От HTTP-потока к ИИ-ботам: как простые скрипты превратились в «кукловодов». Эволюция DDoS в России за один квартал

Сurator ddos ботнет финтех bgp
От HTTP-потока к ИИ-ботам: как простые скрипты превратились в «кукловодов». Эволюция DDoS в России за один квартал
Сurator ddos ботнет финтех bgp

Атаки становятся глобальными и более мощными, а геоблокировка больше не спасает.

image

CURATOR опубликовал отчёт о DDoS-активности за третий квартал 2025 года. Почти 80% всех атак пришлись на четыре ключевых сектора — “Финтех” (26,1%), “Электронная коммерция” (22,0%), “Медиа” (15,8%) и “ИТ и Телеком” (14,5%). Среди микросегментов лидировали “Медиа, ТВ, радио и блогеры” (14,1%), “Платежные системы” (13,9%), “Рестораны и доставка еды” (13,0%), “Онлайн-образование” (7,2%) и “Хостинговые платформы” (6,6%).

Самая мощная L3-L4 DDoS-атака квартала была направлена на организацию из онлайн-ритейла. Её пиковая интенсивность составила 1,15 Тбит/с, что немного превысило прошлогодний рекорд — 1,14 Тбит/с. Скорость передачи пакетов достигала 174,7 млн в секунду. Самая продолжительная атака длилась более девяти суток (225,9 часа).

Лидером по числу L7 DDoS-атак впервые стала Бразилия (19%), сместив Россию (18,4%) и США (10,3%). В десятку также вошли Вьетнам, Нидерланды, Германия, Индия, Сингапур, Аргентина и Великобритания. По оценке CURATOR, рост доли развивающихся стран связан с увеличением числа уязвимых устройств и активным использованием атакующими инструментов на основе искусственного интеллекта.

В отчётном периоде специалисты зафиксировали крупнейший DDoS-ботнет за всю историю наблюдений — 5,76 миллиона заражённых устройств. Они находились преимущественно в Бразилии (24,5%), Вьетнаме (11,5%), США (11,2%), Индии (7,1%) и Аргентине (2,8%). За полгода размер ботнета увеличился более чем в четыре раза, а его география стала значительно шире, что делает простые геоблокировки малоэффективными.

Основной вектор атак в третьем квартале — HTTP (73,9%), на втором месте UDP flood (12,3%), на третьем IP flood (7,9%). ICMP flood полностью исчез из статистики. Доля мультивекторных атак составила 7,5%, половина из них сочетала L3-L4 и L7 методы. Среди L7-атак лидировали Request Rate Patterns (37,9%), Multiple Matched Criteria (17,2%) и Rotating Client Secondary Attributes (16,0%).

После всплеска активности “плохих” ботов во втором квартале 2025 года их количество снизилось на 37%. Основные цели — “Электронная коммерция” (42,79%), “Онлайн-ставки” (21,71%) и “Здравоохранение” (17,52%). Индекс бот-трафика сократился с 2,34% до 1,36%. Наибольшая доля ботов зафиксирована у “Образовательных технологий” (7,88%), “Здравоохранения” (4,38%) и “Онлайн-ставок” (3,74%).

Наиболее продолжительная бот-атака за квартал была зафиксирована 4 сентября против крупного e-commerce ресурса и длилась 14 часов 33 минуты, при этом CURATOR.ANTIBOT заблокировал более 9,2 млн запросов. Самая интенсивная атака на этот сегмент достигала 210 725 вредоносных запросов в секунду.

По типам “плохих” ботов лидировали простые скрипты (58,15%) и API-боты (36,91%), тогда как доля “умных” и “кукловодов” выросла почти вдвое — до 0,44% и 4,49% соответственно.

В части маршрутизации число автономных систем, допустивших утечки маршрутов, осталось стабильным, а количество BGP-перехватов снизилось — главным образом из-за снижения активности в июле. Всего за квартал зарегистрировано пять глобальных инцидентов BGP: четыре утечки маршрутов и один перехват. Это в три раза меньше, чем во втором квартале 2025 года.

CURATOR отмечает, что третий квартал подтвердил тенденцию к усложнению DDoS-атак и активному применению ИИ при их автоматизации, а также рост активности ботов в сегментах онлайн-коммерции и образовательных технологий.