Июль
Кибератаки
Хакеры подобрали простой пароль от аккаунта одного из сотрудников логистической компании KNP Logistics и зашифровали все данные. Злоумышленники потребовали выкуп £5 миллионов. Сумма оказалась непосильной, и все данные были утеряны. Компании пришлось объявить о ликвидации и оставить без работы более 700 человек. Директор KNP Logistics не стал сообщать, чей именно пароль привел к катастрофе, прокомментировав: «Хотели бы вы это знать, оказавшись на его месте?»
Более 2,3 млн пользователей Chrome и Edge пострадали от расширений, которые изначально были легитимными, а спустя годы получили обновления с вредоносным кодом. Таким образом злоумышленники получили доступ к личным данным жертв. Эксперты советуют удалить подозрительные плагины и сменить пароли, а компаниям — использовать корпоративные решения с ограничением расширений.
Из-за кибератаки 14 июля сети магазинов «Винлаб» пришлось закрыть все магазины. Злоумышленники потребовали выкуп, но владельцы бизнеса отказались его платить. Частичное восстановление инфраструктуры компании и открытие первых магазинов началось только через две недели.
Из-за хакерского нападения сети аптек «Столички» пришлось закрыть тысячи точек продаж, а сотрудников отправить в вынужденный отпуск. По оценке аналитической компании RNC Pharma, «Столички» теряла по несколько миллионов рублей за каждый день простоя.
Хакеры воспользовались уязвимостью в системе администрирования Microsoft SharePoint и получили доступ ко внутренней инфраструктуре NNSA. Правительство США заявляет, что угрозы безопасности нет, а украденные данные не содержат секретную информацию.
28 июля авиакомпанию «Аэрофлот» атаковали хакеры. Они заявили, что уничтожили 7000 физических и виртуальных серверов компании, а также похитили более 20 терабайт данных. «Аэрофлоту» пришлось отменить сотни рейсов в течение нескольких дней и объявить о масштабном сбое в IT-инфраструктуре. Полностью восстановить работу удалось 30 июля.
Утечки данных
Швейцарское правительство подтвердило утечку федеральных данных после атаки группировки Sarcoma на здравоохранительный фонд Radix. Хакеры похитили 1,3 ТБ документов, включая банковские записи Raiffeisen, личные данные сотрудников и переписку с федеральными ведомствами. После неудачных переговоров архив выложили в даркнете. При этом прямого доступа к госcистемам злоумышленники не получили. Sarcoma, появившаяся лишь в октябре 2024 года, уже успела атаковать десятки организаций, включая тайваньского производителя печатных плат Unimicron.
Американский ритейлер Ahold Delhaize сообщил, что у него похитили данные 2,2 млн сотрудников. Группировка INC ransomware проникла через внутренний файловый репозиторий и получила доступ к именам, соцномерам, банковским реквизитам, паспортным и медицинским данным. Компания владеет крупными региональными сетями супермаркетов. Жертвы узнали о краже, только когда хакеры начали публиковать похищенные 6 ТБ информации.
В Бразилии из-за неправильно настроенного Google Cloud Storage утекли данные 248 тысяч пользователей платформы CIEE One, соединяющей студентов с работодателями. В открытом доступе оказалось 28 ГБ файлов: фото профилей, видео-заявления, резюме, медицинские отчеты и персональные данные, включая налоговые номера CPF. Клиентами сервиса являются крупнейшие банки и IT-компании страны. Сейчас информацию продаёт в даркнете хакер под ником «888», ранее атаковавший Microsoft и BMW.
Другие события
Жительнице Москвы позвонил мужчина и, представившись сотрудником сервисной службы, убедил сообщить код из смс якобы для получения ключей от нового домофона. Позже с женщиной связались «сотрудники Роскомнадзора» и убедили в том, что мошенники оформили доверенности от ее имени, и ее супруга и нужно срочно «спасти сбережения». За пять дней пенсионерка передала мошенникам более 63 миллионов рублей, в том числе 5 кг золота.
Нейросеть Replit для «вайб-кодинга» удалила продакшн-базу данных и попыталась скрыть следы. Один из разработчиков тестировал сервис, сначала хвалил его за удобство, но позже столкнулся с серьезными проблемами: помощник игнорировал инструкции, подделывал отчеты и врал о прохождении тестов. Кульминацией стало удаление всей базы без разрешения. Сначала ИИ заявил, что данные не восстановить, но позже выяснилось, что функция отката все же работает.
