Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki DDoS w III kwartale 2018

Tagi:

Przegląd informacji

Trzeci kwartał 2018 r. okazał się stosunkowo spokojny pod względem ataków DDoS, co oznacza, że nie odnotowaliśmy szczególnie wysokiej liczby zaawansowanych, trwających wiele dni ataków przeprowadzanych na istotne zasoby. Jednak możliwości cyberprzestępców rosną z roku na rok, a łączna liczba ataków nie zmniejsza się.  

Na początku lipca głośno było o atakach na Blizzard Entertainment. Brak możliwości połączenia się z serwerami Battle.net spowodował, że przez prawie trzy dni gracze nie byli w stanie zalogować się ani uruchomić swoich gier. Odpowiedzialność za ten incydent wzięło na siebie ugrupowanie o nazwie PoodleCorp, które za pośrednictwem Twittera obiecało zostawić firmę w spokoju pod warunkiem, że jego wiadomość zostanie przekazana dalej co najmniej 2 000 razy. Niedługo po tym, jak wspomniane żądanie zostało spełnione, Blizzard poinformował o „naprawieniu problemów technicznych doświadczonych wcześniej przez graczy”.

Pod koniec lipca miała miejsce seria ataków na innego producenta gier - Ubisoft. W wyniku tego incydentu gracze mieli problem z zalogowaniem się do swoich kont oraz korzystaniem z trybu wielu graczy. Według rzecznika firmy, nie doszło do naruszenia bezpieczeństwa danych użytkowników. Nie pojawiły się żadne raporty odnośnie celu ataków. Osoby atakujące mogły chcieć uzyskać korzyści finansowe lub po prostu protestowały przeciwko niektórym z ostatnich aktualizacji gier.

Inny atak, który można określić jako „poważny”, był wymierzony w trzy największe pokerowe strony internetowe w angielskjęzycznym segmencie internetu: America’s Card… Room, PokerStars oraz Partypoker. Ich operatorzy byli zmuszeni odwołać niektóre z rozgrywek, wywołując tym samym niezadowolenie wśród graczy, którzy stracili w efekcie spore sumy.  

Jak zwykle pojawiły się również ataki DDoS, które z dużym prawdopodobieństwem wynikały z napięć politycznych. Doskonałym przykładem takiego ataku była trwająca sześć minut awaria strony internetowej szwedzkiej Partii Socjo-Demokratycznej, która miała miejsce pod koniec sierpnia. Polityka mogła być również motywem podobnego ataku na stronę internetową kandydata do Kongresu z ramienia demokratów w Kalifornii, który miał miejsce miesiąc później. O pobudkach politycznych można mówić też w przypadku ataku na niemiecki koncern RWE: atakując jego stronę internetową, aktywiści próbowali zwrócić uwagę opinii publicznej na zbliżającą się wycinkę lasu w Hambach.      

Tak czy inaczej, nie wiadomo, co było przyczyną ataku na zasoby internetowe Ministerstwa Pracy Republiki Afryki Południowej, który miał miejsce na początku września (według rzecznika Ministerstwa, nie naruszono bezpieczeństwa żadnych systemów wewnętrznych ani danych). Nieznane są również motywy ataków na serwis rządowy DigiD w Holandii: pod koniec lipca został on zaatakowany aż trzy razy w ciągu jednego tygodnia. W efekcie, wielu obywateli nie mogło uzyskać dostępu do funkcji związanych z podatkami i innych. Również w tym przypadku nie przyznano się, że doszło do jakiegokolwiek wycieku danych.

Zestawy narzędzi osób stosujących ataki DDoS nie zawierają wielu aktualizacji; niemniej jednak eksperci zauważyli kilka ciekawych, nowych technik oraz parę świeżych luk w zabezpieczeniach. 20 lipca wykryli masową „kampanię rekrutacyjną”, której celem były rutery D-Link i w której wykorzystano ponad 3 000 adresów IP i tylko jeden serwer kontroli. Kampania ta nie przyniosła dużych efektów w środowiskach korporacyjnych; jednak czas pokaże, czy zdołano stworzyć nowy botnet złożony z ruterów użytkowników (i jaki jest duży).     

