Введение
2025 год сохранил ландшафт угроз для онлайн-ресурсов и показал изменения в поведении злоумышленников, которые по-прежнему считают своей целью нанести ущерб онлайн-ресурсам российских компаний. Хакеры продолжают проводить DDoS-атаки, чтобы сделать онлайн-ресурсы недоступными для пользователей и тем самым нарушить работу компаний или государственных сервисов. Также хактивисты применяют дефейс, размещая на сайтах организаций провокационную информацию.
Эксперты ГК «Солар» подготовили отчет о том, как киберпреступники использовали DDoS-атаки в минувшем году. Аналитика составлена на основе данных об инцидентах, зафиксированных и отраженных сервисом Anti-DDoS платформы Solar MSS за январь-сентябрь 2025 года. Учтена информация о массовых атаках на магистральную сеть, канальную инфраструктуру доступа к услугам, клиентское оборудование. Для отчета была проанализирована информация о почти 700 компаниях из различных отраслей, включая ритейл, финансовый и государственный секторы.
Общая тенденция отраженных DDoS-атак идет к постепенному снижению количества атак год к году. Это обусловлено возросшим уровнем защиты и информационной безопасности компаний-клиентов. В связи с этим хакеры продолжают проводить DDoS, параллельно проводя и другие атаки, например – уровня L7 (атаки на веб-приложения, от которых защитит сервис WAF – Web application firewall) и более сложных APT-атак.
Каким был DDoS в январе-сентябре 2025 года
В данной главе описаны атаки, зафиксированные и отраженные сервисом мониторинга трафика и защиты от DDoS-атак (Anti-DDoS). DDoS-атака – это действия злоумышленников, направленные на нарушение работоспособности инфраструктуры организации, ее порталов и веб-ресурсов. Хакеры искусственно создают нелегитимный трафик, чтобы сделать ресурсы недоступными для интернет-пользователей.
Количество DDoS-атак
За первые три квартала (январь-сентябрь) 2025 года сервис Anti-DDoS зафиксировал 560 тыс. DDoS-атак на российские компании – это на 12% меньше, чем в аналогичном периоде 2024 года. В среднем на одну компанию за этот период приходилось 1183 атаки, что на 32% меньше, чем в предыдущем году.
Тренд на сокращение числа атак может быть обусловлен тем, что заказчики сервиса надежно защищены, поэтому злоумышленники не готовы тратить ресурсы на DDoS-атаки, которые не выводят инфраструктуру жертвы из строя. Да, инструменты для проведения DDoS-атак стали доступнее, ботнеты – больше и крупнее, но злоумышленники уже не готовы тратить ресурсы на неэффектные для них инструменты и, применяя DDoS, параллельно переходят на более сложные APT-атаки. Это говорит о том, что компаниям необходимо выстраивать комплексную защиту от разных типов угроз, в том числе и на онлайн-периметре, как на первом рубеже на пути к взлому инфраструктуры.
Пик DDoS в 2025 году пришелся на март и cоставил 92,3 тыс. зафиксированных атак за месяц – тогда им чаще подвергались компании страхового сектора и кредитно-финансовой отрасли. Отметим, что 82% общего числа ударов на отрасль произошло в марте сразу после завершения переговоров США и Украины в Саудовской Аравии.
Большое количество DDoS-атак наблюдалось и в мае (79,8 тыс.), когда были атакованы компании отрасли ИТ и телекома. Майские атаки связаны с празднованием в России 80-летия Победы в Великой Отечественной войне.
Еще один пик (80,5 тыс.) был зарегистрирован в сентябре, когда в России проводился Единый день голосования.
Мощность атак
Максимальная мощность атаки на клиентов ГК «Солар» снизилась и уже не достигает тех значений, которые были в 2024 году.
Максимальная мощность атаки:
Максимальная мощность атаки за 2025 год в BPS зафиксирована в августе и составляла 1522 Гбит/сек, когда был атакован был один из телеком-операторов на фоне саммита Россия-США на Аляске.
