Удвоение пройденного

В 2025 году зафиксирован значительный рост числа и сложности DDoS-атак. По оценкам специалистов по кибербезопасности, увеличение количества инцидентов составило до 90%, в Роскомнадзоре говорят о росте на 100%. Атаки становятся более целенаправленными: вместо массовых сетевых нагрузок злоумышленники все чаще используют многоуровневые и точечные воздействия на критичные для бизнеса сервисы, например платежные системы. Это требует от рынка принципиально других решений для защиты, говорят эксперты.

Выйти из полноэкранного режима

Развернуть на весь экран

Подведомственный Роскомнадзору Центр мониторинга и управления сетью связи общего пользования зафиксировал во втором полугодии 2025 года более 15 тыс. DDoS-атак, рассказали “Ъ” в Роскомнадзоре. Всего за 2025 год произошло более 21 тыс. таких инцидентов, а в 2024 году этот показатель превысил 10 тыс. Рост год к году составил более 100%.

Там также отметили, что доля зарубежного вредоносного трафика «остается стабильно высокой». Основные страны—источники трафика — США, Германия, Великобритания, Нидерланды, Индонезия, Тайвань, Франция, Швеция.

«Эти страны — ключевые мировые хабы хостинга и облачных услуг, что делает их удобной платформой для размещения элементов бот-сетей. Однако фиксируемая география трафика не отражает реальное местонахождение организаторов атак»,— говорят в Роскомнадзоре.

В большинстве случаев речь идет об использовании распределенных ботнетов, сформированных из скомпрометированных серверов, облачных виртуальных машин и конечных устройств, расположенных в различных странах. Такая модель позволяет злоумышленникам маскировать источник атак, повышать их устойчивость к блокировкам и оперативно наращивать мощность воздействий.

По итогам 2025 года специалисты ИБ-компании Servicepipe зафиксировали увеличение числа DDoS-атак в 1,9 раза по сравнению с предыдущим годом, а количество задействованных ботнетов, по данным компании, выросло более чем на треть. При этом специалисты «Инфосистемы Джет» оценивают рост сетевых атак на 50% год к году, «Лаборатории Касперского» — на 42%, а за неполный 2025 год в ГК «Солар» фиксировали рост ориентировочно в 30%.

Как объяснил директор по продуктам Servicepipe Михаил Хлебунов, исследователи фиксируют разные показатели роста атак в первую очередь из-за разницы в клиентской базе. По его словам, также отличается методология подсчета: «Некоторые системы считают каждый пик нагрузки на инфраструктуру как отдельную атаку. Если в течение суток было десять всплесков трафика, фиксируется десять атак. В Servicepipe считают атаку от начала до полного завершения вне зависимости от количества пиков внутри нее».

Эксперты «Лаборатории Касперского», ГК «Солар» и Servicepipe согласны в том, что в 2025 году была отмечена тенденция к смещению фокуса злоумышленников с «шумных» сетевых нагрузок к точечному воздействию на бизнес-критичные функции.

Как говорит менеджер по продукту Kaspersky DDoS Protection Вячеслав Кириллов, если в первые три квартала DDoS-атаки наращивали интенсивность, то в четвертом количество инцидентов снизилось, но их средняя сложность и длительность возросли. «В начале года преобладали массовые сетевые воздействия, во второй его половине более заметными стали атаки на прикладном уровне (L7). Их цель — перегрузить веб-сервер и вывести веб-приложение из строя. Такие атаки сложно выявить»,— говорит господин Кириллов.

Наибольшую нагрузку от атак на сетевом уровне испытали телекоммуникационный и финансовый сектора, оценивают в Servicepipe. На кредитные организации пришлось 30% таких атак, на телеком — 35%, госструктуры — 13%. По атакам на уровне приложений лидируют ритейл (34%), финсектор (26%) и телеком (18%). При этом атаки на уровне приложений составили 42% от общего числа атак, говорят в компании. Основные пики атак пришлись на март, май, июль и сентябрь 2025 года, говорят в ГК «Солар». В марте хакеры атаковали компании страхового сектора и кредитно-финансовой отрасли сразу после переговоров США и Украины в Саудовской Аравии. Майские DDoS-атаки были направлены на телеком и IT-отрасль, а сентябрьские пришлись на единый день голосования.

Ключевой особенностью всех атак за год в Servicepipe называют многовекторные сценарии: «В 65–70% случаев атаки комбинировали сетевой и прикладной уровни с быстрой сменой векторов». Отдельно там отмечают рост коротких, но точных атак по платежным и клиентским сервисам. Также в компании зафиксировали ботнет, мощность атак которого достигает 29,7 Тбит/с. Злоумышленниками активно использовалась технология spoofing (позволяет подменять IP-адреса), когда атака фактически идет из собственной подсети или по «белым спискам». Подавляющее большинство сервис-провайдеров защиты от DDoS-атак, включая глобальные, не в состоянии противостоять подобной угрозе и для эффективной защиты теперь нужны принципиально новые инструменты, заключают в Servicepipe.

Филипп Крупанин, Полина Мынко