Главные события в мире DDoS-атак. Отчёт StormWall за II квартал 2025

В апреле-июне 2025-го мы зафиксировали резкий рост числа DDoS-атак по всему миру — на 108% по сравнению с тем же кварталом прошлого года. Какие факторы повлияли на динамику прежде всего? Какие страны и отрасли пострадали больше остальных? И какие методы DDoS-атак теперь используются чаще? Обо всём по порядку — в нашем отчёте. 

Отчёт о DDoS-атаках за 2 квартал 2025

Коротко о самом важном

Ключевыми событиями в мире DDoS-атак за II квартал 2025 года стали:

  • рекордная активность политически мотивированных киберпреступников, которую спровоцировали геополитические конфликты. Так, всплески скоординированных хактивистских атак на госучреждения прошли на территориях Индии и Пакистана, Израиля и Ирана, России и Украины;
  • рост DDoS-атак в госсекторе, финансовой сфере и транспортной отрасли. На них пришлось 63% зафиксированных нами инцидентов;
  • 74%-ный рост DDoS-атак на API — в сравнении с тем же периодом 2024-го. Злоумышленники стали чаще переходить от объёмных флудов к точечным ударам по API жертв, 
  • курс на «зондирующие» DDoS-атаки. По сравнению с прошлым годом, их количество выросло в мире в 5 тыс. раз — теперь злоумышленники сначала сканируют ваши сети, а уже потом «бьют» на полную мощность. 

А теперь рассмотрим эти и другие тренды подробнее.

Киберпреступники меняют тактику 

API под ударом 

Как мы уже сказали выше, количество DDoS-атак на API возросло на 74% по сравнению с аналогичным периодом прошлого года. Это говорит об одном — злоумышленники продолжают переходить к более эффективным и менее затратным методам.

Такие атаки становятся визитной карточкой хактивистов по всей планете. Они всё чаще выбирают API как главный вектор в ударах по госсектору. С технической точки зрения такие атаки не всегда просто обнаружить и заблокировать, так как они зачастую успешно маскируются под легитимный трафик. 

Также, по нашим данным, во II квартале 2025-го: 

  • 68% атак на API проходили по протоколу HTTPS — в прошлом квартале их было 63%; 
  • 81% вредоносного HTTP-трафика при этом поступало от ботнетов — на долю таких атак кварталом ранее приходилось 70%;
  • средняя мощность атаки на API за квартал снизилась до 3,7 Гбит/с — с 5,2 Гбит/с. Меньшие по объёму, но целенаправленные атаки оказываются эффективнее традиционных объёмных атак; 
  • злоумышленники также усовершенствовали методику, впервые замеченную в предыдущем квартале, — подмену строк User-Agent и cookies, благодаря чему вредоносные запросы на практике выглядят как легитимный трафик. 

И ещё один важный момент — DDoS-атаки на API во втором квартале 2025 года вызывали продолжительные простои веб-сервисов. Их недоступность длилась в 4,2 раза дольше, чем при атаках на сети. 

Читайте также: Как защитить API от DDoS-атак

«Зондирующие» атаки — рост в 5000 раз

Непродолжительные DDoS-атаки всё чаще используются для сканирования систем защиты. Разведка, как правило, проводится перед следующей, уже полномасштабной атакой.

Во II квартале 2025-го количество «зондирующих» DDoS-атак в мире увеличилось в 5 тыс. раз по сравнению с тем же периодом прошлого года. Таким сканированием занимаются как политические хактивисты, так и коммерчески мотивированные группировки. 

В отличие от традиционных DDoS-атак, метод зондирования даёт злоумышленникам ряд новых преимуществ. Разведка позволяет выявлять ошибки в настройках файрволов и лимитах запросов, а также быстро получать информацию о том, что жертва использует устаревшие или неправильно настроенные системы защиты от DDoS-атак. 

Ботнеты стали крупнее

В среднем один ботнет теперь состоит из 120-150 тыс. заражённых устройств. Напомним, в прошлом квартале цифры были намного ниже — 80-90 тыс. IP-адресов. Рост за три месяца — 87%. При этом по объёму вредоносного бот-трафика во II квартале с большим отрывом от других стран лидировали США, Турция и Россия. 

