HackerNews 编译，转载请注明出处： 网络安全研究人员警告，在美以针对伊朗发动代号为 Epic Fury 和 Roaring Lion 的联合军事行动后，报复性黑客行动主义活动激增。 Radware 在周二的报告中表示：“中东地区的黑客行动主义威胁呈现高度不均衡态势，Keymous+ 和 DieNet 两个组织发起了 2 月 28 日至 3 月 2 日期间近 70% 的攻击活动。” 首例分布式拒绝服务（DDoS）攻击由 Hider Nex（又名 Tunisian Maskers Cyber Force）于 2026 年 2 月 28 日发起。 据 Orange Cyberdefense 披露的信息，Hider Nex 是一个支持巴勒斯坦事业的突尼斯秘密黑客行动主义组织。该组织采用攻击 + 泄密策略，将 DDoS 攻击与数据泄露相结合，泄露敏感信息以推进其地缘政治议程。该组织于 2025 年年中出现。 统计显示，共出现 149 起黑客行动主义 DDoS 攻击宣称，针对 16 个国家 110 家不同机构。攻击由 12 个不同组织实施，其中 Keymous+、DieNet 和 NoName057 (16) 占全部活动的 74.6%。 在这些攻击中，绝大多数（107 起）集中在中东地区，重点针对公共基础设施和国家级目标。欧洲成为同期全球 22.8% 攻击活动的目标。全球近 47.8% 的受攻击机构属于政府部门，其次是金融（11.9%）和电信（6.7%）行业。 Radware 表示：“该地区数字战线与实体战线同步扩大，黑客组织同时针对中东更多国家发起攻击，规模前所未有。”“区域内攻击高度集中在三个国家：科威特、以色列和约旦，分别占攻击宣称总量的 28%、27.1% 和 21.5%。” 根据 Flashpoint、Palo Alto Networks Unit 42 和 Radware 的数据，除上述三个组织外，参与破坏性行动的还包括 NOS、CEA、Sylhet Gang、313 Team、Handala Hack、APT Iran、Cyber Islamic Resistance、Dark Storm Team、FAD Team、Evil Markhors 和 PalachPro。 当前网络攻击范围如下： ·     亲俄黑客组织 Cardinal 和 Russian Legion 宣称攻破以色列军事网络，包括铁穹导弹防御系统。 ·     监测到活跃的 SMS 钓鱼活动，攻击者使用假冒以色列本土前线司令部 RedAlert 应用的恶意副本，投放移动监控与数据窃取恶意软件。CloudSEK 表示：“攻击者以战时紧急更新为幌子，诱导受害者侧载恶意 APK，在可用的警报界面下隐藏侵入式监控引擎，针对高度警惕的人群实施监控。” ·     伊朗伊斯兰革命卫队（IRGC）针对中东能源与数字基础设施发起攻击，目标包括沙特阿美和阿联酋的一座 AWS 数据中心。Flashpoint 称，其意图是 “制造最大程度的全球经济冲击，以对冲军事层面的损失”。 ·     Cotton Sandstorm（又名 Haywire Kitten）启用旧网络身份 Altoufan Team，宣称入侵巴林多家网站。Check Point 表示：“这反映出该攻击者行动的应激性，冲突期间其极有可能进一步参与中东地区的入侵活动。” ·     Nozomi Networks 数据显示，伊朗国家背景黑客组织 UNC1549（又名 GalaxyGato、Nimbus Manticore、Subtle Snail）是 2025 年下半年第四活跃的攻击组织，其攻击重点为国防、航空航天、电信及地区政府机构，以推进伊朗地缘政治目标。 ·     伊朗主流加密货币交易所仍在运行，但已宣布调整运营，暂停或批量处理提现，并发布风险提示，建议用户为可能的网络中断做好准备。 ·     TRM Labs 全球政策主管 Ari Redbord 表示：“伊朗目前的情况并非明显的大规模资本外逃，而是市场在网络受限与监管干预下应对波动的表现。”“多年来，伊朗一直存在影子经济，其中一部分通过加密货币规避制裁，包括利用复杂的离岸基础设施。