Состояние интернета: критическое. Akamai фиксирует суперботнеты, которые превратили DDoS в дешевый и беспощадный конвейер

Akamai выпустила ежегодный отчет State of the Internet по приложениям, API и DDoS-атакам и зафиксировала заметный сдвиг в тактике злоумышленников. Главный вывод сводится к одному: атаки стали более системными, дешевыми в масштабировании и тесно завязаны на инфраструктуру, через которую компании наращивают цифровые сервисы и внедряют ИИ. В центре такого давления оказались API. Еще недавно многие компании относились к ним как к второстепенному элементу защиты, но теперь именно API все чаще становятся основной точкой входа.

Исследователи отмечают, что злоумышленники все реже делают ставку на одиночные громкие кампании ради шума и репутационного эффекта. Намного чаще атака строится как хорошо отлаженная операция, где одновременно сочетаются злоупотребление API, атаки на веб-приложения и DDoS-воздействие на седьмом уровне модели OSI, то есть на уровне самого приложения. Такой подход позволяет не только нарушать доступность сервисов, но и повышать инфраструктурные издержки жертвы. Чем сильнее бизнес вкладывается в ИИ и цифровую автоматизацию, тем охотнее атакующие бьют по тем интерфейсам и сервисам, на которых все это держится.

Статистика из нового отчета показывает, что речь идет уже не о единичных всплесках. За последние два года число DDoS-атак уровня L7 выросло на 104%. Количество атак на веб-приложения с 2023 по 2025 год увеличилось на 73%. Среднее число ежедневных атак на API за год подскочило на 113%. Отдельно Akamai приводит и результаты опроса организаций: 87% участников сообщили, что в 2025 году столкнулись хотя бы с одним инцидентом, связанным с безопасностью API. Такой набор цифр показывает, что API давно перестали быть узкой технической темой для разработчиков и превратились в полноценный фронт защиты.

По оценке Akamai, логика атак тоже меняется. Злоумышленники все чаще пытаются не просто пробить защиту и украсть данные, а ухудшить работу сервисов, замедлить приложения, спровоцировать рост расходов на вычислительные ресурсы и использовать ИИ-автоматизацию в собственных интересах. Для атакующих такая модель удобна по нескольким причинам. Во-первых, автоматизация удешевляет подготовку. Во-вторых, готовые сценарии позволяют быстро повторять одни и те же действия на разных целях. В-третьих, атака на API и веб-приложения часто дает заметный финансовый эффект даже без классического взлома с громким заголовком.

Отчет отдельно подчеркивает еще одну проблему: безопасность приложений и безопасность API на практике уже невозможно рассматривать по отдельности. Во многих компаниях эти направления до сих пор ведут как две разные задачи, с разными инструментами, командами и зонами видимости. В такой схеме неизбежно появляются разрывы в контроле. Для атакующего как раз такие слепые зоны и становятся удобной точкой входа, потому что в реальной атаке веб-приложение и API обычно используются как единый вектор.

В документе есть и несколько дополнительных наблюдений, которые хорошо показывают, куда смещается риск. Один из них связан с так называемым vibe coding, когда код пишется в ускоренном режиме, нередко с активной опорой на ИИ-инструменты и без полноценной инженерной дисциплины. По оценке Akamai, такой подход все чаще приносит в продакшен новые уязвимости и ошибки конфигурации, которые не успевают нормально проверить до запуска. Иначе говоря, компании одновременно ускоряют разработку и сокращают запас прочности, а злоумышленники затем используют именно такие спешно выведенные в боевую среду интерфейсы.

Отдельный блок отчета посвящен DDoS-активности, связанной с хактивистами. Akamai отмечает, что политически мотивированные группы продолжают наращивать давление на фоне меняющейся международной обстановки и растущей доступности арендных ботнетов. Такая инфраструктура все меньше напоминает самодельные сети зараженных устройств из прошлых лет. На рынке закрепляются модели DDoS-for-hire и DDoSaaS, где нужную мощность можно получить как услугу. Чем проще доступ к такой аренде, тем ниже порог входа для новых участников.

Рост атак уровня L7 на 104% исследователи напрямую связывают именно с этой доступностью. Злоумышленникам все проще получить ботнет через сервисы на заказ и дополнить его сценариями атак, усиленными ИИ. В результате упрощается выбор цели, снижается цена операции и ускоряется запуск кампании против API и веб-приложений. В отчете отдельно упоминаются суперботнеты вроде Aisuru и Kimwolf. Эти сети развивают архитектуру, которая когда-то стала широко известна благодаря Mirai, и теперь служат основой для экосистем DDoS как услуги. Причем такую инфраструктуру используют не только киберпреступные группы, но и хактивисты.

Akamai также обращает внимание на более широкий экономический контекст. Современная интернет-атака все чаще строится как бизнес-модель, где на первый план выходит эффективность. Если раньше злоумышленнику нужно было тратить заметные ресурсы на сложную ручную подготовку, то теперь часть задач автоматизируется, а нужные инструменты можно арендовать. Из-за этого атака становится не только масштабируемой, но и предсказуемо повторяемой. Для защитников такая эволюция особенно неприятна, потому что речь идет уже не о редких сложных операциях, а о потоке дешевых и быстрых кампаний, которые можно запускать снова и снова.

Новый отчет включает не только общую статистику, но и разбор региональных трендов, оценку экономики современных интернет-атак и отдельную колонку приглашенного автора о защите от новых угроз, связанных с агентными ИИ-системами. Под агентным ИИ в таком контексте обычно понимаются системы, которые не просто отвечают на запрос, а способны выполнять цепочки действий, обращаться к инструментам и взаимодействовать с внешними сервисами. Для защиты такая модель особенно чувствительна, потому что агент почти всегда опирается на API, а значит, уязвимость или ошибка в интерфейсе сразу влияет на более широкую цепочку автоматизации.

Серия отчетов State of the Internet выходит уже 12-й год. Akamai традиционно строит выводы на данных, которые компания видит через собственную глобальную защитную инфраструктуру, обрабатывающую значительную долю мирового веб-трафика. В нынешней версии документа главный акцент сместился в сторону связки приложений, API, DDoS и ИИ. По сути, отчет фиксирует довольно жесткую реальность: бизнес ускоряет цифровую трансформацию, а злоумышленники успевают адаптироваться к новой архитектуре почти без задержки. И если API стали фундаментом ИИ-сервисов, то защита ИИ в практическом смысле все чаще начинается именно с защиты API.