4 терабитные DDoS-атаки и выросший в 10 раз ботнет: CURATOR зафиксировал резкий рост угроз в первом квартале 2026 года

Распределение атак по отраслям в первом квартале 2026 года остаётся устойчивым: почти три четверти всех инцидентов приходится на финтех (44,2%), ИТ и телеком (19,3%) и онлайн-ставки (10,0%). В детальной разбивке лидируют банки (22,8%), платёжные системы (15,9%) и онлайн-букмекеры (10,0%).

Сегмент онлайн-ставок заслуживает отдельного внимания: помимо роста общего числа инцидентов, именно здесь были зафиксированы самая интенсивная и самая продолжительная DDoS-атака квартала.

Если ещё год назад атаки терабитного класса были единичным явлением (так в первом квартале 2025 года CURATOR не фиксировала ни одной атаки интенсивностью свыше 1 Тбит/с), то в первом квартале 2026 года подобных атак уже отмечено четыре. Наиболее показательный случай — атака на компанию из сегмента онлайн-ставок в середине марта, её пиковая мощность превысила 2 Тбит/с, а высокоинтенсивная фаза продолжалась свыше 40 минут — нетипично долго для атак такого масштаба. За это время наблюдалось  11 всплесков, при этом атакующие пытались адаптировать тактику в режиме реального времени и поддерживать длительное давление на инфраструктуру. Атака была нейтрализована без ущерба для доступности сервиса.

Одновременно усложняется структура атак: доля мультивекторных инцидентов выросла с 8,0% до 10,7%, а доля атак, одновременно задействующих сетевой уровень и уровень приложений, увеличилась с 3,6% до 6,2%.

Еще один из наиболее тревожных трендов квартала — стремительный рост крупнейшего DDoS-ботнета, за которым CURATOR ведёт наблюдение с марта 2025 года. За год его размер увеличился более чем в десять раз: с 1,33 млн до 13,5 млн заражённых устройств.

Принципиально изменилась и география ботнета. Если год назад в нём преобладали устройства из Бразилии (51,1%), то сейчас первое место занимают США (16,0%). За ними следуют Бразилия (13,6%), Индия (6,5%), Великобритания (4,8%) и Турция (3,2%). Операторы ботнета не только активно расширяют его за счёт новых заражённых устройств, но и диверсифицируют географию. В результате простые геоблокировки становятся неэффективными: атакующие могут в любой момент использовать IP-адреса из разных стран.

Среднемесячный объём заблокированных запросов вредоносных ботов в первом квартале 2026 года составил 2,5 млрд — на 40% больше, чем в аналогичном периоде прошлого года.

Традиционные лидеры по объёму бот-атак — электронная коммерция (40,2%) и онлайн-ставки (27,1%) — сохраняют свои позиции. Однако заметно новым явлением стал сегмент транспорта и логистики: он вышел на третье место по общему объёму бот-активности, а доля вредоносных запросов в его трафике достигла 19,17% — то есть практически каждый пятый запрос к ресурсам этого сегмента исходил от ботов.

Самая продолжительная бот-атака в 1 квартале 2026 года длилась более двух недель и сгенерировала свыше 178 млн вредоносных запросов на ресурсы компании из сегмента электронной коммерции.

«К сожалению, терабитные атаки на наших глазах становятся обычной практикой — только в первом квартале этого года на своей инфраструктуре мы зафиксировали несколько таких случаев. Картина такова: крупный ботнет за год увеличился на порядок, атаки стали продолжительнее и сложнее. В таких условиях вопрос уже не в том, случится ли инцидент, а в том, как быстро бизнес сможет его пережить без остановки операций. Киберустойчивость — это не альтернатива защите, это её логичное продолжение, и мы видим, что способность работать даже в момент атаки становится для бизнеса не опцией, а условием выживания», — отметил Дмитрий Ткачев, генеральный директор CURATOR.