目前在战争、断网和市场波动的压力下，这套基础设施及政权利用它的能力正接受实时压力测试。” ·     Sophos 表示 “观察到黑客行动主义活动激增，但风险并未升级”，攻击主要来自亲伊朗组织，包括 Handala Hack 和 APT Iran，攻击形式包括 DDoS、网站篡改以及针对以色列基础设施的未经证实的入侵宣称。 ·     英国国家网络安全中心（NCSC）向机构发出伊朗网络攻击风险升高警报，敦促其加强安全态势，应对 DDoS、钓鱼活动和对 ICS 的攻击。 Halcyon 勒索软件研究中心高级副总裁、前 FBI 网络部副主任 Cynthia Kaiser 在 LinkedIn 发文称，伊朗素有利用网络行动报复 “所谓政治冒犯” 的先例，她补充称，此类活动越来越多地结合勒索软件。 Kaiser 补充：“伊朗长期以来对针对美国、以色列及其他盟国的民间网络行动持默许或至少是放任态度。”“原因在于，掌握网络犯罪分子能为政府提供更多行动选择。伊朗在考虑如何回应美以军事行动时，若认为这些网络组织能产生有效报复效果，很可能会启用他们。” 网络安全公司 SentinelOne 也以高可信度评估认为，以色列、美国及盟国机构很可能面临直接或间接攻击，重点行业包括政府、关键基础设施、国防、金融服务、教育和媒体。 Nozomi Networks 表示：“伊朗威胁组织历来愿意将间谍活动、破坏行动和心理战结合，以实现战略目标。”“在局势不稳定时期，此类行动往往会加剧，目标超出直接冲突区域，涵盖关键基础设施、能源网络、政府机构和私营企业。” 为应对实体冲突带来的网络风险，建议机构启用持续监控，以匹配升级的威胁活动，更新威胁情报特征、缩小外部攻击面、对联网资产开展全面暴露面检查，验证 IT 与 OT 网络的正确隔离，确保 IoT 设备有效隔离。 CrowdStrike 对抗敌对行动主管 Adam Meyers 向 The Hacker News 表示：“在以往冲突中，伊朗网络组织会将行动与更广泛战略目标对齐，加大对能源、关键基础设施、金融、电信、医疗等目标的施压与曝光度。” “伊朗对手的攻击技术持续进化，已从传统入侵扩展到云和身份为中心的行动，这使其能够在混合企业环境中快速行动，规模与影响进一步提升。” 消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 今年 1 月，自动化投资平台 Betterment 系统遭黑客攻陷，140 万用户账户的电子邮箱地址及其他个人信息被窃取。 Betterment 主营自动化投资工具与金融咨询服务，是美国 “机器人投顾” 领域的先驱企业。这家金融科技公司共为超 100 万客户管理着 650 亿美元资产。 尽管 Betterment 未披露受影响总人数，但数据泄露查询平台 Have I Been Pwned 分析被盗数据后表示，此次泄露波及 1435174 个账户，涉及信息包括电子邮箱、姓名及地理位置数据。 遭泄露的信息还包括出生日期、通讯地址、电话号码、设备信息、雇主地理位置及职位名称。 Betterment 于 1 月 10 日披露，威胁行为者通过社会工程学攻击侵入部分系统后，还发送伪装成公司促销活动的欺诈邮件，试图诱导目标客户落入奖励骗局 —— 该骗局宣称，向攻击者控制的比特币、以太坊钱包转入加密货币，可获得三倍金额返还。 Betterment 警示用户：“此活动并非官方福利，切勿理会；即便点击了活动通知，也不会影响你的 Betterment 账户安全。目前非授权访问已被阻断，且暂无证据表明非授权人员获取过 Betterment 客户账户的访问权限。” 1 月 13 日科技媒体 BleepingComputer 报道称，Betterment 遭分布式拒绝服务（DDoS）攻击且被勒索，此后该公司确认，官网及移动应用的间歇性宕机系 DDoS 攻击所致，但尚未披露任何与勒索相关的细节。 本周早些时候，Betterment 再发声明称，联合网络安全厂商 CrowdStrike 开展后续溯源调查后确认，此次泄露未导致客户账户被攻陷。 