Январь
Кибератаки
Хакеры взломали DeepSeek. В сети оказались переписки с чат-ботом, секретные ключи и другие внутренние данные. Исследователи из Wiz Research нашли базу в открытом доступе без необходимости использования паролей или сложных взломов.
36 расширений Google Chrome пострадали от взлома и внедрения вредоносного кода. В результате данные более 2.5 млн пользователей могут быть украдены.
Хакер взломал учетную запись администратора на сайте игры «Path of Exile 2» (POE2), что позволило ему сбросить пароли для аккаунтов игроков и похитить редкие предметы. Взлом начался с компрометации учетной записи в Steam — злоумышленник получил доступ к административной учетной записи на сайте игры. Геймдиректор Path of Exile 2 Джонатан Роджерс признал, что разработчики «полностью облажались», а игроки жаловались на кражи инвентарей, совершенные после взлома аккаунтов.
Утечки данных
Хакеры из группировки Silent Crow получили доступ к данным раздела «Обратная связь» сайта «Ростелекома» и БД пользователей портала закупок. Утечка включает около 162 тысяч записей с ФИО, темами обращений, контактной информацией и текстами сообщений. Ростелеком подтвердил утечку.
На этом хакеры Silent Crow не остановились и заявили о взломе ресурсов Росреестра и опубликовали в качестве доказательства архив с 1 ТБ данных. Росреестр утечку не подтверждает и занимается расследованием.
Группировка Belsen Group опубликовала в даркнете конфиденциальные данные 15 000 устройств FortiGate, включая конфигурационные файлы, IP-адреса и учетные данные VPN. Архив объемом 1,6 ГБ содержит файлы с дампами конфигураций и пароли в открытом виде, а также приватные ключи и правила брандмауэра. Эти данные предоставляют преступникам свободный доступ к сетям, использующим устройства FortiGate.
Другие события
Эксперты по кибербезопасности предупреждают, что хакеры продают зараженную вирусами технику на маркетплейсах, включая USB-накопители, сетевые адаптеры, роутеры и IP-камеры. Специалисты рекомендуют быть осторожными с подозрительно дешевыми устройствами, так как они могут скрыто передавать данные, например, дешевые веб-камеры, которые тайно транслируют видео в сеть.
У одного из провайдеров связи произошла авария на магистральной сети. Это вызвало масштабный сбой в работе МТС, Google, VK, Rutube и других ресурсов.
В переходнике RJ45 с AliExpress обнаружили вредоносное ПО для Windows — внутри памяти SPI находился .exe-файл, его анализ показал, что программа фиксирует ввод с клавиатуры, позволяя злоумышленникам похищать пароли от соцсетей и других сервисов.
В даркнете появился новый инструмент на базе ИИ — GhostGPT, чатбот, предназначенный для киберпреступников. Он он не имеет этических ограничений и помогает создавать вредоносное ПО, фишинговые сообщения и эксплойты, не имея этических ограничений. GhostGPT распространяется через Telegram и не требует установки на компьютер, что упрощает его использование. Инструмент стоит от $50 в неделю, его доступность ускоряет процесс атак и снижает время на их подготовку.
Февраль
Кибератаки
Специалисты «Лаборатории Касперского» обнаружили SparkCat — вредонос, который скрывается в поддельных приложениях и сканирует фото в поисках паролей, seed-фраз и токенов. Найденные данные он отправляет злоумышленникам.
В сети появился новый вирус Graphite. Он распространяется через WhatsApp в виде обычных PDF-файлов и крадет данные со смартфонов: СМС-коды от банков, пароли и адреса пользователей.
Криптобиржа Bybit потеряла около 70% своих Ethereum-активов из-за хакерской атаки. Злоумышленники украли с кошелька компании $1,4 млрд в эфириуме. По словам экспертов, за атакой стоит группировка Lazarus. Часть украденных средств удалось обнаружить и сейчас за их перемещением по кошелькам для «отмывания» следят правоохранительные органы. Но $300 миллионов потеряны безвозвратно. Bybit обещает $140 млн за помощь в поимке организаторов крупнейшего криптовалютного ограбления в истории.
Утечки данных
Неизвестные атаковали российскую микрофинансовую компанию CarMoney и заявили, что получили данные заемщиков, включая сотрудников Минобороны РФ и спецслужб. Взлом произошел ночью 17–18 февраля, после чего клиентам пришло ложное сообщение о закрытии компании и аннулировании долгов, а сайт и приложение перестали работать.
Еще одной жертвой стала компания микрозаймов CashToYou. Злоумышленник слил на BreachForums базу с 12,9 млн записей, включая ФИО, телефоны, даты рождения, сканы документов и банковские реквизиты.
