Доля ботнет-атак с российских адресов выросла почти в восемь раз
Доля ботнет-атак с российских IP-адресов с начала 2025 года выросла до 39% от общего числа, тогда как за аналогичный период 2024 года этот показатель составлял всего 5%. Об этом сообщают «Ведомости» со ссылкой на представителя компании Servicepipe, специализирующейся на кибербезопасности. Ведущий аналитик отдела мониторинга информационной безопасности «Спикател» Алексей Козлов подтвердил тенденцию, отметив, что около 30% ботнетов действуют исключительно с территории России.
Ботнет — это сеть из множества устройств, подключенных к интернету и зараженных вредоносным программным обеспечением, которая используется для DDoS-атак, массовой рассылки спама и других киберпреступлений.
За девять месяцев текущего года Servicepipe зафиксировала примерно 410 тыс. ботовых атак, способных нарушить работоспособность ресурсов или привести к потере данных. Годом ранее за тот же период было обнаружено 305 тыс. подобных атак.
География нелегитимной автоматизации меняется. Традиционно боты приходили с IP-адресов Москвы и Санкт-Петербурга, но к концу сентября их доля снизилась с 65% до 50%. Оставшаяся половина распределена между Московской областью (17%), Новосибирском (14%), Казанью (10%) и Екатеринбургом (9%).
Самые крупные по количеству IP-адресов ботнеты атаковали из Новосибирской области. Директор по продуктам Servicepipe Михаил Хлебунов рассказал, что у одного из обнаруженных ботнетов 40% зараженных устройств были зафиксированы в этом регионе, хотя обычно сеть распределена равномерно по стране. На пике вредоносный трафик превысил 100 Гбит/с, а количество зараженных устройств оценивалось в несколько тысяч. Сеть использовала комбинацию IoT-устройств и маршрутизаторов, а атаки были направлены в основном на телекомкомпании.
Источник «Ведомостей» в одной из компаний по информационной безопасности предположил, что выбор Новосибирска связан с открытием там в последние два года нескольких крупных центров обработки данных. Руководитель направления anti-DDoS ГК «Солар» Сергей Левин отметил, что стоимость аренды мощностей в Новосибирском регионе доступнее, чем в центральной части России, а удаленное расположение позволяет практически незаметно развернуть ботнет.
При этом атаки с российских IP не означают, что сами злоумышленники находятся в России.
Михаил Хлебунов пояснил, что они используют подменные адреса, прокси-сервисы и виртуальные машины для обхода защиты по геопризнаку. Политически мотивированные злоумышленники чаще всего используют открытые ботнеты — сети из зараженных устройств реальных пользователей, но также встречается использование закрытых ботнетов, управляемых одним ботоводом. Сам ботнет управляется через VPN, а его атакующие узлы вычисляются по IP-адресу. Алексей Козлов добавил, что ботнет-атаки можно реализовывать через нелегальную аренду оборудования с помощью подставных юридических лиц.
У крупных провайдеров есть технические решения для мониторинга и фильтрации трафика, которые позволяют выявлять аномальную активность, в том числе исходящую с виртуальных серверов. Такие системы анализируют трафик в реальном времени, автоматически блокируют подозрительные потоки и могут ограничивать работу VPS при обнаружении признаков атаки. Однако провайдеры, как правило, не отслеживают содержимое пользовательских серверов без повода, чтобы не нарушать приватность клиентов, а делают акцент на автоматическое реагирование на аномалии сетевого трафика.