该公司表示：“在 CrowdStrike 支持下，我们完成溯源调查，确认 1 月 9 日的事件未造成客户账户、密码及登录信息泄露。”“分析结果进一步确认，此次隐私影响主要集中在部分客户联系信息（含姓名、邮箱）；部分案例中，联系信息还关联了通讯地址、电话号码、出生日期等其他客户信息。” 截至发稿，Betterment发言人在BleepingComputer就此事联系问询后尚未作出回复。 消息来源:bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 意大利外交部长 Tajani 表示，该国已挫败一系列针对外交部办公机构及冬奥会官网、相关酒店的俄关联网络攻击。据他透露，意大利已挫败一系列俄关联网络攻击，攻击目标包括外交部驻外办公机构（含华盛顿办事处）、冬奥会官方网站及科尔蒂纳丹佩佐地区的冬奥相关酒店。 兼任副总理的Tajani 强调：“我们挫败了一系列针对外交部办公机构（首当其冲是华盛顿办事处）及部分冬奥场所（含科尔蒂纳地区酒店）的网络攻击。”他明确指出“这些行动由俄罗斯主导”。据意大利安莎通讯社报道，Tajani 是在华盛顿出访期间向记者披露此事的。 亲俄黑客组织 Noname057(16) 宣称实施了这些分布式拒绝服务（DDoS）攻击。近期该组织已通过自身渠道公布目标清单，涵盖科尔蒂纳地区多家酒店及外交部等政府网站。 该组织声称，发起攻击是对意大利亲乌立场的报复，同时列出其他攻击目标，包括意大利驻华盛顿大使馆及驻悉尼、多伦多、巴黎领事馆。得益于意大利有关部门及国家网络安全局的应对处置，此次攻击造成的影响目前较为有限。 目前监测到的攻击强度尚未达到极高水平，但各方已明确，当前威胁态势中存在可发起大规模分布式拒绝服务攻击的僵尸网络，这类攻击需通过复杂方案才能缓解。例如近期 AISURU 僵尸网络发起的攻击就具备这样的规模，但该僵尸网络似乎并不属于Noname057(16)这类亲俄激进黑客组织的攻击武器库。 意大利内政部长 Piantedosi 宣布，意方将在米兰至多洛米蒂赛区的各个场馆部署6000名安全人员，其中包括拆弹小组、狙击手及反恐部队。 消息来源: securityaffairs.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全威胁动态：攻击者利用停产物联设备漏洞构建Mirai僵尸网络 安全研究人员发现，网络犯罪分子正利用已停产的GeoVision物联网（IoT）设备中的安全漏洞，将其纳入Mirai僵尸网络以发动分布式拒绝服务（DDoS）攻击。 据Akamai安全情报与响应团队（SIRT）于2025年4月初首次披露，该攻击活动通过利用两个操作系统命令注入漏洞（CVE-2024-6047和CVE-2024-11120，CVSS评分均为9.8）实现任意系统命令执行。 “攻击者针对GeoVision设备中的/DateSetting.cgi接口，通过szSrvIpAddr参数注入恶意指令，”Akamai研究员Kyle Lefton在接受《黑客新闻》采访时表示。该僵尸网络在攻击中会下载并执行名为LZRD的ARM架构Mirai变种木马。 此次攻击还涉及多个历史漏洞的复合利用，包括2018年披露的Hadoop YARN漏洞（CVE-2018-10561）以及2024年12月曝光的DigiEver系统缺陷。部分证据表明，该活动与名为“InfectedSlurs”的黑客组织存在关联。 Lefton强调：“攻击者惯于通过未及时更新的老旧设备快速组建僵尸网络。许多硬件厂商对停产品种不再提供安全补丁，部分厂商甚至已停止运营。”鉴于受影响GeoVision设备已无官方支持，建议用户升级至新型号以规避风险。 与此同时，Arctic Wolf与SANS技术研究院联合披露，三星MagicINFO 9服务器路径遍历漏洞（CVE-2024-7399，CVSS 8.8）正被用于Mirai僵尸网络传播。该漏洞允许未授权攻击者以系统权限写入任意文件，包括可触发远程代码执行的恶意JSP文件。 尽管三星已于2024年8月发布修复补丁，但2025年4月30日公开的概念验证（PoC）代码导致攻击激增。