Поделиться
Россия под атакой. Ботнеты захватывают российские сервера, в 39% случаев вредоносный трафик идет с территории страны
С начала 2025 г. года в России участились ботнет-атаки, во время которых весь вредоносный трафик идет только с территории России. С января по конец сентября 2025 г. на такие атаки пришлось 39% от общего числа ботнет-атак, тогда как за тот же период 2024 г. всего 5%. Тенденцию по смене географии DDoS-атак подтверждают эксперты по информационной безопасности.
Рост количества кибератак
Хакеры начали активно осваивать российские ботнеты, пишут «Ведомости». Вредоносный трафик в 2025 г. все чаще приходит из регионов и достиг уже 39% от общей числа ботнет-атак.
По данным Servicepipe, с начала 2025 г. в России участились ботнет-атаки, во время которых весь вредоносный трафик идет только с территории России. С января по конец сентября 2025 г. на такие атаки пришлось 39% от общего числа ботнет-атак, тогда как за тот же период 2024 г. всего 5%.
Тенденцию по смене географии DDoS-атак подтверждает ведущий аналитик отдела мониторинга информационной безопасности (ИБ) компании «Спикател» Алексей Козлов. По его словам, с начала 2025 г. в компании наблюдают, что около 30% ботнетов действуют исключительно с российской территории.
Ботнеты – компьютерные сети, состоящие из множества зараженных устройств, управляемых удаленно. Ботнеты применяются для проведения сложных кибератак, таких как DDoS-атаки, массовая рассылка вредоносного программного обеспечения (ПО) или спама, а также для подбора паролей и майнинга криптовалют.
За девять месяцев Servicepipe зафиксировала примерно 410 тыс. ботнет-атак, которые могли привести к нарушению работоспособности ИТ-ресурса или потере данных. В 2024 г. за тот же период ИБ-специалисты компании обнаружили 305 тыс. подобных кибератак.
Общая география
Российские боты традиционно маскируются под IP-адреса Москвы и Санкт-Петербурга. Однако, если в 2024 г. доля нелегитимной автоматизации с этих адресов составляла 65%, то к концу сентября 2025 г. она снизилась до 50%, выяснили исследователи Servicepipe. Оставшиеся 50% распределились между Московской областью (17%), Новосибирском (14%), Казанью (10%) и Екатеринбургом (9%), уточнили эксперты.
Самые крупные по числу IP-адресов ботнеты атаковали из Новосибирской области, сообщил директор по ИТ-продуктам Servicepipe Михаил Хлебунов. По его данным, у одного из выявленных ботнетов 40% зараженных устройств находились в этом регионе, хотя обычно зараженные устройства распределены равномерно по стране. На пике вредоносный трафик этого регионального ботнета превысил 100 ГБ/с, а число зараженных устройств достигало нескольких тысяч, уточнил эксперт. Остальной трафик распределилися так: Москва и Московская область — 18%, Приморский край — 7%, прочие регионы — 34%. Ботнет использовал устройства интернет вещей (IoT) и маршрутизаторы, а кибератаки были направлены преимущественно на телекоммуникационные компании, отметил Хлебунов.
Чем привлекают регионы
Собеседник «Ведомостей» из ИТ-компании в ИБ-сфере отметил, что выбор Новосибирска для создания ботнет-сети может быть связан с открытием с 2023 г. нескольких крупных центров обработки данных (ЦОД) в этом регионе. Аренда мощностей в Новосибирске дешевле, чем в центральной части России, а их удаленное расположение позволяет незаметно развернуть ботнет, считает руководитель направления Anti-DDoS ГК «Солар» Сергей Левин. По его словам, такой ботнет остается незамеченным до момента кибератаки, не привлекая особого внимания до ее начала.
Аренда ИТ-инфрастуктры
ИТ-атаки с российских IP-адресов не обязательно указывают на то, что хакеры находятся в России, добавил Михаил Хлебунов. Хакеры используют подменные IP-адреса, прокси-сервисы и виртуальные машины (ВМ или VM) для обхода географических защит, пояснил он. Политически мотивированные злоумышленники чаще применяют открытые ботнеты — сети из зараженных устройств реальных пользователей, добавил эксперт. Однако встречаются и закрытые ботнеты, полностью контролируемые одним оператором, уточнил Михаил Хлебунов. Ботнет управляется через VPN, а его атакующие узлы определяются по IP-адресу, поясняет Хлебунов. «Анализируя запросы к атакуемому ресурсу, мы, как ИБ-провайдер, видим, какой стране принадлежит этот IP», — уточняет он.
Ботнет-атаки могут осуществляться через нелегальную аренду ИТ-оборудования с использованием подставных юридических лиц в России, поясняет «Ведомостям» Алексей Козлов. По его словам, крупные провайдеры располагают техническими ИТ-решениями для мониторинга и фильтрации трафика, которые выявляют аномальную или вредоносную активность, включая исходящую с virtual private server (VPS) и virtual dedicated server (VDS), вид сервера, root-доступ к которому его клиент получает посредством удалённого интернет соединения. Эти ИТ-системы анализируют трафик в реальном времени, автоматически блокируют подозрительные потоки и могут ограничивать работу VPS при обнаружении признаков кибератаки, уточняет эксперт. Провайдеры в 2025 г. обычно не проверяют содержимое пользовательских серверов без причины, чтобы не нарушать конфиденциальность клиентов, подчеркивает Козлов. Основное внимание, по словам эксперта, уделяется автоматическому реагированию на аномалии сетевого трафика, а не ручному мониторингу активности пользователей.
Короткая ссылка
