Количество бот-атак в России выросло в два раза. Хакеры рекрутируют умные холодильники, часы и смартфоны
Число бот-атак на российский бизнес выросло в два раза в 2025 году, рассказали SecPost участники рынка. Подобные атаки уже выводили из строя сервисы крупных авиакомпаний, они грозят финансовыми и репутационными потерями банкам, маркетплейсам и другим организациям. При этом бот-атаки никак не регулируются и использование бот-нетов не запрещено в РФ, из-за чего ИБ-вендоры и CISO прогнозируют их дальнейший рост, подробнее в материале SecPost.
Рост бот-активности приводит к миллионным ущербам
В 2025 году количество бот-атак на российские компании выросло в 1,5-2 раза по сравнению с прошлым годом, сообщил SecPost руководитель команды сопровождения сервисов ИБ компании Ngenix Илья Самылов. По его словам, наиболее активно растут именно DDoS-ботнеты (сети зараженных устройств: смартфоны, компьютеры, IoT).
Подобный рост он объясняет увеличением числа уязвимых IoT-устройств, которые злоумышленники подключают к ботнетам, активным развитием инструментов автоматизации атак на базе ИИ, а также использованием модели MaaS (Malware-as-a-Service, модель продажи вредоносного ПО от хакеров), которая делает запуск таких атак доступным практически для любого желающего. IoT-устройства, в частности, включают смартфоны, умные холодильники, умные часы, фитнес-трекеры, умные пожарные сигнализации, умные дверные замки, медицинские датчики, умные системы безопасности, а также виртуальные помощники.
«Сегодня боты — это большая и серьезная угроза для любого онлайн-бизнеса: авиа, e-commerce, финтех, медиа, госсектор. В 2024 году половина всего интернет-трафика — это бот-трафик, при этом 32% приходится на вредоносных ботов, и только 18% — на легитимных. По сути, каждый второй запрос к веб-ресурсу может не иметь отношения к реальному пользователю», — подчеркнул Самылов.
Как отметил руководитель группы защиты от автоматизированных угроз «Авито» Сергей Макаров, современные боты способны перегружать инфраструктуру компании, чтобы легитимные пользователи не могли получить доступ к сервису, что приводит к прямым финансовым потерям.
«Боты могут использоваться для парсинга (автоматизированного сбора и структурирования информации с сайтов при помощи специальных скриптов – SecPost) уникального контента, сканирования системы в поисках уязвимостей для последующих атак, манипуляции с отзывами и оценками, искажения аналитики, такие атаки ухудшают качество сервисов и создают риски для бизнеса», — рассказал Макаров.
Самылов отмечает несколько «типичных сценариев» ущерба от ботов. Во-первых, более 1 млн рублей в месяц может уходить на SMS-нотификации, когда боты массово инициируют авторизацию и вызывают отправку кодов. Во-вторых, до 50% всех запросов на сайте может приходить от ботов, полностью искажая поведенческие метрики. Наконец, из-за нагрузки от нецелевого трафика затраты на динамическую инфраструктуру растут в некоторых случаях в три раза и больше.
Рост бот-активности в интернете отмечают и в «Мегафоне». По словам представителя компании, это общемировой тренд, связанный с увеличением числа уязвимых устройств и расширением инструментов злоумышленников. «Наша инфраструктура регулярно отражает такие атаки. Для их предотвращения используется ряд специализированных аппаратно-программных комплексов», — говорит представитель оператора.
Атаки на авиакомпании и банки
В разговоре с SecPost Самылов привел несколько примеров, как бот-атаки уже выводили из строя бизнес-процессы. Из этих примеров следует, что от таких нападений не застрахованы ни банки, ни аэропорты, ни маркетплейсы.
