DDoS-атака: сколько стоит заказать и почему это незаконно

Крупная компания теряет в среднем около 440 – 450 тыс. руб. за минуту простоя сервисов из-за атаки, подсчитали ИБ-эксперты компании «Стахановец». В то же время заказать DDoS-атаку (распределённую атаку типа «отказ в обслуживании») можно за несколько тысяч рублей. Это делает её привлекательным инструментом для злоумышленников и серьёзной угрозой для организаций. Мы провели небольшое расследование: сколько стоят DDoS-атаки, кто их заказывает, а также что грозит инициаторам и исполнителям.

Месть, конкуренция, шантаж и другие мотивы атак

Мотивация заказчиков DDoS-атак может отличаться. Выделяют несколько основных групп: 

• конкуренты из малого и среднего бизнеса. Если «положить» небольшой интернет-магазин на несколько часов в период распродаж, можно перехватить львиную долю его трафика и выручки. Логика циничная, но объяснимая;
• обиженные сотрудники: менеджер, уволенный без компенсации, или партнёр после корпоративного конфликта. Именно они, как правило, попадаются первыми: действуют эмоционально, пренебрегают анонимностью и оставляют много цифровых следов;
• хактивисты. Руководствуются политическими мотивами и используют DDoS для устрашения оппонентов. Например, группировка NoName057(16) собирает «добровольцев», публично анонсирует атаки в Telegram и координирует их с помощью собственного инструмента DDoSia;
• хакеры-шантажисты, которые работают по модели Ransom DDoS (RDDoS). Они действуют по одному из нескольких сценариев: либо только угрожают атакой, либо реально начинают её, либо взламывают инфраструктуру организации, похищают и шифруют чувствительные данные. Во всех случаях у жертвы требуют выкуп за прекращение вредоносных действий;
• студенты, подростки и другие увлекающиеся натуры, которые могут заинтересоваться темой атак, посмотреть обучающий ролик и решить «попробовать». Для них порог входа минимален, и это делает проблему особенно острой.

Подробнее: Причины DDoS-атак и психология злоумышленника

Где заказывают атаки: от «серой зоны» до даркнета

Продвинутый пользователь, например, программист или системный администратор,  может организовать несложную атаку самостоятельно со своего ПК или арендованного сервера. Инструменты для этого находятся в открытом доступе, в том числе в репозиториях любого дистрибутива Linux. Если у ресурса-жертвы не подключена защита от DDoS, скорее всего, атака будет эффективна.  

Если же говорить о «рынке» атак, он делится на несколько сегментов. Некоторые его участники даже не скрываются в глубинах даркнета. Так, в Telegram можно найти отдельные каналы с прайсами и боты-автоматы, которые принимают платежи криптовалютой и автоматически запускают атаки. 

В «серой зоне» находятся стрессеры и бутеры — специализированные сайты, которые маскируются под легитимные сервисы «проверки нагрузки». Они выглядят как полноценный сервис с продажей ПО по подписке (SaaS-модель): личный кабинет, тарифные планы, статистика атак и служба поддержки. 

Официально такие сервисы предлагают клиентам протестировать устойчивость их собственной инфраструктуры к DDoS. Но по факту можно заказать атаку на любой ресурс: никто не будет проверять его владельцев.

Пример ответов на вопросы одного из известных стрессеров: про тесты сказано лишь для прикрытия

Какие признаки могут указывать, что сервис предоставляет услуги по DDoS-атакам:

• формулировки, которые явно выходят за рамки легального нагрузочного тестирования («отключить любой сайт», «устранить конкурентов», «положи сервер врага за X долларов»);
• нет требований доказать владение ресурсом, упоминаний о договорах, только «вставь IP/домен и жми Start»;
• в тарифах прописаны продолжительность, количество и максимальная мощность атак, а в каталоге перечисляются их методы;
• используется целый пул доменов и зеркал, куда сайты переезжают после блокировок.

Правоохранители регулярно проводят операции по выявлению и закрытию таких площадок. Тем не менее, их количество не уменьшается из-за роста спроса на услуги хакеров и высокой маржинальности. Показательный пример: один из известных сервисов насчитывает около 1 млн зарегистрированных пользователей. 

DDoS-атаки предлагают как услугу и в даркнете. По данным аналитиков Kaspersky, купить ботнет для массовых атак можно по цене от 99 долл., арендовать — от 30 долларов. У злоумышленников даже заказывают создание бот-сети под свои индивидуальные задачи, но это стоит уже от 3000 долларов.  