攻击者通过漏洞植入shell脚本，实现僵尸网络的自动化下载与部署。 Arctic Wolf建议用户将系统升级至21.1050及以上版本以消除安全隐患。此次事件再次凸显物联网设备全生命周期安全管理的重要性，特别是对停产品种的持续风险监控。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亲巴勒斯坦的黑客组织 Dark Storm 声称，周一通过分布式拒绝服务（DDoS）攻击导致全球多地的 X 平台（原推特）出现中断，X 平台随后启用了 Cloudflare 的 DDoS 防护服务。 X 平台的所有者埃隆·马斯克虽未明确指出中断是由于 DDoS 攻击，但他确认是遭到了“大规模网络攻击”。 “针对 X 平台的网络攻击仍在持续，”马斯克在 X 平台上发文称，“我们每天都会遭受攻击，但这次动用了大量资源，可能是大型有组织的团体或某个国家所为。” Dark Storm 是一个亲巴勒斯坦的黑客组织，于 2023 年成立，曾多次攻击以色列、欧洲和美国的组织。 该组织今日在 Telegram 频道上发布消息，声称对 Twitter 发起 DDoS 攻击，并分享了攻击证明的截图和链接。 Check-host.net 是一个允许用户检查全球不同服务器上网站可用性的网站，常在 DDoS 攻击期间用于展示攻击正在进行。 X 平台目前受 Cloudflare 的 DDoS 防护服务保护，当可疑 IP 地址连接网站或单个 IP 地址请求过多时，会显示验证码。 该网站的 help.x.com 部分目前对所有请求都显示 Cloudflare 验证码。 黑客组织多次证明，他们能够利用僵尸网络等资源，干扰大型科技平台。 2024 年，美国指控两名苏丹兄弟涉嫌运营 Anonymous Sudan 黑客组织。 该组织成功使包括 Cloudflare、微软和 OpenAI 在内的多家大型科技公司的网站和 API 下线，导致全球众多用户服务中断。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Aqua Nautilus 研究人员发现了一个由 Matrix 发起的一系列大规模 DDoS 攻击活动，该活动可能是俄罗斯威胁组织发起。 Aqua Nautilus 的网络安全研究人员发现了一个名为 Matrix 的威胁组织发起的新型分布式拒绝服务 ( DDoS ) 活动，利用现成的工具和最低限度的技术专长。 根据 Aqua Nautilus 的调查结果，Matrix（研究人员将其称为脚本小子）的目标是庞大的互联网IoT设备，包括物联网设备、摄像头、路由器、DVR 和企业系统。 攻击者使用不同的技术，主要依靠暴力攻击，利用弱密码和错误配置来获取初始访问权限。 一旦被入侵，设备就会被纳入更大的僵尸网络。攻击者还利用各种公开脚本和工具来扫描易受攻击的系统、部署恶意软件并执行攻击。 根据 Aqua Nautilus 的博客文章，尽管最初有迹象表明该攻击与俄罗斯有关，但乌克兰目标的缺失表明该攻击主要关注的是经济利益，而非政治目的。 Matrix 创建了一个 Telegram 机器人 Kraken Autobuy，以销售针对第 4 层（传输层）和第 7 层（应用层）攻击的 DDoS 攻击服务，进一步强调了该攻击活动的商业化。 该活动利用了近期和之前的一系列漏洞，其中包括： CVE-2014-8361 CVE-2017-17215 CVE-2018-10562 CVE-2022-30525 CVE-2024-27348 CVE-2018-10561 CVE-2018-9995 CVE-2018-9995 CVE-2017-18368 CVE-2017-17106 这些漏洞与广泛存在的弱凭证相结合，为恶意攻击者创造了巨大的攻击面。大多数活动（约 95%）发生在工作日。 Matrix 使用 GitHub 帐户来存储和管理恶意工具和脚本，主要用 Python、Shell 和 Golang 编写。 研究人员指出：“我们重点关注了scanner、gggggsgdfhgrehgregswegwe、musersponsukahaxuidfdffdf和DHJIF等存储库。