Так, в авиации боты могут парализовать бизнес-процессы без единого взлома, отмечает Самылов. Они вызывают простой систем бронирования, сбивают расписания, увеличивают нагрузку на колл-центры. «Финансовые потери исчисляются миллионами: от фиктивных бронирований до роста затрат на IT-масштабирование и SMS. В результате падает доступность онлайн-сервисов, формируются очереди в аэропортах, а пассажиры теряют лояльность к перевозчику», — подчеркнул он.
По словам руководителя команды сопровождения сервисов ИБ компании NGENIX, в среднем 45% всего трафика на сайтах бронирования авиабилетов — это боты, и 60% из них вредоносны. Ситуация усугубляется тем, что боты становятся умнее: они используют эмуляцию браузеров, адаптируются под лимиты частоты запросов и маскируются под обычных пользователей, отмечает специалист. SecPost направил запросы в авиакомпании «Аэрофлот», «Победа», S7 и «ЮТэйр».
По словам Самылова, в сфере интернет-покупок доля ботов может достигать 90% трафика. По его словам, боты скупают лимитированные товары со скидками, оставляют товары в корзинах, блокируют остатки складов. «Отдельная боль — SMS-нотификация: крупные маркетплейсы тратят до 20% ежемесячного IT-бюджета на фейковые сообщения, инициированные ботами», — добавил он.
Как сообщил SecPost заместитель начальника департамента защиты информации Газпромбанка Алексей Плешков, в случае с DDoS-атаками боты используются злоумышленниками как простой и эффективный способ генерации паразитного траффика в направлении системы или ИТ-ресурса. В зависимости от близости к целевой системе (например, находятся ли целевая система и атакующий ее бот в Рунете или атака инициирована из-за пределов Рунета), а также с учетом выбранного для DDoS-атаки уровня модели OSI боты по команде злоумышленников формируют и направляют к целевой системе большой объем паразитного траффика.
«Этот трафик, а точнее необходимость его анализа, обработки и подготовки ответа согласно протоколу, — оказывают негативное влияние (вызывают деградацию производительности) на пропускную способность каналов связи, на загрузку промежуточного фильтрующего сетевого оборудования, а также на процессорное время, необходимое для обработки входящего траффика и подготовки ответа в целевой системе», — отметил Плешков.
ИИ нужен как ботам, так и для защиты от них
По словам директора направления развития бизнеса департамента информационной безопасности группы Rubytech (производит программно-аппаратные комплексы и разрабатывает технологии для высоконагруженных ИТ-инфраструктур) Евгения Акимова, характер бот-атак значительно эволюционировал, теперь наблюдается качественно новый уровень угроз. «Классические DDoS-атаки становятся все менее эффективными, крупные организации внедрили комбинированную защиту: специализированное оборудование для отражения атак уровня приложений и облачные сервисы для фильтрации канальных атак», — заявил Акимов.
Он отмечает, что в настоящее время формируется принципиально новая угроза — боты с применением технологий искусственного интеллекта. Такие боты способны выполнять сложные, неоднотипные задачи, ранее доступные только профессиональным хакерам. «Они могут самостоятельно находить целевую организацию по названию, сканировать IP-адреса, приоритизировать уязвимые порты и проводить целенаправленные атаки практически без участия человека, это уже не массированный «лобовой» удар, а интеллектуальное проникновение, сравнимое с APT-атаками», — добавил он.
Акимов считает вопросом ближайшего времени, когда атаки с применением ИИ-ботов станут массовыми. В этом случае человеческих ресурсов просто не хватит для их выявления и анализа, считает специалист. По его словам, каждая такая атака требует анализа логов, выявления аномалий и косвенных признаков вторжения, «что в условиях массового применения ИИ-ботов становится невыполнимой задачей для традиционных подходов». В будущем он отмечает не столько количественный рост бот-активности, сколько качественное изменение характера атак.