В России зафиксировали новую схему мошенничества: злоумышленники предлагают оформить виртуальную кредитную карту с лимитом в 100 тысяч рублей и обещанием 100% одобрения. За оформление требуют комиссию 3050 рублей, после чего похищают деньги и персональные данные жертвы. Схема ориентирована на пенсионеров и людей с плохой кредитной историей. Сайт мошенников зарегистрирован в июле 2025 года, имитирует реальную компанию и имеет продуманный дизайн без ошибок.
Госдума отклонила законопроект о легализации белых хакеров в России, сочтя его несовместимым с требованиями по защите гостайны и критической инфраструктуры. Дополнительным препятствием стали необходимые поправки в Уголовный кодекс и другие законы. Власти также указали на риск передачи уязвимостей иностранным компаниям. Авторы инициативы заявили, что намерены вернуться к проекту позже вместе с пакетом сопутствующих предложений.
Август
Кибератаки
Хакер BobDaHacker несколько раз подряд взломал McDonald’s, и только когда он заменил главную страницу сайта на картинку со Шреком, компания наконец заметила проблему. До этого он без труда находил уязвимости: от бесконечных заказов наггетсов до доступа во внутреннюю сеть, где можно было оформить бесплатные заказы и управлять маркетинговыми материалами.
Неизвестные хакеры взломали электронные системы федеральных судов США — CM и PACER. После атаки базы данных опустели: исчезли тысячи секретных документов. Мошенники обошли многофакторную защиту и получили доступ к личным данным информаторов, засекреченным обвинительным заключениям, ордерам и материалам о сотрудничестве подозреваемых со следствием. Это стало одним из самых громких киберинцидентов в истории американской судебной системы.
Google признала, что стала жертвой очередной атаки ShinyHunters: злоумышленники взломали один из её Salesforce-инстансов и выкрали данные клиентов. По словам компании, утечка затронула в основном контактную информацию и заметки о бизнесе. Но хакеры из ShinyHunters намекают, что недавно взломали «триллионную корпорацию» и готовы слить данные без вымогательства. Возможно, речь как раз о Google.
Группировка KillNet заявила о взломе французской компании Société Française des Télécoms, сообщив о компрометации более 1500 серверов и сетевых устройств. Хакеры утверждают, что получили доступ к роутерам, модемам и коммутаторам разных производителей, выгрузили и удалили данные, оставив лишь файл с критикой слабой защиты французских провайдеров.
Утечки данных
Cisco сообщила о фишинговой атаке: злоумышленники похитили данные пользователей Cisco.com, обманув одного сотрудника. Атаке подверглась облачная CRM-система, использовавшаяся для работы с клиентами. Утечка затронула имена, email, номера телефонов и метаданные аккаунтов, но не затронула пароли, внутренние корпоративные данные или продукты компании. Cisco заблокировала доступ и усилила меры безопасности.
Американская страховая компания Allianz Life подтвердила утечку персональных данных большинства из 1,4 млн клиентов после атаки с применением социальной инженерии. Хакеры обманом получили доступ к облачной CRM через сотрудников, а инцидент связывают с группировкой Scattered Spider. Основные системы Allianz, включая администрирование полисов, не пострадали.
Другие события
78-летнюю москвичку полгода «обрабатывали» телефонные аферисты. Лжеучастковый убедил женщину помогать «ловить преступников» с помощью ее квартир. Сначала пенсионерка передала 1,1 млн рублей, а потом продала четыре квартиры в Москве «для операции под контролем полиции». Обман вскрылся лишь тогда, когда ее попытались заставить оформить ренту на последнюю квартиру. Ущерб превысил 50 миллионов рублей.
В Омске у 74-летнего пенсионера украли 750 тысяч рублей с помощью дипфейка Киану Ривза. Мужчине позвонили «из бухгалтерии», пообещали прибавку к пенсии и выманили код из смс. Затем мошенники представились правоохранителями, прислали «удостоверение» с фото актера и даже вышли на видеосвязь в виде поддельного Киану. Пенсионер не узнал в собеседнике Нео из «Матрицы» и перевел деньги.
В Москве поставлен необычный рекорд: мужчина получил более 46 тысяч звонков от мошенников всего за один день. Это самая массированная атака за первое полугодие 2025 года. Эксперты считают, что причина могла быть в утечке базы, где его номер оказался первым в списке обзвонов.
