New figures from F5 Labs report 64% rise in attacks and greater tactical diversity from cybercriminals;
EMEA endured over 51% of 2017 attacks
DUBAI, United Arab Emirates, 20 March 2018 – F5 Labs today released new figures highlighting how DDoS attacks continue to grow and evolve in EMEA.
According to customer data from F5’s Poland-based Security Operations Center (SOC), 2017 saw a 64% rise in mitigated incidents. EMEA is also firmly in the firing line, accounting for over 51% of reported global DDoS attacks.
Reflecting the spike in activity, F5 reported a 100% growth for EMEA customers deploying Web Application Firewall (WAF) technology in the past year. Meanwhile, anti-fraud solutions adoption increased by 76% and DDoS by 58%.
A key discovery was the relative drop in power for single attacks. Last year, the SOC logged multiple attacks of over 100 Gbps, with some surpassing 400 Gbps.
In 2017, the top attack stood at 62 Gbps. This suggests a move towards more sophisticated Layer 7 DDoS attacks that are potentially more effective and have lower bandwidth requirements. 66% of reported DDoS attacks were multi-vector and required sophisticated mitigation tools and knowledge.
“DDoS threats are on the rise in EMEA compared to the rest of the world, and we’re seeing notable changes in their scope and sophistication compared to 2016,” said Kamil Wozniak, F5 SOC Manager.
“Businesses need to be aware of the shift and ensure, as a matter of priority, that the right solutions are in place to halt DDoS attacks before they reach applications and adversely impact on business operations. EMEA is clearly a hotspot for attacks on a global scale, so there is minimal scope for the region’s decision-makers to take their eyes off the ball.”
Four seasons of threat intelligence
Q1 2017 started with a bang, with F5 customers facing the widest range of disruptive attacks recorded to date. User Diagram Protocol (UDP) Floods stood out, representing 25% of all attacks. Attackers typically send large UDP packets to a single destination or random ports, disguising themselves as trustworthy entities before stealing sensitive data. The next most common attacks were DNS Reflection (18%) and SYN Flood attacks (16%).
Q1 was also the peak for Internet Control Message Protocol (ICMP) attacks, whereby cybercriminals overwhelm businesses with rapid “echo request” (ping) packets without waiting for replies. In stark contrast, Q1 2016 attacks were a 50/50 split between UDP and Simple Service Discover Protocol (SSDP) floods.
Q2 proved equally challenging, with SYN Floods moving to the front of the attack pack (25%) followed by Network Time Protocol and UDP Floods (both 20%).
The attackers’ momentum continued into Q3 with UDP floods leading the way (26%). NTP floods were also prevalent (rising from 8% during the same period in 2016 to 22%), followed by DNS reflection (17%).
2017 wound down with more UDP flood dominance (25% of all attacks). It was also the busiest period for DNS reflection, which accounted for 20% of all attacks (compared to 8% in 2017 during the same period).
Another key discovery during Q4 and one that vividly underlines cybercriminals capacity for agile reinvention was how the Ramnit trojan dramatically extended its reach. Initially built to hit banks, F5 Labs found that 64% of its targets during the holiday season were US based e-commerce sites. Other new targets included sites related to travel, entertainment, food, dating and pornography. Other observed banking trojans extending their reach include Trickbot, which infects its victims with social engineering attacks, such as phishing or malvertizing, to trick unassuming users into clicking malware links or downloading malware files.
“Attack vectors and tactics will only continue to evolve in EMEA,” said Wozniak.
“It is vital that businesses have the right solutions and services in place to safeguard apps wherever they reside. 2017 showed that more internet traffic is SSL/TLS encrypted, so it is imperative that DDoS mitigation solutions can examine the nature of these increasingly sophisticated attacks. Full visibility and greater control at every layer are essential for businesses to stay relevant and credible to customers. This will be particularly important in 2018 as the EU General Data Protection Regulations come into play.”
دراسة جديدة: الشرق الأوسط وأوروبا وإفريقيا الأكثر عرضة لهجمات حجب الخدمة الموزعة في العالم
- ارتفاع معدل هجمات حجب الخدمة بنسبة 64 بالمائة إلى جانب تنوع الإجراءات والطرق المتبعة من قبل مجرمي الإنترنت
- حصة الشرق الأوسط وأوروبا وإفريقيا تجاوزت 51 بالمائة من إجمالي الهجمات العالمية خلال العام 2017
دبي، الإمارات العربية المتحدة، 20 مارس 2018: كشفت شركة F5 نتوركس اليوم عن إحصائيات جديدة تشير إلى مواصلة هجمات حجب الخدمة الموزعة نموها وتطورها على مستوى الشرق الأوسط وأوروبا وإفريقيا.
