InfoWatch: атакующие российскую инфраструктуру группировки координируют усилия

Злоумышленники планируют крупные DDoS-атаки на российские предприятия и атакуют одновременно силами несколько группировок. Такие выводы позволяет сделать статистика Роскомнадзора (РКН) и Национального координационного центра по компьютерным инцидентам (НКЦКИ), которую проанализировал экспертно-аналитический центра ГК InfoWatch в своем обзоре «Статистика активности по отражению компьютерных атак и устранению источников угроз по официальным источникам за 2024-2025 гг.».

Аналитики ЭАЦ InfoWatch изучили ключевые индикаторы статистики двух ведомств за 2024-2025 гг. и сопоставили их изменения с информацией о компьютерных атаках из открытых источников. По данным РКН, в первой половине и в конце 2025 г. значительно выросло число блокировок фишинговых ресурсов, а количество заблокированных сайтов, распространяющих вредоносное ПО, начало резко расти во втором полугодии прошлого года. В этот период происходили атаки на транспортные предприятия («Аэрофлот»), розничные сети («ВинЛаб», аптечные сети), регуляторы (Россельхознадзор), а также коммунальные службы (Росводоканал), напоминает главный аналитик ЭАЦ InfoWatch Сергей Слепцов.

Количество DDoS-атак, данные по которым также публикует РКН, резко выросло во второй половине 2024 г. и затем, после относительного снижения, вновь наблюдался скачок во второй половине 2025 г. Максимальная мощность атак тоже приходится на вторую половину 2024 г. с еще одним всплеском во второй половине 2025 г.

«Мы видим явное совпадение резкого роста мощности и скорости, а также количества DDoS-атак на российскую инфраструктуру в определенные месяцы. На наш взгляд, это говорит о том, что различные хакерские группировки могут координировать свои действия и работать целенаправленно в интересах определенной стороны. Можно было бы предположить, что это усилия одной крупной группировки, однако количество атак тоже росло, что позволяет предполагать именно совместную работу разных групп злоумышленников», – отметил Сергей Слепцов.

Данные Национального координационного центра по компьютерным инцидентам (НКЦКИ) демонстрируют похожую динамику. Изменения количества ресурсов, заблокированных НКЦКИ, по месяцам очень близки к изменениям количества сайтов-распространителей ВПО, заблокированных РКН. Пиковые значения приходятся на периоды, совпадающие с периодами роста сообщений в открытых источниках о компьютерных атаках, в том числе о наиболее резонансных, указывают авторы исследования.

По данным НКЦКИ, в отраслевом плане значительная доля вредоносных ресурсов направлена на предприятия энергетики и топливно-энергетического комплекса, социальные сети и мессенджеры, торговлю и сервисы доставки, добавляют в ЭАЦ InfoWatch.