Киберудар по резервному контуру
Киберудар по резервному контуру
DDoS-атаки на российский бизнес превратились в промышленный криминальный сервис

Российский рынок кибератак прошёл очередной рубеж: DDoS больше не выглядит как грубая попытка «положить сайт» потоком мусорного трафика. В 2026 году это всё чаще многоступенчатая операция — с разведкой, проверкой резервных каналов, ударами по подсетям, нагрузкой на API и использованием ботнетов, которые по масштабу напоминают нелегальную распределённую инфраструктуру.

По данным центра мониторинга Servicepipe, пиковая мощность DDoS-атак на российские компании в первой половине 2026 года превысила 2 Тбит/с, а доля инцидентов мощностью свыше 100 Гбит/с выросла год к году с почти 3% до 15%. В том же массиве данных доля сложных многоступенчатых атак достигла 42% от общего числа DDoS-инцидентов.

Эти цифры важны не только как новый технический рекорд. Они показывают, что DDoS в России становится не эпизодической помехой, а регулярным инструментом давления на бизнес, государственные сервисы, финансовые организации, телеком и цифровую инфраструктуру массового спроса.

Servicepipe в отдельном обзоре за первый квартал 2026 года описывала происходящее как «качественный перелом» в характере атак: переход к терабитной мощности, рост давления на критическую инфраструктуру и распространение коротких технически сложных сценариев, которые сложнее обнаружить и отразить. По данным компании, в первом квартале фиксировались атаки, в которых вредоносные запросы одновременно генерировали более 3 млн устройств, а злоумышленники всё чаще комбинировали сетевые и прикладные векторы.

Рекорд перестал быть исключением

Проблема уже не в том, что отдельная атака оказалась рекордной. Опаснее другое: терабитный уровень постепенно становится рабочей нормой.

Curator, анализируя первый квартал 2026 года, сообщал, что если годом ранее компания не фиксировала ни одной атаки интенсивностью свыше 1 Тбит/с, то в первом квартале 2026-го таких случаев уже было четыре. Один из показательных инцидентов пришёлся на компанию из сегмента онлайн-ставок: пиковая мощность атаки превысила 2 Тбит/с, а высокоинтенсивная фаза продолжалась более 40 минут — необычно долго для атак такого масштаба.

StormWall также фиксировал переход российского сегмента к сверхмощным атакам: по данным компании, в первом квартале 2026 года в России впервые были выявлены DDoS-атаки мощностью свыше 3 Тбит/с. Основными целями таких инцидентов стали телекоммуникационная и финансовая отрасли.

При этом статистика разных провайдеров защиты не всегда сопоставима напрямую: каждая компания видит атаки в пределах собственной клиентской базы, инфраструктуры фильтрации и методики классификации. Но общий тренд совпадает у всех крупных наблюдателей рынка: атаки становятся мощнее, дольше и сложнее.

Kaspersky DDoS Protection оценивал рост числа DDoS-атак в России и странах СНГ за январь—май 2026 года в 27% к аналогичному периоду прошлого года. В компании также отмечали, что атаки становятся продолжительнее, мощнее и технически сложнее, а злоумышленники всё шире используют многовекторные схемы, ИИ-инструменты для генерации трафика и арендованную облачную инфраструктуру.

Атака начинается до атаки

Главное изменение — в тактике. Современный DDoS всё чаще начинается не с резкого всплеска трафика, а с разведки. Злоумышленники проверяют инфраструктуру низкоинтенсивными запросами, ищут уязвимые узлы, скрытые адреса, резервные маршруты, технические подсети и пределы пропускной способности каналов.

Затем удар наносится не только по публичному сайту или приложению, но и по тем элементам, которые компания рассчитывала использовать как запасной контур. В результате под нагрузкой оказываются пограничные устройства, резервные каналы, API, DNS, личные кабинеты, платёжные шлюзы и отдельные бизнес-функции.

Отдельный риск — так называемые импульсные атаки. Servicepipe сообщал, что в первом квартале 2026 года число таких атак выросло на 20% год к году. Это короткие серийные инциденты длительностью от нескольких секунд до двух минут, которые повторяются каждые 5–10 минут. Они опасны тем, что многие защитные системы настроены на срабатывание при более длительной аномалии: пока фильтр «понимает», что происходит, атака уже успевает вызвать сбой.

StormWall также выделял импульсные атаки как один из доминирующих типов угроз: на них, по данным компании, пришлось 32% DDoS-инцидентов в России в первом квартале 2026 года, а их число выросло на 47% год к году. Ещё 26% пришлись на «ковровые бомбардировки» — атаки сразу по диапазонам адресов или подсетям.

Иными словами, злоумышленники всё чаще не просто бьют в одну точку, а пытаются «прощупать» всю карту доступности компании.

Ботнеты становятся инфраструктурой теневого рынка

Рост мощности невозможен без масштабной ресурсной базы. Её дают ботнеты, заражённые устройства, прокси, арендованные серверы и облачная инфраструктура.

Curator сообщил, что крупнейший DDoS-ботнет, за которым компания наблюдает с марта 2025 года, за год вырос более чем в десять раз — с 1,33 млн до 13,5 млн заражённых устройств. Одновременно изменилась география ботнета: если ранее в нём преобладали устройства из Бразилии, то теперь источники распределены шире, включая США, Бразилию, Индию, Великобританию и Турцию. Это делает простые геоблокировки всё менее эффективными.