这些存储库包含各种用于在物联网设备和服务器上扫描、利用和部署恶意软件（主要是 Mirai 和其他 DDoS 相关工具）的工具。” 截图显示使用弱凭证成功登录摄像头面板（通过 Aqua Nautilus） 另一方面，Virus Total 发现用于发起 DDoS 攻击的各种工具，包括 DDoS Agent、SSH Scan Hacktool、PyBot、PYnet、DiscordGo Botnet、HTTP/HTTPS Flood Attack 和 Homo Network。 这些工具可用于控制受感染的设备、针对选定目标发起大规模 DDoS 攻击，以及利用 Discord 进行通信和远程控制。 此次攻击活动的潜在影响十分巨大，数千万台联网设备可能面临风险。 研究人员指出：“近 3500 万台设备存在风险。如果 1% 的设备受到攻击，僵尸网络可能覆盖 35 万台设备；如果 5% 的设备受到攻击，僵尸网络可能覆盖 170 万台设备，与过去发生的重大攻击不相上下。” 主要影响是服务器拒绝服务，扰乱企业和在线运营。服务器被入侵可能导致服务提供商停用，影响依赖它们的企业。观察到针对 ZEPHYR 的有限加密货币挖掘操作，但产生的经济收益微乎其微。 为了保证安全，组织应该优先考虑强有力的安全实践，如定期修补、强密码策略、网络分段、入侵检测系统、Web 应用程序防火墙和定期安全审核，以减少遭受DDoS 攻击和其他网络威胁的风险。 技术报告：https://www.aquasec.com/blog/matrix-unleashes-a-new-widespread-ddos-campaign/       转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/xx3FkgaS4rGsEhZwmMHvCQ 封面来源于网络，如有侵权请联系删除

以色列各地的信用卡刷卡设备在周日（10日）出现故障，疑似由于网络攻击影响了支撑这些设备运行的通信服务。 超市和加油站的顾客因设备故障无法进行支付，事件持续了大约一个小时。 据《耶路撒冷邮报》报道，故障原因是当地支付网关公司Hyp旗下产品CreditGuard遭到分布式拒绝服务（DDoS）攻击。 这次攻击扰乱了信用卡终端与更广泛的支付系统之间的通信，但并未导致任何信息或支付数据被盗取。 Hyp公司发言人向《耶路撒冷邮报》透露，已排除了针对公司网络和基础设施进行更大规模干扰的可能性。发言人表示，DDoS攻击主要针对“公司部分服务及与公司连接的通信提供商”，但攻击在被发现后迅速得到了遏制，服务也很快恢复正常。 以伊冲突引爆网络威胁态势 目前尚不清楚谁是此次攻击的幕后主使。据《以色列时报》报道，以色列第12频道新闻和陆军电台均指出，一个与伊朗有关的黑客组织声称对此次攻击负责，但是并未提供具体信源。 此次事件与今年10月份发生的类似攻击事件相似。当时，支付公司Sheba也遭遇DDoS攻击。那次攻击持续了大约三小时，导致支付中断。由于Sheba在以色列国家支付系统中扮演重要角色，借记卡支付的审批过程也因此受到了延迟。 自10月7日恐怖袭击以来，因地区冲突，以色列的民用基础设施遭遇了更多网络攻击，主要是由与伊朗和真主党相关的黑客团体以及其他政治动机驱动的黑客活动主义者发起的。 这些团体发动的网络攻击不仅影响了以色列本土，还波及了该地区之外的民用基础设施。去年，爱尔兰西部的一个偏远地区因亲伊朗黑客组织攻击一台设备，导致当地居民两天无法用水。黑客声称该设备由以色列公司犹尼康（Unitronics）制造。 当时，美国联邦政府也发布警告，表示正在处理针对犹尼康可编程逻辑控制器（PLC）的活跃攻击。这些控制器广泛应用于包括宾夕法尼亚州阿里奎帕市政水务局在内的许多水务部门。       转自安全内参，原文链接：https://www.secrss.com/articles/72299 封面来源于网络，如有侵权请联系删除

