Компания Curator (ранее Qrator Labs) сообщила об успешной нейтрализации атаки самого крупного за всю историю наблюдений DDoS-ботнета, состоявшего из 4,6 млн устройств. Для сравнения, самый большой DDoS-ботнет, выявленный в прошлом году, состоял из 227 тыс. устройств, а крупнейший ботнет, зафиксированный в 2023 году — из 136 тыс. устройств. По данным Curator, 16 мая 2025 года атаке подверглась организация из сегмента «Государственные ресурсы», микросегмент — «Общественные организации».

Атака проводилась в несколько этапов. На первом этапе в ней было задействовано порядка 2 млн устройств. На втором этапе ботнет пополнился ещё 1,5 млн устройств, а на третьем этапе количество устройств достигло 4,6 млн. Как полагают аналитики Curator, преступники в итоге задействовали все имеющиеся ресурсы.

Источник изображения: Kevin Horvat/unsplash.com

Большая часть устройств, входивших в ботнет, была из Южной и Северной Америки. Около 1,37 млн заблокированных во время атаки IP-адресов (30 % всего ботнета), были зарегистрированы в Бразилии, порядка 555 тыс. были из США, 362 тыс. — из Вьетнама, 135 тыс. — из Индии и 127 тыс. — из Аргентины.

Источник изображения: Curator

В Curator сообщили, что с этим ботнетом они сталкивались ранее в этом году, но тогда он включал всего 1,33 млн IP-адресов. Ботнет таких размеров может генерировать десятки миллионов запросов в секунду, что несёт угрозу выхода из строя атакуемых серверов в случае неудовлетворительной организации защиты. По словам Curator, такую атаку может выдержать не каждый провайдер DDoS-защиты, «что потенциально может поставить под угрозу доступность ресурсов всех клиентов одновременно».

Согласно исследованию аналитического центра StormWall, проведённому в России и других странах, общее число DDoS-атак в России в III квартале 2023 года уменьшилось год к году на 28 %, что объясняется снижением активности в последнее время политически мотивированных хактивистов.

Основной целью DDoS-атак хакеров были критически важные отрасли, такие как госсектор (32 % всех атак в России), финансовая отрасль (21 %), транспортная сфера (14 %), то есть злоумышленники стремились причинить наибольший вред экономике страны и создать проблемы для населения, считает StormWall.

Источник изображений: StormWall

Также хакеры атаковали российский ретейл (7 % всех атак), сферу развлечений (5 %), энергетический сектор (4 %), нефтяные компании (3 %), производство (2 %) и остальные отрасли (1 %). В связи с концентрацией хактивистов на более важных отраслях, в этом году обошлось без традиционного всплеска атак на ретейл во время подготовки к новому учебному сезону.

Сравнивая с прошлым годом, аналитики StormWall отметили снижение DDoS-атак на ключевые отрасли России: на финансовую отрасль — на 38 %, на государственный сектор — на 26 %, на ретейл — на 22 %, на телекомммуникационную сферу — на 18 %, на индустрию развлечений — на 16 %, на сферу образования на — 12 %.

Ситуация в мире и России заметно отличаются. По данным StormWall, число DDoS-атак в мире в III квартале 2023 года увеличилось год к году на 43 %. Больше всего атак на планете было зафиксировано на госсектор (26 % от общего числа атак в мире), финансовую сферу (21 %) и сферу развлечений (17 %). Самый значительный рост числа атак наблюдался в государственной сфере (136 %), развлекательной индустрии (117 %) и транспортной сфере (86 %). Финансовые организации подвергались DDoS-атакам больше на 38 %, телеком-сфера — на 32 %.

Для организации DDoS-атак злоумышленники в разных странах использовали прогрессивные инструменты. В частности, активно применяли комплексные атаки, а также ботнеты, состоящие из нескольких вредоносных программ. На глобальном уровне отмечен всплеск DDoS-атак на DNS-серверы, вызвавший большие проблемы для компаний: серверы не могли обрабатывать поступающие запросы. Как следствие, у пользователей были проблемы с доступом к сайтам и онлайн-сервисам.

Касающаяся большинства информационных интернет-систем уязвимость, получившая название HTTP/2 Rapid Reset (CVE-2023-44487), стала причиной беспрецедентной DDoS-атаки, самой масштабной во всей истории Сети. Как сообщает Dark Reading, фактически речь идёт о новой главе в эволюции DDoS-угроз. Эксперты ожидают экспоненциального роста уровня атак, масштаб которых будет удваиваться примерно каждые 18 месяцев.

Серии атак по несколько минут каждая регистрировались 28 и 29 августа, за ними наблюдали AWS, Cloudflare и Google Cloud. Речь шла о кибернападениях на облачных и инфраструктурных провайдеров. Известно, что лазейкой послужил баг в протоколе HTTP/2, использующемся приблизительно в 60 % веб-приложений. IT-гиганты, наблюдавшие за ситуацией, координировали действия с другими облачными провайдерами, сервисами по обеспечению интернет-инфраструктуры, а также компаниями, занимающимися защитой от киберугроз.

