Компания Curator (ранее Qrator Labs) сообщила об успешной нейтрализации атаки самого крупного за всю историю наблюдений DDoS-ботнета, состоявшего из 4,6 млн устройств. Для сравнения, самый большой DDoS-ботнет, выявленный в прошлом году, состоял из 227 тыс. устройств, а крупнейший ботнет, зафиксированный в 2023 году — из 136 тыс. устройств. По данным Curator, 16 мая 2025 года атаке подверглась организация из сегмента «Государственные ресурсы», микросегмент — «Общественные организации».

Атака проводилась в несколько этапов. На первом этапе в ней было задействовано порядка 2 млн устройств. На втором этапе ботнет пополнился ещё 1,5 млн устройств, а на третьем этапе количество устройств достигло 4,6 млн. Как полагают аналитики Curator, преступники в итоге задействовали все имеющиеся ресурсы.

Источник изображения: Kevin Horvat/unsplash.com

Большая часть устройств, входивших в ботнет, была из Южной и Северной Америки. Около 1,37 млн заблокированных во время атаки IP-адресов (30 % всего ботнета), были зарегистрированы в Бразилии, порядка 555 тыс. были из США, 362 тыс. — из Вьетнама, 135 тыс. — из Индии и 127 тыс. — из Аргентины.

Источник изображения: Curator

В Curator сообщили, что с этим ботнетом они сталкивались ранее в этом году, но тогда он включал всего 1,33 млн IP-адресов. Ботнет таких размеров может генерировать десятки миллионов запросов в секунду, что несёт угрозу выхода из строя атакуемых серверов в случае неудовлетворительной организации защиты. По словам Curator, такую атаку может выдержать не каждый провайдер DDoS-защиты, «что потенциально может поставить под угрозу доступность ресурсов всех клиентов одновременно».

Компания Curator (ранее Qrator Labs) опубликовала отчёт, посвящённый статистике DDoS-атак, BGP-инцидентов и бот-активности в I квартале 2025 года.

В I квартале 2025 года был зафиксирован рост DDoS-атак на сетевом и транспортном уровне (L3–L4) интенсивностью более 1 Гбит/с на 110 %. Число мультивекторных атак увеличилось не так сильно (+20,8 %), поэтому их доля в общем количестве сократилась год к году почти вдвое — с 22,8 до 11,7 %.

Распределение по «чистым» векторам без учёта смешанных выглядит следующим образом: по-прежнему лидирует UDP flood, на который пришлось более половины всех L3–L4 DDoS-атак (56,5 %). За ним следуют IP fragmentation flood (26,2 %), TCP flood (11,5 %) и SYN flood (5,8 %). Что примечательно, в I квартале не было зафиксировано ни одной ICMP flood-атаки.

Источник изображений: Curator

Самая длительная DDoS-атака в I квартале продолжалась лишь около 9,6 часа. Это была атака UDP flood на организацию из сегмента «Промышленность», микросегмент «Нефть и газ». Для сравнения, рекорд по продолжительности атаки в 2024 году — 19 дней или 463,9 часа (микросегмент «Онлайн-ретейл»).

Второе место по продолжительности заняла атака на сегменет «Электронные доски объявлений» (5 часов). Далее следуют атаки на микросегменты «Телеком-операторы» (2,2 часа), «Онлайн-страхование» (1,5 часа) и «Медиа, ТВ, радио и блогеры» (1,3 часа). Средняя продолжительность атак упала с 71,7 мин в прошлом году до 11,5 мин, а медианное значение снизилось со 150 до 90 с.

Наиболее интенсивная атака за квартал имела в пике битрейт 232 Гбит/с. Это была атака UDP flood на сегмент «Онлайн-букмекеры». Для сравнения, самая интенсивная атака в I квартале 2024 имела битрейт 882 Гбит/с, а по итогам года — 1140 Гбит/с.

На втором месте по интенсивности была атака на «Онлайн-страхование» (134 Гбит/с). Далее следуют «Развлекательные порталы» (132 Гбит/с), «Электронные доски объявлений» (129 Гбит/с) и «Онлайн-ретейл» (117 Гбит/с).