واستناداً لبيانات العملاء المستخلصة من مركز العمليات الأمنية التابع لشركة F5 نتوركس، والواقع في بولندا، فقد شهد العام 2017 ارتفاعاً بنسبة 64 بالمائة على مستوى الحوادث الأمنية الالكترونية الأقل حدةً، كما تشير البيانات أيضاً إلى أوروبا والشرق الأوسط وإفريقيا تقف في خط الواجهة أمام التهديدات الالكترونية، فقد تجاوزت حصة المنطقة نسبة 51 بالمائة من إجمالي الهجمات العالمية المسجلة خلال العام 2017.
وبالتزامن مع هذا الارتفاع الكبير في معدل التهديدات، أشارت النتائج الصادرة عن مختبرات F5 نتوركس إلى أن نسبة نمو العملاء الذين يستخدمون جدران حماية تطبيقات الصفحات الالكترونية (WAF) خلال العام الماضي بلغت 100 بالمائة في أوروبا والشرق الأوسط وإفريقيا. وفي الوقت ذاته، ارتفع معدل تبني واعتماد حلول مكافحة الاحتيال بنسبة 76 بالمائة، وحلول مكافحة هجمات حجب الخدمة الموزعة بنسبة 58 بالمائة.
أما التغير الرئيسي على خارطة الهجمات فتمثل بالانخفاض النسبي في قوة وانتشار الهجمات أحادية الجهة، فخلال العام الماضي، رصد مركز العمليات الأمنية تجاوز سعة الهجمات متعددة الاتجاه الـ 100 غيغابايت في الثانية، مع تجاوز قوة البعض منها الـ 400 غيغابايت في الثانية.
وبالمقارنة مع العام 2017، نجد أن قوة أكبر هجوم بلغت حينها 62 غيغابايت في الثانية، وهو مؤشر لوجود توجه نحو تبني هجمات حجب الخدمة الموزعة الأكثر تطوراً ضمن الطبقة السابعة، التي غالباً ما تكون أكثر تأثيراً وفعاليةً رغم أنها لا تتطلب استخدام عرض نطاق ترددي كبير. كما أن 66 بالمائة من هجمات حجب الخدمة الموزعة المسجلة كانت متعددة النواقل، وتطلب التصدي لها الاستعانة ببرامج وخبرات للحد من حدتها.
في هذا السياق قال كامل وزنياك، مدير مركز العمليات الأمنية التابع لشركة F5 نتوركس: "تتنامى تهديدات حجب الخدمة الموزعة على مستوى منطقة أوروبا والشرق الأوسط وإفريقيا مقارنةً بباقي دول العالم، كما أننا نرصد تغييرات ملحوظة في نطاق انتشارها ودرجة تطورها مقارنةً بالعام 2016".
"لذا، ينبغي على الشركات اتخاذ أقصى درجات الحذر إزاء هذا التحول، وتخصيص الأولوية للجهود الرامية إلى اختيار واستثمار الحلول المناسبة القادرة على إيقاف هجمات حجب الخدمة الموزعة DDoS، وذلك قبل أن تصل إلى التطبيقات وتؤثر سلباً على سير عمليات الشركة. ومن الواضح أن منطقة أوروبا والشرق الأوسط وإفريقيا تعتبر من المراكز المستقطبة للهجمات على الصعيد العالمي، الأمر الذي لا يمكن السكوت عليه من قبل صناع القرار في هذه المنطقة".
أربعة مواسم من استقصاء المعلومات حول التهديدات
بدأ الربع الأول من العام 2017 بهجوم مدوي، حيث واجه عملاء شركة F5 نتوركس أوسع حزمة من الهجمات التخريبية سجلت حتى تاريخه، وبرزت من بينها هجمات بروتوكول مخطط بيانات المستخدم، التي بلغت حصتها 25 بالمائة من إجمالي الهجمات. وتستند هذه الهجمات عادةً على إرسال المهاجمين لحزم كبيرة من بروتوكول مخطط بيانات المستخدم إلى جهة واحدة، أو عدة منافذ عشوائية، مع تمويه نفسها على شكل كيانات معتمدة قبل الشروع بسرقة البيانات الهامة. أما الهجمات الأكثر شيوعاً التي تليها فهي هجمات عكس نظام أسماء النطاقات (18 بالمائة)، ومن ثم هجمات تدفق المزامنة SYN Flood (16 بالمائة)، وهي إحدى أنواع هجمات حجب الخدمة.
