StormWall: российский бизнес будет подвергаться DDoS-атакам нового поколения

StormWall: российский бизнес будет подвергаться DDoS-атакам нового поколения

изображение: grok

Российские компании попали под серию мощных DDoS-атак, и в StormWall уверены — это не самостоятельная кампания, а разведка перед чем-то более крупным. Злоумышленники не просто валят инфраструктуру, они изучают её, переписывают тактику на ходу и обкатывают будущий инструментарий.

Волна активности пришлась на период с 20 по 23 июня. За четыре дня аналитики насчитали несколько высокоинтенсивных ударов, построенных на мощных UDP-флудах. Мусорный трафик при этом маскировался под действия живых пользователей и обращения от доверенных сервисов, что заметно осложняло его отделение от нормальной нагрузки.

Пиковая мощность одного из инцидентов достигла 2,56 Тбит/с при интенсивности около одного миллиарда пакетов в секунду. Такие показатели входят в разряд предельных нагрузок, с которыми вообще сталкиваются современные системы защиты от DDoS.

Интересно, что речь идёт о четырёх днях наблюдений, а не о растянутой во времени кампании — атакующие действовали короткими, но крайне насыщенными окнами.

Нынешняя серия заметно отличается от привычных атак. Вместо однотипного потока пакетов используется куда более продуманная схема работы. Перед запуском основной нагрузки атакующие изучают защищаемый периметр, прощупывают применяемые средства защиты и мгновенно перестраивают собственный сценарий при появлении ответных мер. В ходе наблюдений зафиксировано следующее поведение:

  • размер сетевых пакетов менялся неоднократно для поиска слабых мест оборудования;
  • после первой блокировки атакующие сразу переходили на другие методы доставки трафика;
  • источники нагрузки переключались между странами в пределах одной волны;
  • маскировка под легитимных пользователей усиливалась после срабатывания фильтров;
  • интенсивность подстраивалась под пропускную способность каналов жертвы.

Гендиректор и сооснователь StormWall Рамиль Хантимиров прямо говорит, что компания столкнулась не с попыткой положить сервисы, а с целенаправленным стресс-тестированием инфраструктуры. Отсутствие требований выкупа и широкий перечень целей наводят его на мысль о проверке нового ботнета или свежего набора инструментов перед более крупной кампанией. После каждой блокировки атакующие меняют методы, расширяют географию источников и докручивают механизмы имитации обычного пользовательского поведения.

Стоит обратить внимание, что отсутствие денежных требований само по себе нетипично для подобных нагрузок — обычно за такой мощностью идёт сразу письмо с суммой выкупа.

Под удар попали самые разные категории организаций. В перечень целей вошли игровые платформы, хостинг-провайдеры, телеком-операторы и корпоративные сети предприятий из совершенно непохожих отраслей. Такое распределение выбивается из классических схем вымогательства, где злоумышленники обычно концентрируются на одной-двух компаниях и тут же выставляют ценник.

География вредоносного трафика тоже сильно поменялась. Раньше основной поток шёл преимущественно из Бразилии и Индии, теперь список значительно шире. Аналитики StormWall обнаружили источники нагрузки в следующих странах:

  • Россия;
  • США;
  • Германия;
  • Нидерланды;
  • Мексика;
  • Ирак;
  • Азербайджан;
  • Казахстан.

Расширение перечня указывает на дальнейший рост инфраструктуры ботнета. Сеть, судя по всему, объединяет огромное количество разнородных устройств. В её составе аналитики видят:

  • скомпрометированные камеры видеонаблюдения;
  • бытовые и офисные маршрутизаторы;
  • серверы коммерческих площадок;
  • оборудование интернет-провайдеров с заражённой прошивкой;
  • устройства интернета вещей со слабой парольной политикой.

Развитие технологий маскировки трафика вызывает у аналитиков отдельное беспокойство. Если такие инструменты продолжат совершенствоваться, отличать действия злоумышленников от поведения обычных пользователей будет всё труднее. Операторам связи, провайдерам и корпоративным службам безопасности придётся переходить на более интеллектуальные методы анализа сетевой активности вместо привычной фильтрации по объёму трафика или известным шаблонам. Какие задачи встают перед защитниками уже сейчас:

  • глубокий поведенческий анализ запросов;
  • автоматическая корреляция событий между разными уровнями инфраструктуры;
  • быстрое обновление сигнатур и правил фильтрации;
  • расширение собственных каналов поглощения нагрузки;
  • регулярные учения по отражению пиковых атак.

Современные DDoS-атаки постепенно переходят на новый уровень сложности. Злоумышленники уже не ограничиваются перегрузкой каналов, а используют адаптивные механизмы, которые позволяют им изучать защитную инфраструктуру, оперативно менять подходы и наращивать эффективность инструментов от волны к волне. Своевременное обновление средств защиты и постоянный мониторинг сетевой активности становятся одним из главных факторов противодействия подобным угрозам.

Ранее сообщалось, что за первые 5 месяцев 2026 года количество атак программ-вымогателей на российские компании снизилось на 20%, что стало первым спадом за последние 4 года. При этом активность проукраинских хакерских групп, напротив, выросла более чем на 10%. По данным, которые со ссылкой на «Коммерсант» привёл специалист по информационной, компьютерной и сетевой безопасности Сергей Вакулин в беседе с НСН, максимальная зафиксированная сумма первоначального требования выкупа достигла 3,8 млн долларов. На этом фоне киберпреступники всё чаще смещают фокус с DDoS-атак на охоту за корпоративными данными.

Эксперты редакции CISOCLUB отмечают, что зафиксированная StormWall активность — это репетиция перед масштабной кампанией, которая накроет рунет уже до конца лета. Адаптивный характер трафика и широкий разброс целей указывают на то, что под угрозой окажется не отдельная отрасль, а весь корпоративный сегмент сразу.

Редакция считает, что компаниям пора пересматривать модель защиты и уходить от расчёта на одного провайдера фильтрации. Опираться только на пороги по объёму трафика больше нельзя, нужны поведенческие модели и связка с операторами связи. Тянуть с обновлением договоров о защите и сценариев реагирования сейчас откровенно опасно. Чем дольше бизнес откладывает решение, тем выше шанс встретить полноценную волну без готового плана действий.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: