Свежий отчёт Radware Global Threat Analysis Report описывает 2025 год как переломный для киберугроз. По данным компании, злоумышленники одновременно нарастили мощность сетевых DDoS и усилили давление на веб-приложения и API, а автоматизация на базе генеративного ИИ снизила порог входа для атак.
В Radware фиксируют возвращение масштабных сетевых DDoS с рекордом 29,7 Тбит/с, который связали с ботнетом Aisuru. В отчёте также упомянут Kimwolf и рост рынка «DDoS по найму», из-за которого многотерабитные атаки стали доступнее менее подготовленным участникам. В среднем во второй половине 2025 года один клиент Radware сталкивался более чем с 25 351 DDoS-атакой, что в пересчёте даёт около 139 в день, а общий рост DDoS год к году составил 168,2%. Среди сетевых векторов половину отражённого объёма дали UDP-флуды, а по географии лидировала Северная Америка с долей 63,1%.
Параллельно выросла доля «коротких» инцидентов. В отчёте говорится, что большинство рекордных атак длилось менее минуты, из-за чего ручные сценарии реагирования перестают работать. При этом «обычные» атаки в диапазоне 100–500 Гбит/с в среднем шли около 10 часов, а многотерабитные — около 35 минут.
Самые чувствительные удары, по оценке Radware, всё чаще приходятся на уровень приложений. Сервис Cloud Application Protection зафиксировал рост вредоносных транзакций на 128% по сравнению с 2024 годом, а крупнейшую долю составили попытки эксплуатации уязвимостей — 41,8%.
Отдельно отмечен всплеск подобных атак в четвёртом квартале, который авторы увязали с активной «вооружённостью» новых CVE, включая React2Shell (CVE-2025-55182). Активность вредоносных ботов за год выросла на 91,8%, а Северная Америка стала главным направлением для атак на веб-приложения и API с долей 73,7% транзакций.
Отдельный блок отчёта посвящён проблеме идентификации ИИ-агентов. Radware указывает, что платформам приходится разрешать автоматизированные POST-запросы для «полезных» агентов, и это открывает путь подмене их идентичности. Компания считает более устойчивыми подходы, где используют криптографические подписи или проверку DNS и диапазонов IP, и менее надёжными схемы, завязанные на строку User-Agent, которую легко подделать. В этом контексте описаны сценарии скрытого вывода данных через «нулевой клик» и косвенные инъекции подсказок, включая ShadowLeak и ZombieAgent, где компрометация может закрепляться через долгосрочную память агента.
На фоне геополитических событий сохраняется и волна хактивизма. Radware оценила число уникальных заявлений о DDoS в Telegram за 2025 год примерно в 16 тысяч, а самым активным объединением назвала группировку NoName057(16) с 4692 заявлениями. Среди часто упоминаемых участников также фигурируют Keymous+, Hezi Rash, Mr Hamza, Anonymous VNLBN и RipperSec, а в числе наиболее атакуемых стран оказались Израиль, США и Украина.