head-hanter.ruВ конце марта 2026 года международные правоохранительные органы ликвидировали ботнеты Aisuru и Kimwolf, контролировавшие более 3 миллионов зараженных устройств. Однако, по данным StormWall, уже через два месяца структура источников DDoS-атак не изменилась. США и Бразилия остались лидерами, а ситуация в России почти не улучшилась. Об этом IT Speaker рассказали в компании.
В апреле число атак в России снизилось на 26% по сравнению с мартом, но в мае выросло на 94% относительно марта. Количество прикладных атак (L7) в мае уменьшилось на 26%, но их пиковая мощность увеличилась с 583,5 тыс. до 649,4 тыс. запросов в секунду. Число сверхмощных атак L7 достигло 121 в мае – максимума за три месяца.
В мае в топ-5 источников бот-трафика вошли США, Бразилия, Филиппины, Вьетнам и Россия. Россия заняла третье место в мире по объему генерируемого DDoS-трафика с долей 9%. Количество зараженных российских устройств в мае выросло в 2,6 раза по сравнению с апрелем.
После ликвидации ботнетов атаки с IP-адресов Филиппин выросли на 959%, Вьетнама – на 750%, а Оман и Бангладеш впервые вошли в топ-10. Число UDP-атак к маю выросло на 272% относительно апреля, а ICMP-атак – более чем в пять раз.
Злоумышленники перешли к тактике коротких ударов – количество атак длительностью до 15 минут выросло с 2 тыс. до 68 тыс. Число инцидентов дольше суток увеличилось на 89%.
Руководитель управления облачных решений кибербезопасности BI.ZONE Дмитрий Царев объяснил IT Speaker, что ботнеты восстановились так быстро из-за перераспределения зараженных устройств между другими сетями.
«После ликвидации управляющей инфраструктуры зараженные устройства физически никуда не исчезают. Если они остаются неочищенными и уязвимыми, спустя некоторое время их могут повторно скомпрометировать операторы других ботнетов», – отметил он.
Комментируя рост коротких и сверхдлительных атак, эксперт подчеркнул, что продолжительность зависит от сценария использования ботнета. «Во многих случаях ботнет арендуется под конкретную задачу, для которой может быть достаточно короткого слота, например 10-15 минут интенсивной атаки. Этого времени хватает, чтобы временно вывести ресурс из строя или отвлечь внимание киберспециалистов», – пояснил Царев.
По его словам, длительные атаки могут говорить о наличии у злоумышленников финансовых или инфраструктурных ресурсов, а иногда такие кампании носят не только коммерческий, но и идеологический характер.
Ранее эксперты StormWall зафиксировали и отразили масштабную волну распределенных DDoS-атак на ресурсы российских компаний в начале марта 2026 года. По данным специалистов, для проведения атак злоумышленники задействовали известный ботнет Kimwolf, использовав более 4 миллионов уникальных IP-адресов.
Системный сдвиг: как ИИ меняет рынок труда в ИТ