Группировка Silent Crow заявила, что получила доступ к информационной системе управления данными в распределенной вычислительной среде Департамента информационных технологий (ДИТ), отвечающего за цифровую инфраструктуру и IT-системы Москвы. По данным DLBI, в опубликованных фрагментах базы содержатся ФИО, номера телефонов, адреса, паспортные данные и другая личная информация. Хакеры утверждают, что общий объем украденных файлов составляет около 40 ТБ, а актуальность данных подтверждает связь с июньской утечкой.
Хакеры скомпрометировали данные сотрудников крупных оборонных компаний, включая Lockheed Martin, Boeing и Honeywell. В утечку попали логины и пароли, VPN-сессии, доступы к секретным порталам закупок и внутренним ИТ-системам. Исследователи считают, что причиной стала небрежность работников, установивших ПО на рабочие устройства из непроверенных источников, которое содержало трояны.
Хакерская группировка Sarcoma взломала тайваньскую компанию Unimicron, одного из крупнейших производителей печатных плат. Вымогатели заявили, что украли 370 ГБ данных, включая SQL-файлы и документы, и угрожают их слить, если не получат выкуп. Unimicron признала атаку, но отрицает утечку данных.
Другие события
Телефонные мошенники обманули топ-менеджера «Лаборатории Касперского» на 10 миллионов рублей. Представившись силовиками и сотрудниками Росфинмониторинга, они убедили его, что хакеры пытаются отправить его деньги на счета запрещенной в РФ организации. Испугавшись, эксперт сам передал средства курьерам.
«Ростелеком» сообщил о повреждении подводного кабеля в Балтийском море. Оператор утверждает, что обрыв произошел из-за якоря судна другого государства, который нарушил правила мореплавания.
Сына экс-главы РКН и гендиректора «Газпром-медиа» мошенники обманули на 65 миллионов рублей. Представившись сотрудниками «Мегафона», они получили доступ к его «Госуслугам» и убедили передать курьерам 49 млн рублей, 36 тысяч долларов и 133 тысячи евро. Затем жертва попыталась без документов заложить 16 дорогих часов, но сотрудница ломбарда заподозрила неладное и вызвала полицию.
Американка призналась в крупнейшей IT-афере, связанной с трудоустройством северокорейских программистов в США под видом американцев. Женщина использовала данные более 70 граждан. Мошенница получала и размещала у себя дома рабочие ноутбуки от американских компаний, чтобы компании считали, что работники находятся в Соединенных Штатах. Эта махинация позволила преступникам заработать более $17 миллионов.
Китайские ученые разработали камеру, способную распознавать лица с орбиты. Она использует лазерную технологию и может фиксировать объекты размером от 1,7 мм на расстоянии 100 км. Это позволяет детально рассматривать лица людей прямо с низкой околоземной орбиты.
В PlayStation Network случился глобальный сбой, который длился более 20 часов, затронув запуск игр, учетные записи и сервисы на консолях PS3, PS4, PS5 и PS Vita. В Sony подтвердили проблему, но не раскрыли ее причины. Sony объявила о полном восстановлении работы сети и компенсировала сбой подписчикам PlayStation Plus, добавив 5 дней к их подписке.
Март
Кибератаки
26 марта Лукойл стал жертвой масштабной хакерской атаки, в результате которой россияне не могли оплатить топливо картами, а сотрудники не имеют доступа к рабочим компьютерам. Атака затронула как головной офис, так и региональные отделения, из-за чего вся система компании вышла из строя.
В Саратовской области из-за хакерской атаки на площадку госзакупок задержались поставки лекарств на 3 недели. Сбой произошел из-за январской атаки на платформу Росэлторг, ответственность за которую взяла группировка Yellow Drift.
На Android распространяется вирус EvilLoader, с помощью которого массово взламывают Telegram-аккаунты. Жертве присылают видео с бесконечной загрузкой, перенаправляют в браузер и предлагают установить «обновление». После установки вирус ворует пароли, банковские и личные данные.
Масштабный ботнет атаковал более 130 тысяч устройств по всему миру, нацелившись на учетные записи Microsoft 365. Преступники использовали метод «распыления пароля», чтобы обойти многофакторную аутентификацию и получить доступ к аккаунтам.
Школьник взломал официальный YouTube-канал DC, заменив аватарку на задачу по алгебре. В описании он указал, что это «личный аккаунт ученика первого класса средней школы Yulha Ли Джин Ву».
Нигерийский хакер взломал налоговую систему США и похитил $1,3 млн, используя данные, украденные через фишинговые атаки на компании Массачусетса. С помощью вируса Warzone RAT, злоумышленник получил доступ к компьютерам и продавал фальшивые налоговые декларации от чужих имен. Преступнику грозит 37 лет тюрьмы.