Подробнее: Что такое ботнет, какими они бывают и как используются в DDoS-атаках 

Сколько стоит DDoS, и от чего зависит цена

Стоимость DDoS-атак варьируется в очень широком диапазоне — от нескольких долларов до десятков тысяч. На неё влияют несколько факторов:

1. Продолжительность атаки. Операторы берут надбавку за длительное воздействие на жертву.
2. Мощность и тип угроз. Атаки на прикладном уровне L7 имитируют легитимный трафик, а потому стоят дороже простого флуда на сетевом и транспортном уровнях L3-L4 — их сложнее обнаружить и отфильтровать. 
3. Защищённость цели. Атака на ресурс с профессиональной защитой обходится заказчику дороже, чем на незащищённый сайт.
4. «Гарантии» и поддержка. Часть сервисов предлагает возврат средств, если цель не удалось «положить». Такой маркетинговый ход увеличивает и цену.

Примерная стоимость атак в разных ценовых категориях (по состоянию на май 2026 года):

Сегмент	Длительность	Незащищённая цель	Защищённая цель
Нижний	5 мин – 1 час	$5 – $20	$40 – $80
Средний	1 день – 1 неделя	$30 – $200	$200 – $2 000
Высокий	Недели / по запросу	$1 000 – $10 000+	$10 000 – $20 000+

Порог входа на рынок DDoS как услуги низок: по оценке Positive Technologies, медианная стоимость атаки составляет 20 долларов. За эту сумму можно «положить» небольшой сайт с простой защитой или без неё.  

Услуги по запуску атак по модели DDoS-for-hire могут стоить около 38 долл. в час. Подписка на бутер-сервис — 100–500 долл./мес. за базовый тариф, премиум — до 3000 долларов.

За 300-400 долл. можно запустить атаку сразу на 5-15 целей на несколько часов. 

Сервис Paper Stresser с 12 000 ботов и мощностью атак до 700 Гбит/с продавал подписки за 30–125 долл. в месяц. Stressthem с заявленными 1 000 Гбит/с — от 30 до 18 000 долл. в квартал. 

Налицо разрыв между тем, сколько стоит DDoS-атака на сайт, и возможным ущербом от неё. Причём запустить её без специальных знаний становится всё проще: достаточно оплатить подписку на сервис и нажать пару кнопок. Но не стоит забывать о том, что подобные действия уголовно наказуемы. 

Уголовная ответственность: что говорит закон

DDoS-атака в российском правовом поле квалифицируется по нескольким статьям УК:

• Ст. 272 УК РФ «Неправомерный доступ к компьютерной информации» — наказание варьируется в зависимости от квалифицирующих признаков: от штрафа до 200 тыс. руб. (ч. 1) до 7 лет лишения свободы при наступлении тяжких последствий (ч. 4);  
• ст. 273 УК РФ «Создание, использование и распространение вредоносных компьютерных программ» — до 4 лет лишения свободы по ч. 1; до 5 лет, если деяние совершено группой лиц по предварительному сговору или организованной группой (ч. 2); до 7 лет, если повлекло тяжкие последствия или создало угрозу их наступления (ч. 3); 
• ст. 274.1 УК РФ «Неправомерное воздействие на критическую информационную инфраструктуру РФ» — до 10 лет лишения свободы. Применяется, если атака направлена на объект критической информационной инфраструктуры.

За рубежом DDoS-атаки тоже вне закона. В США действует Computer Fraud and Abuse Act (CFAA) — федеральный закон о компьютерном мошенничестве и преступлениях с наказанием до 10 лет за первое правонарушение и до 20 лет за повторное. В Великобритании Computer Misuse Act предусматривает до 10 лет тюрьмы. В ЕС Директива 2013/40/EU об атаках на информационные системы — от 2 до 5 лет. Важная деталь: заказчик несёт ту же ответственность, что и исполнитель, как соучастник или организатор преступления.

Подробнее: Расплата за DDoS: какую ответственность несут киберпреступники

Расчёт на анонимность криптовалюты себя не оправдывает. Правоохранительные органы научились деанонимизировать участников рынка. В ходе операции «PowerOff» за несколько лет было закрыто более 30 DDoS-for-hire сервисов, которые продавали доступ к ПО для атак.

Операторы стрессеров попадают под прицел ФБР, Европола и региональных правоохранительных ведомств. Причём многие из них были задержаны после нескольких лет работы, когда были уверены в своей неуязвимости. 

В 2025 году в Польше арестовали четверых подозреваемых в управлении шестью бутер-сервисами. Злоумышленники работали 4 года и брали за атаку от 10 евро. А «ветераны» индустрии управляли DDoS-сервисом целых 10 лет и за это время заработали 400 000 долл., но в 2023 году их всё-таки задержали. 

Резюмируем: заказать DDoS-атаку сегодня несложно и сравнительно недорого. Порог входа стал минимальным: злоумышленники предлагают воспользоваться готовыми сервисами. Но реальная цена этой «услуги» — потенциальное уголовное преследование — несопоставима с сиюминутной выгодой.