Ботанический ад: как злоумышленники DDoSили Россию в 2025 году
В 2025 году было установлено сразу несколько рекордов по самым мощным бот-атакам. В основном хакеры атаковали ритейл, а также сферы медиа, телекома, финтеха и промышленности. Злоумышленники стали активно использовать «хирургические» DDoS-атаки, когда атакуется отдельная система, например платежи, авторизация или процесс заказов. Прогноз экспертов, что ждать от киберпреступников в 2026-м, — в материале «Известий».
Какие сегменты подверглись DDoS-атакам
В прошлом году общее количество атак на российский бизнес выросло примерно вдвое, при этом доля атак на уровне приложений — это почти половина от всех инцидентов, сообщили «Известиям» в компаниях по кибербезопасности.
На рынке появился рекордный ботнет (это сеть из множества зараженных компьютеров и других подключенных к интернету устройств) AISURU с мощностью до 29,7 Тбит/с, который в 2025-м стал фактическим «новым стандартом» гиперобъемных атак и повлиял на стабильность крупных провайдеров, рассказал заместитель генерального директора Servicepipe Данила Щербаков.
— По итогам года основными целями в России стали телеком, финансы, ритейл и государственный сектор, — сказал он. — В ритейле особенно страдали API (обмен данных между программами), онлайн‑корзины и платежные сценарии.
На глобальном уровне лидерство по нагрузке удерживают провайдеры связи и критическая инфраструктура, на уровне приложений — финтех, AI‑сервисы и цифровые платформы.
Количество атак на сетевых уровнях увеличилось на 24,18% по сравнению с 2024 годом, сообщили в Curator.
— Самая мощная атака года в пике достигала 1,57 Тбит/с и была направлена на сегмент «Букмекерские конторы». На втором месте — атака мощностью 1,15 Тбит/с на «Онлайн-ритейл», на третьем — 1,03 Тбит/с на «Медиа, ТВ, радио и блогеры». Для сравнения, рекорд 2024 года составлял 1,14 Тбит/с, — уточнили в компании.
Наиболее часто в 2025 году атакам подвергались сегменты «Финтех» (21,73%), «Электронная коммерция» (15,95%), «ИТ и Телеком» (9,02%), «Медиа» (7,43%) и «Промышленность» (5,28%). Доля промышленного сектора выросла на 357%, тогда как доля сегмента «Образовательные технологии», входившего в топ-5 годом ранее, сократилась на 79%.
Среди микросегментов лидировали «Онлайн-ритейл» (7,65%), «Банки» (6,82%), «Медиа, ТВ, радио и блогеры» (6,60%), «Платежные системы» (6,44%), а также «Рестораны и доставка еды» (4,73%).
При этом 16 мая компания выявила один из крупнейших ботнетов — на 4,6 млн устройств, но уже 1 сентября был зафикисирован еще более мощный — на 5,76 млн устройств. Они были направлены на сегмент «Государственные ресурсы».
Кроме того, в 2025 году фиксировался рост сложных многовекторных «ковровых» атак, сказал Данила Щербаков. Другой тренд прошлого года — применение искусственного интеллекта для управления ботнетами: векторы атак меняются за секунды в зависимости от успешности.
— Также появились «хирургические» DDoS-атаки, — добавил эксперт. — Вместо попыток полностью вывести сервис из строя злоумышленники фокусируются на конкретных бизнес-функциях — платежах, авторизации, процессинге заказов. Число таких точечных атак за год выросло примерно на треть.
Трендом прошлого года стал рост числа «фулл‑стек ботов» — парсеров, которые имитируют человеческое поведение и проходят капчу (проверочный код для защиты от спама) с точным совпадением человеческих поведенческих паттернов, особенно в e‑commerce и travel.
По данным сервиса Anti-DDoS группы компаний «Солар», в 2025-м самая мощная атака была зафиксирована на майских праздниках и составила 11 Тбит/с.
— Это новый рекорд по мощности, который говорит об активизации хакеров в период важных событий для страны и необходимости российским организациям внедрять комплексные решения от эшелонированных DDoS-атак, — сказал руководитель сервиса Сергей Левин.