Максимальная скорость передачи пакетов составила 65 Mpps (микросегмент «Банки»), тогда как годом ранее в аналогичном квартале этот показатель был равен 179 Mpps, что является рекордным значением за весь 2024 год. На втором месте по этому показателю находятся «Онлайн-букмекеры» (54 Mpps), далее — «Платёжные системы» (33 Mpps), «Онлайн-страхование» (28 Mpps) и «Хостинговые платформы» (17 Mpps).

Вместе с тем исследователи отметили, что говорить о снижении интенсивности атак не приходится, поскольку медианные значения битрейта и скорости передачи заметно выше уровней прошлого года. Например, для атак типа UDP flood медианный битрейт вырос на 190 %, а скорость передачи пакетов — на 75 %.

Больше всего L3–L4 DDoS-атак — порядка 70 % всех атак уровня L3–L4 в I квартале — было направлено на сегменты «ИТ и Телеком» (26,8 %), «Финтех» (22,3 %) и «Электронная коммерция» (21,5 %). В разрезе микросегментов чаще всего атаковали «Программное обеспечение» (22,8 %), «Онлайн-ритейл» (10,8 %), «Банки» (9,4 %), «Электронные доски объявлений» (5,5 %), а также «Медиа, ТВ, радио и блогеры» (5,0 %). На них приходится более половины всех L3-L4 атак.

На уровне приложений (L7) больше всего DDoS-атак было направлено на макросегмент «Финтех», доля которого увеличилась с 22,6 % от общего количества атак в I квартале 2024 года до 54,0 % в отчётном квартале. На втором месте по числу атак — «Электронная коммерция» с долей 14,4 %, на третьем — «ИТ и Телеком» (8,1 %). В разрезе микросегментов чаще всего атаковали «Банки», где доля атак увеличилась за год с 13,7 до 31,6 %. За ним следуют «Платёжные системы» (12,2 %), «Онлайн-ретейл» (7,1 %), «Микрофинансовые организации» (5,4 %) и «Программное обеспечение» (4,2 %).

Самая большая доля L7 DDoS-атак пришлась на атаки класса Request Rate Patterns (34,6 %), которые характеризуются частотой запросов, отличающейся от ожидаемого поведения легитимного пользователя. Второе место у атак класса Rotating Client Secondary Attributes (22,9 %) — атаки с необычным набором заголовков в запросе. На третьем месте — атаки Abnormal URL Traversal (16,7 %), предлагающие действия, которые легитимные пользователи часто даже не в состоянии выполнить.

Наиболее длительные L7 DDoS-атак были нацелены на организацию из микросегмента «Криптобиржи». Одна из них продолжалась 22 часа, вторая — 30 часов. Третья по продолжительности атака была направлена на микросегмент «Программное обеспечение» и длилась 18,7 часа. Для сравнения, наиболее длительная L7 DDoS-атака в 2024 году продолжалась около 49 часов. Как и в 2024 году в тройку стран, которые чаще всего служили источниками L7 DDoS-атак, вошли Россия (28,2 %), США (14,4 %) и Бразилия (6,1 %).

Исследователи зафиксировали 26 марта атаку огромного DDoS-ботнета, который состоял из 1,33 млн устройств. Это почти в 6 раз больше, чем в самом крупном DDoS-ботнете 2024 года (227 тыс. устройств) и почти в 10 раз больше, чем у рекордсмена 2023 года (136 тыс. устройств). Его атака была направлена на организацию из микросегмента «Онлайн-букмекеры» и продолжалась 2,5 часа. В состав ботнета входили преимущественно устройства в Бразилии (51,1 %), Аргентине (6,1 %), России (4,6 %), Ираке (3,2 %) и Мексике (2,4 %).

Также в исследовании приведена статистика борьбы с «плохими» ботами — автоматизированными системами, которые под видом настоящих пользователей пытаются взаимодействовать с сайтами с целью сбора данных, накрутки каких-либо параметров и т.д. В I квартале был зафиксирован рост количества заблокированных запросов «плохих» ботов как по сравнению с предыдущим кварталом (+5,7 %), так и год к году (+3,9 %).

Наибольшее число атак «плохих» ботов была нацелена на сегменты «Онлайн-ретейл» (40,7 % всего количества), «Онлайн-букмекеры» (13 %), «Недвижимость» (8,2 %), «Онлайн-аптеки» (4,8 %), «Логистика» (3,3 %) и «Банки» (0,6 %). На них пришлось более двух третей всех зафиксированных атак «плохих» ботов. Чаще всего использовались скриптовые боты (53,5 %). На втором месте API-боты (39,8 %), на третьем — браузерные боты (6,7 %).