Среднемесячный объём заблокированных вредоносных бот-запросов у Curator в первом квартале 2026 года составил 2,5 млрд — на 40% больше, чем годом ранее. Среди лидеров по объёму бот-активности компания называла электронную коммерцию и онлайн-ставки, а новым заметным направлением стали транспорт и логистика.

Такой масштаб превращает DDoS в услугу теневого рынка. Для заказчика атаки это способ купить не «хакера», а результат: недоступность сайта, сбой платёжной операции, падение конверсии, перегрузку поддержки, остановку части клиентских сценариев. Для исполнителя — это монетизируемая инфраструктура, которую можно использовать в вымогательстве, конкурентной борьбе, хактивизме или как отвлекающий манёвр при других кибератаках.

Удар по приложению опаснее удара по каналу

Классический DDoS был нацелен прежде всего на канал связи или сетевую инфраструктуру. Современные атаки всё чаще бьют по уровню приложений — L7 по модели OSI. Это сайты, мобильные приложения, API, формы авторизации, поиск, корзины, личные кабинеты и платёжные сценарии.

Kaspersky объясняет, что L7-атаки имитируют действия обычных пользователей: запросы выглядят внешне корректными, сервер вынужден обрабатывать их полностью, а нагрузка уходит не только в канал, но и в процессор, память, базу данных и бизнес-логику приложения. Поэтому такие атаки сложнее отличить от легитимного трафика.

По данным Kaspersky DDoS Protection, в марте 2026 года доля многовекторных инцидентов, сочетающих объёмную нагрузку и воздействие на прикладной уровень, превысила 40%. В финансовом секторе доля атак на L7 достигала 51%, что особенно критично для банков, платёжных сервисов и страховых компаний: атакующие могут нацеливаться не на весь ресурс, а на конкретную функцию — например, платёжный шлюз, личный кабинет или партнёрский API.

Это меняет саму экономику ущерба. Компании уже необязательно «лечь» полностью, чтобы понести потери. Достаточно, чтобы перестала работать одна критичная функция: оформление заказа, оплата, авторизация, проверка статуса доставки, вход в приложение или взаимодействие с партнёрским сервисом.

Кто под ударом

Наиболее привлекательными целями остаются отрасли, где простой быстро превращается в деньги, репутационные потери или социальное напряжение.

Curator по итогам первого квартала 2026 года указывал, что почти три четверти DDoS-инцидентов пришлись на финтех, ИТ и телеком, а также онлайн-ставки. В детальной разбивке лидировали банки, платёжные системы и онлайн-букмекеры.

Kaspersky среди наиболее пострадавших за январь—май 2026 года называл телекоммуникации, финансовый сектор и государственные организации. По данным компании, число атак на операторов связи в России и СНГ в первом квартале выросло на 31% год к году, а максимальная продолжительность отдельных атак достигала 14 дней.

Роскомнадзор в мае также сообщал о крупных и длительных инцидентах: наиболее продолжительная кибератака в отчётном периоде длилась 11 дней и 2 часа, а пиковая мощность одной из нейтрализованных угроз достигала 885 Гбит/с при интенсивности 121,7 млн пакетов в секунду.

Для расследовательского взгляда здесь важен не только технический масштаб. DDoS всё чаще становится инструментом давления на инфраструктуру, от которой зависят платежи, связь, логистика, госуслуги и доступ граждан к цифровым сервисам. Это уже не просто атака на сайт компании, а удар по её способности исполнять обязательства перед клиентами и партнёрами.

Почему защита не успевает

Парадокс российского рынка в том, что средств защиты стало больше, но успешные атаки не исчезают. Причина часто не в отсутствии фильтра как такового, а в архитектуре, процессах и понимании собственной инфраструктуры.

На отраслевой дискуссии Anti-Malware эксперты отмечали, что многие проблемы защиты связаны с управленческими и архитектурными ошибками: компания может иметь набор решений, но не понимать реальную поверхность атаки, маршруты прохождения трафика, зависимость сервисов от API, DNS, подрядчиков и резервных сегментов. Эдгар Микаелян из Curator указывал, что «эшелонированная защита» не равна простому набору разрозненных инструментов.

Там же обсуждалось, что API становится отдельной зоной риска: злоумышленники могут бить не по всему сайту, а по конкретной «ручке», из-за чего перестаёт работать одна функция, а бизнес теряет деньги и конверсию.

В условиях терабитных и многовекторных атак ручное реагирование фактически проигрывает по скорости. Атакующие меняют векторы быстрее, чем команда может перенастроить правила. Поэтому защита всё больше смещается к автоматизированному анализу поведения, сегментации инфраструктуры, постоянному мониторингу аномалий и заранее подготовленным сценариям реагирования.

Новая норма киберпреступности

DDoS долго считался шумной, но относительно простой угрозой. В 2026 году эта оценка устарела. На российском рынке он становится частью более зрелой криминальной экосистемы: ботнеты растут, атаки арендуются, сценарии усложняются, а цели выбираются там, где простой максимально болезнен.

Терабитная мощность — лишь видимая часть проблемы. Куда опаснее то, что атакующие научились сочетать объёмный трафик, разведку, удары по резервным сегментам, импульсные атаки и давление на бизнес-логику приложений. Такой DDoS уже не похож на одиночный цифровой налёт. Он больше напоминает промышленную услугу по созданию управляемого сбоя.

Для российских компаний вопрос всё меньше сводится к тому, произойдёт ли атака. Более актуальный вопрос — успеет ли бизнес сохранить работоспособность, когда атака уже началась.

Читайте также
Нет результатов
Есть данные, которые важно узнать миру? — Поделитесь ими!Загрузите материалы — наша команда проверит их и подтвердит факты