新一代 HTTPS 洪水攻击的频率和强度急剧增加,攻击者引入的复杂程度也在迅速提高。2024 年上半年,Web 分布式拒绝服务 (DDoS) 攻击的频率和强度显著增加。其中很大一部分活动可以归因于受政治紧张局势驱使的黑客活动分子。
众所周知,当今的黑客活动分子会针对在线应用程序发起更复杂的 L7 攻击,而 HTTP/2 快速重置和持续洪水等新载体正在将这些攻击的强度和持续时间推向新的高度。
2024 年,Radware 云保护服务阻止的 Web DDoS 攻击数量几乎呈指数级增长。2024 年第一季度,缓解的 Web DDoS 攻击数量与 2023 年第四季度相比增加了 137%。2024 年第二季度,Web DDoS 攻击数量与 2024 年第一季度相比再次增加了 85%。
大多数 Web DDoS 攻击都针对 EMEA 地区的组织,受到地缘政治冲突和欧盟议会选举、德国 2024 年欧洲杯和 2024 年巴黎奥运会等重大事件的影响。
针对我们云中的组织的攻击流量模式表明,2024 年将转向更大、更猛烈、更具影响力的 Web DDoS 攻击。
2024 年,Radware 云保护服务阻止的 Web DDoS 攻击数量几乎呈指数级增长。2024 年第一季度,缓解的 Web DDoS 攻击数量与 2023 年第四季度相比增加了 137%。2024 年第二季度,Web DDoS 攻击数量与 2024 年第一季度相比再次增加了 85%。
大多数 Web DDoS 攻击都针对 EMEA 地区的组织,受到地缘政治冲突和欧盟议会选举、德国 2024 年欧洲杯和 2024 年巴黎奥运会等重大事件的影响。
针对我们云中的组织的攻击流量模式表明,2024 年将转向更大、更猛烈、更具影响力的 Web DDoS 攻击。
应用层 DNS DDoS攻击活动
2024 年前六个月的恶意 DNS 洪水查询数量与 2023 年全年观察到的查询总数相比已经增加了 76%。
2022 年至 2023 年间,应用层 DNS DDoS 攻击活动增加了两倍,2023 年上半年至 2024 年上半年期间增加了四倍。金融是最受攻击的行业,占 DNS 查询洪水攻击活动总量的 52%。科技、电信、医疗保健以及研究和教育是其他值得关注的行业。2024 年上半年,大多数大型应用层 DNS 洪水攻击都利用了 DNS-A 请求。
网络层 DDoS 攻击活动
网络层 DDoS 攻击实际上跨越 L3 和 L4,在 2024 年上半年也呈现上升趋势。
2024 年上半年每个组织阻止的网络层 DDoS 攻击平均量与 2023 年下半年相比增长了 81%,与 2023 年上半年相比增长了 205%。2024 年上半年每个组织阻止的网络层 DDoS 攻击量与 2023 年全年的网络层攻击量相比高出 14%。
2024 年上半年,Radware 的云 DDoS 防护服务缓解了每个组织每月平均 1.23TB 的网络层攻击量。这意味着 2023 年至 2024 年期间每个组织每月阻止的平均网络层 DDoS 量增加了 127%。相比之下,2022 年至 2023 年期间每个组织每月阻止的平均网络层攻击量增加了 17%。
金融机构遭受的网络层攻击活动最多,其次是医疗保健、科技、政府、运输和物流以及游戏。
DNS 和 NTP 占网络层放大攻击总量的 87%。DNS、HTTPS 和 SIP 是网络层 DDoS 攻击最常针对的应用程序。
黑客行动主义者 DDoS 攻击活动
黑客行动主义者的形势仍然充满活力,DDoS 活动持续不断。2024 年,黑客行动主义者发起的 DDoS 攻击每月在 1,000 至 1,200 次之间徘徊,乌克兰是受到攻击最多的国家。
亲俄黑客组织 NoName057(16) 仍然是最活跃的威胁行为者。自 2023 年 1 月以来,NoName057(16) 共计发起了 5,287 次 DDoS 攻击,其中 1,902 次发生在 2024 年上半年,远远落后于其他行为者。
自 2023 年 1 月以来,Cyber Army of Russia Reborn、Anonymous Sudan、Mysterious Team、Executor DDoS 和 Team Insane PK 一直是最活跃的威胁行为者。仅在 2024 年上半年,62IX、Sylhet Gang、HackNet 和 RipperSec 就跻身最引人注目的黑客组织之列。
2024 年上半年,亲俄黑客组织 NoName057(16) 被发现加入并创建了多个联盟,有些是临时的,有些则是长期的。他们与俄罗斯网络军重生组织 (Cyber Army of Russia Reborn) 的合作之一,导致针对乌克兰的攻击活动大量增加,与 2023 年相比,乌克兰的攻击活动增加了一倍。尽管乌克兰在 2023 年只是第四大目标国家,但它在 2024 年上半年成为目标最多的国家。
在南亚,印度发现多起来自印尼和孟加拉国黑客组织的攻击,其中匿名者 Susukan、Ketapang Grey Hat Team 和 Sylhet Gang 是攻击次数最多的。巴基斯坦也是最常受到攻击的国家之一,主要受到印度黑客组织 Team NWH、Dark Cyber Warrior、Kingsman、Hacktivist Vanguard 和 Team Network Nine 的攻击。
美国已成为 DDoS 即服务提供商的重要目标,这些提供商喜欢利用大型、知名度高的组织作为其能力证明广告的目标。Telegram 组织 Channel DDoS v2、ZeusAPI Services 和 Krypton Networks 声称对美国发动了最多的攻击。
针对以色列的顶级攻击者团体包括 RipperSec、1915 Team、Sylhet Gang、Anonymous Muslims、LulzSec Indonesia、Team ARXU、StarsX Team 和 Dark Storm Team。
自 2023 年 1 月以来,政府网站成为最受攻击的网络类别。
值得担忧的原因
2024 年上半年延续了我们在 2023 年观察到的趋势,并有所加速。随着全球地缘政治紧张局势加剧,威胁行为者采用越来越强大且公开可用的 LLM 模型,人工智能技术得以普及。随着金融市场放缓的迹象和美国历史上即将举行的关键选举,我们预计全球活动将继续保持高水平,威胁形势将不断演变。