近日，欧洲议会选举在荷兰正式启动，未来几天将陆续在欧盟其它国家举行，这一时期成为了网络攻击事件的”高发期“。Cloudflare 在一份报告中指出，大量威胁攻击者正在针对欧洲各国的政党，发动大规模 DDoS 攻击。 Cloudflare 表示，其内部网络安全人员已经缓解了对荷兰多个选举相关网站以及多个政党的至少三次分布式拒绝服务（DDoS）攻击浪潮。 Cloudflare 还分享了 6 月 5 日和 6 日发生的两次 DDoS 攻击的信息。由下图可以看出，第一次 DDoS 攻击的峰值为每小时 1.15 亿次请求，一个站点在四个小时内每秒收到高达 73000 次请求。 第二次 DDoS 攻击稍轻一些，每小时请求次数达到 4 400 万次，其中一个目标的最高请求次数为每秒 52 000 次，目标同样是荷兰的政治网站。 背后真凶疑似俄罗斯黑客组织 安全 事件发生不久后，Telegram 上，一个名为 “HackNeT ”的黑客组织宣布对此次 DDoS 攻击负责，并宣布受害者为 PVV（自由党）和 FvD（民主论坛）。 值得一提的是，遭受攻击的两个党派都是右翼民族主义运动，此前曾对欧盟和北约在国际冲突中的”作用“表示过怀疑，并对俄罗斯表现出相当同情的立场，反对对该国实施制裁。 2024 年 6 月初，德国联邦内政和内务部宣布基民盟（CDU）的网络系统也遭到了 “严重的网络攻击”，造成了非常恶劣的影响。目前，德国相关机构正在与德国联邦宪法保护局进行合作，组织专家调查并试图降低网络安全事件产生的影响。 注：自从俄乌冲突以来，基民盟一直谴责俄罗斯方面非法入侵了乌克兰，并积极推定各国维持和加强制裁俄罗斯，直至俄罗斯从乌克兰领土撤军。 最后，德国当局没有透露此次网络袭击的具体细节，但已经向德国联邦议院的所有党派通报了如何通过加强所有保护措施来保护自身网络系统。   转自Freebuf，原文链接：https://www.freebuf.com/news/403170.html 封面来源于网络，如有侵权请联系删除

匿名苏丹组织声称对此次网络攻击负责，并称其动机是阿联酋向苏丹快速支援部队（RSF）提供支持。亲巴勒斯坦和俄罗斯的黑客组织“匿名苏丹”声称对 Flydubai 进行了一系列分布式拒绝服务攻击（DDoS 攻击），Flydubai 是位于阿拉伯联合酋长国迪拜的阿联酋政府拥有的航空公司。 值得注意的是，在两次网络攻击中，“匿名苏丹”透露的动机都是阿联酋对快速支援部队（RSF）通信的明显支持。值得注意的是，RSF 是一支以前由苏丹政府运营的准军事部队，被黑客活动分子指控对苏丹人民犯下战争罪。 该组织于2024年2月1日通过其官方 Telegram 频道宣布了此次所谓的网络攻击。匿名苏丹通常通过 Telegram 宣布其攻击，但迄今为止该组织尚未使用任何已知网站。 匿名苏丹“我们对 FlyDubai 的数字基础设施发起了重大网络攻击。我们已经将 FlyDubai 数字基础设施最关键的部分合而为一。我们已确认 Flydubai 的网络完全中断。由于阿联酋继续支持苏丹的种族灭绝快速支援部队，针对阿联酋的袭击将会继续。因此，我们对 FlyDubai 系统的整体健康状况造成的任何损害以及任何附带损害提出索赔。” 尽管Flydubai的官方网站仍然在线，但几小时后，匿名苏丹组织在随后的消息中声称，Flydubai的基础设施，包括预订系统，受到了严重影响，该航空公司的网站成为唯一的功能性资产。 然而，Hackread.com 在 Flydubai 网站上预订机票的尝试被证明是成功的。以下是匿名苏丹在 Telegram 上的发言： DDoS攻击已成为各种规模企业的重大担忧。根据卡巴斯基的报告，DDoS经济在暗网上蓬勃发展，越来越多的网络犯罪分子将目光投向了关键基础设施。 尽管存在缓解DDoS攻击的公司，但第一道防线是保护自身的IoT设备免遭此类攻击中使用的僵尸网络的攻击。因此，请确保您的网络安全防御尽可能强大。   转自E安全，原文链接：https://mp.weixin.qq.com/s/FjXTleNC3Krw6IFFITYdMg 封面来源于网络，如有侵权请联系删除

