The first quarter of 2022 saw a massive increase in application-layer DDoS attacks. On the network layer, the total number of DDoS attacks decreased quarter-over-quarter. Despite this decrease, volumetric attacks saw an increase of up to 645% compared to the previous quarter. Let’s take a look at a few interesting facts in more detail.

 

Network-layer DDoS attacks

Network-layer DDoS attacks, while up 71% year-over-year in Q1, were down 58% from the previous quarter.

  • Source countries: According to Cloudflare (with data centers in over 270 countries), attacks in data centers in Azerbaijan increased 16,624% quarter-over-quarter and 96,900% year-over-year. The share of DDoS activity at the network layer there was a staggering 48.5%. This was followed by the Palestinian data center, where DDoS attacks accounted for 41.9% of all traffic – with a quarter-on-quarter increase of 10,120% and a year-on-year increase of 46,456%.
  • Target countries: The United States was the most frequent target of DDoS attacks, with more than 10% of all attack packets and nearly 8% of all attack bytes. This was followed by China, Canada, and Singapore.
  • Target industries: Telecommunications companies were the most frequent target of DDoS attacks at the network layer, followed by companies in the gaming and gambling industry and the information technology and services industry.
  • Duration of attacks: Most attacks last less than one hour – in Q1 2022, more than half of attacks lasted 10 to 20 minutes, with approximately 40% ending within 10 minutes, another 5% lasting 20 to 40 minutes, and the remainder lasting longer than 40 minutes. However, it is worth noting that even if an attack lasts only a few minutes, its consequences – if successful – can last much longer. IT staff sometimes spend hours or even days restoring services.
  • Attack rate: The first quarter saw a massive increase in volumetric DDoS attacks, both in terms of packet volume and traffic flow. Attacks above 10 Mpps (million packets per second) increased by more than 300% and attacks above 100 Gbps increased by 645% compared to the previous quarter.

 

Application-layer DDoS attacks

Application-layer was quite busy in the first quarter. HTTP layer attacks were up 164% year-over-year and 135% quarter-over-quarter. There were more attacks in March alone than in the last three months of 2021!

  • Source countries: After a year, China has replaced the United States as the top country. The number of attacks there increased by a staggering 6,777% compared to the previous quarter. India, Germany, Brazil, and Ukraine are next on the list.
  • Target countries: Here, by contrast, the US had to concede the top spot to China. After them, organizations in Russia and Cyprus were the most frequently targeted.
  • Target industries: Attacks in the first quarter of this year most often targeted consumer electronics, with a 5,086% increase from the previous quarter. Online media was second (2,131%) and software companies third (up 76% on the previous quarter and 1,472% year-on-year).

 

Cyberspace reflects the current geopolitical situation

The current European war conflict is not only taking place on the Ukrainian battlefield but is also moving into cyberspace. In Russia, online media companies were the most frequent target of attacks in the first quarter. The next most frequently attacked sectors were the internet industry, cryptocurrencies, and retail. Many of the attacks that targeted Russian cryptocurrency companies logically originated in Ukraine and the US, but another significant source of attacks came from Russia itself. Most of the HTTP-level attacks that targeted Russian organizations originated in Germany, the US, Singapore, Finland, India, the Netherlands, and Ukraine. However, it is good to note that the region where the cyberattack traffic originates from may not be the same as the location of the attacker.
As for the attacks on the territory of Ukraine, they targeted websites of broadcast media and publishers. Although most of the malicious traffic originated from the US, Russia, Germany, China, the UK, and Thailand, their wide distribution suggests the use of global botnets.
As recent attacks on predominantly government institutions in the Czech Republic have shown, support for either side in a war can be expected to have some impact in local cyberspace, and organizations need to be prepared for this.

 

Prozeta is a Cloudflare partner.

Information is drawn from Cloudflare’s quarterly report.

 

 

IN CZECH:

Typy DDoS útoků v 1. čtvrtletí 2022

V prvním čtvrtletí roku 2022 došlo k masivnímu nárůstu útoků DDoS na aplikační vrstvě. Na síťové vrstvě se celkový počet útoků DDoS mezičtvrtletně naopak snížil. Navzdory tomuto poklesu byl zaznamenán nárůst volumetrických útoků až o 645 % oproti předchozímu čtvrtletí. Podívejme se na pár zajímavostí podrobněji.

 

Útoky DDoS na síťové vrstvě

Útoky na síťové vrstvě se sice v 1. čtvrtletí meziročně zvýšily o 71 %, ale v porovnání s předchozím čtvrtletím se snížily o 58 %.

