Что нового в мире DDoS? Отчёт StormWall за первый квартал 2025

Мы продолжаем следить за ландшафтом киберугроз в России и других странах. И по-прежнему рады делиться своими наблюдениями и выводами с вами. 

Перед вами — свежий отчёт от нашего аналитического центра. В этот раз мы представляем главные DDoS-тренды за I квартал 2025 года. Приятного чтения! 

Отчёт StormWall за первый квартал 2025

Коротко о главном

К началу 2025 года число DDoS-атак достигло беспрецедентного уровня. Рассмотрим показатели и причины роста подробнее.

Атаки на API

В I квартале 2025-го резко возросло количество DDoS-атак на уровне L7. По нашим данным, число инцидентов на прикладном уровне OSI в мире увеличилось на 74% по сравнению с I кварталом 2024-го. В большинстве случаев атакующие направляли огромное количество внешне легитимных HTTP/HTTPS-запросов к API, чтобы вывести их из строя.

Читайте также: Как защититься от DDoS-атак на уровне L7

Многие из таких атак запускаются крупными ботнетами — на их долю пришлось примерно 70% всех случаев HTTP-флуда. Не менее актуальными остаются обходные тактики. В их числе использование эмуляторов легитимных браузеров и чередование валидных запросов.

Ботнеты 

Ботнеты продолжают увеличиваться в масштабах. Основная причина кроется в многочисленных уязвимостях IoT-устройств. Наглядный пример — ботнет Eleven11, который попал в ленты новостей в I квартале 2025 года. Как выяснилось, он состоит из более чем 86 тыс. взломанных IP-камер и видеорегистраторов. Они способны генерировать вредоносный трафик объёмом в несколько сотен миллионов пакетов в секунду (PPS).

Подавляющее большинство устройств (96%) в составе Eleven11 не подменяют IP-адреса. Это означает только одно — ботнет использует прямой трафик с реальных устройств, не подключая дополнительные способы усиления атаки. 

Подробнее: Как ботнеты используются в DDoS-атаках

DNS-атаки

DNS Amplification (DNS-амплификация) и DNS Water Torture — наиболее распространённые типы DDoS-атак с использованием служб DNS. Их число увеличилось на 90% по сравнению с I кварталом 2024-го. 

При этом самый стремительный рост теперь демонстрируют атаки типа Water Torture. На DNS-сервер направляется огромное количество запросов, которые содержат произвольные префиксы к домену. Из-за этого затрудняется кэширование ответов — каждый запрос обрабатывается как новый. В результате сервер быстро перегружается и становится недоступным для легитимных пользователей. За последние три года количество таких запросов в атаках увеличилось примерно на 500%. 

Читайте также: Атаки на DNS: типы и меры защиты

Какие отрасли попали под удар?

DDoS-атаки в отраслях - мир, 1 квартал 2025
DDoS-атаки в отраслях - мир, 1 квартал 2025, прирост за год

Наиболее значимые события в отраслях:

  • больше всего атак пришлось на телекоммуникационный сектор — 28% от всего DDoS-трафика в мире. По сравнению с тем же периодом 2024-го количество атак здесь возросло на 48%; 
  • на втором месте в мире — сфера развлечений с 26%, на третьем —- госсектор с 14%. Значительное количество инцидентов в некоммерческих организациях объясняется серией политически мотивированных кибератак. В частности, в I квартале 2025-го были атакованы сайты госучреждений Испании, Великобритании и Бельгии. Также наблюдался рост атак на государственные веб-сервисы Грузии перед голосованием по закону об «иностранных агентах»;
  • резко снизилось количество DDoS-атак в финансовом секторе — с 28% в октябре-декабре 2024-го до 8% в январе-марте 2025-го;
  • транспортная отрасль наоборот продолжила демонстрировать рост — на её долю пришлось 9% от всех атак за квартал в мире, при этом по сравнению с I кварталом 2025-го общее количество инцидентов возросло на 62%. Причина — масштабная цифровизация процессов логистики и цепочек поставок, а также огромное количество уязвимостей в отраслевых системах.

Какие страны атаковали чаще?

DDoS-атаки в странах - 1 квартал 2025
  • Азиатско-Тихоокеанский регион (АТР) теперь доминирует на карте DDoS. В частности, в пятёрку стран-лидеров в этот раз вошли Индия, Китай, Япония и Тайвань. На последнее государство из этого списка направлялось в среднем 2,5 млн кибератак в день. В Японии под удар попали не менее 46 организаций, включая банки и государственные учреждения. Многие атаки в странах АТР прошли на фоне региональных выборов и других политических событий;
  • отдельно стоит отметить Бельгию —- ранее её доля была настолько мала, что страна не попадала в наш рейтинг. Однако в I квартале 2025-го на неё обрушилось 9,7% DDoS-атак в мире. Всплеск активности связан с целенаправленными ударами хакеров по крупным сайтам. Среди жертв — проект MyGov.be и парламент Валлонии;
  • на Ближнем Востоке активизировались хактивисты. В I квартале 2025 года прошли массированные DDoS-атаки на правительственные и финансовые сайты Израиля со стороны пропалестинских групп. От их действий также пострадали международные компании, в их числе соцсеть X (запрещена на территории России). Мощнейшая DDoS-атака была направлена на ресурсы компании в марте, из-за чего они были недоступными несколько часов. Ответственность за инцидент взяла на себя именно пропалестинская группировка.

Что в России? 

В I квартале 2025-го наша страна по доле DDoS-атак оказалась на 9-м месте. При этом самыми атакуемыми отраслями стали: 

  • телеком — 28% от всего числа DDoS-атак. Эффективность ударов по этой отрасли по-прежнему высока. Во многом поэтому операторы связи и другие телеком-компании особенно интересны как политически, так и коммерчески мотивированным хакерам;
  • финансы — 26%. В начале года злоумышленники запустили серию атак на российские банки, что привело к проблемам в работе их приложений; 
  • госсектор — 16%. В ходе серии инцидентов, организованных политическими хактивистами, пострадали сайты органов власти и нескольких госкомпаний. 

Также эти три отрасли продемонстрировали самый высокий прирост количества DDoS-атак в сравнении с I кварталом предыдущего года. В телекоме показатель увеличился на 71%, в финансовой отрасли — на 36%, в госсекторе —- 29%. Но не менее значительный рост числа атак за год мы зафиксировали в нефтегазовой отрасли (+48%), который произошёл на фоне введения новых санкций. 

Вывод один — готовимся 

Какие выводы можно сделать из текущей ситуации на ландшафте киберугроз? Если вы работаете в SOC, рекомендуем смотреть на DDoS-атаки шире — укреплять защиту DNS и L7. 

Бизнес-руководителям мы советуем учесть как минимум один момент — инструменты и тактики, которые хакеры использовали для политических кампаний в масштабах стран и регионов, теперь доступны многим злоумышленникам. И лучше, если ваше средство защиты сможет такие DDoS-атаки отражать уже сегодня.

StormWall для сайта:
DDoS-защита для веб-приложений

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить