Поделиться
ГК «Гарда»: аналитика DDoS-атак во II квартале 2025 года
Центр компетенций группы компаний «Гарда» провел исследование изменений ландшафта и особенностей DDoS-атак во втором квартале 2025 г по сравнению с аналогичным периодом 2024 г. и I кварталом 2025 г. Цель исследования – определить основные типы атак, которым подвергались компании, и их распределение по отраслям и по типам во II квартале 2025 г. Об этом CNews сообщили представители ГК «Гарда».
Распределение DDoS-атак по отраслям
Во II квартале 2025 г. наибольшее количество DDoS-атак (34%) пришлось на государственные компании – это резкий рост по сравнению с предыдущим кварталом (13%). С 4% до 12% увеличилось количество атак на промышленные компании. Также усилия злоумышленников были направлены на 6% ритейл-организаций, которые отсутствовали в статистике I квартала 2025 г. и во II квартале 2024 г.
В то же время доля DDoS-атак на телекоммуникационные компании, которые традиционно оставались одной из самых атакуемых отраслей, на фоне роста давления на другие сектора показал значительное снижение: с 35% во II квартале 202 г. до 19% во II квартале 2025 г.. Уменьшилась доля DDoS-атак на ИТ-сектор – с 37% в I квартале 2025 г. до 17% во II квартале 2025 г., и компании сферы услуг – с 20% во II квартале 2024 г. до всего 1% в аналогичном периоде 2025 г. За год сократилась доля атак на финансовую отрасль с 10% до 9%, при этом в I квартале 2025 г. показатель опускался до 2%. Уровень атак на образовательный сектор оставался стабильно низким – по 2% на протяжении всех трех периодов.
Выявленные изменения могут указывать на то, что злоумышленникам удалось обойти защиту на основе фильтрации по GeoIP. Это дало им возможность наращивать интенсивность атак на те отрасли, которые ранее эффективно использовали данный механизм. Кроме того, одной из предпосылок изменений стала быстрая цифровизация: по разным оценкам, количество IoT-устройств в России к середине 2025 г. уже увеличилось на 35–40% по сравнению со всем предыдущим годом. Параллельно наблюдается рост ботнет-сетей – число атак с их использованием выросло почти на четверть. Изменяется и характер самих атак: все чаще злоумышленники используют инфраструктуру крупных западных ИТ-компаний, таких как Google или Cloudflare, что серьезно осложняет идентификацию и нейтрализацию угроз.
Распределение DDoS-атак по типам
В распределении атак по типам продолжает лидировать количество DDoS через протокол TCP* на сетевом и транспортном уровнях (L3 и L4), хотя общее количество таких инцидентов снизилось до 49% с 54% в I квартале 2025 г. Количество флуд-атак (UDP) остается на втором месте с долей в 22%. Доля всех типов DDoS с усилением (amplification) сохраняется на уровне первого квартала и составляет 17%. Также стабильно высокой остается доля атак с использованием IP-фрагментации (7%).
Если в I квартале 2025 г. преобладали DDoS-атаки типа TCP ACK, то во II квартале 2025 г. структура изменилась очень сильно. Это свидетельствует о том, что злоумышленники перераспределяют ресурсы и фокусируются на новых техниках. В частности, во II квартале 2025 г. заметен рост атак с использованием WebSockets ‒ этот подход позволяет злоумышленникам обходить традиционные механизмы фильтрации и повышает эффективность нагрузки на атакуемые ресурсы. Также набирают популярность многоуровневые ботнеты, в которых одновременно используются как зараженные IoT-устройства, так и облачная инфраструктура. Такая гибридная модель делает атаки более масштабными, устойчивыми и сложными для выявления и отражения.
Заключение
Во II квартале 2025 г. сохраняется тренд на усложнение и многовекторность DDoS-атак. Злоумышленники продолжают использовать тактику «разведки боем», гибко подстраиваясь под защитные меры: это проявляется в резкой смене преобладающих техник (например, снижение доли TCP ACK-атак) и появлении других подходов — таких как атаки через WebSockets и применение многоуровневых ботнетов, сочетающих IoT-устройства и облачные ресурсы.
Наблюдается смещение фокуса на отрасли, ранее менее подверженные атакам: на первое место вышел госсектор, увеличилось давление на промышленность и ритейл. Это может быть связано с тем, что традиционные методы защиты, включая GeoIP-фильтрацию, теряют эффективность на фоне растущей сложности атакующей инфраструктуры.
Хотя доля DDoS на основе TCP-протоколов остается самой высокой, ее снижение по сравнению с первым кварталом, а также стабильные показатели атак с усилением и IP-фрагментацией, указывают на более избирательный подход к перегрузке конкретных сервисов. Все это подтверждает тенденцию: злоумышленники нацеливаются не столько на массированные атаки, сколько на точечное выведение из строя ключевых компонентов ИТ-инфраструктуры.
Поделиться
Короткая ссылка