Средняя мощность DDoS-атаки, Гбит/сек:
При этом средняя мощность атаки, приходящейся на одного клиента в 2025 году, не превышала 1,6 Гбит/сек BPS в феврале и 0,38 млн. пакетов/сек (Mpps) – это подтверждает общую картину с сокращением DDoS-атак уровня L3-L4. Для сравнения – в 2024 году в декабре средняя мощность атаки на компанию составляла 9,8 Гбит/сек.
Максимальная мощность атаки в Mpps (млн пакетов в секунду) в целом повторяет динамику 2024 года, но пик пришел на июль – тогда резко выросла мощность в ходе атак на одного из телеком-операторов.
Максимальная мощность атаки, Mpps
При этом средняя мощность DDoS-атаки в сравнении с 2024 годом снизилась, но в июле также наблюдается рост мощности – тогда под ударом снова оказался телеком-сектор.
Средняя мощность DDoS-атаки, Mpps
Средняя мощность атак в BPS и PPS уже не достигает значений 2024 года, хоть в некоторых месяцах и наблюдаются пики и ярко выраженные максимумы. Это также показывает, что злоумышленники переходят на другие векторы и типы атак, в частности – на уровень L7 и более сложные атаки APT-группировок.
Атакованные отрасли
Лидером по общему числу атак в 2025 году является телеком-отрасль. При этом большая часть самых мощных атак приходится на операторов, работающих на новых российских территориях и в Южном федеральном округе. Телеком-операторы всегда вызывали интерес у злоумышленников. Данной отрасли критично важна непрерывность процесса и стабильность соединения, которую хакеры стремятся нарушить, оказывая негативное влияние на бизнес и безопасность граждан.
Также можно отметить стабильно высокое количество атак на ИТ-отрасль. Хакеры нередко используют DDoS на организации из данного сектора, которые поставляют аутсорсинговые услуги, в качестве «завесы» для более продвинутой атаки крупных компаний . Традиционный интерес злоумышленники проявляют и к федеральным органам исполнительной власти. Отдельно отметим, что РОИВы находятся под прицелом хакеров – за отчетный период их онлайн-ресурсы были атакованы более 25 тысяч раз, именно поэтому они выделены в отдельную категорию.
ТОП атакуемых отраслей за 9 месяцев 2025 г.
ТОП атакуемых отраслей за 9 месяцев 2024 г.
Среднее количество DDoS-атак на одну компанию по отраслям
Телеком
ИТ
Кредитно-финансовая отрасль
ФОИВ
РОИВ
Среднее число DDoS-атак на одну компанию по отраслям, 2024 год
Телеком
ИТ
Кредитно-финансовая отрасль
ФОИВ
РОИВ
Также хакеры наращивают плотность DDoS-атак на телеком и ИТ. Так, в среднем на одну компанию из телеком-отрасли за отчетный период было совершено порядка 340 атак – это на 34% больше, чем в январе-сентябре 2024 года. В ИТ прирост составил порядка 11% год к году, до 150 DDoS-атак на одну компанию.
География атак
Общее количество DDoS-атак в регионах за 9 месяцев 2025 года, тыс. шт.
Общее количество DDoS-атак в регионах за 9 месяцев 2024 года, тыс. шт.
Лидером по общему числу зафиксированных DDoS-атак в январе-сентябре 2025 года традиционно является Москва, так как там сконцентрировано большее количество организаций различных секторов экономики, находящихся под прицелом хакеров.
Второе место заняло Приволжский федеральный округ – всего в регионе за отчетный период было зафиксировано и отражено 44,8 тысяч атак. Уральский федеральный округ, который в аналогичном периоде 2024 года был на втором месте, в этом году сместился на 6-е место, а Южный федеральный округ – с пятого на седьмое. По нашему мнению, вектор атак переместился в Поволжье из-за расположения большого количества промышленных предприятий в регионе, в том числе оборонной отрасли, которая является желанной целью для проукраински настроенных злоумышленников – особенно на фоне текущей геополитической обстановки.
Что касается среднего числа атак, то здесь мы можем зафиксировать снижение интенсивности DDoS в разрезе одной компании. Единственным регионом, где отмечается рост среднего числа атак на одну организацию, является Северо-Западный федеральный округ (+10% год к году), где в том числе находятся организации из нефтеперерабатывающей отрасли – они и попали под ковровые атаки в начале 2025 года на фоне новых пакетов санкций.