Исследователи из Guardio Labs проверили ИИ-браузер Perplexity Comet и выяснили, что он без разбора выполняет команды, подвергая пользователей риску. В экспериментах ИИ оформлял покупки на поддельном сайте Walmart, переходил по фишинговым ссылкам от банка и даже «заполнял» тесты по чужим медицинским данным. Помощник услужлив ко всем — и к пользователям, и к атакующим.
Сентябрь
Кибератаки
Атака на Collins Aerospace нарушила работу систем регистрации аэропортов в Берлине, Брюсселе и Лондоне. Пассажиры столкнулись с массовыми задержками и отменами: в Брюсселе отменили свыше 200 рейсов, в Хитроу были задержаны 90% полетов. Проблемы связаны с ПО ARINC SelfServ vMUSE, используемым для регистрации и сдачи багажа.
Подростки по всей стране массово взламывают электронные бегущие строки в аптеках и магазинах, чтобы выводить мемы, маты и даже экстремистскую символику — проблема фиксируется в Москве, Петербурге, Новосибирске и других городах. Для атаки достаточно скачать приложение управления панелью, подключиться к ее открытой Wi-Fi и ввести заводской пароль, который владельцы редко меняют. Это приносит бизнесу репутационный ущерб, а самих злоумышленников может ждать уголовная ответственность и штрафы — вплоть до нескольких сотен тысяч рублей.
В Амстердаме хакер взломал «умные» стиралки в кампусе. Неизвестный атаковал платежную систему прачечной Spinozacampus и сделал стирку бесплатной для студентов. Компания Duwo быстро закрыла доступ и заменила устройства на аналоговые. Личность злоумышленника не установлена, но за подобное в Нидерландах грозит до шести лет тюрьмы.
Крупнейший производитель шин Bridgestone подтвердил кибератаку, из-за которой приостановили работу заводы в Северной Америке, включая предприятия в Южной Каролине и Квебеке. Более 1400 сотрудников временно остались без работы, однако компания заявляет, что быстро локализовала инцидент и данные клиентов не пострадали. Ответственность за атаку пока никто не взял. Это уже второй серьезный киберинцидент у Bridgestone после взлома LockBit в 2022 году.
Утечки данных
Крупнейшая утечка данных «Великого китайского фаервола». В сеть попало более 500 ГБ документов и кода, раскрывающих работу китайской системы цензуры. Среди них — модули для блокировки VPN и анализа SSL, а также описание платформы Tiangou, развернутой в Мьянме и экспортируемой в другие страны для контроля и перехвата трафика.
Хакер взломал Nexar и выкачал терабайты видео. Анонимный хакер за два часа получил доступ к базе Nexar с 130 ТБ видео и GPS-треков. Среди записей — личная жизнь водителей и кадры рядом с военными объектами США, включая базы B-2 и штаб Страткома. Взломщик назвал сервис «кошмаром для приватности».
Сеть стоматологических клиник Absolute Dental, управляющая 50 филиалами в США, сообщила об утечке персональных данных 1,2 млн пациентов. По данным исследователей, доступ к сети хакеры получили через вредоносную версию ПО, запущенного от имени партнера-поставщика услуг.
Другие события
Исследователи Huntress три месяца изучали одного хакера случайно получив доступ к его инфраструктуре: он сам установил их софт, кликнув на рекламу. Три месяца специалисты наблюдали за его действиями, изучая фишинг, ИИ и атаки. Ситуация вызвала раскол в ИБ-сообществе: часть считает это “smart defense”, другие — нарушением закона.
Альянс Scattered Spider, Lapsus$ и ShinyHunters распался. После громких атак на Google, Jaguar Land Rover и другие корпорации сразу несколько группировок объявили о самороспуске. У них остались неопубликованные данные Air France и Kering. Члены хакерского альянса сообщили о переходе в «темный режим» и поддержали арестованных соратников во Франции и США.
Игра в Steam оказалась кражей криптовалюты. Steam-игра Block Blasters превратилась в криптодрейнер: со счета стримера, собирающего деньги на лечение рака, украли $32 000. Исследователи выяснили, что пострадали 907 человек, а вредоносный код был связан с Telegram-ботом. Потерю стримера полностью компенсировал известный криптоблогер.
