Хакеры бьют по точкам

Количество DDoS-атак в первом квартале 2025 года выросло более чем вдвое по сравнению с аналогичным периодом прошлого года, особенно досталось онлайн-букмекерам. Несмотря на увеличение киберугрозы, связанной с DDoS-запросами, аналитики отмечают тенденцию к снижению пиковых значений по мощности таких атак. Злоумышленники начали работать более тонко и адаптируются к действиям ИБ-специалистов.

Общее число L3–L4 DDoS-атак (сетевой и транспортный уровень) в первом квартале 2025 года выросло на 110% относительно аналогичного периода 2024-го, сообщили “Ъ” эксперты Qrator.Radar. Средняя продолжительность таких атак заметно упала — с 71,7 мин. до 11,5 мин., еще больше снизилась интенсивность сетевых атак. Так, рекордом в этом году стала атака на сегмент онлайн-букмекеров, которая имела битрейт 232 Гбит/с, для сравнения: в первом квартале 2024 года рекорд составлял 882 Гбит/с. «За последние шесть месяцев DDoS-атаки увеличились в два раза. К примеру, 15 марта 2025 года на нас совершили атаку в 4 Гбит/с. Но даже в случае наиболее масштабных DDoS-атак мы успешно противостояли им»,— заявили в «Лиге ставок». В Fonbet “Ъ” сказали, что последние несколько лет «действительно фиксируют устойчивый рост числа кибератак на сервисы: нагрузка DDoS-атак и попыток неавторизованного доступа увеличивается в среднем на 25–30 % ежегодно».

Основными целями DDoS-атак в отчетном квартале становились компании из сфер IT и телекома, финтеха и электронной коммерции, говорят в Qrator.Radar. Атаки на телеком не только дают широкий общественный резонанс, но и вызывают недоступность сервисов у других игроков, кто пользуется их услугами, объясняют в Servicepipe. Например, в первом квартале 2025 года атаки на одного из крупнейших операторов сотовой связи привели к недоступности сервисов отдельных кредитных организаций. Финансовая отрасль и e-commerce также традиционно в сфере интересов злоумышленников. Тройкой стран-лидеров среди источников сетевых атак стали Россия (28,2%), США (14,4%) и Бразилия (6,1%), говорят в QRator.Radar.

Злоумышленники все реже используют тактику «из пушки по воробьям», объясняет руководитель направления Anti-DDoS ГК «Солар» Сергей Левин: «Это происходит из-за повышения общего уровня защищенности российских компаний и повышения их общей зрелости в вопросах ИБ». Атакующие уже не так охотно тратят ресурсы на малоэффективные методы и предпочитают сконцентрироваться на других типах атак, потенциально более результативных, говорит он.

Хакеры все чаще пользуются специфическими цепочками пакетов, включая атаки на DNS, приводит пример директор по продуктам Servicepipe Михаил Хлебунов. Но намного чаще, по его словам, стали встречаться многовекторные ковровые атаки, когда вредоносный трафик идет по множеству IP-адресов одновременно при относительно небольшой нагрузке на отдельно взятый IP-адрес. Если мощную таргетированную атаку легко обнаружить по статистическим аномалиям и сразу же отправить трафик на очистку, то при ковровой атаке правильно среагировать становится сложнее, добавляет руководитель ИБ-направления «Телеком биржи» Александр Блезнеков. Однако аналитики сходятся во мнении, что забывать о мощных точечных атаках не стоит.

В конце марта 2025 года аналитики Qrator.Radar обнаружили атаку огромного DDoS-ботнета, который значительно превышает по размеру рекорды прошлых лет: 1,3 млн зараженных устройств (это почти в шесть раз больше, чем в самом крупном DDoS-ботнете 2024 года). Именно этот ботнет также почти два с половиной часа атаковал сегмент онлайн-букмекеров.

«Рост ботнетов — это устойчивый тренд, который мы будем наблюдать еще долго»,— считает руководитель отдела аналитики угроз ИБ ГК «Гарда» Алексей Семенычев. Надежным источником новых устройств для заражения и последующего использования в DDoS-атаках остаются IoT-устройства, добавляет он: «Умные телевизоры, холодильники, микроволновки, камеры видеонаблюдения имеют слабые системы защиты в своей прошивке и становятся простой добычей для хакера». Также, по данным «Телеком биржи», важную роль в росте ботнетов играет распространение вредоносных программ в корпоративной среде. «Злоумышленники могут скомпрометировать организацию, но не для того, чтобы оттуда выманивать деньги, шифровать инфраструктуру и т. д., а для использования зараженных устройств как ресурса для крупных атак»,— говорит господин Блезнеков.

Филипп Крупанин