朗（5.56％），俄罗斯（4.65％），俄罗斯（4.65％）。 ，而美国（3.56％）排名第九。土耳其排名前十，这是用于攻击的唯一地址的2.86％的来源。

奇怪的是，这种分布只与攻击统计信息部分相关。尽管中国长期以来一直是攻击次数排名第一的国家，而越南是常规排名前十的游客，但按独特IP数量排名的领先者巴西在过去一年仅进入前20名。 ，在2019年第一季度排名第20位。它经常只出现在TOP 30的后三分之一中，与伊朗不同，伊朗在机器人数量上排名TOP 5。至于埃及（按机器人数量排名第三），它是极少发生注册攻击的来源，因此，它甚至位于前30名之外。

僵尸网络分布地理

如果单个攻击设备主要位于南美，亚洲和中东，则与上一季度一样，C＆C服务器在美国和欧洲的注册频率更高。美国的C＆C数量排名第一，在美国，到2020年第一季度，美国的C＆C数量几乎占总注册量的40％（与去年年底相比下降了18.5个百分点）。荷兰位居第二（10.07％），从第八位上升，第三位是德国（9.55％），上个季度在前十名中无人可及。如前所述，在前三名中在C＆C服务器数量的国家/地区中，只有美国托管了大量的漫游器。

C＆C数量排名第四的是另一个欧洲国家，这次是法国（8.51％），在梯级上爬了两个梯级。中国呈现出完全相反的趋势，从第三下降到第五（2019年第四季度为3.99％vs 9.52％）。加拿大（2.95％）从第九位上升到第六位，而俄罗斯，罗马尼亚（每季度休息后回到前十名）和新来的克罗地亚则排在第七位。这些国家/地区分别占C＆C服务器总数的2.43％。排名前十的是另一位新进入者，新加坡，占2.08％。

DDoS攻击数量的动态变化

2020年第一季度的攻击数量动态在许多方面与我们在2019年底所看到的类似。峰值指标每天不超过250次攻击（最热的是2月14日和15日，即在情人节之后（分别是242次和232次攻击），以及当月的3日和10日。该季度最平静的日子是1月25日和3月18日，一天的攻击次数不足20次（回想一下，2019年第四季度最安静的一天只有8次已记录的攻击）。

在过去的一个季度中，星期一的攻击次数显着增加-几乎增加了4 pp。如果在上一个报告期内，这一天仅占攻击的14％，则现在已接近18％。该季度最平静的一天是星期三（攻击率略高于11％，比上一季度下降3.7个百分点），在攻击强度方面，周四仅稍低于前一个评级的反领导者（下降1.5个百分点）。

DDoS攻击类型

在过去的一个季度中，DDoS攻击的类型分布发生了一些显着变化：ICMP泛洪增加了2个百分点，并且自信地从最后一位移至第二位（上一报告期为3.6％，而上一报告期为1.6％）。因此，HTTP泛滥以自2019年1月以来的最低分数（仅为0.3％）排名最低。UDP和TCP泛洪再次交换了位置。唯一未采取行动的是排名最高的SYN洪水，其份额持续增长，并在观察期内达到92.6％的历史新高（超过了上个季度创下的历史记录84.6％）。

Windows僵尸网络越来越流行。如果在上一个报告期内，他们仅从Linux表亲那里抢走了0.35 pp，那么这次他们采取了3 pp的策略（从攻击的2.6％上升到5.64％）。话虽如此，它们仍然是一个严重的竞争对手：十分之九的攻击继续部署Linux僵尸网络（94.36％）。

结论

2020年第一季度没有带来任何重大冲击。C＆C服务器数量排名前10位的国家/地区欢迎了两个新条目（克罗地亚和新加坡），并且看到了两个熟悉的面孔（罗马尼亚和德国）的回归。尽管我们观察到Windows僵尸网络和ICMP泛滥有所增加，但这并没有显着影响整体情况。仅攻击在星期几的分布发生了实质性变化，但是即使如此，也仅表示重新分配了工作，而不是定量转移。在情人节那天，DDoS攻击数量增加，随后出现平静，这也是可预见的季节性现象。