Какие атаки совершали в 2025 году
В 2025 году десятки хакерских группировок проводили кибератаки против российских организаций, подтвердил руководитель команды аналитики Сyber Threat Intelligence «Лаборатории Касперского» Кирилл Митрофанов. Их число ежегодно увеличивается — прирост может достигать десятка в год.
— Наибольшую угрозу представляют хактивисты, а также группировки, которые ведут многоступенчатые целенаправленные кибератаки, — отметил он. — Злоумышленники эволюционируют, и сегодня мы выделяем уникальные группировки гибридного хактивизма, которые имеют довольно высокий уровень технической подготовки, участвуют в сложных кибероперациях и при этом стремятся предавать свои «достижения» огласке для давления на жертв.
Атаки стали более разрушительными: злоумышленники активно применяют программы-шифровальщики, а также вайперы, уничтожающие инфраструктуру. В некоторых случаях — и те и другие.
— Всё чаще встречаются скоординированные кампании, которые проводят сразу несколько группировок, разделяя между собой роли и обмениваясь инструментами, что усложняет работу службам информационной безопасности, — добавил Кирилл Митрофанов. — И снижения активности хакерских группировок не ожидается.
Напротив, злоумышленники сейчас быстрее адаптируются к любым изменениям, берут на заметку новые технологии, всё чаще разрабатывают собственные инструменты, в том числе с использованием ИИ, и координируют действия, что ведет к росту количества, масштаба и сложности атак.
Чего ждать в 2026 году
В наступившем году есть вероятность столкнуться с атаками в пиках порядка 10 Тбит/с в российских сегментах, причем суперобъемные атаки могут стать правилом, нежели исключением, отметил Данила Щербаков.
Продолжится рост многовекторных атак, идущих сразу на уровне приложений на сетевом уровне, а также точечных ударов по критичным бизнес‑процессам: платежи, бронирования, логистика. Атакующий ИИ станет более доступным, добавил эксперт.
Ключевой тенденцией станет не рост «мощности» DDoS-атак, а их усложнение и прикладной характер, полагает технический директор MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин.
— Рекорды по трафику будут обновляться и дальше, но для злоумышленников всё меньше значения имеет сам объем — важнее точность, длительность и привязка атаки к бизнес-процессам жертвы, — сказал он. — Ритейл остается в зоне риска — у него высокая онлайн-нагрузка и прямая зависимость выручки от доступности сервисов.
Стоит ожидать дальнейшей автоматизации DDoS-кампаний, более активного использования ботнетов из IoT-устройств (сеть физических объектов, в которые встроены датчики, программное обеспечение и другие технологии) и облачной инфраструктуры, а также атак «по расписанию». Например, в периоды распродаж, пиковых продаж и отчетных дат, полагает Юрий Тюрин.
— Использование ИИ будет усиливать и масштабировать бот-атаки. Если раньше боты ограничивались массовыми автоматическими запросами, то теперь ИИ позволяет им достоверно имитировать действия и коммуникацию человека. Например, злоумышленники с помощью аудиоботов могут совершать массовые звонки в call-центры ритейлеров, подтверждая фиктивные заказы. В результате компании будут оплачивать рекламный трафик и нагрузку на инфраструктуру, не получая реальных клиентов, — прогнозируют в Curator.
Другим фактором риска выступает растущая зависимость компаний от цепочек поставок. Цифровая экосистема становится настолько связанной, что устойчивость бизнеса напрямую определяется устойчивостью его партнеров и провайдеров. Повышается вероятность эффекта домино и каскадных сбоев — когда инцидент у одного поставщика запускает цепную реакцию сбоев у его заказчиков и их клиентов.
— В 2026-м устойчивость цифровых экосистем будет зависеть не столько от силы защиты, сколько от готовности к потере цифровых связей. Победят не те, кто лучше всего защищены, а те, кто лучше подготовлены к сбоям, — отметил генеральный директор компании Дмитрий Ткачев.
Важным элементом защиты организаций станет понимание актуального ландшафта угроз: техник, тактик и процедур злоумышленников, от которых надо защищаться конкретной организации с учетом отрасли и региона, подчеркнули эксперты.
