На одну российскую организацию в среднем пришлось более 900 DDoS-атак в 2025 г., а их общее количество выросло на 11% и составило около 665,3 тыс. Пики активности злоумышленников пришлись на март, май и сентябрь, а бесспорным лидером среди целей стали телеком-компании.
Согласно сообщению группы компаний «Солар», в среднем на одну российскую компанию в 2025 г. приходилось 931 DDoS-атак, а их общее количество повысилось на 11% по сравнению с 2024 г. и доросло до 665,3 тыс. Злоумышленники проявляли наибольшую активность во время общественно значимых мероприятий и геополитических событий. Их пики активности пришлись на март (92,3 тыс. атак), сентябрь (80,5 тыс.) и май (79,8 тыс.) минувшего года, или на период международных переговоров, Единый день голосования и празднование Дня Победы.
«При этом именно на майских праздниках был обновлен рекорд по мощности атаки — он достиг 11 Тбит/с. Также довольно мощные атаки пришлись на август (1522 Гбит/с) и декабрь (1447 Гбит/с) — в обоих случаях под ударом оказались телеком-операторы», — говорится в сообщении.
Авторы отметили, что в 37% случаев после неудачной DDoS-атаки злоумышленники переходили на более сложные атаки на веб-приложения, которые могут привести к утечке данных или взлому инфраструктуры. Чаще всего злоумышленники целились в крупные компании из критически важных отраслей экономики — логистики, банковской сферы, транспорта, государственного и энергетического секторов.
Руководитель по развитию бизнеса Kaspersky DDoS Protection АО «Лаборатория Касперского» Сергей Козерод рассказал, что, по данным компании, общее количество DDoS-атак в 2025 г. выросло на 42% по сравнению с 2024 г. По его словам, в I квартале 2025 г. число массовых автоматизированных DDoS-атак увеличилось на 86% по сравнению с аналогичным периодом 2024 г., а в апреле-июне наблюдался рост средней мощности атак и их продолжительности.
«Злоумышленники стали чаще использовать комбинированные векторы и тестировать инфраструктуру на устойчивость. III квартал стал пиковым по интенсивности: количество атак выросло, а максимальная мощность в отдельных случаях достигала экстремальных значений — вплоть до терабитных уровней, что может перегружать не только отдельные сайты, но и сетевую инфраструктуру целиком — каналы связи, дата-центры и провайдеров. В IV квартале атаки стали более целенаправленными: количество инцидентов снизилось, но их средняя сложность и длительность выросла. Это подтверждает общий тренд ИБ-рынка: злоумышленники постепенно переходят от массовых атак к более продуманным и таргетированным операциям», — рассказал он.
Сергей Козерод отметил, что во второй половине минувшего года более заметными стали атаки на прикладном уровне, чья цель — перегрузка веб-сервера и выведение из строя целевого веб-приложения. Такие атаки имитируют легитимный трафик и поэтому их сложно выявить.
По словам эксперта по защите информации InfoWatch ARMA ГК «ИнфоВотч» Дениса Леонтьева, арсенал злоумышленников заметно изменился. Раньше DDoS-атака чаще всего была попыткой «лобовой» перегрузки канала или сервиса, а сейчас это все чаще многовекторные и целевые сценарии, комбинирующие атаки на уровне сетей и приложений. Он отметил, что злоумышленники активнее применяют крупные ботнеты, в том числе скомпрометированные устройства интернета вещей, а сами атаки маскируются под поведение обычного пользователя.
«Это повышает нагрузку не только на каналы и сетевую инфраструктуру, но и на прикладной слой, где фильтрация и разбор «плохого» трафика традиционно сложнее. Мартовские события 2026 г. это подтверждают: Роскомнадзор сообщал о мультивекторной атаке на свои ресурсы и инфраструктуру ГРЧЦ, а StormWall — о волне атак с использованием ботнета, в котором фигурировало более 4 млн IP-адресов», — рассказал Денис Леонтьев.
Денис Леонтьев согласился с утверждением, что после неудачных DDoS-атак злоумышленники начинают действовать по-другому, и отметил, что на практике DDoS все чаще выступает либо как часть комбинированной атаки, либо как отвлекающий маневр: параллельно могут идти атаки на веб-приложения, попытки эксплуатации уязвимостей, злоупотребление API, подбор учетных данных или действия, направленные уже не просто на сбой, а на компрометацию и дальнейшее развитие атаки. По его словам, DDoS все чаще не конечная цель, а один из этапов давления на организацию.
«Злоумышленники все чаще нацеливались непосредственно на бизнес-логику веб-сервисов, API и пользовательские сценарии, стремясь обходить традиционные механизмы сетевой защиты, такие как фильтрация трафика по IP-адресам и ограничение скорости соединений. Параллельно наблюдается рост числа бот-ориентированных атак: в 2025 г. автоматизированный трафик все чаще использовался для имитации легитимных действий пользователей — от перегрузки веб-приложений до попыток влияния на ключевые сервисные функции, например, формы авторизации и регистрации, личные кабинеты пользователей, а также функции отправки сообщений, бронирования или расчета стоимости услуг», — рассказал Сергей Козерод.
Телеком в прицеле злоумышленников
«Лидером по среднему числу DDoS-атак на организацию в 2025 г. остался телеком. Интенсивность ударов здесь составила 323 атаки в месяц, что на 20% больше, чем в 2024 г. В пятерку наиболее атакуемых направлений также вошли кредитно-финансовый сектор (в среднем 52 атаки на организацию в месяц), федеральные (115 атак в месяц) и региональные органы власти (51 атака в месяц)», — гласит сообщение компании.
Сергей Козерод согласился с утверждением, что активнее всего злоумышленники атаковали телеком-компании, финансовые организации и предприятия из сферы онлайн-торговли. По его словам, уровень сложности атак рос в течение всего года и пик интенсивности пришелся на III квартал.
С ним согласился Денис Леонтьев. Он назвал выбор целей логичным, так как у этих отраслей высокая зависимость от непрерывной онлайн-доступности, большая аудитория, чувствительность к простою и заметный репутационный эффект даже от коротких перебоев, не последнюю роль играет и желание хакеров продемонстрировать собственные силы. Февральская атака на ресурсы Роскомнадзора и Министерства обороны РФ — тому подтверждение.
«Что касается пиков активности, по данным, которые цитировались по итогам 2025 г., наиболее заметные всплески приходились на март, май, июль и сентябрь. Это тоже объяснимо: пики часто совпадают либо с общественно значимыми событиями, либо с сезонными периодами высокой цифровой нагрузки, либо с кампаниями против конкретных отраслей. Например, сентябрьский всплеск связывали с единым днем голосования, а майский — с давлением на телеком и ИТ. При этом по отдельным сегментам рынка картина может отличаться: у некоторых игроков конец 2025 г. тоже выглядел очень напряженным, особенно в декабре, когда росла нагрузка на телеком, ретейл и финансовый сектор на фоне сезонного увеличения онлайн-активности», — заключил он.
