DDoS-атаки на бизнес в РФ усилились в 2,7 раза — переход к тактике полного вывода систем из строя

По данным «Лаборатории Касперского», опубликованным на ПМЭФ-2026, в период с января по май 2026 года количество DDoS-атак на российские компании и организации стран СНГ увеличилось на 27% по сравнению с аналогичным периодом прошлого года. Критическим фактором стало не только число инцидентов, но и их масштаб: мощность отдельных атак выросла на 173%, а частота ударов с пиковой нагрузкой свыше 200 Гбит/с увеличилась на 215%. Злоумышленники сместили фокус с кратковременных сбоев на стратегию длительного истощения ресурсов инфраструктуры, что требует пересмотра подходов к защите от объемных и прикладных атак.

Важный нюанс: Рост количества атак на 27% является вторичным показателем по сравнению с увеличением их мощности в 2,7 раза, что свидетельствует о переходе к атакам с целью полного вывода систем из строя, а не просто временного затруднения доступа.

Динамика и сезонность угроз

Анализ ежемесячных данных за первые пять месяцев 2026 года выявил четкую цикличность и эволюцию тактик. Пик активности пришелся на февраль и апрель, когда злоумышленники использовали периоды высокой нагрузки на бизнес-процессы для нанесения максимального ущерба.

• Январь: Рост массовых автоматизированных атак на 54%. Атаки нацелены на период возобновления работы компаний и пиковую активность пользователей в банкинге и госуслугах.
• Февраль: Максимальный всплеск инцидентов. Средняя продолжительность атак превысила 48 часов, отдельные случаи длились более 14 дней. Это указывает на переход к тактике методичного истощения серверов.
• Март: Общее число атак снизилось, но доля многовекторных инцидентов (сочетание объемной нагрузки и атак на прикладном уровне) превысила 40%.
• Апрель: Второй мощный пик с ростом числа атак на 61%. Фактором стало расширение доступа к платформам DDoS-as-a-Service и активизация ботнетов на базе IoT-устройств.
• Май: Стабилизация общего числа инцидентов при одновременном росте их технической сложности. Увеличилась доля таргетированных кампаний против конкретных организаций.

Стоит учесть: В феврале и апреле наблюдается прямая корреляция между доступностью инструментов для атак (DDoS-as-a-Service) и ростом их интенсивности, что делает рынок киберугроз более доступным для злоумышленников без глубоких технических знаний.

Отраслевые риски и цели атак

Телекоммуникационный сектор, финансовая сфера и государственные организации остаются основными целями. Характер угроз для каждой отрасли имеет свои особенности, влияющие на выбор стратегии защиты.

• Телекоммуникации: Число атак выросло на 31% год к году. Операторы связи стали стратегической целью, так как их сбой парализует работу множества других сервисов. Максимальная продолжительность атак достигала 14 дней, а пиковая мощность увеличилась на 27%. Дополнительный риск создает рост числа IoT-устройств в сетях операторов, которые могут быть вовлечены в ботнеты.
• Финансовый сектор: Банки и платежные сервисы занимают второе место по частоте инцидентов. Основной удар приходится на платежные шлюзы, личные кабинеты и API-интеграции. Доля атак на прикладном уровне (L7) в этом секторе достигла 51%. Такие атаки имитируют легитимные транзакции, что затрудняет их фильтрацию стандартными средствами.
• Государственные организации: Атаки на органы управления и порталы часто носят скоординированный характер и отличаются длительностью. Целью является создание публичного резонанса и максимально долгий вывод из строя значимых для граждан сервисов.

Технологические изменения в методах атак

Злоумышленники активно меняют инструментарий, делая атаки более скрытными и сложными для обнаружения. Ключевым трендом стало увеличение доли атак уровня приложений (L7) до 51% против 31% годом ранее.

• Имитация легитимного трафика: Автоматизированные боты воспроизводят поведение реальных пользователей: авторизацию, поиск, оформление заказов. Они обрабатывают JavaScript-вызовы и обходят стандартные механизмы защиты (CAPTCHA).
• Использование облачной инфраструктуры: Атакующие арендуют ресурсы у облачных провайдеров для быстрого масштабирования нагрузки. Это позволяет организовывать мощные скоординированные атаки с минимальными затратами.
• Атаки низкой интенсивности: Зафиксирован рост атак типа Slowloris, при которых соединения удерживаются открытыми длительное время, постепенно исчерпывая ресурсы веб-сервера.
• Применение ИИ: Злоумышленники используют инструменты искусственного интеллекта для генерации трафика и оптимизации векторов атак.

На фоне этого: Переход к атакам на уровне приложений (L7) требует от бизнеса отказа от простой фильтрации по IP-адресам в пользу интеллектуального анализа поведения пользователей и сессий.

Стратегические выводы для бизнеса

Для минимизации рисков и обеспечения непрерывности работы компаниям необходимо пересмотреть архитектуру безопасности. Комплексный подход становится обязательным условием, а не опцией.

• План реагирования: Поддержка веб-ресурсов должна быть возложена на специалистов с задокументированным планом действий при DDoS-инцидентах и опытом работы в условиях длительных нагрузок.
• Соглашения с провайдерами: Необходимо проверить договоры с поставщиками интернет-услуг на наличие актуальных контактов для экстренной связи и четких эскалационных цепочек при продолжительных атаках.
• Специализированные решения: Внедрение корпоративных систем защиты, обеспечивающих мониторинг трафика в реальном времени и очистку на уровне провайдера.
• Тестирование: Регулярное проведение нагрузочного тестирования инфраструктуры и учений по реагированию, моделирующих сценарии длительных и многовекторных атак.

Для российских компаний, особенно в телекоме и финансах, приоритетом становится защита от атак, имитирующих легитимный трафик, и подготовка к сценариям, когда атака может длиться неделями, а не часами.