«Тревожный симптом»: почему DDoS-атаки на Россию становятся всё более разрушительными

Разбираемся в цифрах, фактах и источниках

Введение

В 2026 году российские компании столкнулись с качественно новым уровнем DDoS-угроз. Данные из нескольких независимых источников показывают, что атаки стали не только мощнее, но и сложнее по структуре. Эксперты связывают эту тенденцию с активным использованием хакерами IoT-устройств — «умных» гаджетов, которые превращаются в оружие.

Часть 1. Цифры, подтверждающие рост угрозы

1.1. Рекордная мощность атак

Факт: В январе 2026 года мощность некоторых DDoS-атак на российские компании превысила 2 Тбит/с, приближаясь к 3 Тбит/с.

Источник: Пресс-служба компании StormWall в публикации для «Газеты.Ru» от 2 марта 2026 года.

Прямая цитата из источника: Рамиль Хантимиров, генеральный директор и сооснователь StormWall:

«Мы предупреждали, что 2026 год станет критическим периодом, когда DDoS-индустрия полностью индустриализируется. Это предсказание сбывается быстрее, чем ожидалось. Злоумышленники больше не экономят ресурсы — у них есть доступ к чрезвычайно мощным ботнетам, способным генерировать трафик, сравнимый с нагрузкой на целые национальные сети».

1.2. Кратный рост интенсивности атак за год

Факт: В январе 2026 года интенсивность атак прикладного уровня (L7) выросла в 20 раз по сравнению с январем 2025 года.

Источник: Caliber.az со ссылкой на российские СМИ, 10 февраля 2026 года.

Детали:

• Пиковый трафик вырос с 2,16 млн запросов в минуту (январь 2025) до 44,2 млн запросов в минуту (январь 2026).
• Атаки происходили короткими всплесками — не более одной минуты каждая.
• Общее число атак выросло на 22% в годовом исчислении.
• Количество уникальных атакованных ресурсов увеличилось на 14%.

Целевые сектора экономики: образование, фастфуд, электронная коммерция, СМИ, транспорт.

1.3. Рост числа атак, использующих IoT-устройства

Факт: Инфицирование IoT-устройств увеличило бот-трафик в России в 1,7 раза.

Источник: Аналитики компании «Код Безопасности» (Security Code), данные мониторингового центра. Публикация IT Russia Media от 31 марта 2026 года.

Механизм: Хакеры взламывают «умные» устройства — камеры, роутеры, принтеры, датчики, бытовую технику с выходом в интернет — и включают их в ботнеты для массированных DDoS-атак. Эти устройства работают круглосуточно, их миллионы, и многие имеют заводские пароли, которые пользователи не меняют.

1.4. Появление «б/у-устройств-зомби» на российском рынке

Факт: На российском рынке подержанной электроники обнаружены устройства, предварительно зараженные вредоносным ПО, которое автоматически подключает их к управляемым хакерами ботнетам.

Источник: Публикация «Известий» со ссылкой на данные компаний в сфере кибербезопасности, пересказанная DISINFO.MD 17 февраля 2026 года.

Кого касается: Покупатели подержанных ноутбуков, смартфонов, «умных» телевизоров, игровых консолей, пылесосов и даже кофемашин с Wi-Fi.

Прямая цитата из источника: Даниил Глушаков, аналитик центра мониторинга киберугроз компании «Спикатель»:

«Количество жалоб от покупателей подержанной техники значительно выросло. Вредоносное программное обеспечение автоматически подключает устройства к сетям, управляемым хакерами. Зараженные гаджеты выходят в сеть без вмешательства пользователя, изменяют данные и демонстрируют другую подозрительную активность».

Тенденцию также подтвердил Антон Чемякин, руководитель аналитического отдела компании Servicepipe.

Часть 2. Почему атаки стали разрушительнее: три ключевых изменения

Изменения в тактике атак подтверждаются несколькими источниками.

2.1. Переход к многоэтапным таргетированным атакам

Факт: Хакеры переходят от массовых атак к таргетированным многоэтапным операциям. Примерно каждая шестая атака теперь является целевой.

Источник: «Код Безопасности» (Security Code), данные мониторингового центра, IT Russia Media, 31 марта 2026.

Факт: Среднее время присутствия злоумышленников внутри российских корпоративных сетей достигло 42 дней. В некоторых случаях — до 181 дня.

Что это означает:
Цель злоумышленников — не просто нарушить работу, а закрепиться в сети, украсть данные, уничтожить инфраструктуру или использовать её для дальнейших атак.

Дополнительные подтверждающие цифры:

• Целевые атаки на API выросли на 68%.
• Доля мультивекторных атак выросла с 25% до 52%.
• «Ковровые бомбардировки» DDoS выросли на 83%.

Результат: За шесть месяцев в открытом доступе оказалось 230 новых баз данных российских компаний, содержащих более 767 миллионов записей пользователей.

2.2. Появление сверхмощных ботнетов нового поколения

Факт: В марте 2026 года российские компании поразила одна из крупнейших волн DDoS-атак с участием более 4 миллионов устройств.
Атаку связывают с ботнетом Kimwolf.

Источник: Пресс-релиз StormWall, пересказанный Caliber.az 18 марта 2026.

