19 февраля 2026 года специалисты StormWall нейтрализовали DDoS-натиск, достигший беспрецедентной мощности более 3 Тбит/с. По оценке компании, это крупнейшее нападение на российские цифровые активы за всю её историю наблюдений. Целями стали ресурсы в индустрии развлечений, а также инфраструктура самого провайдера защиты; атака выделялась необычной географической структурой. Для её осуществления злоумышленники задействовали несколько бот-сетей. Об этом CNews рассказали в StormWall.
Анализ трафика экспертами компании показал, что рекордная атака на 99,5% состояла из UDP-флуда — массированной атаки на пропускную способность каналов. Противник применил тактику «коврового» воздействия. Вредоносные данные распределялись по огромному числу IP-адресов компании, а размер и содержимое пакетов постоянно менялись. Подобная методика существенно осложняет выявление и блокировку угрозы.
Нападение характеризовалось широкой географической дисперсией. Изучение данных выявило, что трафик поступал из множества государств, причём для различных сегментов сети источники различались. Согласно предварительной информации, злоумышленники могли управлять как минимум двумя ботнетами.
Основная бот-сеть, создававшая большую часть нагрузки, включала устройства, расположенные в разных странах: США (25%), Бразилии (16,9%), Венесуэле (10%). Также были зафиксированы IP-адреса из Казахстана, Узбекистана, Индии, Украины и других стран.
При этом заметный объём вредоносного трафика (17%) шёл изнутри России — с отечественных IP-адресов. Большинство скомпрометированных устройств в сетях российских операторов связи являлись маршрутизаторами и другим сетевым оборудованием.
Атака развивалась по многоступенчатому плану. Изначально хакеры пытались парализовать сеть целевой компании с помощью главного ботнета. Однако из-за эффективной работы систем фильтрации ожидаемого результата достичь не удалось. Тогда злоумышленники задействовали дополнительную бот-сеть и перенесли удар на инфраструктуру StormWall, рассчитывая, что перегрузка систем защиты приведёт к сбоям. Натиск был распределён по всем центрам очистки провайдера, размещённым в девяти странах. После неудачи этой попытки атаки вновь сфокусировались на первоначальной цели.
Благодаря высокой пропускной способности и географически распределённой архитектуре сети, атака была автоматически отражена в течение минуты. Для пользователей и клиентов инцидент остался незаметным. Никаких перебоев в работе сервисов зафиксировано не было.
«Это наиболее масштабная DDoS-атака на российские интернет-ресурсы из всех, с которыми мы сталкивались. Злоумышленники изначально нацелились на ресурсы клиента, а затем перенесли удар на сети StormWall, что демонстрирует их решимость и готовность использовать любые методы для достижения поставленной задачи. То, что нам удалось успешно отразить атаку такого уровня, доказывает высокую эффективность нашей многоступенчатой системы защиты, распределенной инфраструктуры и безотказной работы всей фильтрующей сети. Этот случай позволяет сделать два важных заключения: во-первых, геоблокировки не являются надежным средством против мощных DDoS-атак, а во-вторых, критически важно выбирать провайдера защиты, который обладает географически распределенными мощностями и способен нейтрализовать атаки ближе к их источнику — еще до того, как вредоносный трафик достигнет цели на территории России», — подчеркнул Рамиль Хантимиров, генеральный директор и сооснователь StormWall.