Утечки данных
В даркнете появились данные более 230 тысяч пользователей криптобирж Gemini и Binance. Утечка включает 100 тысяч записей с полными именами, номерами телефонов, IP-адресами и электронными почтами. Binance отрицает взлом серверов, утверждая, что утечка произошла из-за компрометации устройств пользователей через вредоносное ПО.
Исследователь ИБ обнаружил открытую базу данных медицинской платформы ESHYFT, содержащую личные данные 86 тысяч ее работников. Утечка включала более 100 ГБ информации, включая фотографии, рабочие графики и медицинские заключения.
Шпионское приложение Spyzie раскрыло конфиденциальные данные более 500 тысяч пользователей из-за уязвимости, позволяющей получить доступ к личным данным на Android, iPhone и iPad. Под угрозой оказались сообщения, геолокации, фотографии и почтовые адреса пользователей, использующих приложение с февраля 2020 по июль 2024 года. Само приложение остается скрытым на зараженном устройстве.
Сайт Dogequest опубликовал персональные данные тысяч владельцев Tesla в США и требует доказать продажу авто для удаления информации. На фоне поджогов и нападений на дилеров ситуация усугубляется растущими протестами и агрессией против бренда. Илон Маск назвал происходящее «крайним внутренним терроризмом», а расследованием занялись спецслужбы.
Россия вошла в топ-5 стран по объему утечек личных данных — в 2024 году в сеть попало 1,58 млрд записей. За год число инцидентов выросло более чем на 30%. В 2023 году страна занимала лишь 7-е место.
Другие события
В Австралии создали биокомпьютер CL1 — гибрид кремниевого чипа и живой ткани из клеток человека и грызунов. Он способен к самообучению и работает в сотни раз энергоэффективнее обычных компьютеров, а запуск в массовое производство намечен на конец 2025 года.
Разработчики показали первый в мире ноутбук с десктопной видеокартой RTX 5090 — он весит почти 5 кг, но все еще влезает в рюкзак. На выбор доступна версия на процессоре Ryzen 9 9950X3D или Intel Core Ultra 9 285K, а для охлаждения используется водяная система. Устройство оснащено 17,3-дюймовым экраном.
Nvidia представила настольный суперкомпьютер DGX Spark размером с Mac Mini, но с мощностью дата-центра — 1 петафлопс ИИ-вычислений. Устройство ориентировано на работу с LLM от OpenAI, Google и других, оснащено 128 ГБ ОЗУ и SSD на 4 ТБ. Предзаказы уже открыты, цена — $4000.
20 марта Роскомнадзор заблокировал Cloudflare и Amazon по всей Сибири, что вызвало сбои в работе множества сайтов и приложений. DPI-анализ показывает, что трафик просто исчезает, оставляя миллионы пользователей без доступа к привычным сервисам. Власти указали на «неработоспособность иностранных серверов» и призвали переходить на отечественные решения.
После атаки на криптобиржу ByBit, в ходе которой было украдено почти $1,5 миллиарда в ETH, хакеры из группы Lazarus за 10 дней отмыли более 80% средств через децентрализованные платформы. Они перевели 410 тысяч ETH в BTC и распределили их между 7 тысячами кошельков. Около 70% украденных активов удалось отслеживать, а 20% были безвозвратно утеряны. Биржа поблагодарила участников расследования, выплатив им награду в $2,1 миллиона USDT.
Тенденции DDoS-атак в первом квартале 2025 года
В 2025 году DDoS-атаки продолжают расти, совершенствоваться и усиливаться. Цели атакующих изменились, а общее число инцидентов по сравнению с первым кварталом прошлого года несколько сократилось (443 тысячи против 496), однако не все так просто, как выглядит на первый взгляд.
Ключевые тренды в Q1 2025
В мире в целом наблюдается подъем DDoS-атак, ставший еще более заметным к концу прошлого года. В первом квартале 2025 года хактивисты атаковали США чаще, чем любую другую страну: на США было направлено 13,5% всех DDoS-атак. Многие из этих инцидентов, как зафиксировали Netscout, имеют политический (хактивистский) характер, и, судя по динамике, теперь это станет частью обыденной реальности.
Cогласно отчету RadWare на сцену вышли группировки из совсем неожиданных стран — Малайзии, Йемена, Индонезии и Марокко. Akamai со своей стороны отмечают, что наряду с ростом числа атак они также заметно «умнеют», и для их отражения уже не обойтись без профессиональной защиты. Мы подтверждаем эту тенденцию.
