Роскомнадзор отразил 941 DDoS-атаку на критически важные системы
Максимальная мощность DDoS-атаки в апреле 2025 г. достигла 1,3 Тбит/с, скорость до 114,15 млн пакетов в секунду (п/с). Об этом рассказали специалисты Главного радиочастотного центра (ФГУП "ГРЧЦ"), отвечающего за экспертизу и мониторинг соблюдения законодательства в области деятельности Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
"Максимальная продолжительность DDoS-атаки составила 5 дней 4 часа 59 минут. Чаще всего атаки совершались c мощностей, имеющих IP-адреса, зарегистрированные на территории США, Тайваня, Великобритании. Наибольшее количество DDoS-атак фиксировалось на государственные организации и компании, работающие в телекоммуникационной отрасли", - сказано в сообщении ГРЧЦ.
Также в апреле 2025 г. специалисты Роскомнадзора заблокировали 14115 фишинговых ресурсов и 40 ресурсов, на которых распространялось вредоносное программное обеспечение (ПО).
Руководитель направления информационной безопасности АО "Инфозащита" (iTPROTECT) Леонид Ломакин отметил, что если еще год назад терабитная атака воспринималась как исключение, то теперь - это рабочая единица риска, и защита от нее должна быть встроена не только на уровне провайдеров, но и в архитектуру самих систем. "Цель атак - не только перегрузить каналы, но и исчерпать ресурсы пограничных устройств: L7-балансировщиков, DPI, WAF, файерволы. Защита на этом уровне требует не просто масштабируемости, а способности к гибкой маршрутизации, переносу сервисов в разные зоны доступности, динамическому управлению трафиком. Если говорить о типах угроз, то по степени критичности ни DDoS, ни фишинг, ни вредоносное ПО нельзя рассматривать изолированно. Это действие в связке, где DDoS может отвлекать, фишинг - открывать канал и так далее", - считает Леонид Ломакин.
Руководитель отдела защиты информации АО "Инфовотч" (InfoWatch) Роман Сафиуллин считает, что все перечисленные варианты воздействия на инфраструктуру опасны для ИБ-организации: "Разные векторы атаки воздействуют на разные болевые точки компании, и их уровень опасности зависит от модели актуальных угроз конкретной организации".
Роман Сафиуллин привел пример: "DDoS-атаки нарушают доступность информации. Вероятно, это не будет являться критичным нарушением для малого бизнеса (например, лег сайт - ничего катастрофического не произошло), но для промышленной или банковской инфраструктуры простои недопустимы, и DDoS-атаки будут представлять для них значительно большую угрозу".
Руководитель направления сервиса WAF ГК "Солар" Алексей Пашков рассказал о том, как компания изменила способы по выявлению нарушений с начала 2025 г.: "Мы развиваемся в сторону более тонкой очистки трафика от DDoS-атак с целью обеспечения стабильной работы каждого, даже небольшого интернет-сервиса. При этом одной из главных задач по-прежнему остается отражение массированных атак на магистральном уровне интернет-провайдера".
Руководитель направления отдела анализа и оценки цифровых угроз Infosecurity ПАО "Софтлайн" (ГК Softline) Кристина Буренкова рассказала, что в 2025 г. фишинговые схемы все чаще выходят за рамки классического сбора персональных данных, становясь сложнее и изощреннее: "Для нас методы их выявления остались прежними, но изменились акценты. Наряду с массовыми атаками на клиентов все больше набирает популярность "мейловый" (почтовый) фишинг. Злоумышленники регистрируют домены, имитирующие официальные, и рассылают фишинговые письма от имени компании. Часто эти домены не имеют активного сайта или наполнения, существуя только для почтовых серверов. При этом целевая аудитория таких атак - уже не клиенты, а сотрудники и контрагенты компании".
Роман Сафиуллин объяснил, почему с территории США и Тайваня идет наибольшая киберугроза: "Наиболее вероятная причина заключается в том, что на территории этих двух стран зарегистрировано больше всего адресов, соответственно, там находится больше всего взломанных зомби-устройств, которые входят в пул атакующих. Это скомпрометированные устройства, захваченные злоумышленниками в предыдущих атаках, которые используются для того, чтобы DDoS-атаку было сложнее остановить, т.к. она идет не с одного адреса (DoS атака), а с множества (DDoS-атака)".