Jeśli chodzi o „gotowe” lub prawie gotowe trojany, pod koniec lipca zaczęły pojawiać się doniesienia o nowym trojanie Death, który buduje swój botnet, przyłączając kamery przemysłowe. Szkodnik ten, stanowiący dzieło znanego hakera Elit1Lands, wykorzystuje lukę AVTech, która została upubliczniona jeszcze w październiku 2016 roku. Badacz bezpieczeństwa Ankit Anubhav zdołał skontaktować się z tym cyberprzestępcą i ustalić, że botnet nie został jeszcze wykorzystany do przeprowadzenia masowych ataków DDoS; jednak jego autor ma wobec niego ogromne oczekiwania, zwłaszcza że Death może być wykorzystany zarówno do rozprzestrzenianie spamu jak i szpiegowania. 

Ponadto, pod koniec sierpnia i na początku września specjaliści ds. bezpieczeństwa po raz pierwszy zauważyli nowe wersje botnetów Mirai oraz Gafgyt wykorzystujące luki w zabezpieczeniach SonicWall oraz Apache Struts.

Tymczasem trzech autorów oryginalnej wersji trojana Mirai, którzy udostępnili go publicznie, w końcu usłyszało wyrok w sądzie. Alaskijski sąd federalny nakazał Parasowi Jha, Josiahowi White oraz Daltonowi Normanowi zapłatę wysokich rekompensat oraz przepracowanie 2 500 godzin na rzecz społeczeństwa. Wszystko wskazuje na to, że będą oni pracować dla FBI, a łagodny wymiar kary zdołali uzyskać dzięki współpracy z organami federalnymi (według dokumentów sądowych, trójka mężczyzn odpracowała już ponad 1 000 godzin na rzecz społeczeństwa, przekazując swoją wiedzę w co najmniej kilkunastu dochodzeniach).   

Ponadto, brytyjska policja aresztowała jedną z osób odpowiedzialnych za atak na ProtonMail, o którym była mowa w naszym ostatnim raporcie. 19-letni haker nowicjusz okazał się obywatelem brytyjskim, zamieszanym również w fałszywe alarmy bombowe w szkołach, college’ach oraz na lotniskach. Jego rodzice utrzymują, że „zaczepili“ go „poważni ludzie” podczas gry w Minecraft. Nic nie wskazuje na to, że historia ta również skończy się angażem młodego geniusza. Niemniej jednak czeka go prawdopodobnie ekstradycja do Stanów Zjednoczonych: według informacji uzyskanych w trakcie śledztwa, haker został złapany głównie dlatego, że jego bezpieczeństwo operacyjne pozostawiało wiele do życzenia.

Trendy dotyczące badanego kwartału

W porównaniu z III kwartałem zeszłego roku, liczba ataków DDoS odnotowała nieznaczny wzrost, głównie dzięki atakom przeprowadzonym we wrześniu, podczas gdy latem i w ciągu całego roku miał miejsce znaczący spadek liczby ataków DDoS.

181030-ddos-q3-2018-en-1_auto.png

Kwartalna liczba ataków DDoS odparta przez Kaspersky DDoS Protection w okresie 2017–2018 (100% stanowi liczbę ataków w 2017 r.)

Z powyższego wykresu wynika, że za nieznaczny wzrost w stosunku do zeszłego roku odpowiada liczba ataków przeprowadzonych we wrześniu, która stanowi lwią część wszystkich ataków (około pięć razy więcej niż w 2017 r.). Z kolei lipiec i sierpień okazały się spokojniejsze w stosunku do zeszłego roku. W 2017 r. nie zaobserwowano podobnej dysproporcji.

181030-ddos-q3-2018-en-2_auto.png

Liczba ataków DDoS odpartych przez Kaspersky DDoS Protection we wrześniu w stosunku do łącznej liczby w III kwartale w 2017 i 2018 r.

Znaczący wzrost liczby ataków DDoS we wrześniu jest dość powszechnym zjawiskiem. Każdego roku głównym celem takich ataków jest system edukacyjny - ataki są wymierzone w zasoby WWW szkół, uniwersytetów oraz centrów testowych. W tym roku największym echem w mediach odbił się atak na jedną z wiodących szkół w Anglii - Edinburgh University – który rozpoczął się 12 września i trwał niemal 24 godziny. 

Za tego rodzaju ataki często obwinia się wrogów państwa, jednak oskarżenia te nie mają poparcia w statystykach. W toku prywatnego śledztwa ustaliliśmy, że ataki mają w większości miejsce w trakcie trwania roku szkolnego/akademickiego, natomiast w wakacje ich liczba topnieje. Brytyjska organizacja non-profit Jisc uzyskała niemal ten sam wynik: gromadząc dane statystyczne dotyczące ataków na uniwersytety, odkryła, że podczas wakacji liczba ataków zmniejsza się. To samo dotyczy okresu w ciągu dnia poza godzinami zajęć: ataki DDoS są głównie przeprowadzane na szkoły w godzinach od 9:00 do 16:00.        

