В начале 2026 года ситуация с DDoS-атаками в мире снова изменилась. Ещё в конце 2025-го, по данным нашего аналитического центра, преобладали финансово мотивированные атаки. Теперь за большинством инцидентов по всей планете снова стоят хактивисты.
Как новый конфликт на Ближнем Востоке повлиял на географию, цели и технологии DDoS-атак в мире? И чем запомнится первый квартал 2026-го в России? Все ответы — далее.
Коротко о главном в мире
Количество DDoS-атак увеличилось на 168%
В первом квартале 2026-го мы отразили в 2,7 раза больше DDoS-атак, чем за тот же период прошлого года. И это невероятно высокий показатель, которого не было в истории наших наблюдений уже несколько лет. Так, например, в предыдущем квартале рост был намного скромнее — в 1,8 раза.
Самая очевидная причина такого резкого всплеска DDoS-атак в мире — эскалация конфликта на Ближнем Востоке. Напомним, в конце февраля 2026-го США и Израиль нанесли совместные авиаудары по Ирану, что привело к волне хактивистских DDoS-атак как в регионе, так и за его пределами. Всего за 72 часа после первых авиаударов было совершено свыше 150 политически мотивированных DDoS-атак. Под прицелом оказались более 100 организаций из 16 стран.
На фоне конфликта резко активизировались сразу несколько политически мотивированных групп. Многие из них выступили на стороне Ирана и Палестины, а хактивизм стал главным драйвером DDoS-атак во всём первом квартале 2026-го.
По тем же причинам изменились цели атак. Основными мишенями в начале года стали государственные учреждения, банки, аэропорты, телеком-провайдеры и объекты энергетической инфраструктуры. Чаще всего под удар попадали организации на Ближнем Востоке и в Европе.
При этом увеличилось не только количество DDoS-атак, но и их мощность. Всё это создало беспрецедентную нагрузку на инфраструктуру организаций по всему миру. Многие из них оказались неготовыми к продолжительным и масштабным DDoS-атакам.
Решаете, какой продукт вам нужен?
Напишите нам ― поможем определиться
Многовекторные атаки — плюс 128%
Злоумышленники стали чаще одновременно использовать несколько разных методов атак. По нашим данным, количество таких инцидентов в мире выросло на 128% по сравнению с аналогичным периодом прошлого года.
Многовекторные атаки гораздо сложнее отражать, поскольку злоумышленники комбинируют векторы атак на разных уровнях модели OSI. Блокировка угрозы на одном уровне не решает проблему полностью, поэтому система защиты должна справляться с несколькими угрозами одновременно.
Какие отрасли атаковали чаще
Лидером по количеству DDoS-атак в 1 квартале 2026-го стал телеком. На эту отрасль пришлось 28% зарегистрированных нами инцидентов. Также в ТОП-3 вошли сфера развлечений и госсектор:
Логичный тренд первого квартала 2026-го — смена фокуса атакующих. На фоне событий на Ближнем Востоке злоумышленники чаще вели удары по публично значимым, политически и стратегически важным целям: телеком-компаниям, финансовым организациям и госсектору. Этот тренд подтверждают наши данные по росту количества DDoS-атак в сравнении с тем же периодом прошлого года.
В таблице ниже мы отразили относительную вероятность стать целью DDoS-атаки для отраслей в мировом масштабе:
| Телекоммуникации | ~1 из 3 |
| Финансовый сектор | ~1 из 5,5 |
| Государственный сектор | ~1 из 7 |
| Ритейл | ~1 из 8,5 |
| Развлекательная индустрия | ~1 из 11 |
| Производство | ~1 из 20 |
| Транспорт | ~1 из 25 |
| Образование | ~1 из 33 |
| Другие отрасли | ~1 из 100 |
Примечание: в таблице выше мы даём лишь оценку риска, основанную на наших данных о распределении атак. Фактический показатель зависит от множества различных факторов, в том числе от текущего уровня защищённости конкретной организации от DDoS.
Рассмотрим ситуацию в первой тройке отраслей-лидеров подробнее:
1. Телеком
В первом квартале 2026 года хактивистские группы активно атаковали телеком-провайдеров. Причина проста: сбой в работе одного оператора связи может вызвать проблемы на стороне множества компаний и обычных пользователей.
Так, например, под DDoS-атаку попал известный израильский телеком-провайдер. Он попал под прицел злоумышленников в рамках скоординированной 72-часовой атаки, которая велась на территории 16 стран. Ответственность за масштабную атаку взяла на себя североафриканская хактивистская группа.
Расклад по векторам DDoS-атак в телеком-сфере:
| TCP-флуд (SYN-флуд, ACK-флуд и др.) | 36,4% |
| UDP-флуд (DNS-флуд, DNS Reflection и др.) | 29,8% |
| ICMP-флуд | 27,1% |
| HTTP-флуд | 5,2% |
| Другие | 1,5% |
Также злоумышленники продолжили использовать устаревшие и менее распространённые типы атак, включая Teeworlds, RIPv1 и VxWorks flood.
2. Финансы
В первом квартале 2026 года были атакованы сразу несколько банков на Ближнем Востоке. В то же время финансовые организации в США усилили мониторинг угроз. Отраслевая ассоциация SIFMA подтвердила повышенный уровень готовности, а разведка США предупредила о возможных DDoS-атаках на банки со стороны групп, связанных с Ираном.