进入 2024 年，Gcore 发布了最新的2023 年第三、四季度（Q3-Q4） DDoS 攻击趋势报告，指出 DDoS 攻击的规模和复杂性都有了惊人增长。 Gcore发现，过去三年，DDoS 峰值攻击流量每年的增幅都超过了100%，2021年DDoS攻击峰值流量为300Gbps，2022 年增至650 Gbps，2023 年 Q1-Q2 季度再次增至800 Gbps，2023 年Q3-Q4季度增至1600 Gbps (1.6 Tbps)。 2021-2023年度DDoS峰值攻击流量趋势（Gcore） 值得注意的是，2023 年下半年的跳跃意味着网络安全行业正在以新单位 Terabit（TB） 来衡量 DDoS 攻击。这说明 DDoS 攻击的潜在损害正在显着且持续升级，Gcore预计这一趋势将在 2024 年持续下去。 主要结果概览 攻击持续时间 研究报告发现，DDoS攻击时长从三分钟到九小时不等，平均约为一小时。通常，短时间的攻击更难检测，这是由于数据稀缺，无法进行适当的流量分析，而且由于更难识别，因此也更难缓解。更长时间的攻击需要更多的资源来对抗，需要强大的缓解响应，否则存在服务器长时间不可用的风险。 Gcore记录的最长DDoS攻击持续了9个小时（Gcore） 主要攻击类型 在主要攻击类型中，UDP flood继续占据主导地位，占 DDoS 攻击的 62%。TCP flood和 ICMP 攻击也仍然很流行，分别占总数的 16% 和 12%。所有其他 DDoS 攻击类型，包括 SYN、SYN+ACK Flood 和 RST Flood，合计仅占 10%。虽然一些攻击者可能会使用这些更复杂的方法，但大多数攻击者仍然专注于提供大量数据包来摧毁服务器。 2023 年下半年主要攻击类型占比（Gcore） 主要攻击源分布 攻击源的全球传播表明了网络威胁的无国界性质，攻击者可以跨越国界进行操作。Gcore 在 2023 年下半年发现了多个攻击来源，其中美国位居第一，占 24%。印度尼西亚（17%）、荷兰（12%）、泰国（10%）、哥伦比亚（8%）、俄罗斯（8%）、乌克兰（5%）、墨西哥（3%）、德国（2%）和巴西（2%）位列前十，这说明全球面临着广泛的威胁。 攻击源地理位置占比（Gcore） DDoS 攻击源的地理分布为制定有针对性的防御策略和制定旨在打击网络犯罪的国际政策提供了重要信息。然而，由于使用 IP 欺骗等技术以及分布式僵尸网络的参与，确定攻击者的位置具有一定难度。 目标行业 游戏行业仍然是受影响最严重的行业，遭受了 46% 的攻击。银行和博彩服务在内的金融行业位居第二，占 22%。电信（18%）、基础设施服务行业（7%）和计算机软件公司（3%）也成为重点目标。 受影响行业占比分布（Gcore） 这些行业分布与Gcore的上一份报告大致相同，攻击者对游戏和金融领域特别感兴趣，这些行业一般具有较好的经济收益和用户基础，同时凸显了在受打击最严重的行业中需要有针对性的网络安全策略的必要性。 分析及结论 2023 年下半年的数据显示了 DDoS 攻击令人担忧的趋势。尤其是峰值攻击增加到了令人震惊的 1.6 Tbps，这标志着组织必须做好准备应对不断高升的威胁水位。相比之下，即使是“不起眼的”300 Gbps 攻击也能够禁用未受保护的服务器。结合攻击源的地理分布，DDoS 威胁是一个严重的全球性问题，需要国际合作和情报共享，以有效减轻潜在的破坏性攻击。 攻击持续时间的范围表明攻击者变得更具战略性，针对特定的目标和目标调整他们的方法。例如在游戏领域，攻击的威力和持续时间相对较低，但更为频繁，会对特定服务器造成反复破坏，目的是破坏玩家体验，迫使他们切换到竞争对手的服务器。对于经济影响更为直接的金融和电信行业来说，攻击的数量往往较多，且长度变化很大。 游戏、金融行业、电信和基础设施服务行业的持续攻击反映了攻击者的战略选择，因为攻击导致的业务中断都会对其经济和运营产生重大影响。 Gcore的报告及时提醒人们要积极应对不断变化的网络威胁。跨部门的组织必须投资全面且适应性强的网络安全措施，以确保其能力领先于 DDoS 威胁，同时还能够敏锐地了解网络攻击者不断变化的模式和策略。   转自Freebuf，原文链接：https://www.freebuf.com/news/390469.html 封面来源于网络，如有侵权请联系删除