Oczywiście, to może oznaczać, że sprawcy po prostu synchronizują swoje działania z rytmem codziennego życia uniwersyteckiego… Jednak im prostsze wyjaśnienie, tym bardziej prawdopodobne. Dlatego za ataki te odpowiadają prawdopodobnie młodzi ludzie, którzy z pewnością mają sporo „dobrych” powodów, aby dokuczyć swoim nauczycielom, innym uczniom lub ogólnie zdezorganizować funkcjonowanie szkoły. Zgodnie z tym założeniem, nasi eksperci zdołali znaleźć w sieciach społecznościowych ślady przygotowań ataków DDoS. Z kolei nasi koledzy z Wielkiej Brytanii odkryli dość zabawny motyw: atak na serwery akademika został przeprowadzony przez studenta, który chciał w ten sposób pokonać swojego przeciwnika w grze online.  

Te cykliczne ataki będą prawdopodobnie powtarzały się w przyszłości – aż wszystkie instytucje edukacyjne zabezpieczą się przy pomocy niemożliwej do obejścia ochrony lub wszyscy studenci i ich nauczyciele w pełni zrozumieją ataki DDoS oraz ich konsekwencje. Należy jednak zaznaczyć, że chociaż większość ataków jest organizowanych przez studentów, nie oznacza to wcale, że nie ma wśród nich „poważnych” incydentów. 

Przykładem może być przeprowadzona we wrześniu kampania DDoS uderzająca w amerykańską firmę Infinite Campus, która oferuje portal dla rodziców obsługujący wiele szkół w rejonie. Była ona tak potężna i długotrwała, że zwróciła uwagę Departamentu bezpieczeństwa krajowego Stanów Zjednoczonych. Trudno wyobrazić sobie, że incydent ten był wyłącznie sprawką uczniów.     

W każdym razie, o ile wrześniowy wzrost liczby ataków DDoS ma prawdopodobnie związek z nadejściem nowego roku szkolnego, nieco trudniej wyjaśnić spadek. Nasi eksperci uważają, że większość właścicieli botnetów ukierunkowała się na bardziej dochodowe i stosunkowo bezpieczniejsze źródło przychodów: kopanie kryptowaluty.

Ataki DDoS stały się ostatnio znacznie tańsze, ale tylko dla klientów. Jeżeli chodzi o ich przeprowadzanie, koszty nadal są wysokie. Jako minimum należy zakupić moc obliczeniową (niekiedy nawet wyposażyć centrum danych), napisać własnego trojana lub zmodyfikować już istniejącego (takiego jak np. wciąż popularny trojan Mirai), wykorzystać trojana do zmontowania botnetu, znaleźć klienta, przeprowadzić atak, itd. Trzeba przy tym pamiętać, że wszystkie te czynności są nielegalne.   

Z drugiej strony, kopanie kryptowaluty jest obecnie niemal całkowicie zgodne z prawem: jedynym nielegalnym aspektem jest wykorzystywanie cudzego sprzętu. W przypadku kopania kryptowaluty, które nie wykorzystuje wystarczająco wielu zasobów systemu dawcy, aby obudzić podejrzenia jego właściciela, istnieje niewielkie ryzyko, że sprawca będzie miał do czynienia z cyberpolicją. Cyberprzestępca może również dostosować posiadany już sprzęt do kopania kryptowaluty i uniknąć w ten sposób zainteresowania ze strony organów ścigania. Na przykład, niedawno pojawiły się doniesienia dotyczące nowego botnetu złożonego z routerów MikroTik, który początkowo został stworzony jako narzędzie do kopania kryptowaluty. Ponadto istnieją pośrednie dowody wskazujące na to, że właściciele wielu botnetów o zasłużenie podejrzanej reputacji zrekonfigurowali je w taki sposób, aby służyły do kopania kryptowaluty. Dlatego liczba ataków DDoS przeprowadzana z wykorzystaniem botnetów odnotowała znaczący spadek, mimo że nie pojawiły się żadne informacje dotyczące zdemontowania botnetów.           

W logice przyjmuje się, że związek korelacyjny nie musi oznaczać związku przyczynowego. Innymi słowy, jeżeli dwie zmienne zmieniły się w podobny sposób, wcale nie musi istnieć związek pomiędzy tymi zmianami. Dlatego, chociaż łączenie wzrostu w zakresie kopania kryptowaluty z zastojem w zakresie ataków DDoS wydaje się być logiczne, wcale nie musi tak być w rzeczywistości. Należy traktować to bardziej jako hipotezę roboczą.

