Ваш телевизор начал тормозить? Возможно, техника прямо сейчас участвует в крупнейшем взломе года

Согласно отчёту Pulsedive Threat Research, ботнеты снова набирают силу, и масштабы уже сложно игнорировать. За вторую половину 2025 года число выявленных серверов управления выросло на 24%, а сами атаки стали мощнее и изощрённее. На этом фоне власти начали действовать жёстче и попытались ударить по инфраструктуре сразу нескольких крупных сетей заражённых устройств.

Ботнет представляет собой сеть заражённых компьютеров и устройств, которыми управляет один оператор или группа. Такие сети используют для массовых атак на сайты, подбора паролей и рассылки фишинговых сообщений. Злоумышленники прячут свою активность за чужими устройствами, поэтому отследить источник атаки становится гораздо сложнее.

19 марта 2026 года Министерство юстиции США объявило о попытке вывести из строя инфраструктуру управления ботнетами Aisuru, KimWolf, JackSkid и Mossad. Операция прошла при участии Канады и Германии. В частности, правоохранительные органы пытались получить контроль над виртуальными серверами в DigitalOcean, которые использовали как центры управления KimWolf.

Современные ботнеты во многом выросли из Mirai – вредоносной программы, появившейся в 2016 году. Mirai сканирует интернет в поисках уязвимых устройств интернета вещей, вроде домашних маршрутизаторов или камер. Заражение происходит через известные уязвимости или стандартные пароли, которые владельцы так и не поменяли. После публикации исходного кода Mirai появилось множество вариантов, и каждый развивает идею по-своему.

Один из таких вариантов – Satori. В 2017 году Satori заразил более 260 тысяч маршрутизаторов, в основном домашних и офисных. Вредоносная программа использовала уязвимости, позволяющие удалённо выполнить команды на устройстве. После проникновения устройство загружало и запускало несколько файлов под разные архитектуры процессоров, чтобы увеличить охват.

Более современные ботнеты, такие как Aisuru-Kimwolf, вышли на новый уровень. Сеть заразила от 1 до 4 миллионов устройств по всему миру и использовалась для крупнейших DDoS-атак. Зафиксированы атаки мощностью 31,4 терабита в секунду и до 14,1 миллиарда пакетов в секунду. Вредоносный код умеет менять характеристики сетевых пакетов, что затрудняет обнаружение.

Отдельного внимания заслуживает KimWolf – вариант, ориентированный на устройства с Android, включая телевизоры и смартфоны. Сеть уже захватила около 2 миллионов устройств. Операторы продают доступ к заражённым устройствам другим киберпреступникам через Discord и Telegram, назначая цену в зависимости от мощности атаки и её длительности.

Для маскировки активности злоумышленники используют сети так называемых «домашних прокси», где трафик проходит через реальные IP-адреса пользователей. В последние месяцы активно применялась инфраструктура IPIDEA. После попыток блокировки часть активности переместилась в сеть I2P – распределённую систему, которая скрывает участников и усложняет перехват управления.

Рост активности ботнетов во многом связан с доступностью исходного кода Mirai и слабой защитой домашних устройств. Маршрутизаторы и другая техника редко получают обновления, а пользователи часто оставляют стандартные пароли. В результате такие устройства легко превращаются в часть чужой инфраструктуры атак.

Ситуация вряд ли изменится быстро. Пока домашние устройства остаются уязвимыми, ботнеты будут расти, а атаки – становиться мощнее и сложнее для отражения.