«Для сравнения. Самый большой DDoS-ботнет, выявленный в 2023 году, состоял из 136 тысяч устройств, а крупнейший DDoS-ботнет, обнаруженный в 2024 году — из 227 тысяч устройств», — пояснили в пресс-службе Curator в комментарии для «Известий».Компания сообщила, что атака 16 мая проходила в три этапа: начавшись с двух миллионов устройств, злоумышленники нарастили мощность до 3,5 миллиона, а затем задействовали все 4,6 миллиона IP-адресов, преимущественно из Южной и Северной Америки. Около 30% ботнета (1,37 миллиона адресов) были зарегистрированы в Бразилии, а также значительная часть — в США, Вьетнаме, Индии и Аргентине.
Генеральный директор Curator Дмитрий Ткачев отметил, что ранее в 2025 году этот ботнет уже атаковал российские ресурсы, но тогда его масштаб составлял 1,33 миллиона IP-адресов. «В этот же раз мы наблюдали более чем трехкратный рост числа задействованных в атаке устройств, что может указывать на активное развитие ботнета его организаторами», — подчеркнул он. По словам Ткачева, такой ботнет способен генерировать десятки миллионов запросов в секунду, что может вывести из строя даже хорошо защищённые серверы, создавая угрозу для всех клиентов провайдера одновременно.
Атака затронула не только государственный сектор. Руководитель направления Pre-sale компании StormWall Дмитрий Белянин сообщил, что с 15 по 19 мая количество DDoS-атак на российские организации выросло на 144% по сравнению с аналогичным периодом 2024 года. «Мы фиксировали существенный рост количества атак не только в госсекторе, но и в ритейле, телеком-сфере и финансовых компаниях», — отметил он, добавив, что более половины атак использовали российские IP-адреса.
Эксперт группы компаний «Гарда» Лука Сафонов указал, что ответственность за атаку предварительно взяла на себя так называемая IT-армия Украины. Он пояснил, что такие атаки используют легитимные устройства и серверы для отправки огромного количества запросов, забивая каналы и обрушивая ресурсы. «Бывает сложно выявить среди запросов те, которые относятся к реальным пользователям», — отметил Сафонов.
С 19 мая новая волна атак вызвала сбои в работе ряда российских сервисов, включая ФНС, системы «Честный знак», Госключ, СБИС и ЕМИАС. «ФНС РФ фиксирует высокоуровневые DDoS-атаки на свои сервисы, но данные пользователей надёжно защищены», — заявили в ведомстве. Пользователи сообщали о медленной работе сайтов и невозможности их загрузки, что подтверждается данными сервиса Downdetector.
Директор по продуктам службы компьютерной безопасности Servicepipe Михаил Хлебунов добавил, что мощные атаки часто используются для демонстрации возможностей ботнетов, особенно коммерческими группировками, сдающими их в аренду. Однако он подчеркнул, что высокая мощность не всегда означает наивысшую опасность для бизнеса, так как ключевым фактором остается способность систем защиты фильтровать вредоносный трафик.