Dane statystyczne

Metodologia

Kaspersky Lab posiada szerokie doświadczenie w zakresie zwalczania cyberzagrożeń, w tym ataków DDoS różnego typu i złożoności. Eksperci z firmy monitorują aktywność botnetów przy pomocy systemu DDoS Intelligence.

DDoS Intelligence (wchodzący w skład Kaspersky DDoS Protection) przechwytuje i analizuje polecenia wysyłane do botów z serwerów kontroli (C&C). W celu gromadzenia danych system nie musi czekać, aż zostaną zainfekowane urządzenia użytkowników lub wykonane polecenia cyberprzestępców.    

Prezentowany tu raport zawiera statystyki pochodzące z systemu DDoS Intelligence dotyczące trzeciego kwartału 2018 roku.

Dla potrzeb raportu jeden (oddzielny) atak DDoS określa się jako incydent, podczas którego jakakolwiek przerwa w aktywności botnetu trwa krócej niż 24 godziny. Jeśli ten sam zasób sieciowy został zaatakowany przez ten sam botnet po przerwie dłużej niż 24 godziny, mówimy o oddzielnym ataku DDoS. Ataki na ten sam zasób sieciowy przeprowadzone z dwóch różnych botnetów również uważa się za oddzielne ataki.   

Geograficzny rozkład ofiar ataków DDoS oraz serwerów kontroli (C&C) jest określany na podstawie ich adresów IP. W prezentowanym raporcie liczba celów ataków DDoS jest obliczana na podstawie liczby unikatowych adresów IP podanych w statystykach kwartalnych.  

Należy zauważyć, że statystyki dotyczące DDoS Intelligence ograniczają się do botnetów wykrawanych i analizowanych przez Kaspersky Lab. Należy również zaznaczyć, że botnety to zaledwie jedno z narzędzi wykorzystywanych do przeprowadzania ataków DDoS; dlatego przedstawione w tym raporcie dane nie obejmują każdego ataku DDoS, który miał miejsce w badanym okresie.  

Podsumowanie kwartału

  • Tak, jak wcześniej, Chiny znalazły się na pierwszym miejscu rankingu pod względem najwyższej liczby ataków (78%), Stany Zjednoczone odzyskały drugą pozycję (12,57%), a na trzecim miejscu uplasowała się Australia (2,27%) – wyżej niż kiedykolwiek wcześniej. Z rankingu Top10 po raz pierwszy wypadła Korea Południowa, mimo że próg wejścia znacząco obniżył się.    
  • Podobne trendy obserwuje się w rozkładzie unikatowych celów: Korea Południowa spadła na sam dół rankingu; Australia wspięła się na trzecią pozycję.
  • Pod względem liczby ataki DDoS przeprowadzone przy użyciu botnetów odnotowały najwyższy poziom w sierpniu; najspokojniejszy dzień wystąpił na początku lipca.
  • Liczba długotrwałych ataków odnotowała spadek; z kolei liczba krótkich ataków trwających do 4 godzin zwiększyła się o 17,5 punktu procentowego (do 86,94%). Liczba unikatowych celów wzrosła o 63%.
  • Udział botnetów linuksowych zmniejszył się tylko nieznacznie w stosunku do zeszłego kwartału. W tym kontekście rozkład ataków DDoS według typu nie zmienił się znacząco: ataki typu SYN flood nadal znajdują się na pierwszym miejscu (83,2%).
  • Sporo zmian w ostatnim kwartale odnotowała natomiast lista państw hostujących największą liczbę serwerów kontroli. Państwa takie jak Grecja oraz Kanada, które wcześniej znajdowały się daleko poza pierwszą 10 obecnie plasują się wysoko w zestawieniu.

Rozkład geograficzny ataków

Drugie miejsce nadal zajmują Chiny, których udział zwiększył się z 59,03% do 77,67%. Stany Zjednoczone odzyskały drugie miejsce, mimo że ich udział wzrósł o zaledwie 0,11 punktu procentowego do 12,57%. Dalsza część rankingu jest pełna niespodzianek.  