В Рунете 30 000 устройств под угрозой из-за уязвимости Cisco. Специалисты CyberOK зафиксировали более 30 000 устройств с активным SNMP v1/v2c, около 1 700 из которых уязвимы к CVE-2025-20352 в Cisco IOS/IOS XE. Злоумышленники уже используют ошибку для удаленного выполнения команд и вызова сбоев на устройствах с повышенными правами.
Тенденции DDoS-атак в третьем квартале 2025 года
Год понемногу приближается к концу, и мы продолжаем фиксировать актуальные тренды, связанные с DDoS-атаками в России и мире. Ситуация продолжает развиваться сразу в нескольких направлениях, предсказанных в предыдущих аналитических отчетах. Бывают и неожиданные «черные лебеди». Так, в сентябре мы увидели новый мировой рекорд DDoS, почти в три раза превысивший предыдущий — 22,2 Тбит/с!
Новая планка атак
Главное событие в мире DDoS произошло в конце сентября. Компания Cloudflare рассказала об отражении 40-секундной DDoS-атаки, пиковая скорость которой составила 22,2 Тбит/с и 10,6 млрд пакетов в секунду. Это абсолютный мировой рекорд за всю историю наблюдений — объем атакующего трафика сопоставим с одновременной трансляцией миллиона 4К-видеороликов.
Особый интерес вызывает то, что это далеко не первый рекорд в 2025 году и даже не первый в сентябре. Такое ощущение, что неизвестная хакерская группировка отрабатывает на Cloudflare новое кибернетическое «супероружие» (предположительно это ботнет AISURU), постепенно повышая планку в рамках эксперимента. В январе провайдер отразил рекордную (на тот момент) атаку в 5,6 Тбит/с, в июне — в 7,3 Тбит/с. Предыдущий же рекорд, 11,5 Тбит/с и 5,1 млрд пакетов в секунду, был совсем недавно, в начале сентября. А теперь, в конце того же месяца — уже 22 терабита, в два раза больше.
Это событие критически значимо для индустрии, оно демонстрирует, что атаки такого масштаба в принципе технически возможны (как, отметим, и их успешное отражение). Конечно, набрать такую рекордную мощность пока что хакерам сложно, но в перспективе это определенно означает резкое повышение ставок в вечной игре DDoS-атак и их отражения.
Общие мировые тренды
Агентство ЕС по кибербезопасности (The European Union Agency for Cybersecurity, ENISA) в своем отчете за октябрь 2025 сообщает, что DDoS-атаки составили 76,7% зарегистрированных киберинцидентов, в основном со стороны хактивистских групп. В Европе атаки идут практически на все секторы экономики (81,4%), включая госуправление, транспорт и финансы.
За 9 месяцев 2025 года количество DDoS-атак удвоилось по сравнению с предыдущим годом. Под удар попадают целые города и даже отдельные государства. Активно атакуют в том числе и самих провайдеров защиты от DDoS. Управлять ботнетами, даже самой огромной мощности, еще никогда не было так легко, что способствует стремительному росту угрозы. А сам термин «DDoS-атака» вошел в топ кандидатов на звание «слово 2025 года».
Стабильный прирост DDoS-атак в мире продолжается по всем параметрам, как от квартала к кварталу, так и при сравнении с периодами прошлого года (Gcore). Растет как общее число инцидентов, так и объем и сила самих атак. Злоумышленники все активнее используют для своих целей ИИ. Различные отчеты фиксируют повсеместное усиление UDP-flood атак, особенно в рамках коротких сверхмощных инцидентов.
Самой атакуемой страной остается США, за ней идут (если вычесть страны, вовлеченные в геополитические конфликты) Бразилия, Индия и (неожиданно) Япония. Те же самые страны (за вычетом Японии и с добавлением России) остаются также и крупнейшими источниками (или прокси-хостерами) DDoS-атак. Наблюдается устойчивый тренд на рутинизацию DDoS — теперь они просто запускаются и отражаются везде, где есть на это технические мощности (можно предсказать, что с годами статистика DDoS по странам будет все больше терять смысл).
Наша статистика
Общее количество отраженных нами в Q3 2025 DDoS-атак составило 709,4 тысячи, из которых большая часть (582,5 тысяч) пришлась на прикладной уровень L7.
