Логотип

Новость

Простые DDoS-атаки на российские компании уходят в прошлое: почти половина ударов теперь многоступенчатые

Доля сложных DDoS-атак на российские компании превысила 40%, а количество ИТ-инцидентов в первом полугодии 2026 года выросло на 168% в сравнении с аналогичным периодом прошлого года. Специалисты фиксируют переход злоумышленников от простых кратковременных перегрузок к многоступенчатым сценариям, где активно применяются имитация легитимного трафика и инструменты автоматизации на базе технологий искусственного интеллекта. Об этом пишет «Коммерсант» со ссылкой на данные центра мониторинга Servicepipe.

Пиковая мощность DDoS-атак на российский бизнес в первом полугодии 2026 года превысила 2 ТБ/с. Доля «гиперобъемных» атак мощностью свыше 100 ГБ/с выросла за год почти с 3% до 15%. Один из инцидентов, зафиксированных во II квартале 2026 года, достиг мощности 965 ГБ/с при интенсивности более 100 млн пакетов в секунду (Mpps). В Servicepipe отмечают: хакеры все чаще уходят от разовых кратковременных перегрузок в сторону сложных многоступенчатых атак — на такие сценарии уже приходится 42% всех инцидентов.

Директор по клиентским решениям компании Curator Эдгар Микаелян отметил, что показатели DDoS-атак от разных центров мониторинга напрямую несопоставимы между собой — каждая компания фиксирует инциденты в границах собственной клиентской базы и своей системы фильтрации трафика. При этом, по его словам, общий тренд на рост доли масштабных атак прослеживается уже отчетливо.

«По нашей статистике, в I квартале 2026 г. максимальная мощность атаки достигла 2065 ГБ/с и 953 Mpps, во II квартале — 1,6 ТБ/с и 638,55 Mpps. При этом кибератаки мощностью свыше 1 ТБ/с перестали быть редкостью: если ранее такие ИТ-инциденты носили единичный характер, то сейчас они фиксируются регулярно и фактически стали новой нормой для рынка», — отметил Микаелян.

Как поясняют в Servicepipe, ключевую роль в подготовке сложных DDoS-атак теперь играет предварительная разведка инфраструктуры жертвы: с помощью низкоинтенсивного трафика злоумышленники выявляют слабые узлы, скрытые адреса и пропускную способность каналов связи, а затем наносят прицельный удар. Собранные таким образом сведения используются не только против публичных онлайн-сервисов, но и против скрытой ИТ-инфраструктуры — резервных каналов и технических подсетей, что позволяет перегружать пограничные устройства и блокировать доступ к основным сервисам компании.

«Хакеры действуют с использованием предварительной разведки и целенаправленного перебора ИТ-уязвимостей. Векторы кибератак меняются настолько быстро, что исключают возможность своевременной ручной адаптации средств защиты. Злоумышленники рассчитывают на то, что классические фильтры не успеют перестроиться при терабитном ударе или атаке на неиспользуемую подсеть», — отметил руководитель направления по подготовке технических решений Servicepipe Павел Акифьев.

По данным Servicepipe, растет и продолжительность самих атак: если раньше они длились считаные минуты, то в 2026 году фиксируются инциденты продолжительностью до 22-36 часов.

Среди других трендов 2026 года эксперт Kaspersky DDoS Protection Вячеслав Кириллов в разговоре с «Коммерсантом» отметил рост доли атак на уровне приложений (L7 по модели OSI) — до 50% от общего объема. По его словам, злоумышленники все чаще смещают фокус на прицельную нагрузку бизнес-логики и API-интерфейсов, обходя традиционную защиту, ориентированную преимущественно на транспортный и сетевой уровни.

«Комбинация объемной кибератаки на сеть с одновременной кибератакой на уровне приложения значительно усложняет автоматическое обнаружение и требует эшелонированной многоуровневой защиты», — добавил Кириллов.