Spam e-posta gönderenlerin kazara yaptığı DDoS saldırıları, siyasi sabotaj ve DDoS botnet sahiplerinin Bitcoin ile para kazanma çabaları… Bunlar, Kaspersky Lab’in, Kaspersky DDoS İstihbaratı’ndan elde edilmiş verilere göre 2017’nin üçüncü çeyreği için hazırlanan raporda analiz edilen trendlerden bazıları.
DDoS botnet kurbanlarının bulunduğu ülke sayısı dördüncü çeyrekte 98’den 82’ye düştü. En çok saldırı alan ülkeler sıralamasında Vietnam, Hong Kong’u geride bırakarak ilk sıraya yerleşti. Bazı küçük değişimler olsa da ilk 10’da yer alan diğer ülkeler sıralarını korudu. Öte yandan, DDoS botnetlerini yöneten komut ve kontrol sunucularının en çok bulunduğu ülkeler sıralamasında Kanada, Türkiye ve Litvanya; İtalya, Hong Kong ve İngiltere’nin yerini alarak ilk 10 ülke arasına girdi.
Linux botnetleri üçüncü çeyrekteki yükselişin ardından dördüncü çeyrekte de aynı düzeyde kaldı (yüzde 71 Linux, yüzde 29 Windows botnet). Xor DDoS Linux bot’un aktivitelerinin azalmasıyla SYN DDoS saldırılarının oranı yüzde 60’tan yüzde 56’ya düştü. Bunun sonucunda, ICMP saldırılarının oranı azalmaya devam ederek 2017’deki en düşük değere ulaşmış olsa (yüzde 3) da UDP, TCP ve HTTP saldırılarında artış gözlendi.
Botnet aktivitesinin yanı sıra, diğer kaynaklarla ilgili verileri de kapsayan Kaspersky DDoS Koruma istatistiklerinde, yalnızca HTTP veya HTTPS flood yöntemini kullanan DDoS saldırılarının eskisi kadar popüler olmadığı görüldü. 2016’da yüzde 23’lük bir orana sahip olan bu tip saldırılar 2017’de yüzde 11’e düştü. Aynı anda birden fazla yöntemin kullanıldığı saldırıların sıklığı ise yüzde 13’ten yüzde 31’e yükseldi. HTTP(S) saldırıları düzenlemek zor ve maliyetli bir işken, birden fazla yöntemin birlikte kullanıldığı saldırılar hem etkili hem de düşük maliyetli oluyor. Bu tür saldırılardaki artışın altında yatan nedenin bu olduğu düşünülüyor.
Botnet ile yapılan DDoS saldırılarının süreleri incelendiğinde, 2017’nin son aylarındaki en uzun süreli saldırının yalnızca 146 saat sürdüğü tespit edildi. Saldırının hedefi geleneksel Asya yemekleri yapmayı öğreten Çinli bir şirkete ait siteydi. Raporun hazırlandığı dönemde adından en çok söz ettiren saldırılar ise siyasi amaç taşıyan (örneğin, Çek istatistik kurumunu ve İspanya Anayasa Mahkemesi’nin sitesini hedef alan DDoS saldırıları) ve Bitcoin kurundaki değişimlerden faydalanmaya çalışan (BTG sitelerini ve Bitcoin alım satım sitesi Bitfinex’i hedef alan) saldırılar oldu.
E-ticaret dördüncü çeyrekte siber suçluların gözünden kaçmadı. Kara Cuma ve Siber Pazartesi günlerine kadar devam eden yoğun satış dönemlerinde Kaspersky Lab’in bilgi toplama sunucuları, Linux tabanlı DDoS botları tarafından oluşturulan tuzaklarla sızma denemelerinde ani bir artış belirledi. Bu da siber suçluların yoğun satış dönemi öncesinde botnet sayılarını artırma ve bundan para kazanma çabalarını ortaya koyuyor.
Ancak 4. çeyrekte görüldü ki, DDoS saldırıları yalnızca bir para kazanma veya internet kaynaklarına sahip kişilere sorun çıkarma yolu değil, aynı zamanda kazara oluşan bir yan etki de olabiliyor. Örneğin, Aralık ayında RU ulusal alan adları bölgesindeki DNS sunucularına yapılan kapsamlı DDoS saldırısına Lethic adlı bir spambotta yapılan değişikliğin neden olduğu anlaşıldı. Geliştiricinin yaptığı bir hata nedeniyle bu Truva Atı yazılımı, aslında var olmayan alan adlarına çok sayıda talep gönderdi. Bu da çok büyük ölçekli bir DDoS saldırısıyla aynı etkiyi yarattı.
Kaspersky Lab DDoS Koruma Birimi Lideri Kirill Ilganev, “DDoS saldırılarından etkilenmeniz için doğrudan hedef olmanız şart değil. Günümüzde DDoS, yasadışı yollarla para kazanmak için baskı kurma amacıyla kullanılan bir araç ve saldırılar sadece büyük ve tanınmış kurumlara değil çok küçük şirketlere de zarar verebiliyor” dedi.