Активное развитие ботнетов — тревожный тренд. С более мощным оружием злоумышленники смогут запускать более мощные DDoS-атаки. Так, например, ботнет из 150 тыс. устройств способен генерировать 15-30 Гбит/с — такого объёма достаточно, чтобы вызвать недоступность веб-ресурсов большинства компаний в мире.

Также наши аналитики отмечают, что во втором квартале 2025 года: 

  • мощность DDoS-атак с использованием ботнетов выросла почти в 2 раза,
  • такие атаки стали более распределёнными — источники трафика зачастую находятся в нескольких странах и континентах,  
  • компании, которые полагаются на устаревшие antiDDoS-решения, в лучшем случае защищены от современных бот-атак только на 50%.

Читать также: Что такое ботнеты и как они используются в DDoS-атаках?

Отрасли-лидеры по DDoS-атакам в мире

По традиции, мы подготовили наш рейтинг отраслей, которые подвергались атакам чаще всего. По итогам апреля-июня 2025, топ-список в мировом масштабе выглядит так:

Отчёт о DDoS-атаках за 2 квартал 2025/ Отрасли

Далее — отрасли, в которых количество DDoS-атак увеличилось заметнее всего (по сравнению с тем же периодом 2024 года):

Отчёт о DDoS-атаках за 2 квартал 2025/ Отрасли

Рассмотрим ТОП-3 отраслей нашего рейтинга подробнее. 

1. Госсектор

Государственные учреждения, как и объекты ключевой инфраструктуры, стали главными целями DDoS-атак во II квартале 2025 года. Причина очевидна — геополитическая напряжённость, которая обострилась сразу на нескольких континентах. Особенно на рост числа DDoS-атак повлияли конфликты между Индией и Пакистаном, Израилем и Ираном, Россией и Украиной. 

В то же время политически мотивированные группировки перешли на более сложные DDoS-атаки. В частности, в госсекторе в мировом масштабе резко снизилось количество флуд-атак. И наоборот, увеличилось число целенаправленных «‎зондирующих»‎ атак. Если во всех отраслях, напомним, рост за год составил 5 тыс. раз, то в госсекторе таких инцидентов стало больше в 8 тыс. раз. 

2. Финансовая сфера

Основными целями атакующих в этой отрасли стали API, связанные с работой банковских мобильных приложений и платёжных систем. 

Один из ярких примеров — инцидент в Adyen, которой произошёл 21 апреля.  Злоумышленники атаковали API компании, отвечающие за обработку платежей в Европе. Инцидент повлиял на работу сервисов Adyen в нескольких странах. 

Известно, что злоумышленники использовали HTTPS-флуд, замаскированный под реальные платёжные запросы. Такая тактика позволила им обойти стандартную защиту от DDoS-атак и перегрузить бэкенд-ресурсы жертвы.

3. Транспортная отрасль

Во II квартале 2025-го злоумышленники стали чаще атаковать предприятия транспорта по всему миру. Одна из причин — активное развитие ботнетов, мощности которых теперь позволяют выводить из строя инфраструктуру авиакомпаний и других перевозчиков, затрачивая при этом минимум усилий.

В отличие от атак на индустрию развлечений, которая опустилась ниже в нашем отраслевом рейтинге, удары по транспортным компаниям могут иметь более серьёзные последствия. Из-за недоступности или сбоя систем отменяются рейсы, возникает коллапс с поставками товаров, растёт недовольство пассажиров и т.д. Если цель злоумышленников — собственный PR или хактивизм, то транспортные компании для них — идеальная мишень. 

Какие отрасли оказались под ударом в России? 

В целом количество DDoS-атак в нашей стране выросло на 42% по сравнению со II кварталом 2024 года. С одной стороны, показатель намного ниже, чем по миру (+108%). С другой — самые мощные удары пришлись по наиболее критичным для государства отраслям. 

В ТОП-5 самых атакуемых отраслей вошли:

  1. Финансовый сектор — 28% всех зарегистрированных нами DDoS-атак. Интерес злоумышленников к банкам и страховым компаниям вернулся спустя несколько месяцев затишья. 
  2. Госсектор — 21%. Увеличилось количество DDoS-атак как по геополитическим, так и по коммерческим мотивам (шантаж, доступ к персональным данным с целью продажи в даркнете и т.д.). 
  3. Телеком — 16%. В России эта отрасль остаётся главной мишенью злоумышленников уже второй год подряд.
  4. Ритейл — 14%. Во II квартале 2025-го большинство DDoS-атак на эту отрасль было запущено с целью получения коммерческой выгоды. 
  5. Развлекательная индустрия — 9%. В частности, от DDoS-атак страдали стриминговые сервисы, сайты и приложения, связанные с продажей билетов в кино, на концерты и спектакли. 
Отчёт о DDoS-атаках за 2 квартал 2025/ Отрасли, рост за год

Большинство DDoS-атак на эти и другие отрасли в России пришлось на дни празднования двух государственных праздников: 9 Мая и Дня России. 