Переориентация на L7
При взгляде на наши собственные данные, прежде всего обращает на себя внимание резкий разрыв между количеством атак на уровни L3-L4 и уровень L7. Обычно оно отличается в 3-4 раза, но с января по март 2025 года число атак на прикладном уровне существенно возросло. Теперь разница составляет почти в 10 раз, 42 тысячи против 410.
Вероятно это связано с тем, что в большинстве крупных российских компаний и организаций уровень L7 практически беззащитен, причем как раз в тех секторах, у которых самый большой риск подвергнуться DDoS-атаке — телеком (38% незащищенных компаний), энергетика (26%) и финансовые организации (16%).
Можно предположить, что такая ситуация с безопасностью на уровне L7 побуждает атакующих пробовать «на зубок» и тех участников этих отраслей, у которых подключена профессиональная защита.
Впрочем, ситуация с атаками на сетевой уровень пока остается открытой: как и в первом квартале 2024 года, атаки по L3-4 ярко проявились только в марте, по количеству сравнявшись с январем и февралем вместе взятыми. Вероятно дальше следует ожидать роста в этой области.
Рост распределенности
Заметно подросла (почти на 50%) также распределенность атак — если за весь прошлый год рекорд составлял 957 тысяч IP-адресов в рамках одной DDoS-атаки, то уже в первом квартале 2025 число выросло до 1,4 млн.
Это связано с активизацией и стремительным ростом ботнетов — основными их «боевыми единицами» продолжают оставаться умные устройства с известными уязвимостями или базовыми заводскими паролями. Организаторы DDoS-атак постоянно в автоматическом режиме ищут такие устройства в открытом доступе и затем брутфорсят их по скрипту.
Эту ключевую тенденцию отмечал еще в марте этого года наш спикер Дмитрий Никонов, который также указал, что «люди отдают предпочтение китайским устройствам, не имеющим защиты, в то время как качественные защищенные устройства с регулярными обновлениями стоят дороже».
Краткость и пятничность
Подавляющее большинство атак в Q1 2025 длились менее одного часа, вместе с тем все еще сохраняется немалое количество и продолжительных инцидентов до суток и более — таких атак мы зафиксировали за квартал почти 15 тысяч.
Значимой корреляции по времени суток не наблюдалось (хотя вечером после окончания рабочего дня атакуют немного чаще). По дням недели с некоторым — до 20% — отрывом у атакующих самые популярные пятница и суббота, относительно реже DDoS-атаки происходят во вторник.
Наблюдается прирост месяц к месяцу — в феврале на 13% атак больше, чем в январе, а в марте уже на 33% больше, чем в феврале. Динамика, скорее всего, будет усиливаться по мере приближения к лету.
Новые рекорды мощности
Прошлый год пока остается рекордсменом по мощности атак: в 2024-м были инциденты с мощностью 2,46 Тбит/c, 25 млн запросов в секунду и длиной более 60 часов.
По сравнению с этим в 2025-м пока сопоставимых аномалий не наблюдается — хотя мы уже успешно отбили атаки в 430 Mpps и 1.1 Тбит/с. А самая длительная атака в первом квартале длилась «всего лишь» 25 часов.
Новые тактики атакующих
Наблюдается тренд на множество одновременных маленьких атак на множество маленьких ресурсов, например, по 500 запросов в секунду на 40 доменов одного владельца. Это создает напряженный фон в трафике, направленном на конкретного владельца ресурса. Вероятно, атакующие предварительно собирают информацию по тому, кому принадлежат домены и планируют свои атаки так, чтобы они были менее заметными.
Еще одно интересное наблюдение: микроатаки длительностью в несколько секунд, которые при этом обладают большой мощностью. О результативности новой тактики злоумышленников судить пока рано, но она может получить в дальнейшем развитие. Мы будем следить за этим трендом.
DDoS-атаки по отраслям
В числе приоритетов атакующих остаются традиционные цели DDoS-атак, которые были в числе «лидеров» весь предыдущий год — телеком, бизнес- и промышленные сайты, игровые порталы и финансовые организации.
Также обращает на себя внимание новая динамика — в первом квартале 2025 года резко усилились атаки на онлайн-магазины электроники и запчастей (более 11% от всех инцидентов).
Прогнозы
Во втором квартале, вероятнее всего, текущая динамика атак сохранится (телеком, финансы, бизнес, онлайн-маркетплейсы).
К ней добавятся традиционные сезонные и праздничные атаки — на 1 и 9 мая, начало приемной кампании в вузах, День России, а также ситуативные, связанные с новостной повесткой.
Подключите профессиональную защиту от DDoS-атак сегодня и перестаньте беспокоиться о том, что будет завтра.
