В России выявлен взрывной рост «зондирующих» DDoS-атак, используемых хакерами для разведки
Компания StormWall, специализирующаяся на защите бизнеса от кибератак, обнаружила новый тренд на рынке информационной безопасности – активное использование хакерами «зондирующих» DDoS-атак в России. Специалисты StormWall выявили взрывной рост «зондирующих» DDoS-атак продолжительностью до 15 минут в мае 2025 г. Для анализа были использованы данные клиентов компании. Об этом CNews сообщили представители StormWall.
По данным аналитиков StormWall, в мае 2025 г. было выявлено более 450 тыс. подобных атак, при этом в мае 2024 г. было только 44 инцидента. Рост числа «зондирующих» атак в мае 2025 г. является колоссальным – в 10 тыс. раз. Также данный тренд был подтвержден квартальной статистикой. В I квартале 2025 г. подобные атаки длительностью до 15 минут занимали 43,6% от числа всех инцидентов. Для сравнения, в I квартале 2024 г. доля таких атак составляла только 0,2% от числа всех инцидентов.
Эксперты StormWall проанализировали природу «зондирующих» атак и выявили их отличительные черты. Подобные атаки обычно кратковременны и длятся не более 15 минут. Они используются злоумышленниками для разведки, с целью определения реакции систем защиты, уровня автоматизации и «порогов срабатывания». Чаще всего «зондирующие» DDoS-атаки проходят по протоколу HTTP/HTTPS (уровень L7), имитируя поведение обычных пользователей. Такие атаки довольно сложны для обнаружения - могут не сработать традиционные фильтры или WAF.
Сразу выявить «зондирующие» DDoS-атаки не просто. Однако, есть косвенные признаки, которые указывают на возможное начало зондирования: повторяющиеся короткие всплески трафика, периодические HTTP-флуды с ограниченным числом IP, необычные RPS-пики без длительной нагрузки, внезапные 5-10-минутные перебои в работе API, frontend-сервисов, админок.
Если подобные атаки были обнаружены, то необходимо усилить мониторинг за всеми уровнями инфраструктуры - от уровня сети до уровня приложений, проверить работу механизмов защиты (WAF, rate limits, антибот-фильтров и т.д.). Кроме того, рекомендуется провести самостоятельно имитацию атаки или заказать пентест. Также необходимо переобучить поведенческую модель защиты, если это требуется. Самое главное — лучше заранее подготовиться к возможной масштабной атаке с учетом разведданных, собранных злоумышленником.
«Если не реагировать на “зондирующие” атаки, то последствия могут быть печальными. Бездействие чревато запуском успешной атаки позже – злоумышленник протестирует систему и ударит в уязвимое место. Возможен долгий простой при повторной атаке, так как защита не будет подготовлена, а также компрометация API, DNS или внутренних компонентов, если атака выявила уязвимости. Наконец могут быть серьезные финансовые потери, особенно у интернет-магазинов, сервисов доставки или бронирования, а также игровых компаний», – отметил Рамиль Хантимиров, CEO и сооснователь StormWall.