«Атаковать облако — значит атаковать десятки или сотни бизнесов одновременно». VK, «Ростелеком» и F6 — о трансформации DDoS

В первом полугодии 2025 года количество DDoS-атак на российские облачные инфраструктуры увеличилось на 91%, до почти 2 тыс. инцидентов, по сравнению с аналогичным периодом 2024 года, и более чем в два раза по сравнению с первым полугодием 2023 года, следует из данных Yandex Cloud. В компании отказались сообщать SecPost причину роста атак.

Как сообщал CNews со ссылкой на Qurator в середине лета, длина DDoS-атак на российские структуры сократилась почти вчетверо, однако их общее количество выросло почти в полтора раза.

В VK Cloud также отмечают рост количества, мощности и сложности DDoS-атак в 2025 году, сообщили SecPost в компании. По их данным, если в 2021-2022 годах атаки мощностью в несколько сотен Гбит/с считались крупными, то в 2023-2024 годах их компания регулярно отражает атаки мощностью свыше 1 Тбит/с (терабит в секунду): «атаки стали не просто мощнее, но и чаще и продолжительнее».

Продолжение ниже

Среди причин увеличения атак в VK Cloud называют активную цифровизацию бизнеса: «поскольку все больше критически важных сервисов компаний переезжают в облако, ценность их «падения» для атакующих возрастает. Атаковать облако — значит атаковать десятки или сотни бизнесов одновременно». Среди рисков подобных атак в компании отмечают прямые финансовые потери для бизнеса из-за простоя сервисов и репутационный ущерб.

Среди инструментов по борьбе с DDoS в VK Cloud называют многоуровневую систему защиты, в нее входят глобальная система очистки трафика: весь входящий трафик перенаправляется через распределенные центры очистки; гибкая пропускная способность, с помощью которой провайдеры имеют запас по пропускной способности каналов, чтобы «впитать» пиковую нагрузку от атаки; автоматизация поиска аномалий в трафике и др.

Другой облачный оператор, «РТК-ЦОД» (входит в «Ростелеком») наоборот не заметил увеличения количества DDoS-атак в 2025 году. По словам директора по безопасности «Публичное Облако РТК-ЦОД» Дениса Поладьева, хоть подобные атаки происходят регулярно, они по-прежнему находятся на уровне 2024 года. «При этом если смотреть в разрезе некоторых месяцев 2025 года, то количество DDoS-атак даже меньше по отношению к значениям 2024 года», — подчеркнул он.

По мнению Поладьева, общее увеличение DDoS-атак за последние годы связано с геополитическим фактором и с увеличением самих хакерских группировок. Также, добавляет он, рост атак связан с технологическими факторами, такими как рост количества слабозащищенных IoT-устройств, развитием облачных сервисов в мире, увеличением пропускной способности каналов связи, увеличением количества ботнетов.

«С учетом технологических факторов инструменты для проведения DDoS-атак становятся доступнее для хакерских группировок, а при использовании ботнетов атаки осуществляются как из иностранных, так и российских сетей», — заключил эксперт.

Часто DDoS-атаки длятся не дольше нескольких дней, но для ряда организаций даже такой, на первый взгляд, недолгий простой может оказаться критичным, отмечает в разговоре с SecPost специалист департамента киберразведки (Threat Intelligence) компании F6. По его словам, для своевременного обнаружения DDoS необходим постоянный мониторинг сети, а также необходимо внедрять решения защиты от подобных атак.

«Если атака уже происходит, то нужно снизить нагрузку на сервер, ограничить доступ для подозрительных IP и нестандартной географии», — говорит он. Среди самых активных группировок в 2024 году в F6 отмечают IT Army of Ukraine, Himars DDoS, CyberSec’s. В 2025 году основная DDoS-угроза для России идет от IT Army of Ukraine и, в меньшей степени, от CyberSec’s, а также со стороны группы Кiберкорпус.

В F6 также отмечают общее увеличение DDoS-атак на российские инфраструктуры в 2025 году, однако по их данным, именно на облачные инфраструктуры в прошлом году приходило больше атак, чем в текущем. «Возможная причина – в том, что в 2025 году расширился спектр целей киберпреступной группы: в прошлом году она активнее атаковала провайдеров, а в этом время от времени переключалась на другие сферы, включая финансы, промышленность, госсервисы и другие», — говорит аналитик, добавляя, что к концу года статистика может быть скорректирована из-за сезонности атак.

Увеличение числа DDoS-атак на облачную инфраструктуру в целом можно связать с развитием кибервойн, совершенствованием техник атак из недружественных стран, говорит руководитель направления мониторинга и сопровождения систем ИБ компании «МойОфис» Михаил Черняк. По его словам, злоумышленник научился использовать более совершенную автоматизацию, использовать полученные через фишинг учетные записи для обхода блокировок и развивать точечные атаки на API. «Угроза DDoS-атак кроется в ее названии: отказ в обслуживании атакуемых сервисов, с продолжением конфликта количество атак так и будет расти», — прогнозирует он.

Опасность DDoS-атак будет расти, пока продолжается геополитическое противостояние: атакующие будут продолжать атаки на российские ресурсы, наращивая мощности проводимых атак, говорит представитель F6. По его словам, под угрозой останутся все российские отрасли экономики.