При этом СISO для комплексной защиты от атак ботов также не обойтись без использования ИИ-технологий, рассказали SecPost опрошенные CISO российских компаний. Например, в VK считают, что такая комплексная защита может включать в себя анализ трафика и инструменты их выявления на основе ИИ, а также механизмы ограничения или перенаправления количества запросов. Тот же Акимов называет противодействие бот атакам «технологической гонкой вооружений», где защитникам необходимо использовать те же технологии, что и злоумышленникам.
«Искусственный интеллект на стороне защиты способен анализировать активность на фронтенд-системах, выявлять признаки интеллектуальных атак и даже осуществлять активный отклик — блокировать сессии, IP-адреса, принимать автоматизированные решения о противодействии без участия человека», — уточнил он.
Но не все участники рынка ИБ видят решение в использовании ИИ. Так, архитектор информационной безопасности UserGate Дмитрий Овчинников отмечает, что грамотная работа с интернет-провайдером, резервирование каналов связи, а также предсказание точек и времени атак позволяют бороться с большинством нападений такого рода.
«Однако стоит помнить: любая отраженная активность хакеров – это свидетельство того, что атакующие не ошиблись с нужным выделением необходимого числа зараженных устройств для совершения нападения, при желании и наличии ресурсов, любую защиту можно вывести из строя, то есть задача защищающихся — сделать атаку экономически неэффективной», — уточнил Овчинников.
Он прогнозирует увеличение количества атак в 2026 году, «однако за счет насыщения домашних хозяйств умными устройствами рост не будет столь велик, как в 2025 году».
В «Авито» заявили, что в ближайшей перспективе ожидают роста использования технологий ИИ для создания вредоносных ботов, которые будут сложнее в обнаружении.
«Поэтому для сохранения устойчивости инфраструктуры и высокого качества пользовательского опыта технологии защиты должны постоянно эволюционировать вместе с угрозами», — сказал Сергей Макаров.
Нужно ли совсем запрещать ботнеты?
Самылов обращает внимание, что в отличие от DDoS или попыток взлома, бот-активность юридически почти не регулируется. Скрейпинг, массовые запросы к API, фальшивые бронирования формально находятся в легальном поле, утверждает он. «Ведь в этом случае ресурс не выводят из строя. Ботоводы легко могут сидеть в компании-конкуренте, которая парсит ваши данные и из-за которой вы несете убытки в миллионы рублей ежемесячно», — добавил эксперт.
Опрошенные CISO и ИБ-вендоры не считают, что в данном случае необходим запрет работы ботов. Например, по словам Плешкова, такой потенциальный запрет сильно ограничит тех, кто с помощью технологических бот-платформ реализует бизнес. При этом он совершенно не повлияет на тех, кто с помощью ботов совершает DDoS-атаки, особенно из-за пределов Рунета, то есть вне территории и юрисдикции РФ.
Запрет – это свидетельство неспособности защититься от угрозы и адаптироваться к изменениям, уверен Овчинников.
«Чтобы запретить ботнеты, необходимо запретить интернет и все сетевые устройства, лучший способ борьбы с киберугрозами – это повышение осведомленности конечных пользователей о мерах информационной безопасности, которые надо соблюдать, ознакомление пользователей с правилами эксплуатации умных гаджетов, и, конечно, устранение уязвимостей благодаря повышению качества работы производителей IoT-устройств», — отметил он.
Директор по информационной безопасности «Группы Астра» Дмитрий Сатанин также задался вопросом, как потенциальный запрет деятельности можно будет реализовать и контролировать его исполнение в отношении ботнетов, находящихся за границей. По его словам, дальнейший рост бот-активности будет зависеть от внешних факторов, в первую очередь, от геополитической ситуации.
В мае 2024 года Роскомнадзор сообщал, что специалисты Центра мониторинга и управления сетью связи общего пользования РКН разработали для хостинг-провайдеров рекомендации по анализу рисков работы зарубежных ботов, в том числе Google, OpenAI и Apple, для последующей блокировки. SecPost направил запрос в Роскомнадзор по поводу текущей позиции службы относительно деятельности ботнетов.
