Резкий рост ботнет-атак изнутри: российские ИТ-инфраструктуры под угрозой
В 2025 году в России число ботнет-атак выросло на 34% по сравнению с аналогичным периодом 2024 года, при этом доля вредоносного трафика, исходящего с территории страны, увеличилась с 5% до 39%. Ботнеты всё чаще используют устройства интернета вещей и маршрутизаторы, а центры атак переместились из Москвы и Санкт-Петербурга в другие регионы, включая Новосибирскую область, где зафиксирована пиковая интенсивность вредоносного трафика свыше 100 ГБ/с.
По данным Servicepipe, в 2025 году в России резко выросло число ботнет-атак, при этом в 39% случаев вредоносный трафик исходил исключительно с территории страны. Это резко контрастирует с 2024 годом, когда подобные атаки составляли всего 5%. Эксперты подтверждают смену географии DDoS-атак, что указывает на усиление угрозы для российских ИТ-инфраструктур.
Рост угрозы изнутри
Ботнеты — это сети заражённых устройств, используемых для кибератак. По информации Servicepipe, с января по сентябрь 2025 года было зафиксировано около 410 тысяч ботнет-атак, что на 34% превышает показатель аналогичного периода 2024 года. Эти атаки могут привести к сбоям в работе ИТ-ресурсов или потере данных.
Ведущий аналитик компании «Спикател» Алексей Козлов отмечает, что с начала 2025 года около 30% ботнетов действуют исключительно с российской территории. Это указывает на то, что хакеры всё чаще используют локальные ресурсы для проведения атак, что усугубляет ситуацию с кибербезопасностью.
Перераспределение географии атак
Традиционно ботнеты маскировались под IP-адреса Москвы и Санкт-Петербурга. В 2024 году 65% вредоносного трафика приходилось на эти два города. Однако к концу сентября 2025 года эта доля снизилась до 50%. Остальные 50% распределились между Московской областью (17%), Новосибирском (14%), Казанью (10%) и Екатеринбургом (9%).
Директор по ИТ-продуктам Servicepipe Михаил Хлебунов сообщил, что один из крупнейших ботнетов в 2025 году сосредоточен в Новосибирской области. В нём 40% заражённых устройств находились в этом регионе, что необычно для российских ботнетов, обычно распределённых равномерно. Пиковая интенсивность вредоносного трафика составила более 100 ГБ/с, а число заражённых устройств достигало нескольких тысяч.
Цели и методы атак
Ботнеты, выявленные Servicepipe, использовали устройства интернета вещей (IoT) и маршрутизаторы. Атаки были в основном направлены на телекоммуникационные компании. Это указывает на стремление злоумышленников нарушить работу ключевых инфраструктурных секторов.
Интересно: Как быстро российские компании смогут адаптироваться к росту внутренних угроз? Что потребуется для сокращения уязвимостей в региональных сетях?
Рост внутренней киберугрозы: что скрывается за цифрами?
Смена стратегии киберпреступников
Резкое увеличение ботнет-атак с территории России указывает на сознательную смену тактики злоумышленников. До 2025 года основная масса DDoS-атак приходила с иностранных IP-адресов или использовала маскировку под зарубежные источники. Это позволяло киберпреступникам избегать быстрого отслеживания и ответных мер со стороны российских ИТ-компаний.
Сейчас же ситуация изменилась: 39% атак исходят непосредственно из России. Это означает, что хакеры используют локальные ресурсы — региональные сети, IoT-устройства и маршрутизаторы — для маскировки и масштабирования атак. Такой подход снижает время реакции защитников, так как атаки выглядят как обычный внутренний трафик. Это также позволяет злоумышленникам избежать сложных процедур международного сотрудничества при расследовании.
К чему это ведет? Резкий рост внутренних атак указывает на то, что киберпреступные группы начали использовать российскую ИТ-инфраструктуру как платформу для масштабных атак — не только на внешние, но и на внутренние цели.
Усиление уязвимостей в регионах
Распределение ботнетов по регионам также говорит о системной проблеме. Если раньше 65% вредоносного трафика приходилось на Москву и Санкт-Петербург, то к концу 2025 года эта доля снизилась до 50%. Это не случайность. Региональные сети, особенно в Новосибирске, Казани и Екатеринбурге, оказались более уязвимыми.
Причин несколько. Во-первых, в регионах чаще используются устаревшие устройства и слабо защищенные маршрутизаторы. Во-вторых, региональные ИТ-отделы зачастую недооценивают угрозы и не вовремя обновляют системы. В-третьих, отсутствует эффективная координация между центральными и местными органами по вопросам кибербезопасности.
Что за этим стоит? Региональная дезинтеграция в вопросах кибербезопасности делает всю страну более уязвимой. Даже если Москва защищена, уязвимости в Новосибирске могут стать джокером в руках киберпреступников.
Цели атак: стратегия давления
Ботнеты в 2025 году в основном атаковали телекоммуникационные компании. Это не случайный выбор. Телеком — это стратегическая отрасль, обеспечивающая связь между государственными и бизнес-системами. Нарушение её работы может привести к каскадным последствиям: от сбоя в банковских транзакциях до остановки критически важных сервисов.
Использование IoT-устройств и маршрутизаторов в атаках указывает на то, что злоумышленники стремятся к масштабу и неограниченности. Эти устройства часто остаются без должного внимания со стороны пользователей, что делает их идеальной добычей для ботнетов.
Тренд: Киберпреступники всё чаще используют не только мощные серверы, но и повседневные устройства, чтобы создать устойчивую и маскируемую сеть для атак.
Утечки данных: рост масштабов и угрозы госсектора
Одним из ключевых факторов роста киберугроз стало увеличение утечек персональных данных. В январе—августе 2025 года в российском сегменте интернета зафиксировано 13 млрд утекших строк персональных данных, что в 3,7 раза превышает показатель аналогичного периода 2024 года. При этом число публичных киберинцидентов снизилось на 16,5%.
Это говорит о том, что атаки стали более скрытыми, но не менее разрушительными. Особенно подверглись атакам государственные организации, которые стали лидерами по числу инцидентов. Среди других активных целей — телекоммуникации, транспорт и отели. Например, в конце июля 2025 года авиакомпания «Аэрофлот» столкнулась с кибератакой, приведшей к сбоям в работе информационных систем и отмене рейсов.
Кроме того, злоумышленники всё чаще используют фишинговые атаки, технически более сложные и эффективные. Число выявленных фишинговых сайтов почти удвоилось, а методы маскировки вредоносного ПО стали более изощрёнными. Например, злоумышленники используют GitHub для распространения вредоносной программы Atomic infostealer, создавая поддельные репозитории популярных приложений. Такие атаки затрагивают IT-компании, финансовые учреждения и разработчиков.
Вывод: Утечки данных и фишинговые атаки становятся неотъемлемой частью киберугроз. Для минимизации рисков ключевым шагом становится усиление защиты персональных данных и повышение осведомлённости сотрудников.
Источник: CNews
