В России выявлен взрывной рост “зондирующих” DDoS-атак, используемых хакерами для разведки

Компания StormWall, специализирующаяся на защите бизнеса от кибератак, обнаружила новый тренд на рынке информационной безопасности - активное использование хакерами “зондирующих” DDoS-атак в России. Специалисты StormWall выявили взрывной рост “зондирующих” DDoS-атак продолжительностью до 15 минут в мае 2025 года. Для анализа были использованы данные клиентов компании.

По данным аналитиков StormWall, в мае 2025 года было выявлено более 450 тысяч подобных атак, при этом в мае 2024 года было только 44 инцидента. Рост числа “зондирующих” атак в мае этого года является колоссальным - в 10 000 раз. Также данный тренд был подтвержден квартальной статистикой. В 1 квартале 2025 года подобные атаки длительностью до 15 минут занимали 43,6% от числа всех инцидентов. Для сравнения в 1 квартале 2024 года доля таких атак составляла только 0,2% от числа всех инцидентов.

Эксперты StormWall проанализировали природу “зондирующих” атак и выявили их отличительные черты. Подобные атаки обычно кратковременны и длятся не более 15 минут. Они используются злоумышленниками для разведки, с целью определения реакции систем защиты, уровня автоматизации и “порогов срабатывания”. Чаще всего, “зондирующие” DDoS-атаки проходят по протоколу HTTP/HTTPS (уровень L7), имитируя поведение обычных пользователей. Такие атаки довольно сложны для обнаружения - могут не сработать традиционные фильтры или WAF.

Сразу выявить “зондирующие” DDoS-атаки не просто. Однако, есть косвенные признаки, которые указывают на возможное начало зондирования: повторяющиеся короткие всплески трафика, периодические HTTP-флуды с ограниченным числом IP, необычные RPS-пики без длительной нагрузки, внезапные 5-10-минутные перебои в работе API, frontend-сервисов, админок.

Если подобные атаки были обнаружены, то необходимо усилить мониторинг за всеми уровнями инфраструктуры - от уровня сети до уровня приложений, проверить работу механизмов защиты (WAF, rate limits, антибот-фильтров и т.д.). Кроме того, рекомендуется провести самостоятельно имитацию атаки или заказать пентест. Также необходимо переобучить поведенческую модель защиты, если это требуется. Самое главное — лучше заранее подготовиться к возможной масштабной атаке с учетом разведданных, собранных злоумышленником.

“Если не реагировать на “зондирующие” атаки, то последствия могут быть печальными. Бездействие чревато запуском успешной атаки позже - злоумышленник протестирует систему и ударит в уязвимое место. Возможен долгий простой при повторной атаке, так как защита не будет подготовлена, а также компрометация API, DNS или внутренних компонентов, если атака выявила уязвимости. Наконец могут быть серьезные финансовые потери, особенно у интернет-магазинов, сервисов доставки или бронирования, а также игровых компаний”, - отметил Рамиль Хантимиров, CEO и сооснователь StormWall.