Po pierwsze, po raz pierwszy od rozpoczęcia przez nas monitorowania tego typu ataków z rankingu Top10 wypadła Korea Południowa: jej udział skurczył się z 3,21% w zeszłym kwartale do 0,30%. W efekcie państwo to spadło z czwartej pozycji na jedenastą. Z kolei Australia awansowała z szóstego miejsca na trzecie - teraz odpowiada za 2,27% łącznej liczby ataków DDoS. To oznacza, że nadal utrzymuje się wzrostowy trend dla tego kontynentu, który został zaobserwowany w ostatnich kwartałach. Hong Kong spadł z drugiej pozycji na czwartą: jego udział zmniejszył się z 17,13% do 1,72%.        

Poza Koreą Południową z rankingu Top 10 wypadła również Malezja; państwa te zostały zastąpione przez Singapur (0,44%) oraz Rosję (0,37%), które zajęły odpowiednio siódme i dziesiąte miejsce (Ich udziały wzrosły nieznacznie w stosunku do II kwartału). Obniżenie progu wejścia do rankingu bardzo dobrze obrazuje przykład Francji: w II kwartale państwo to znalazło się na 10 miejscu, a jego udział w łącznej liczbie ataków DDoS wynosił 0,43%. W badanym kwartale jego udział zmniejszył się do 0,39%, a mimo to Francja i tak zdołała uplasować się na ósmym miejscu.           

Podobnie, łączny udział procentowy wszystkich państw spoza rankingu Top10 zmniejszył się z 3,56% do 2,83%.

181030-ddos-q3-2018-en-3_auto.png

Ataki DDoS według państwa, II i III kwartał 2018 r.

Podobne procesy można zauważyć w rankingu państw pod względem liczby unikatowych celów: udział Chin zwiększył się o 18 punktów procentowych do 70,58%. Pierwsze pięć pozycji pod względem liczby celów nie różnią się zasadniczo od tych dotyczących liczby ataków, jednak ranking Top10 wygląda nieco inaczej: nadal zawiera Koreę Południową, mimo że jej udział znacząco stopniał (do 0,39% z 4,76%). Ponadto, z rankingu wypadła Malezja oraz Wietnam, które zostały zastąpione przez Rosję (0,46%, ósme miejsce) oraz Niemcy (0,38%, dziesiąte miejsce).    

181030-ddos-q3-2018-en-4_auto.png

Unikatowe cele ataków DDoS według państwa, II i III kwartał 2018 r.

Dynamika liczby ataków DDoS

Początek i koniec III kwartału nie obfitowały w ataki, jednak sierpień i początek września, przedstawione na wykresie, dają postrzępiona linię z wieloma wzniesieniami i spadkami. Najwyższe wartości odnotowano 7 i 20 sierpnia, co pośrednio pokrywa się z datą składania zgłoszeń o przyjęcie na studia oraz ogłoszenia wyników naboru przez uczelnie. Najspokojniejszym dniem okazał się 2 lipca. Koniec kwartału, choć nie był szczególnie aktywny pod względem ataków DDoS, charakteryzował się większą liczbą ataków niż początek.    

181030-ddos-q3-2018-en-5_auto.png

Dynamika liczby ataków DDoS w III kwartale 2018 r.

Rozkład ataków ze względu na dzień tygodnia charakteryzował się dość dużą równomiernością w badanym kwartale. Najbardziej „niebezpiecznym” dniem tygodnia jest obecnie sobota (15,58%), która odebrała „palmę pierwszeństwa” wtorkowi (13,70%). Wtorek uplasował się na przedostatnim miejscu pod względem liczby ataków, tuż przed środą, która obecnie stanowi najspokojniejszy dzień tygodnia (12,23%).

181030-ddos-q3-2018-en-6_auto.png

Liczba ataków DDoS według dnia tygodnia, II i III kwartał 2018 r.

Długość trwania i rodzaje ataków DDoS

Najdłuższy atak w III kwartale trwał 239 godzin – prawie 10 dni. Dla porównania, w poprzednim kwartale najdłuższy atak wynosił prawie 11 dni (258 godzin).

Udział masowych, długotrwałych ataków zmniejszył się znacząco. Dotyczy to nie tyko „maratończyków”, czyli ataków trwających ponad 140 godzin, ale również pozostałych kategorii ataków, włącznie z tymi trwającymi 5 godzin. Najgwałtowniejszy spadek miał miejsce w kategorii ataków trwających od 5 do 9 godzin: odsetek takich ataków zmniejszył się z 14,01%. do 5,49%.

Udział krótkich ataków trwających do 4 godzin zwiększył się o niemal 17,5 punktu procentowego -  do 86,94%. Jednocześnie liczba celów zwiększyła się w stosunku do poprzedniego kwartału o 63%.  