Чаще всего в финансовом секторе использовались следующие типы атак:
| Атаки на API | 31% |
| SYN-флуд | 21% |
| DNS-флуд | 18% |
| HTTP-флуд | 17% |
| UDP-флуд | 13% |
В целом по миру более 71% атак в финансовом секторе были многовекторными. При этом в 44% случаев злоумышленники использовали 3 и более векторов одновременно.
3. Госсектор
В первом квартале 2026-го было несколько громких новостей о DDoS-атаках на госучреждения. Так, например, в Кувейте хактивисты атаковали сайт Минобороны и основной правительственный портал. В Катаре злоумышленники попытались вывести из строя ресурсы правительства, включая сайты министерств образования, иностранных и внутренних дел.
Основные виды DDoS-атак в госсекторе за 1 квартал 2026 года:
| HTTP-флуд | 38% |
| SYN-флуд | 24% |
| DNS-флуд | 19% |
| UDP-флуд | 14% |
| Другие | 5% |
Читайте также: Виды DDoS-атак. Краткий гайд от StormWall
География DDoS-атак: новый рейтинг StormWall
Первая тройка самых атакуемых стран, по нашим оценкам, осталась прежней. В лидерах: США — 12,8%, Китай — 11,4%, Индия — 9,2%. На эти государства сегодня приходится треть (33,4%) всех DDoS-атак в мире.
Одним из важнейших событий первого квартала 2026-го стало возвращение Израиля в ТОП-5 нашего рейтинга. Доля DDoS-атак здесь возросла в связи с геополитическими событиями, о которых мы уже говорили выше. Для понимания ситуации: в прошлом квартале Израиль не входил даже в десятку самых атакуемых стран.
Кроме того, в этом квартале выше в рейтинге поднялись ОАЭ, Саудовская Аравия и другие страны, тесно связанные с текущей ситуацией на Ближнем Востоке.
А что в России?
В 1 квартале 2026-го количество DDoS-атак в России выросло на 82% по сравнению с тем же периодом прошлого года. При этом наша страна заняла 5 место среди самых атакуемых стран в мире. Напомним, на той же позиции Россия находилась по итогам 2025 года в целом.
Также Россия вошла в ТОП-3 стран-источников вредоносного трафика (9,2%), уступив лишь США (23,8%) и Бразилии (11,1%). Этот факт объясняется просто: в последнее время злоумышленники все чаще заражают местные устройства, чтобы обходить геоблокировки при атаках на российские компании.
Несмотря на глобальное развитие хактивизма, за большинством DDoS-атак в нашей стране по-прежнему стоят финансово мотивированные злоумышленники. Подтверждение тому — список наиболее пострадавших отраслей в России.
В первую тройку по итогам первого квартала 2026 года вошли:
- финансовый сектор — 31% от всего числа атак в стране. Злоумышленники по-прежнему часто стремятся вывести из строя банковские сервисы и платёжные системы,
- телеком — 28%. Многие компании в этой сфере впервые столкнулись с рекордными по мощности атаками, а в отдельных случаях — более 3,5 Тбит/с,
- торговля — 16%. Ритейлеры пережили лавину DDoS-атак, пик которых пришёлся на 23 Февраля и 8 Марта.
«В первом квартале 2026 года злоумышленники во всех ключевых сферах активно применяли DDoS-атаки мощностью более 2 Тбит/с, пытаясь максимально навредить компаниям. По нашим прогнозам, тренд на терабитные атаки сохранится надолго. Именно поэтому мы советуем организациям как можно быстрее подключить профессиональные решения, которые смогут уже сейчас эффективно противостоять даже самым масштабным угрозам», — комментирует Рамиль Хантимиров, CEO и сооснователь StormWall.
Как отмечают наши эксперты, большинство пострадавших организаций в России столкнулись со сложными DDoS-атаками. В их числе:
- многовекторные атаки — 37%. Количество таких инцидентов выросло на 62% по сравнению с аналогичным периодом прошлого года. При этом в 1 квартале 2026 года злоумышленники чаще комбинировали SYN-флуд на L3 с HTTP-флудом на L7,
- импульсные DDoS-атаки — 32%. По сравнению с 1 кварталом 2025-го, их число увеличилось в России на 47%. Такие атаки могут длиться несколько секунд и повторяться через каждые 5-10 минут. Больше всего подобных инцидентов мы зафиксировали в телеком-сфере и ритейле,
- «ковровые бомбардировки» — 26%. Масштабные атаки сразу на множество IP-адресов в рамках диапазона или целых подсетей — тренд, который мы видим в нашей практике уже несколько последних лет. За год количество таких инцидентов в стране увеличилось на 36%.
На 4% случаев в 1 квартале 2026 года пришлись классические одиночные атаки (SYN-флуд, UDP-флуд, HTTP-флуд, ICMP-флуд). И хотя они всё ещё встречаются на практике, сейчас уже нет сомнений — они окончательно уступили место более сложным и разрушительным типам DDoS-атак.
Резюмируем
Зависимость ландшафта киберугроз от геополитических событий — аксиома. За всю историю наблюдений за миром DDoS мы убедились в этом уже несколько раз.
Впрочем, взрывной рост атак — не повод для паники, а сигнал к действию. Мы в StormWall держим руку на пульсе, поэтому всегда готовы к новым вызовам. А если хотите познакомиться и узнать о наших продуктах побольше, напишите — будем рады пообщаться!
Задайте вопрос
нашим экспертам