Источник изображения: Lewis Kang'ethe Ngugi/unsplash.com

Как заявили в Cloudflare, HTTP/2 является фундаментальным элементом работы интернета вообще и большинства сайтов в частности. Атака позволила генерировать сотни тысяч запросов за раз, после чего немедленно отменять их, перегружая сайты и выводя из строя всё, что использует протокол HTTP/2. На пике Cloudflare регистрировала более 201 млн запросов в секунду. Google в то же время регистрировала по 398 млн запросов в секунду, в 7,5 раз больше, чем во время любой другой атаки против её ресурсов. AWS — 155 млн запросов, направленных на сервис Amazon CloudFront.

При этом в ходе августовского инцидента применялся довольно скромный ботнет из приблизительно 20 тыс. узлов — оружие оказалось довольно эффективным с учётом того, что регулярно наблюдаются более масштабные сети, иногда включающие миллионы машин. Хотя эффект от атаки оказался не столь сокрушительным, как, вероятно, надеялись её организаторы, владельцам интернет-проектов стоит уделить соответствующим угрозам особое внимание, поскольку речь идёт о гонке на опережение — злоумышленники состязаются с разработчикам защиты.

Владельцам ресурсов и сервисов рекомендуется оценить уровень защищённости своих систем от DDoS-атак и немедленно устранить уязвимость, применив патчи к серверам и иным сервисам и приложениям. Наконец, в качестве последнего средства допускается отключение HTTP/2 и также уязвимого HTTP/3 — при этом стоит помнить, что даунгрейд до HTTP/1.1 неизбежно снизит производительность.

Компания StormWall обнародовала результаты исследования, в ходе которого изучалось использование российскими предприятиями и организациями отечественных и зарубежных решений для защиты от DDoS-атак. Говорится, что импортозамещение в области информационной безопасности является одним из приоритетов для государства в настоящее время.

Установлено, что из тех компаний, которые используют защиту, 90 % уже применяют профессиональные российские решения, полностью отказавшись от зарубежных аналогов. Вместе с тем примерно 12 % компаний из рейтинга ТОП-500 не имеют никакой специализированной защиты от DDoS-атак. В основном это предприятия из производственного сектора, строительной отрасли и транспортной сферы.

Источник изображения: StormWall

Самые высокие показатели внедрения отечественных продуктов и сервисов по защите от кибератак зафиксированы в государственном секторе (99 % организаций), финансовой сфере (97 % компаний) и телекоммуникационной отрасли (95 % компаний).

Около 10 % российских организаций, использующих защиту, по-прежнему применяют зарубежные продукты. При этом StormWall указывает на ряд угроз, связанных с импортными решениями: это утечка конфиденциальных данных, встраивание нежелательного контента в веб-страницы, блокировка российских ресурсов со стороны недружественных юрисдикций, блокировка со стороны РКН и пр.

Оказалось, что чаще всего западные сервисы от кибератак применяются в таких отраслях, как ретейл (8 % компаний), нефтяная индустрия (6 % организаций) и сфера развлечений (4 % компаний).

«Использование зарубежных средств защиты информации создает серьезные риски для критически важных отраслей страны. В рамках сотрудничества иностранные поставщики решений получают полный доступ к данным крупнейших российских компаний», — говорится в исследовании.

Компания Qrator Labs обнародовала статистику по  DDoS-атакам во II квартале 2023 года, пишет Forbes: их общее количество подскочило на 40 % за последние три месяца. При этом сильнее всего пострадал финансовый сектор, на долю которого пришлась почти половина всех атак — 44,34 %.

На втором месте в списке целей киберпреступников находятся участники отрасли электронной торговли с показателем 13,68 %, на третьем — организации сегмента онлайн-образования с 11,32 %.

Источник изображения: pixabay.com

Исследование Qrator Labs говорит о том, что, несмотря на рост числа DDoS-атак, их продолжительность уменьшается. Так, средняя длительность сократилась на 29,15 %, составив 47 минут. Аналогичный показатель в I квартале составлял более одного часа. Максимальная продолжительность также снижается — с 42 часов в I квартале до 20,7 часа во II четверти 2023 года.

Наибольшее количество заблокированных IP-адресов за отчётный период пришлось на Россию — 8,2 млн. На втором месте в рейтинге источников атак находятся США с результатом в более чем 3 млн заблокированных адресов. Замыкает тройку Китай с 1,4 млн адресов. Всего по итогам II квартала в «чёрный список» были внесены почти 19,5 млн IP-адресов, с которых совершались нападения. В список также вошли Франция (830 тыс.), Индия (638 тыс.), Индонезия (573 тыс.), Германия (543 тыс.), Бразилия (524 тыс.) и Великобритания (500 тыс.).

Количество атак ботов во II квартале продолжило расти, достигнув 4 196 806 693 и превысив показатели I квартала более чем на 1 млрд. Больше всего таких атак пришлось на май с 1,48 млрд заблокированных запросов ботов.

