В период с 20 по 23 июня текущего года российский корпоративный сектор подвергся серии беспрецедентных по своей мощности и технологической сложности распределённых DDoS-атак. По результатам анализа, проведённого экспертами компании StormWall, зафиксированная активность не является самостоятельной целью злоумышленников, а представляет собой масштабную разведку боем и стресс-тестирование защитных систем в преддверии подготовки к более масштабной и скоординированной киберкампании.
Характерной чертой данных инцидентов является их адаптивность. В отличие от классических DDoS-атак, строящихся на однообразном флуде, текущие действия киберпреступников демонстрируют высокий уровень интеллекта и динамическую перестройку тактики. Злоумышленники не стремятся к немедленному выводу из строя инфраструктуры жертвы, а используют атаку для изучения топологии сети, анализа эффективности применяемых средств защиты и обкатки новых инструментов. В ходе нападения фиксировались следующие поведенческие паттерны:
Динамическое изменение параметров:
1. Размер сетевых пакетов неоднократно варьировался с целью выявления уязвимостей в сетевом оборудовании.
2. Оперативная смена векторов: после успешной блокировки одного метода доставки трафика, атакующие немедленно переходили к альтернативным протоколам и способам воздействия.
3. Географическая ротация: источники вредоносной нагрузки активно переключались между различными государствами в рамках одной и той же волны атаки.
4. Усиление маскировки: при срабатывании защитных фильтров уровень имитации легитимного пользовательского трафика повышался, что делало его отделение от полезной нагрузки практически невозможным.
5. Адаптивная интенсивность: мощность атаки подстраивалась под пропускную способность каналов связи жертвы для достижения максимальной деструктивной эффективности.
Пиковая мощность одного из зафиксированных инцидентов достигла 2,56 Тбит/с при интенсивности порядка одного миллиарда пакетов в секунду (PPS). Подобные показатели относятся к категории предельных нагрузок для современных систем кибербезопасности. По мнению генерального директора и сооснователя StormWall Рамиля Хантимирова, отсутствие требований о выкупе и широкий спектр целей позволяют классифицировать данные действия как проверку нового ботнета или инструментария. После каждой попытки блокировки со стороны защитников атакующие расширяли географию источников и совершенствовали механизмы имитации.
Технологический стек ботнета и география угроз
Анализ вредоносного трафика выявил значительное расширение его географии по сравнению с предыдущими периодами. Если ранее основными источниками атак выступали Бразилия и Индия, то в текущей кампании были зафиксированы узлы управления и заражённые устройства на территории России, США, Германии, Нидерландов, Мексики, Ирака, Азербайджана и Казахстана. Это свидетельствует о стремительном росте и глобализации инфраструктуры ботнета.
В состав ботнета входит широкий спектр скомпрометированных устройств, что указывает на его гибридный характер:
· Сетевое оборудование (бытовые и офисные маршрутизаторы) с уязвимыми прошивками.
· Серверы коммерческих веб-площадок.
· Оборудование интернет-провайдеров.
· Устройства интернета вещей (IoT), в частности, камеры видеонаблюдения со слабыми паролями по умолчанию.
Эволюция угроз и новые вызовы для защиты
Развитие технологий маскировки трафика представляет собой наиболее серьёзную угрозу для систем обеспечения безопасности. Усовершенствование методов имитации поведения живых пользователей делает традиционные методы фильтрации, основанные на анализе объёма трафика или сигнатурном анализе, малоэффективными. Это вынуждает операторов связи и корпоративные службы безопасности переходить к более интеллектуальным подходам. Перед специалистами ИБ уже сейчас встают следующие критически важные задачи:
· Внедрение систем глубокого поведенческого анализа сетевых запросов (Deep Packet Inspection).
· Автоматизация корреляции событий безопасности между различными уровнями ИТ-инфраструктуры.
· Обеспечение возможности для сверхбыстрого обновления баз сигнатур и правил фильтрации.
· Расширение собственных каналов поглощения избыточной нагрузки (магистральных каналов).
· Проведение регулярных учений и киберучений по отражению пиковых DDoS-атак для отработки сценариев реагирования.
Выводы
Необходимо отметить, что зафиксированная StormWall активность происходит на фоне изменения ландшафта киберугроз. Согласно данным, за первые пять месяцев 2026 года количество атак программ-вымогателей на российские компании снизилось на 20%, что стало первым спадом за последние четыре года. Однако активность проукраинских хакерских группировок выросла более чем на 10%. При этом киберпреступники всё чаще смещают фокус с простых DDoS-атак на более сложные операции по хищению корпоративных данных.
Эксперты сходятся во мнении, что наблюдаемая серия атак является лишь репетицией перед полномасштабной кампанией, которая может накрыть российский сегмент интернета до конца лета. Адаптивный характер трафика и широкий разброс целей указывают на то, что под угрозой находится не отдельная отрасль, а весь корпоративный сектор в целом. В этих условиях компаниям настоятельно рекомендуется пересмотреть существующую модель защиты. Опора исключительно на одного провайдера услуг фильтрации трафика или на простые пороговые значения объёма больше не является надёжной стратегией. Требуется переход к комплексным решениям, включающим поведенческие модели анализа и тесную интеграцию с операторами связи. Промедление с обновлением договоров о защите инфраструктуры и сценариев реагирования в текущих реалиях представляет собой критический риск для непрерывности бизнеса.