Пик интенсивности: 4 марта 2026 года — около 700 000 запросов в секунду.

Тактическое изменение: Атаки проводятся сегментировано — ботнет активируется частями, а не полностью. Это усложняет обнаружение и отражение.

География зараженных устройств (источник — Kimwolf-ботнет, март 2026): Бразилия — около 30%, США — почти 25%, Индия — примерно 19%, Россия — около 7%. Остальное приходится на Великобританию, Турцию и другие страны.

Источник: StormWall через Caliber.az, 18 марта 2026.

Прямая цитата из источника: Рамиль Хантимиров, StormWall:

«Рынок DDoS-услуг достиг нового уровня. Ботнет Kimwolf — яркий пример: всего за несколько месяцев он эволюционировал из теневого прокси-сервиса в инструмент для заказных атак. Даже кратковременные сбои могут привести к значительным потерям выручки и клиентов».

2.3. Атаки на прикладном уровне, имитирующие поведение людей

Факт: Атаки на прикладном уровне (L7) представляют особую угрозу, поскольку боты могут точно имитировать легитимное поведение пользователей.

Источник: Тот же отчет StormWall от 18 марта 2026.

Почему это важно: Традиционные методы защиты, основанные на IP-фильтрации и геолокации, становятся неэффективными — бот ведет себя «как человек».

Часть 3. Что делается для защиты? Пример разработки

На фоне роста угроз российские исследователи разрабатывают новые подходы к защите IoT-сетей. Важно: нижеописанная технология находится на экспериментальной стадии, а не в коммерческом производстве.

Разработка: Ученые Северо-Кавказского федерального университета (NCFU) при поддержке Российского научного фонда создали прототип системы мониторинга и защиты для IoT-сетей.

Источник: IT Russia Media, 21 февраля 2026 года.

Принцип работы («коллективный цифровой иммунитет»):

• Устройства в распределенной IoT-архитектуре самостоятельно обнаруживают угрозы и обмениваются информацией об инцидентах друг с другом.
• Точность распознавания сложных мультивекторных атак достигает 95% — на уровне традиционных систем безопасности.
• Скорость распространения данных об инциденте — около 5 секунд.

Текущий статус: Технология остается экспериментальной.
Коммерческое внедрение потребует дополнительных испытаний.

Часть 4. Контекст: Россия как источник и цель атак

Факт о месте России среди источников DDoS-трафика (глобально):

В первом квартале 2026 года Россия заняла третье место в мире по объему исходящего DDoS-трафика — 9,2% от мирового объема.

Источник: StormWall (анализ глобальной статистики), данные опубликованы 30 апреля 2026.

Для сравнения: США лидируют с 23,8%. На втором месте Бразилия — 11,1%. Россия занимает третью позицию с 9,2% (снижение с 12,1% в 2025 году). Китай замыкает четверку с 8,8%.

Примечание из источника: Эксперты связывают высокую долю России с частым инфицированием локальных устройств, которые хакеры используют для обхода географических блокировок.

Часть 5. Инструкция для компаний
(на основе данных экспертов)

Рекомендации составлены на основе отчета StormWall (18 марта 2026) и данных «Кода Безопасности» (31 марта 2026).

Шаг 1. Инвентаризация IoT-устройств. Составьте полный список всех подключенных к сети устройств: камеры, принтеры, датчики, роутеры. Многие компании не знают о существовании некоторых устройств в своей сети.

Шаг 2. Смена заводских паролей. Это критически важно. Большинство IoT-устройств поставляются с паролями по умолчанию (admin/admin), которые легко найти в открытых базах.

Шаг 3. Закрытие неиспользуемых портов. Особое внимание — порту Telnet (23), который часто используется для управления IoT-устройствами.

Шаг 4. Внедрение многоуровневой защиты. Прямая цитата из рекомендации StormWall: «Мы настоятельно рекомендуем компаниям внедрять многоуровневые системы защиты, способные обнаруживать аномальное поведение, а не полагаться исключительно на IP-фильтрацию или геолокацию».

Шаг 5. Поведенческий анализ трафика (NTA). Учитывая рост мультивекторных атак (с 25% до 52%) и атак на API (+68%), компаниям рекомендуется внедрять инструменты поведенческого анализа.

Подведём итог:

Данные из пяти независимых источников, опубликованных в период с февраля по май 2026 года, сходятся в главных выводах:

1. Мощность DDoS-атак на российские компании выросла до 2-3 Тбит/с.
2. Интенсивность атак выросла в 20 раз за год — с 2,16 до 44,2 млн запросов в минуту.
3. IoT-устройства стали основным инструментом: бот-трафик от них вырос в 1,7 раза.
4. Тактика изменилась: атаки стали многоэтапными, таргетированными, с временем присутствия в сетях до 181 дня.
5. На рынке б/у-техники обнаружены предварительно зараженные устройства.

Эксперты из StormWall и «Кода Безопасности» сходятся во мнении: 2026 год стал точкой перехода DDoS-угроз на индустриальный уровень.

Подготовка компаний требует отказа от устаревших методов IP-фильтрации в пользу поведенческого анализа и многоуровневых систем.