كما شهد الربع الأول أيضاً ذروة انتشار هجمات بروتوكول رسائل التحكم في الإنترنت (ICMP)، التي يقوم من خلالها مجرمو الإنترنت بإغراق الشركات بحزم من "الطلبات المتكررة" والسريعة (أو، ما يعرف بالـ Ping) دون انتظار الردود عليها. وفي تناقض صارخ، تم تقسيم هجمات الربع الأول من العام 2016 بالتساوي ما بين هجمات بروتوكول مخطط بيانات المستخدم، وهجمات بروتوكول اكتشاف الخدمة البسيطة (SSDP).
في حين سجل الربع الثاني بروز هجمات تدفق المزامنة SYN Flood (25 بالمائة) إلى الواجهة، تلتها هجمات بروتوكول وقت الشبكة وهجمات بروتوكول مخطط بيانات المستخدم (20 بالمائة لكل منهما).
وتواصل زخم المهاجمين خلال الربع الثالث بتصدر هجمات بروتوكول مخطط بيانات المستخدم (26 بالمائة)، مع انتشار هجمات بروتوكول وقت الشبكة NTP (مرتفعاً من 8 بالمائة سجلها خلال ذات الفترة من العام 2016 ليبلغ 22 بالمائة)، تليها هجمات عكس نظام أسماء النطاقات (17 بالمائة).
كما سجل العام 2017 هيمنة المزيد من هجمات بروتوكول مخطط بيانات المستخدم UDP (حيث بلغت حصتها 25 بالمائة من إجمالي الهجمات)، فضلاً عن كونها أكثر الفترات زخما لهجمات عكس نظام أسماء النطاقات، التي شكلت ما نسبته 20 بالمائة من إجمالي الهجمات (مقارنةً بـ 8 بالمائة سجلتها خلال ذات الفترة من العام 2017).
ومن التغييرات الرئيسية التي شهدها الربع الرابع من العام، والتي تؤكد بلا أدنى شك قدرة قراصنة الإنترنت على الابتكار والتجديد، توسيع نطاق انتشار البرمجية الخبيثة Ramnit Trojan بدرجة كبيرة، والتي تم تصميمها بالدرجة الأولى من أجل استهداف المصارف، لكن مختبرات شركة F5 نتوركس وجدت أن 64 بالمائة من أهدافها خلال موسم الأعياد تمثلت في مواقع التجارة الإلكترونية داخل الولايات المتحدة.
ومن الأهداف الجديدة الأخرى التي استهدفتها هذه البرمجية الخبيثة المواقع المتعلقة بالسياحة والسفر، والترفيه، والمواد الغذائية، والتعارف، والمواد الإباحية. كما برزت برمجية خبيثة أخرى (كانت تستهدف المصارف بالدرجة الأولى) وسعت من نطاق انتشارها واهدافها، ألا وهي برمجية Trickbot الخبيثة، التي أصابت ضحاياها من خلال هجمات احتيالية مصممة لاختراق مواقع التواصل الاجتماعي، حيث تقوم على خداع المستخدمين غير المختصين ودفعهم إلى النقر على روابط للبرامج الخبيثة، أو تحميل ملفات للبرامج الخبيثة.
واستطرد كامل وزنياك قائلاً: "ستواصل نواقل وطرق الهجوم تطورها وتغيرها باستمرار على مستوى منطقة أوروبا والشرق الأوسط وإفريقيا. ومن الهام جداً اختيار واستثمار الشركات الحلول والخدمات المناسبة لها من أجل حماية التطبيقات أينما عملت، فقد سجل العام 2017 تزايداً في حركة البيانات عبر بروتوكول طبقة المقابس الآمنة SSL / بروتوكول أمن طبقة النقل TLS المشفران في شبكة الإنترنت، لذلك من الضروري قيام حلول التخفيف من حدة هجمات حجب الخدمة الموزعة بدراسة طبيعة هذه الهجمات المتطورة باضطراد. كما أن توفير الرؤية الشاملة والتحكم الأكبر على مستوى كل طبقة أصبح من ضروريات جميع الشركات، وذلك كي تتمكن من الحفاظ مصداقيتها وارتباطها الوثيق مع العملاء. الأمر الذي سيكتسب أهمية خاصة خلال العام 2018 بدخول اللوائح العامة لحماية البيانات الادرة عن الاتحاد الأوروبي حيز التنفيذ".
