Доля ботнет-атак с российских адресов в 2025 году выросла почти в восемь раз

С начала 2025 года доля кибератак с российских IP-адресов выросла до 39%, что вдвое больше показателя 2024 года (5%). Об этом сообщило издание «Ведомости» со ссылкой на данные компании Servicepipe, специализирующейся на кибербезопасности.

Алексей Козлов, ведущий аналитик компании «Спикател», подтвердил эту тенденцию, отметив, что около 30% ботнетов действуют исключительно с территории Российской Федерации.

Ботнет — это сеть зараженных компьютеров и других подключенных к интернету устройств, используемых для кибератак, таких как взломы веб-сайтов, рассылка спама и другие незаконные действия.

За первые девять месяцев 2025 года компания Servicepipe зарегистрировала около 410 тысяч таких атак. Для сравнения, за аналогичный период 2024 года было зафиксировано 305 тысяч инцидентов.

Раньше основные источники ботнет-трафика были связаны с IP-адресами Москвы и Санкт-Петербурга. Однако к концу сентября 2025 года атаки из этих регионов составили лишь 50%. Оставшиеся 50% приходятся на Московскую область (17%), Новосибирск (14%), Казань (10%) и Екатеринбург (9%).

Самые мощные ботнеты атаковали из Новосибирской области. По словам Михаила Хлебунова, директора по продуктам компании Servicepipe, один из таких ботнетов включал 40% зараженных устройств в этом регионе. На пике активности трафик достигал 100 Гбит/с, а число зараженных устройств измерялось тысячами. Злоумышленники использовали домашние устройства и маршрутизаторы, главным образом нацеливаясь на телекоммуникационные компании.

Источник «Ведомостей» предположил, что Новосибирская область стала базой для ботнетов из-за появления крупных центров обработки данных в регионе за последние два года. Сергей Левин, руководитель группы по защите от DDoS-атак компании «Солар», отметил, что аренда вычислительных мощностей здесь дешевле, чем в центре России, а удаленность помогает скрывать деятельность ботнета.

Михаил Хлебунов объяснил, что злоумышленники применяют разнообразные методы для обхода систем защиты, включая использование фальшивых адресов, специализированных сервисов и виртуальных машин. Политически мотивированные хакеры часто используют открытые ботнеты, состоящие из зараженных устройств частных лиц. Существуют также закрытые ботнеты, контролируемые одним лицом. Все эти сети работают через VPN, а их местоположение определяется по IP-адресам. Алексей Козлов добавил, что хакеры могут незаконно арендовать оборудование, используя подставные компании.

Крупные интернет-провайдеры используют специальные программы для мониторинга и фильтрации интернет-трафика. Эти системы выявляют подозрительную активность, включая трафик с виртуальных серверов. Анализ проводится в реальном времени, после чего подозрительные потоки блокируются, а работа виртуальных серверов ограничивается при обнаружении признаков атаки. Однако провайдеры не проверяют содержимое пользовательских серверов, чтобы не нарушать конфиденциальность, и сосредотачиваются на автоматическом реагировании на аномалии в трафике.Источник: Inc. Russia