Центр компетенций группы компаний «Гарда» провел исследование изменений ландшафта и особенностей DDoS-атак во втором квартале 2025 года по сравнению с аналогичным периодом 2024 года и первым кварталом.
Цель исследования – определить основные типы атак, которым подвергались компании, и их распределение по отраслям и по типам во втором квартале 2025 года.
Во втором квартале 2025 года наибольшее количество DDoS-атак (34%) пришлось на государственные компании –это резкий рост по сравнению с предыдущим кварталом (13%). С 4% до 12% увеличилось количество атакна промышленные компании. Также усилия злоумышленников были направлены на 6% ритейл-организаций, которые отсутствовали в статистике первого квартала и во втором квартале прошлого года.
В то же время доля DDoS-атак на телекоммуникационные компании, которые традиционно оставались одной из самых атакуемых отраслей, на фоне роста давления на другие сектора показал значительное снижение: с 35% в Q2 2024 до 19% в Q2 2025.УменьшиласьдоляDDoS-атак на ИТ-сектор – с 37% в первом квартале до 17% во втором, и компании сферы услуг –с 20% во втором квартале 2024 года до всего 1% в аналогичном периоде 2025 года. За год сократилась доля атак на финансовую отрасль с 10% до 9%, при этом в первом квартале текущего года показатель опускался до 2%.Уровень атак на образовательный сектор оставался стабильно низким – по 2% на протяжении всех трех периодов.
Выявленные изменения могут указывать на то, что злоумышленникам удалось обойти защиту на основе фильтрации по GeoIP. Это дало им возможность наращивать интенсивность атак на те отрасли, которые ранее эффективно использовали данный механизм. Кроме того, одной из предпосылок изменений стала быстрая цифровизация: по разным оценкам, количество IoT-устройств в России к середине 2025 года уже увеличилось на 35–40% по сравнению со всем предыдущим годом. Параллельно наблюдается рост ботнет-сетей – число атак с их использованием выросло почти на четверть. Изменяется и характер самих атак: все чаще злоумышленники используют инфраструктуру крупных западных ИТ-компаний, таких как Google или Cloudflare, что серьезно осложняет идентификацию и нейтрализацию угроз.
В распределении атак по типам продолжает лидировать количество DDoSчерез протокол TCP*на сетевом и транспортном уровнях (L3 и L4), хотя общее количество таких инцидентов снизилось до 49% с 54% в первом квартале.Количество флуд-атак (UDP) остается на втором месте с долей в 22%. Доля всех типов DDoS с усилением (amplification)сохраняется на уровне первого квартала и составляет 17%. Также стабильно высокой остается доля атак с использованием IP-фрагментации (7%).
Если в первом квартале 2025 года преобладали DDoS-атаки типа TCP ACK, то во втором квартале структура изменилась очень сильно. Это свидетельствует о том, что злоумышленники перераспределяют ресурсы и фокусируются на новых техниках. В частности, во втором квартале заметен рост атак с использованием WebSockets‒ этот подход позволяет злоумышленникам обходить традиционные механизмы фильтрации и повышает эффективность нагрузки на атакуемые ресурсы. Также набирают популярность многоуровневые ботнеты, в которых одновременно используются как зараженные IoT-устройства, так и облачная инфраструктура. Такая гибридная модель делает атаки более масштабными, устойчивыми и сложными для выявления и отражения.
Заключение
Во втором квартале 2025 года сохраняется тренд на усложнение и многовекторностьDDoS-атак. Злоумышленники продолжают использовать тактику «разведки боем», гибко подстраиваясь под защитные меры: это проявляется в резкой смене преобладающих техник (например, снижение доли TCP ACK-атак) и появлении других подходов — таких как атаки через WebSockets и применение многоуровневых ботнетов, сочетающих IoT-устройства и облачные ресурсы.
Наблюдается смещение фокуса на отрасли, ранее менее подверженные атакам: на первое место вышел госсектор, увеличилось давление на промышленность и ритейл. Это может быть связано с тем, что традиционные методы защиты, включая GeoIP-фильтрацию, теряют эффективность на фоне растущей сложности атакующей инфраструктуры.
Хотя доля DDoS на основе TCP-протоколов остается самой высокой, ее снижение по сравнению с первым кварталом, а также стабильные показатели атак с усилением и IP-фрагментацией, указывают на более избирательный подход к перегрузке конкретных сервисов. Все это подтверждает тенденцию: злоумышленники нацеливаются не столько на массированные атаки, сколько на точечное выведение из строя ключевых компонентов ИТ-инфраструктуры.
Оригинал публикации на сайте CISOCLUB: "Аналитика DDoS-атак Q2 2025".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.