В конце марта 2026 года международные правоохранительные органы провели операцию по ликвидации двух крупнейших ботнетов Aisuru и Kimwolf, контролировавших более 3 миллионов зараженных устройств по всему миру. Однако, по данным аналитического центра компании StormWall, спустя два месяца структура источников DDoS-атак осталась прежней: США остались на первом месте, Бразилия — на втором. Ситуация с DDoS-атаками в России почти не изменилась, и хакеры продолжили запускать мощные DDoS-атаки на отечественные компании. Эффект от операции оказался краткосрочным.
Сразу после ликвидации ботнетов в апреле 2026 года специалисты StormWall зафиксировали снижение общего числа атак в России на 26% по сравнению с мартом 2026 года. Однако уже в мае последовал ответный всплеск, и число атак выросло на 94% относительно марта. Злоумышленникам потребовалось чуть больше месяца, чтобы перегруппироваться и нарастить необходимые мощности.
По данным StormWall, количество прикладных атак (L7) продолжило снижаться — в мае этого года число подобных атак уменьшилось на 26% по сравнению с мартом этого года. Однако пиковая мощность атак L7 выросла с 583,5 тыс. запросов в секунду в марте до 649,4 тыс. запросов в секунду в апреле и 622,9 тыс. запросов в секунду в мае. При этом количество сверхмощных атак L7 (более 100 тыс запросов в секунду) увеличилось до 121 в мае, что является максимальным показателем за три месяца.
В мае 2026 года в ТОП-5 источников бот-трафика в мире вошли США, Бразилия, Филиппины, Вьетнам и Россия, обеспечив 67,2% всех IP-адресов, участвовавших в DDoS-атаках уровня L3. При этом лидерство США и Бразилии среди источников атак может подтверждать гипотезу, что крупные ботнет-сети не были уничтожены, а лишь временно ослаблены.
По итогам 3 месяцев (март, апрель и май) Россия заняла третье место в мире по объему генерируемого DDoS-трафика с долей 9%. В мае 2026 года количество зараженных российских устройств, участвующих в атаках, выросло в 2,6 раза по сравнению с апрелем 2026 года и в 1,5 раза по сравнению с мартом этого года. По мнению экспертов StormWall, злоумышленники все чаще заражают местные устройства, чтобы обходить геоблокировки при атаках на российские компании.
Помимо этого, после ликвидации Aisuru и Kimwolf произошла миграция ботнет-инфраструктуры. Количество атак с IP-адресов Филиппин выросло на 959% (до 2 млн), Вьетнама — на 750% (до 1,5 млн), Оман и Бангладеш оказались в ТОП-10 источников атак, хотя ранее не входили даже в ТОП-20. Также кардинально изменились векторы: количество UDP-атак в апреле 2026 года упало на 47% по сравнению с мартом 2026 года, однако, к маю они восстановились, показав рост на 272% относительно апреля. Количество ICMP-атак за три месяца выросло более чем в 5 раз.
Стоит добавить, что злоумышленники перешли к тактике массированных коротких ударов. Количество атак длительностью до 15 минут выросло более чем в 30 раз с марта по май этого года (с 2 тыс. до 68 тыс.). Одновременно выросло и число сверхдлительных атак — инцидентов продолжительностью более 1 дня стало на 89% больше.
“Ликвидация Aisuru и Kimwolf нанесла урон крупным группировкам злоумышленников, но это не смогло предотвратить быструю перегруппировку хакеров. Тот факт, что США и Бразилия сохранили лидерство по источникам атак, косвенно говорит нам о том, что злоумышленники продолжают использовать ту же инфраструктуру, что и в марте 2026-го. Российский бизнес остается как источником, так и целью атак. Мы прогнозируем дальнейший рост количества и мощности DDoS-атак на территории РФ. Компаниям рекомендуется заранее выстраивать многоуровневые системы защиты, способные распознавать аномальную активность на уровне поведения, а не только по IP-адресам”, — отметил Рамиль Хантимиров, CEO и сооснователь StormWall.
Источник: StormWall
