В конце марта 2026 года мировые правоохранительные органы ликвидировали ботнеты Aisuru и Kimwolf, которые контролировали свыше 3 миллионов зараженных устройств. Тем не менее, по информации StormWall, уже через два месяца структура источников DDoS-атак осталась прежней. США и Бразилия продолжили занимать ведущие позиции, а ситуация в России почти не изменилась. Об этом сообщили IT Speaker в компании.
В апреле количество атак в России уменьшилось на 26% по сравнению с мартом, однако в мае оно возросло на 94% относительно марта. Число прикладных атак (L7) в мае снизилось на 26%, но их пиковая мощность возросла с 583,5 тыс. до 649,4 тыс. запросов в секунду. Количество мощных атак L7 достигло 121 в мае – это максимум за последние три месяца.
В мае в пятерку ведущих источников бот-трафика вошли США, Бразилия, Филиппины, Вьетнам и Россия. Россия заняла третье место в мире по объему генерируемого DDoS-трафика, составляя 9%. Количество зараженных устройств в России в мае увеличилось в 2,6 раза по сравнению с апрелем.
После устранения ботнетов атаки с IP-адресов Филиппин увеличились на 959%, Вьетнама – на 750%, а Оман и Бангладеш впервые вошли в топ-10. Количество UDP-атак к маю возросло на 272% по сравнению с апрелем, а ICMP-атак – более чем в пять раз.
Злоумышленники перешли к тактике коротких атак – число атак продолжительностью до 15 минут возросло с 2 тыс. до 68 тыс. Инциденты, длившиеся более суток, увеличились на 89%.
Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE, объяснил IT Speaker, что ботнеты восстановились столь быстро благодаря перераспределению зараженных устройств между другими сетями.
«После ликвидации управляющей инфраструктуры зараженные устройства физически не исчезают. Если они остаются неочищенными и уязвимыми, в течение некоторого времени их могут повторно скомпрометировать операторы других ботнетов», – отметил он.
Комментируя рост коротких и продолжительных атак, эксперт подчеркнул, что продолжительность зависит от сценария использования ботнета. «Во многих случаях ботнет арендуется под конкретную задачу, для которой может быть достаточно короткого временного окна, например, 10-15 минут интенсивной атаки. Этого времени хватает, чтобы временно вывести ресурс из строя или отвлечь внимание киберспециалистов», – разъяснил Царев.
По его словам, длительные атаки могут свидетельствовать о наличии у злоумышленников финансовых или инфраструктурных ресурсов, а иногда такие кампании имеют не только коммерческую, но и идеологическую направленность.
Ранее эксперты StormWall зафиксировали и отразили масштабную волну распределенных DDoS-атак на ресурсы российских компаний в начале марта 2026 года. По словам специалистов, для осуществления атак злоумышленники использовали известный ботнет Kimwolf, задействовав более 4 миллионов уникальных IP-адресов.
Системный сдвиг: как ИИ меняет рынок труда в ИТ