По сравнению с третьим кварталом прошлого года (611,7 тысяч) число атак выросло на 16%. Прирост по отношению ко второму кварталу текущего года составил 11,5%. Это наглядно демонстрирует неуклонность тренда на повышение общего количества DDoS-атак (и пропорционального роста необходимости защиты от них).
Самым жарким месяцем в плане DDoS в третьем квартале, как и в прошлом году, стал июль. Разрыв, правда, сократился — если в Q3 2024 в июле атаковали более чем в два раза чаще чем в остальные месяцы квартала, в Q3 2025 разница составила лишь 23%.
Топ стран-источников DDoS-атак по нашей статистике с большим отрывом возглавляют Индонезия и США, затем идут Россия, Бразилия и Германия.
L7 продолжает расти
Наметившаяся в начале прошлого года тенденция с резким расхождением между количеством атак на уровень L7 и L3-L4 уверенно продолжается.
В третьем квартале 2025 года разница между этими двумя показателями составила почти 6 раз в пользу L7, незначительно сократившись по сравнению со вторым кварталом (7,5 раз в пользу L7). Прирост прикладных атак по сравнению с первым кварталом 2025 года составил 42%.
Между атаками на уровни L3-L4 и L7 наблюдается также расхождение по продолжительности: если на L3 подавляющее большинство атак (97%) длились менее 20 минут, то на L7 уже лидируют более протяженные атаки от 20 минут до 1 часа (57% всех инцидентов).
В два раза по сравнению с первым кварталом 2025 выросло число сверхдолгих атак (более суток).
В случае L7 к Q3 2025 практически исчезла небольшая, но всегда сохранявшаяся корреляция между числом атак и днями недели — теперь атакуют всегда, не делая скидок. В атаках на L3 по-прежнему сохраняется напряженность в пятницу и субботу и некоторое снижение числа инцидентов в понедельник-вторник.
Рост распределенности и другое
Тенденцию с повышением распределенности атак уже можно уверенно назвать устойчивой и постоянной.
Этот показатель увеличивается весьма быстро: за весь прошлый год рекорд составлял 957 тысяч IP-адресов, в первом квартале 2025 мы наблюдали атаку в 1,4 млн, а в третьем уже без малого 2 миллиона.
За девять месяцев года, таким образом, наблюдается двукратный рост распределенности атакующих.
Несомненно, увеличение этого показателя напрямую связано со стремительным увеличением количества ботнетов и все большим распространением «суперботнетов» вроде AISURU (который, предположительно, и стоит за рекордной атакой на Cloudflare в конце сентября).
Следует также отметить ощутимое (на 70%) повышение интенсивности атак по количеству запросов в секунду после периода относительной стабильности в этом плане (в первые два квартала 2025 года этот показатель практически не менялся).
Продолжают быть актуальными атаки типа pulse wave, короткие мощные атаки по определенному протоколу (чаще всего UDP- и TCP-флуд), а также, напротив, распределенные атаки, которые быстро меняют рисунок в процессе.
Атаки по отраслям
Здесь все более-менее стабильно. В числе приоритетов атакующих, как и в прошлых кварталах (как и в прошлом году), остаются телеком, бизнес- и промышленные сайты, игровые порталы и финансовые организации.
Обращает на себя внимание, что атаки на игровые порталы выросли почти в два раза по сравнению с предыдущим кварталом. Количество атак на остальные области из топа целей увеличилось пропорционально общему росту.
Также в топе атакуемых отраслей впервые появились (пока на последнем месте) сайты, связанные с литературой и книгами.
Заметно подросли — почти в 2 раза — атаки по L7 на гейминг и финансовый сектор. Остальные области из топа целей остались практически без изменений — количество атак на них увеличилось пропорционально общему росту.
Прогнозы
Практически все замеченные тенденции, которые мы описали выше — появление рекордных сверх-атак, увеличение среднего числа запросов, резкий рост распределенности и другие факторы — указывают на усиление атак и быстрое развитие этой тенденции.
В четвертом квартале, на который приходится сразу много праздников и распродаж, и без того всегда подливающих масла в огонь статистики, следует ожидать нарастания всех обозначенных трендов.
Атакуемые отрасли сохранятся те же самые, что и сейчас, с небольшим сезонным увеличением атак на онлайн-маркетплейсы и платежные сервисы
Атаки по L7, скорее всего, продолжат доминировать, хотя, вероятно, разрыв с L3-L4 будет постепенно сокращаться.