DDoS-атаки на страны. Рейтинг за II квартал 2025

В этот раз DDoS-атаки распределились по всей планете более равномерно, чем ранее. На долю лидера в рейтинге — США — пришлось всего 12,6%. Напомним, в предыдущем квартале на этом месте была Индия с 18,1%. Тренд на более равномерное распределение инцидентов указывает на то, что злоумышленники стали активно расширять географию атак.  

Отчёт о DDoS-атаках за 2 квартал 2025/ Страны

За большинством DDoS-атак в мире стояли хактивисты. В частности, их активность возросла на фоне геополитической напряжённости в Израиле и Иране — во II квартале 2025-го усилился конфликт двух государств. Каждое новое обострение на дипломатическом уровне провоцировало волны атак на их государственную и финансовую инфраструктуру.

В тройку лидеров снова вошли США, Китай и Индия. Эти страны остаются в числе самых атакуемых уже много месяцев подряд. 

Ещё один тренд — активный рост числа инцидентов в Западной Европе. В частности, мы зафиксировали резкий всплеск DDoS-атак в Германии, позже — в Великобритании и Франции. Во всех указанных странах злоумышленники фокусировались на ударах по госсистемам и другим объектам критической инфраструктуры.

В то же время в Азиатско-Тихоокеанском регионе DDoS-атак стало, наоборот, меньше. Например, доля Японии упала с 12,3% в I квартале до 2,8% во II квартале, а Тайвань — выбыл из ТОП-15. Такой расклад подтверждает, что внимание атакующих в апреле-мае 2025-го сместилось со стран с высоким экономическим развитием на зоны политических конфликтов.

При этом Сингапур стал исключением.  На долю этой азиатской страны пришлось 5,1% атак, что обусловлено его особым положением в регионе. На фоне роста числа DDoS-атак, которые обрушились на западные банки и платёжные системы, также пострадали их филиалы в APAC. Большинство из них находится именно в Сингапуре. Аналогичную ситуацию во II квартале 2025-го мы наблюдали в ОАЭ и Гонконге, где основной удар пришёлся на финансовые сервисы и инфраструктуру RetailTech-проектов.

Россия в этот раз оказалась на 8 месте — с 6,4% от всего числа DDoS-атак за квартал. Предприятия нашей страны были вынуждены противостоять как хакерам, стремящимся к обогащению, так и политически мотивированным хактивистам, которые особенно часто проводили свои кампании в последние месяцы. Также на место в рейтинге повлияли массовые DDoS-атаки на образовательные учреждения. Сначала российские выпускники хотели сорвать ЕГЭ, а потом пытались помешать работе приёмной комиссии в вузах.

Резюмируем

Самая важная тенденция во втором квартале 2025 года заключается в том, что теперь всё больше злоумышленников используют тактики уровня APT (целевых атак). Растёт количество сложных DDoS-атак, которые теперь проводятся точечно и в несколько этапов. При этом заметно усиливается главный инструмент в арсенале киберпреступников — ботнеты. Они становятся масштабнее, а последствия атак с их использованием — разрушительнее. 

Если раньше с угрозой могли справиться многие antiDDoS-решения, то сейчас у экспертов по кибербезопасности такой уверенности уже нет. Устаревшее решение не сможет помочь в случае, если злоумышленники будут использовать современные ботнеты или новые тактики DDoS-атак. 

В текущей ситуации рекомендуем усилить защиту, устранить уязвимости и обезопасить вашу критическую инфраструктуру до того, как она станет очередной мишенью для киберпреступников. С правильными решениями — такими, как StormWall — вы сможете встретить новые угрозы во всеоружии.

StormWall для сайта:
DDoS-защита для веб-приложений

  • Подключение за 10 минут
  • Поддержка 24×7
Подключить