Кибермошенники атаковали каждого российского оператора облачных сервисов минимум 25 тыс. раз с января 2025 г.

Согласно сообщению ООО "МТС Веб Сервисы" (MWS Cloud, входит в экосистему ПАО "МТС"), за первые шесть месяцев 2025 г. MWS Cloud отразила более 28 тыс. кибератак на облачную инфраструктуру компании. Более 7000 из них были попытками проникновения в ИТ-системы, а более 21 тыс. - DDoS-атаками. Самая долгая атака шла 41 час, самая мощная - составила 59,7 млн пакетов в секунду общим объемом 626 Гбит/с. Больше всего атак пришлось на май (более 4,8 тыс. атак) и июнь (более 5,7 тыс.).

"За первое полугодие 2025 г. отражено более 7,3 тыс. попыток проникновения в инфраструктуру, отраженных SOC. Более тысячи из них были критичными. Наибольшее число таких атак пришлось на апрель - более 1,6 тыс. При этом за первое полугодие 2024 г. попыток проникновения в инфраструктуру было порядка 10 тыс.", - говорится в сообщении компании.

Мощь DDoS-атак, по словам директора по информационной безопасности MWS Cloud Виктора Бобылькова, резко выросла в начале 2025 г. В ответ на это компания провела "ренамберинг" сетей, настроила автоматизацию заведения трафика на центры очистки, а также провела работу с клиентами по выделению диапазонов сетей. Эти действия позволили отразить DDoS мощностью более 600 Гбит/с и без проблем пережить ковровые атаки в мае-июне.

"За первые шесть месяцев 2025 г. мы зафиксировали более 25 тыс. попыток кибератак на облачные и гибридные инфраструктуры, и это без учета DDoS-атак. 54% атак начались через использование валидных учетных записей, полученных, например, через утечки или фишинг", - рассказал руководитель Security Operations ООО "Яндекс Облако" (Yandex Cloud) Юрий Наместников.

Он отметил, что рост популярности инструментов cloud native привел к переменам в техниках и тактиках злоумышленников. По его словам, уровень профессионализма атакующих при учете облачной специфики повысился. Злоумышленники начали использовать сразу несколько техник проникновения. Юрий Наместников считает, что это свидетельствует об автоматизации процессов атак. Также злоумышленники все чаще атакуют гибридные инфраструктуры (содержат весь спектр ИТ-систем: SaaS, PaaS, IaaS и on premises). Хакеры следуют за бизнесом и пытаются капитализировать то, что в тесно связанных инфраструктурах ключи от облачной инфраструктуры можно найти в on premises и наоборот.

"Кроме того, анализ показывает, что, по сравнению с 2024 г., когда главной целью злоумышленников было нанесение репутационного ущерба и выведение инфраструктуры из строя, в первой половине 2025 г. мотивация киберпреступников изменилась. Теперь на первое место вышли финансово мотивированные атаки - более 61% атак, то есть существенно больше половины, предположительно, были нацелены на кражу данных с целью выкупа и перепродажи", - рассказал Юрий Наместников.

Руководитель направления продуктовой безопасности АО "Селектел" (Selectel) Антон Ведерников сообщил, что, по данным компании, активность злоумышленников в 2025 г. остается высокой. По его словам, количество DDoS-атак растет каждый год. С января по июнь 2025 г. Selectel отразил более 61 тыс. DDoS-атак. Это почти вдвое больше, чем за аналогичный период 2024 г., а ежемесячное количество инцидентов превышало 10 тыс.

"В среднем на одного клиента приходилось более 2,4 тыс. атак, при этом в мае 2025 г. этот показатель достиг максимума и превысил 4,1 тыс. инцидентов. В первом полугодии 2025 г. мы наблюдали изменение тактики DDoS-злоумышленников: вместо единичных мощных атак они использовали более частые, длительные и умеренно интенсивные сценарии, которые могут оставаться незамеченными для систем защиты, ориентированных на мощные атаки с высокими значениями", - рассказал Антон Ведерников.

Также он отметил, что самая длинная атака на одного клиента прошла в апреле и длилась 222 часа, а максимальная общая продолжительность инцидентов на одного клиента достигла 553 часов. Всего за первое полугодие 2025 г. компания блокировала более 9,6 тыс. часов атак.

"Наибольшее общее количество атак в первом полугодии 2025 г. зафиксировано в январе - более 14,6 тыс. инцидентов. В мае наблюдался рекордный показатель - 4,1 тыс. атак на одного клиента. Такие пики могут быть связаны с сезонными колебаниями активности злоумышленников, а также с особенностями работы бизнеса в определенные периоды года", - рассказал Антон Ведерников.

Представитель пресс-службы ООО "Облачные технологии" (Cloud.ru) отметил, что основной вектор атак на облачные инфраструктуры связан не столько с DDoS, сколько со злоупотреблением учетными записями, и рассказал, что, по данным компании, общее количество атак на клиентов облачных платформ в России достигает 200 тыс. в год и в первой половине 2025 г. эта динамика сохраняется. По его словам, выросло количество инцидентов, начинающихся с подбора пароля, кражи или повторного использования легитимных учетных данных. Он заметил, что злоумышленники больше всего заинтересованы в привилегированных аккаунтах, через которые можно быстро эскалировать права и захватить контроль над инфраструктурой.

"Мы видим, что атаки становятся более автоматизированными за счет применения ИИ, что упрощает работу злоумышленников. В ответ ведущие вендоры информационной безопасности - и Cloud.ru в том числе - используют те же технологии для интеллектуального анализа и предотвращения инцидентов. Ошибки остаются типовыми: открытые публичные адреса и порты, отсутствие двухфакторной аутентификации, слабый контроль над привилегированными учетными записями. Для малого и среднего бизнеса проблема чаще в нехватке ресурсов и отсутствии базовой гигиены ИБ, для крупных компаний - в масштабности процессов, где одна ошибка или задержка в реагировании может иметь серьезные последствия", - заключил представитель пресс-службы Cloud.ru.