Согласно исследованию Qrator Labs, растёт популярность UDP flood — сетевых атак, использующих бессеансовый режим одного из ключевых протоколов для интернета UDP: фиксируется почти двукратный рост UDP flood — с 37,44 % до 60,1 % в квартальном исчислении. 

Компания «ТрансТелеКом» (ТТК) подготовила аналитику об угрозах пользователям, выявленных с помощью фирменного сервиса «Защита от DDoS-атак» за II квартал 2023 года, сообщает пресс-служба компании. Так, количество DDoS-атак в прошлом квартале выросло в 1,5 раза в сравнении с I кварталом 2023 года.

Основной удар приняли на себя транспортная и телекоммуникационная сферы. На транспортную IT-инфраструктуру число атак выросло квартал к кварталу в 4,5 раза, а атак на телекоммуникационные бизнесы и вовсе стало в 5 раз больше. По итогам I полугодия 2023-го наиболее атакуемыми стали телеком и ИТ-отрасль. Отдельное внимание злоумышленники уделили сфере образования.

Источник изображения: ТТК

По данным ТТК, самая продолжительная из зарегистрированных атак за указанный квартал длилась 2,5 дня. Её мощность достигала 60 Гбит/с, тогда как 34 % атак имели мощность более 1 Гбит/с. 38 % атак в отчётном квартале пришлось на активность типа SYN flood (год к году их число выросло в 2 раза), в 3 раза выросло число атак ACK flood за тот же период.

Источник изображения: ТТК

При этом по итогам полугодия количество DDoS-атак до 500 Мбит/с выросло год к году в 2 раза, а атак со мощностью 1–5 Гбит/с — в 3,5 раза. По итогам квартала число атак на сайты выросло в 3,5 раза до 26 % от всех атак согласно полному тексту доклада.

VK Cloud и российский разработчик решений для защиты от кибератак StormWall объявили о заключении соглашения о технологическом партнёрстве. По условиям договора, клиентам облачного провайдера станет доступен сервис StormWall для дополнительной защиты проектов от DDoS-атак.

Согласно оценкам аналитиков StormWall, в 2023 году в России наблюдается рост числа комплексных кибернападений, большинство из которых осуществляется на уровне приложений (L7). Благодаря платформе StormWall клиенты VK Cloud получат защиту, в том числе от угроз указанного типа. Сервис подключается не более чем за 10 минут.

Система фильтрует внешний трафик и отражает атаки мощностью до 3500 Гбит/с. При этом обеспечивается защита облачных проектов от DDoS разного типа — от сетевого уровня до приложений. Выделенный канал между облаком VK Cloud и центрами очистки StormWall обеспечивает высокую доступность сервиса. Причём точки фильтрации расположены в разных географических регионах, что позволяет отражать атаки ближе к источникам их возникновения — это повышает эффективность защиты.

Изображение: StormWall

Заказчикам доступна круглосуточная поддержка StormWall: она контролирует доступность ресурсов и оперативно подключается при необходимости. Система обеспечивает работоспособность онлайн-ресурсов в режиме 24/7: это сайты, веб-приложения, API, IP и подсети.

«Информационная безопасность инфраструктуры и облачного ПО — наши ключевые приоритеты. Партнерство с StormWall расширило инструменты VK Cloud в области информационной безопасности, в частности, усилило защиту от DDoS-атак и функциональность WAF», — сказал директор по продукту VK Cloud.

Компания StormWall обнародовала результаты исследования, в ходе которого изучалась ситуация с кибербезопасностью в России и мире во II квартале 2023 года. Сообщается, что злоумышленники продолжали использовать комплексные DDoS-атаки, чтобы нанести максимальный вред компаниям. При этом Россия вошла в десятку самых атакуемых стран.

По оценкам, число DDoS-нападений на российские компании во II квартале 2023-го выросло на 28 % по сравнению с тем же периодом прошлого года. Чаще всего киберпреступники атаковали государственный сектор (37 % от общего числа нападений), финансовую отрасль (23 %) и телекоммуникационную сферу (18 %).

Кроме того, зафиксировано значительное количество атак на энергетический сектор (7 %), нефтяную сферу (5 %), транспортную отрасль (4 %), производственную сферу (3 %) и культурные учреждения (2 %). На все прочие сегменты пришлось только около 1 % атак.

Источник изображения: pixabay.com

Исследование показало, что количество атак на правительственные организации в годовом исчислении подскочило на 118 % во II четверти 2023-го. Рост атак на энергетический сектор составил 74 %, на нефтяную отрасль — 53 %. В области культуры зафиксировано увеличение на 42 %, тогда как число нападений на транспортную сферу поднялось на 26 %.

В целом, на Россию пришлось 5,3 % всех DDoS-атак, зарегистрированных в мире во II квартале 2023 года. По этому показателю РФ оказалась на восьмом месте. В тройку самых атакуемых стран вошли США (16,2 %), Индия (12,8 %) и Китай (10,4 %).

Отмечается, что для создания ботнетов хакеры активно используют IoT-устройства и виртуальные частные серверы (VPS). Пиковым месяцем по числу атак стал май, в течение которого произошло 42 % всех атак в России.