С начала 2025 года в России резко выросло число атак с использованием ботнетов — сетей заражённых устройств, объединённых для проведения DDoS-атак и других киберпреступлений. Если в 2024-м всего 5% атак исходили исключительно с российских IP-адресов, то в этом году их доля уже достигла 39%. При этом география смещается: доля трафика из Москвы и Петербурга снизилась с 65% до 50%, уступив место регионам. Особенно выделяется Новосибирская область, где был зафиксирован один из крупнейших «региональных» ботнетов, способный генерировать свыше 100 Гбит/с вредоносного трафика.

Тенденцию по смене географии DDoS-атак подтверждает ведущий аналитик отдела мониторинга информбезопасности (ИБ) компании «Спикател» Алексей Козлов. По его словам, с начала 2025 г. в компании наблюдают, что около 30% ботнетов действуют исключительно с российской территории.

Эксперты объясняют рост региональной активности как техническими, так и экономическими факторами. В частности, в Новосибирске за последние два года появилось несколько крупных дата-центров с более доступной арендой мощностей, что позволяет злоумышленникам скрытно разворачивать ботнеты. При этом использование российских IP не всегда означает, что атакующие находятся в стране: киберпреступники нередко применяют подменные адреса, прокси и виртуальные машины. Специалисты предупреждают: тенденция к «локализации» атак делает их сложнее для обнаружения, а защита от них требует усиленного мониторинга и фильтрации трафика.

Но провайдеры, как правило, не отслеживают содержимое пользовательских серверов без повода, чтобы не нарушать приватность клиентов, подчеркивает Козлов. Основной акцент, по словам эксперта, делается на автоматическое реагирование на аномалии сетевого трафика, а не на ручной мониторинг действий пользователей.

Источник: Ведомости