Коммерсантъ FM

Терабит выходит на поток

Доля сложных DDoS-атак на российские компании превысила 40%

Рекордная мощность DDoS-атак на российские компании в 2026 году превысила 2 Тбит/с, а доля инцидентов свыше 100 Гбит/с достигла 15%. Эксперты предупреждают, что атаки становятся более длительными и сложными, а злоумышленники переходят к многоступенчатым сценариям с предварительной разведкой инфраструктуры, ударами по резервным сегментам и одновременной нагрузкой на сеть и уровень приложений.

Фото: Ирина Бужор, Коммерсантъ

Фото: Ирина Бужор, Коммерсантъ

Пиковая мощность DDoS-атак на российские компании в первой половине 2026 года превысила 2 Тбит/с, следует из данных центра мониторинга Servicepipe. Также доля «гиперобъемных» атак свыше 100 Гбит/с выросла с почти 3% до 15% год к году. Один из зафиксированных во втором квартале инцидентов достиг мощности 965 Гбит/с при интенсивности более 100 млн пакетов в секунду (Mpps). Также злоумышленники смещают фокус с кратковременных перегрузок на сложные многоступенчатые сценарии, доля которых достигла 42% от общего числа атак, отмечают эксперты Servicepipe.

Несмотря на то что показатели DDoS-атак, которые публикуют разные центры мониторинга, напрямую не сопоставимы, говорит директор по клиентским решениям компании Curator Эдгар Микаелян, можно говорить об общем тренде — росте доли масштабных атак.

В остальном каждая компания фиксирует инциденты в пределах собственной клиентской базы и инфраструктуры фильтрации. «По нашей статистике, в первом квартале 2026 года максимальная атака достигла 2065 Гбит/с и 953 Mpps, во втором — 1,6 Тбит/с и 638,55 Mpps». При этом атаки мощностью свыше 1 Тбит/с перестали быть исключением: если ранее такие инциденты считались единичными, то сейчас фиксируются регулярно, фактически став новой нормой для рынка, отметил господин Микаелян.

Ключевым элементом сложных атак становится предварительная разведка инфраструктуры. Атакующие с помощью низкоинтенсивного трафика анализируют уязвимые узлы, скрытые адреса и пропускную способность каналов, после чего формируют целевой удар. Собранные данные используются для атак не только на публичные сервисы, но и на теневую инфраструктуру — резервные каналы и технические подсети. Это позволяет перегружать «пограничные» устройства и блокировать доступ к основным сервисам.

«Хакеры действуют за счет предварительной разведки и целенаправленного перебора уязвимостей. Векторы меняются настолько часто, что исключают возможность ручной адаптации. Злоумышленники делают ставку на то, что классические фильтры просто не успеют перестроиться при терабитном ударе или атаке на неиспользуемую подсеть»,— отметил руководитель направления по подготовке технических решений Servicepipe Павел Акифьев.

Одновременно, по данным Servicepipe, увеличивается и продолжительность атак: если ранее они ограничивались минутами, то в 2026 году фиксируются инциденты длительностью до 22–36 часов.

Роскомнадзор в мае приводил оценку наиболее длительной кибератаки в более чем 11 дней (пиковая мощность достигала 885 Гбит/с).

Среди трендов этого года эксперт Kaspersky DDoS Protection Вячеслав Кириллов также отмечает рост доли атак на уровень приложений (L7 по OSI), до 50% от общего объема. По его словам, атакующие смещают фокус на прицельную нагрузку бизнес-логики и API, обходя защиту, рассчитанную только на транспортные и сетевые уровни. «Комбинация объемной атаки на сеть с одновременной атакой на приложение усложняет автоматическое обнаружение и требует эшелонированной защиты»,— добавил он.

Филипп Крупанин

Новости компаний Все