Векторы атак
ТОП 5 типов DDoS-атак за 9 месяцев 2025 года, тыс. шт.
ТОП 5 типов DDoS-атак за 9 месяцев 2024 года, тыс. шт.
В 2025 году лидируют в топ-5 векторов: TCP SYN, UDP Flood, атаки на DNS и атаки фрагментированными пакетами. TCP ACK, который был лидером по атакам в 2022-2024 годах, вышел из пятерки наиболее популярных типов атак.
Так же сохранился тренд на мультивекторные DDoS-атаки, который включает в себя несколько типов атак одновременно. Также злоумышленники во время подобной атаки могут менять протоколы, порты и IP-адреса, чтобы увеличить разрушительную силу ударов и обойти средства защиты.
- TCP SYN. Это флуд, направленный на создание большого числа неполных соединений, что приводит к исчерпанию ресурсов сервера и его недоступности для легитимных пользователей. До 25% от всех мощных DDoS-ударов в 2025 году реализованы с применением TCP SYN. Большая часть из них осуществляются по одному и тому же шаблону с применением ботнет-сетей, а эффективность атаки напрямую зависит от распределения элементов ботнета. Такой флуд увеличивает нагрузку на инфраструктуру даже крупных компаний и может привести к росту продолжительности обработки легитимный соединений. Именно поэтому для защиты от SYN Flood необходима опытная экспертная команда.
- UDP Flood. Атаки типа UDP Flood создают огромный объем UDP-трафика, направленного на исчерпание пропускной способности сети и перегрузку целевых серверов. UDP Flood остается популярным методом атак, особенно в контексте мультивекторных атак.
- IP Fragmentation. Это разновидность DDoS-атаки, которая эксплуатирует процесс фрагментации IP-пакетов для перегрузки сетевого оборудования и нарушения работы сервисов
- Атаки на DNS. Направлены на перегрузку серверов. Один из наиболее известных типов – DNS Flood, когда злоумышленники массово отправляют ложные DNS-запросы, истощая ресурсы сервера и замедляя его работу
- Amplification DNS. Злоумышленник посылает (обычно короткий) запрос уязвимому DNS-серверу, который отвечает на запрос уже значительно большим по размеру пакетом. Если использовать в качестве исходного IP-адреса при отправке запроса адрес компьютера жертвы (ip spoofing), то уязвимый DNS-сервер будет посылать в большом количестве ненужные пакеты компьютеру-жертве, пока полностью не парализует его работу.
Выводы
Злоумышленники все еще используют DDoS-атаки для осуществления попыток атаковать инфраструктуру жертвы, даже при условии, что их эффективность снижается из-за общего роста зрелости информационной безопасности в российских компаниях.
Хакеры уже не тратят ресурсы для реализации прицельных масштабных атак на жертву, а производят меньшие по масштабу и объему ковровые атаки на отдельные организации в ряде отраслей. Это делается либо для вывода инфраструктур жертв из строя в период важных для страны событий, либо с целью выявления уязвимостей в сетевом оборудовании – например, отсутствия обновлений ПО.
Вместе с этим они перешли к комбинированным атакам сразу по нескольким (атаки на сетевой уровень L3-L4 и на L7 уровня веб-приложений), поэтому очень важен эшелонированный подход к онлайн защите (Anti-DDoS + WAF).
Количество DDoS-атак к концу 2025 года может вырасти в сравнении с предыдущими месяцами, но это существенно не повлияет на общий тренд к снижению, наблюдаемый на протяжении последнего года. Тем не менее, DDoS-атаки не потеряют свою актуальность в последующие годы, хотя их характер, объем и эффективность снизятся и видоизменятся.
Скачать отчет
Самые важные новости кибербезопасности у вас в почте
Выберите темы, на которые бы вам было интересно получать новости.
Для получения бесплатной консультации заполните форму ниже и отправьте заявку. Наш менеджер свяжется с вами в ближайшее время.