  • Zdrojové země: Podle údajů společnosti Cloudflare (s datovými centry ve více než 270 zemích) vzrostl podíl útoků v datových centrech v Ázerbájdžánu mezičtvrtletně o 16 624 % a meziročně o 96 900 %. Podíl aktivit DDoS na síťové vrstvě tam zaujímal neuvěřitelných 48,5 %. Následovalo palestinské datové centrum, kde útoky DDoS tvořily 41,9 % veškerého provozu – s mezičtvrtletním nárůstem o 10 120 % a meziročním nárůstem o 46 456 %.
  • Cílové země: Nejčastějším terčem útoků DDoS byly Spojené státy, s více než 10 % všech útočných paketů a téměř 8 % všech útočných bajtů. Následovaly Čína, Kanada a Singapur.
  • Cílová odvětví: Nejčastějším terčem útoků DDoS na síťové vrstvě byly telekomunikační firmy, následované společnostmi z herního průmyslu a hazardu a odvětvím informačních technologií a služeb.
  • Doba trvání útoků: Většina útoků trvá méně než jednu hodinu – v 1. čtvrtletí 2022 trvala více než polovina útoků 10 až 20 minut, přibližně 40 % skončilo do 10 minut, dalších asi 5 % trvalo 20 až 40 minut a zbývající déle než 40 minut. Je ale třeba zmínit, že i když útok trvá jen několik minut, mohou jeho důsledky – pokud je úspěšný – trvat mnohem déle. Pracovníci z oddělení IT někdy stráví obnovováním služeb hodiny i dny.
  • Rychlost útoků: V prvním čtvrtletí došlo k masivnímu nárůstu volumetrických útoků DDoS, a to jak z hlediska množství paketů, tak z hlediska datového toku. Útoky nad 10 Mpps (mil. paketů za sekundu) vzrostly oproti předchozímu čtvrtletí o více než 300 % a útoky nad 100 Gb/s o 645 %.

 

Útoky DDoS na aplikační vrstvě

Na aplikační vrstvě bylo v prvním čtvrtletí dost rušno. Počet útoků na vrstvě HTTP vzrostl meziročně o 164 % a mezičtvrtletně o 135 %. Jen v březnu proběhlo více útoků než za poslední tři měsíce roku 2021!

  • Zdrojové země: Po roce vystřídaly Čínu na první příčce Spojené státy. Počet útoků tam vzrostl v porovnání s předchozím čtvrtletím o ohromujících 6 777 %. Na dalších místech v žebříčku se objevují Indie, Německo, Brazílie a Ukrajina.
  • Cílové země: Zde naopak USA musely přepustit první příčku Číně. Po nich byly nejčastěji terčem útoků organizace v Rusku a na Kypru.
  • Cílová odvětví: Útoky v prvním čtvrtletí tohoto roku nejčastěji cílily na spotřební elektroniku, s nárůstem o 5 086 % oproti předchozímu čtvrtletí. Na druhém místě to byla online média (2 131 %) a na třetím softwarové společnosti (narůst o 76 % v porovnání s předchozím čtvrtletím a o 1 472 % v meziročním srovnání).

 

Kyberprostor reflektuje aktuální geopolitickou situaci

Současný evropský válečný konflikt probíhá nejen na ukrajinském bojišti, ale přesouvá se i do kyberprostoru. V Rusku byly v prvním čtvrtletí nejčastějším cílem útoků společnosti, které působí v oblasti online médií. Dalšími nejčastěji napadanými odvětvími byly internetový průmysl, kryptoměny a také maloobchod. Mnohé z útoků, které byly zaměřené na ruské kryptoměnové společnosti, měly logicky původ na Ukrajině a v USA, ale další významný zdroj útoků pocházel ze samotného Ruska. Většina útoků na úrovni HTTP, které cílily na ruské organizace, pocházela z Německa, USA, Singapuru, Finska, Indie, Nizozemska a Ukrajiny. Je ale dobré si uvědomit, že region, odkud provoz kybernetických útoků vychází, nemusí být shodný s místem, kde se nachází útočník.

Pokud jde o útoky na území Ukrajiny, zaměřovaly se na webové stránky vysílacích médií a vydavatelství. Ačkoli většina škodlivého provozu pocházela z USA, Ruska, Německa, Číny, Spojeného království a Thajska, jejich široká distribuce naznačuje použití globálních botnetů.

Jak ukázaly nedávné útoky na převážně vládní instituce v České republice, lze očekávat, že podpora jedné nebo druhé strany válečného konfliktu se nějakým způsobem odrazí i v místním kybernetickém prostoru, a organizace na to musí být připravené.

 

Prozeta je partnerem spolecnosti Cloudflare.

Informace čerpány ze čtvrtletní zprávy společnosti Cloudflare.