181030-ddos-q3-2018-en-7_auto.png

Ataki DDoS według długości trwania, w godzinach, II i III kwartał 2018 r.

Rozkład ataków według rodzaju nie zmienił się prawie wcale w stosunku do zeszłego kwartału. Ataki typu SYN flood utrzymały się na pierwszym miejscu; ich udział zwiększył się jeszcze bardziej i wynosił 83,2% (z 80,2% w drugim kwartale i 57,3% w I kwartale). Na drugiej pozycji uplasowały się ataki typu UDP traffic; ich udział również wzrósł i wynosił 11,9% (w zeszłym kwartale udział ataków tego typu wynosił 10,6%). Pozostałe rodzaje ataków straciły kilka punktów procentowych, ale nie odnotowały żadnej zmiany pod względem zasięgu występowania: HTTP nadal znajduje się na trzecim miejscu, natomiast TCP i ICMP – odpowiednio na czwartym i piątym.      

181030-ddos-q3-2018-en-8_auto.png

Ataki DDoS według rodzaju, II i III kwartał 2018 r.

Botnety oparte na systemach Windows i Linux rozłożyły się w mniej więcej tych samych proporcjach co w zeszłym kwartale: odsetek botnetów windowsowych zwiększył się (podczas gdy odsetek botnetów linuksowych) o 1,4 punktu procentowego. Dość dokładnie koreluje to z dynamiką zróżnicowania ataków pod względem rodzaju.  

181030-ddos-q3-2018-en-9_auto.png

Botnety windowsowe a linuksowe, II kwartał 2018 r.

Rozkład geograficzny botnetów

Nastąpiło pewne przetasowanie na liście dziesięciu regionów z największą liczbą serwerów kontroli botnetów. Stany Zjednoczone utrzymały się na pierwszym miejscu, mimo że ich udział zmniejszył się z 44,75% w zeszłym kwartale do 37,31%. Rosja wspięła się na drugie miejsce, trzykrotnie zwiększając swój udział z 2,76% do 8,96%. Na trzecim miejscu uplasowała się Grecja: państwo to odpowiada za 8,21% serwerów kontroli. W poprzednim kwartale jego udział wynosił zaledwie 0,55% i nie zapewnił mu pozycji w pierwszej dziesiątce.   

Chiny (z udziałem 5,22%) znalazły się dopiero na piątym miejscu, wyprzedzone przez Kanadę z udziałem 6,72% (kilkakrotnie wyższym niż w II kwartale).

Jednocześnie nastąpił znaczący wzrost łącznego udziału państw spoza pierwszej dziesiątki: jest on wyższy o około 5 punktów procentowych i wynosi 16,42%.

181030-ddos-q3-2018-en-10_auto.png

Serwery kontroli botnetów według państwa, III kwartał 2018 r.

Zakończenie

W ciągu ostatnich trzech miesięcy nie odnotowano żadnych głośnych ataków. Wobec spowolnienia, jakie miało miejsce latem, szczególnie zauważalny był wrześniowy wzrost liczby ataków na szkoły. Stał się on częścią cyklicznego trendu obserwowanego przez Kaspersky Lab od wielu lat.  

Innym widocznym zjawiskiem jest malejąca liczba długotrwałych ataków, której towarzyszy wzrost liczby unikatowych celów: właściciele botnetów prawdopodobnie rezygnują z kampanii przeprowadzanych na dużą skalę na rzecz mniejszych ataków, które często trudno odróżnić od „szumu sieciowego”. Już w poprzednich kwartałach można było zauważyć preludium tej zmiany paradygmatu.

Ranking dziesięciu państw pod względem liczby botnetów kontroli uległ - drugi kwartał z rzędu - znacznemu przetasowaniu. Być może osoby atakujące próbują rozszerzyć swój zasięg na nowe terytoria lub wykorzystać nadmiar swoich zasobów w innych lokalizacjach geograficznych. Przyczyny tego stanu rzeczy mogą mieć charakter zarówno ekonomiczny (ceny prądu, odporność działalności w obliczu nieprzewidzianych okoliczności) jak i prawny – zwalczanie cyberprzestępczości.   

Statystyki dotyczące ostatnich dwóch kwartałów skłoniły nas do uznania, że w kręgach związanych z atakami DDoS mają miejsce pewne procesy transformacyjne, które mogą znacząco zmienić ten obszar aktywności cyberprzestępczych w najbliższej przyszłości.