Российский сегмент интернета усилил позиции в рейтинге, оценивающем состояние национальных сетей ведущих стран мира. Как сообщает «Коммерсантъ» со ссылкой на доклад Qrator Labs, Рунет за год поднялся на одну позицию. В то время как российские провайдеры приписывают это собственным заслугам, некоторые эксперты утверждают, что причиной стало падение качества сетей в Сингапуре.

В ежегодный рейтинг Qrator Labs попали важнейшие операторы, перебои в работе которых могут привести к утрате глобальной доступности наибольшей доли автономных систем национального сегмента интернета. В отчёте об устойчивости учтены показатели 187 стран. Россия поднялась на 13 место, а лидируют Бразилия, Германия и Нидерланды. При этом в 2021 году РФ замыкала первую десятку рейтинга.

Источник изображения: Qrator

Чем больше альтернативных маршрутов трафика имеется между автономными системами, тем стабильнее интернет-сегмент. Наиболее надёжными в этом отношении (т.е. связными) оказались сети «Транстелекома», второе место в стране занимает «Вымпелком», третье и четвёртое — «МегаФон» и «Ростелеком», пятое и шестое — технологические сети VK и сети МТС соответственно. Для России также учитывался возможный отказ крупнейшего национального провайдера — «Ростелекома». Максимальный процент отказа сетей при остановке его работы составит 5,34 % против 5,50 % годом ранее.

Источник изображения: Qrator

Помимо Сингапура, опустившегося с 4 на 15 место (вероятно, в связи с изменением критической AS со StarHub на SingNet), значительно изменились позиции Тайваня — если ранее он был на 20 месте, то теперь занял 17. Филиппины, ещё в 2022 году бывшие на 24 месте, впервые за 7 лет перешли на 20 позицию. США сместились с 28 места в рейтинге в 2022 году на 18 место, а вот Люксембург, тоже сменивший критическую автономную систему, попал с 16 на 39 место. Рейтинг покинула и Индонезия.

Как сообщают в Qrator Labs, российские автономные системы стремятся иметь не менее двух upstream-подключений, но поглощение мелких провайдеров крупными привело к уменьшению конкуренции, что может вызвать деградацию некоторых направлений телеком-бизнеса в будущем.

Облачный провайдер CloudMTS запустил сервис для защиты от DDoS-атак на базе партнерской платформы Qrator Labs. Система ограждает приложения и веб-ресурсы от действий злоумышленников вне зависимости от их географического расположения или сложности организованной киберкампании.

По оценкам Qrator Labs, количество DDoS-атак на российские предприятия и организации продолжает устойчиво расти, что отчасти объясняется сложившейся геополитической обстановкой. За первые шесть месяцев 2023 года общее число таких нападений выросло на 40 %. Во II квартале больше всего от DDoS-атак пострадал финансовый сегмент, на долю которого пришлось 44,34 % атак. Далее идут сферы электронной коммерции и онлайн-образования с результатом 13,68 % и 11,32 % соответственно.

Развёрнутый CloudMTS сервис обеспечивает защиту в несколько этапов. Сначала весь трафик, поступающий на защищённый ресурс, перенаправляется в партнёрскую сеть Qrator Labs, где анализируется на всех уровнях вплоть до L7. Затем после углубленной фильтрации с использованием различных алгоритмов обработанные данные направляются к защищенному приложению — либо через публичную сеть, либо через специально организованный канал L2 VPN. Таким образом, трафик DDoS-атак блокируется на периметре сети Qrator Labs, не достигая ресурсов клиента.

Источник изображения: CloudMTS

Защита приложений и техническая поддержка осуществляются в круглосуточном режиме. Пользователи получают доступ к ресурсам без каких-либо задержек и проверок CAPTCHA. Компаниям предоставляется подробная статистика о работе системы защиты. Предполагается, что решение будет востребовано среди ретейлеров, банков, инвестиционных и телекоммуникационных компаний, а также предприятий, работающих в сфере электронной коммерции и других организаций, ведущих бизнес в интернете.