Кибермошенники планируют крупные DDoS-атаки на российские предприятия и атакуют одновременно силами нескольких группировок. Такие выводы сделали эксперты ГК InfoWatch, ссылаясь на статистику Роскомнадзора (РКН) и Национального координационного центра по компьютерным инцидентам (НКЦКИ).

Аналитики InfoWatch изучили ключевые индикаторы статистики двух ведомств за 2024-2025 гг. и сопоставили их изменения с информацией о компьютерных атаках из открытых источников. По данным РКН, в первой половине и в конце 2025 г. значительно выросло количество блокировок фишинговых ресурсов, а количество заблокированных сайтов, распространяющих вредоносное программное обеспечение (ПО), начало резко расти во втором полугодии 2025 г. В этот период происходили атаки на транспортные предприятия ("Аэрофлот"), розничные сети ("ВинЛаб", аптечные сети), регуляторов (Россельхознадзор), а также коммунальные службы (Росводоканал).

Количество DDoS-атак, данные по которым также публикует РКН, резко выросло во второй половине 2024 г. и затем, после относительного снижения, вновь наблюдался скачок во второй половине 2025 г. Максимальная мощность атак тоже приходится на вторую половину 2024 г. с еще одним всплеском во второй половине 2025 г.

"Мы видим явное совпадение резкого роста мощности и скорости, а также количества DDoS-атак на российскую инфраструктуру в определенные месяцы. На наш взгляд, это говорит о том, что различные хакерские группировки могут координировать действия и работать целенаправленно в интересах определенной стороны. Можно было бы предположить, что это усилия одной крупной группировки, однако количество атак тоже росло, что позволяет предполагать именно совместную работу разных групп злоумышленников", - рассказал главный аналитик экспертно-аналитического центра InfoWatch Сергей Слепцов.

Данные НКЦКИ демонстрируют похожую динамику. Изменения количества ресурсов, заблокированных НКЦКИ, по месяцам очень близки к изменениям количества сайтов - распространителей вредоносного ПО, заблокированных РКН. Пиковые значения приходятся на периоды, совпадающие с периодами роста сообщений в открытых источниках о компьютерных атаках, в том числе о наиболее резонансных.

По данным НКЦКИ, в отраслевом плане значительная доля вредоносных ресурсов направлена на предприятия энергетики и топливно-энергетического комплекса, социальные сети и мессенджеры, торговлю и сервисы доставки.

Мнения экспертов рынка информационной безопасности

"Объединение группировок делается для того, чтобы получить больше ресурсов и компетенций для решения конкретной задачи. Соответственно, можно выделить следующие выгоды от объединения группировок в одну: возможность реализации киберпреступления, получение дополнительных компетенций, сокращение времени на весь процесс", - считает владелец продукта UserGate uFactor ООО "Юзергейт" (UserGate) Александр Луганский.

"Координация между разными группировками стала распространенной практикой у злоумышленников. Это проявляется в аренде ботнетов, совместном использовании инфраструктуры или разделении таких задач, как разведка, атака, шантаж и иные деструктивные воздействия. Главная выгода от совместной работы - объединение ресурсов и экспертизы группировок, что повышает масштаб, продолжительность и эффективность атак, а также расширяет охват целей", - рассказал руководитель департамента киберразведки ООО "Бастион" Константин Ларин.

"DDoS-атаки давно превратились в сервис, поэтому тут можно говорить не столько о координации усилий разных группировок, сколько об одном заказчике, который использует возможности разных группировок. Если атакующему нужно создать интенсивную атаку, то выбор нескольких сервисов, позволяющих это сделать, выглядит очевидным. Ни одна команда не готова скомпрометировать всю захваченную и накопленную инфраструктуру за один раз. Поэтому злоумышленники стараются распределить атаку по нескольким командам", - объяснил руководитель отдела аналитики угроз информационной безопасности ООО "Гарда технологии" Алексей Семенычев.

"Сезонные пики активности во второй половине года объясняются не только возможной координацией, но и объективными факторами. Во‑первых, к этому времени у компаний накапливаются отложенные обновления, технические работы, изменения инфраструктуры, рост нагрузки в высокие сезоны - ретейл, туризм, логистика, - что создает удобное окно для атак. Во‑вторых, во втором полугодии традиционно усиливается деловая активность: идут бюджетные кампании, проекты под конец года, появляется больше целевых атак на финансовые операции, закупки и тендеры", - отметила руководитель направления отдела анализа и оценки цифровых угроз Infosecurity (входит в ГК Softline) Кристина Буренкова.

"Сезонность - не случайность, а результат стратегического планирования, где техническая координация усилий накладывается на идеально выбранное время для достижения максимального эффекта. Данные исследований фиксируют и подтверждают эту тревожную закономерность, которую необходимо учитывать при планировании защитных мероприятий, заблаговременно усиливая безопасность и мониторинг в периоды повышенного риска", - подтвердила ведущий ИБ-эксперт ООО "КИТ" (UDV Group) Ольга Луценко.

"Статистика отражает не только рост самих атак, но и активизацию их выявления и блокировки. Массовые и резонансные инциденты во второй половине года чаще попадают в публичное поле, что усиливает ощущение всплеска. На практике мы имеем дело с сочетанием сезонной уязвимости бизнеса, накопленного потенциала атакующих и, в отдельных случаях, согласованных действий сразу нескольких группировок", - отметил руководитель отдела технического пресейла ООО "АйТи Таск" (IT Task) Михаил Тимаев.