В конце марта 2026 года международные правоохранительные органы нейтрализовали два крупнейших ботнета — Aisuru и Kimwolf, которые управляли более чем 3 миллионами инфицированных устройств по всему миру. Однако, как выяснили специалисты аналитического центра StormWall, через два месяца распределение источников DDoS-атак не изменилось: США по-прежнему лидировали, а Бразилия занимала вторую строчку. В России ситуация с DDoS-атаками практически не претерпела изменений, и хакеры продолжали осуществлять мощные атаки на отечественные компании. Результат операции оказался недолговечным. Об этом CNews рассказали представители StormWall.
Сразу после ликвидации ботнетов в апреле 2026 года эксперты StormWall отметили сокращение общего количества атак в России на 26% по сравнению с мартом 2026 года. Однако уже в мае 2026 года произошел обратный всплеск, и число атак увеличилось на 94% относительно марта 2026 года. Злоумышленникам понадобилось чуть больше месяца, чтобы перестроиться и нарастить необходимые мощности.
Согласно данным StormWall, количество прикладных атак (L7) продолжило снижаться — в мае 2026 года их число уменьшилось на 26% по сравнению с мартом 2026 года. При этом пиковая мощность атак L7 выросла с 583,5 тысячи запросов в секунду в марте 2026 года до 649,4 тысячи запросов в секунду в апреле 2026 года и 622,9 тысячи запросов в секунду в мае 2026 года. Кроме того, количество сверхмощных атак L7 (более 100 тысяч запросов в секунду) увеличилось до 121 в мае 2026 года, что стало рекордным показателем за три месяца.
В мае 2026 года в пятерку крупнейших источников бот-трафика в мире вошли США, Бразилия, Филиппины, Вьетнам и Россия, которые обеспечили 67,2% всех IP-адресов, задействованных в DDoS-атаках уровня L3. При этом лидерство США и Бразилии среди источников атак может подтверждать гипотезу о том, что крупные ботнет-сети не были уничтожены, а лишь временно ослаблены.
По итогам трех месяцев 2026 года (март, апрель и май) Россия заняла третье место в мире по объему генерируемого DDoS-трафика с долей 9%. В мае 2026 года количество зараженных российских устройств, участвующих в атаках, выросло в 2,6 раза по сравнению с апрелем 2026 года и в 1,5 раза по сравнению с мартом 2026 года. Как считают эксперты StormWall, злоумышленники все чаще заражают местные устройства, чтобы обходить геоблокировки при атаках на российские компании.
Кроме того, после ликвидации Aisuru и Kimwolf произошла миграция ботнет-инфраструктуры. Количество атак с IP-адресов Филиппин выросло на 959% (до 2 миллионов), Вьетнама — на 750% (до 1,5 миллиона), а Оман и Бангладеш вошли в десятку крупнейших источников атак, хотя ранее не входили даже в двадцатку. Также кардинально изменились векторы: количество UDP-атак в апреле 2026 года упало на 47% по сравнению с мартом 2026 года, однако к маю 2026 года они восстановились, показав рост на 272% относительно апреля 2026 года. Количество ICMP-атак за три месяца выросло более чем в пять раз.
Злоумышленники перешли к стратегии массовых краткосрочных ударов. Количество атак, длящихся не более 15 минут, увеличилось более чем в 30 раз за период с марта по май 2026 года (с 2 тысяч до 68 тысяч). При этом также возросло число сверхдолгих атак — количество инцидентов продолжительностью свыше одного дня стало больше на 89%.
«Устранение Aisuru и Kimwolf нанесло удар по крупным преступным группировкам, однако это не помешало хакерам быстро перегруппироваться. То, что США и Бразилия сохранили лидерство среди источников атак, косвенно указывает на то, что злоумышленники продолжают эксплуатировать ту же инфраструктуру, что и в марте 2026-го. Российский бизнес остается как источником, так и целью атак. Мы ожидаем дальнейшего увеличения числа и мощности DDoS-атак на территории России. Компаниям стоит заранее создавать многоуровневые системы защиты, способные выявлять аномальную активность на уровне поведения, а не только по IP-адресам», — заявил Рамиль Хантимиров, генеральный директор и сооснователь StormWall.
