Российские компании всё чаще сталкиваются с кибератаками, которые не только достигают рекордной мощности, но и становятся значительно более сложными и продолжительными, выводя классические системы защиты из строя. В первой половине 2026 года пиковая мощность DDoS-атак на отечественный бизнес превысила 2 Тбит/с, а доля инцидентов свыше 100 Гбит/с выросла с 3% до 15% год к году, следует из данных центра мониторинга Servicepipe, с которыми ознакомился «Коммерсантъ». При этом доля многоступенчатых сценариев с предварительной разведкой достигла 42%, а продолжительность атак увеличилась до 22–36 часов. «Хакеры действуют за счет предварительной разведки и целенаправленного перебора уязвимостей. Векторы меняются настолько часто, что исключают возможность ручной адаптации. Злоумышленники делают ставку на то, что классические фильтры просто не успеют перестроиться при терабитном ударе или атаке на неиспользуемую подсеть», — отметил руководитель направления по подготовке технических решений Servicepipe Павел Акифьев.
Как сообщает «Коммерсантъ» со ссылкой на данные центра мониторинга Servicepipe, в первом полугодии 2026 года российские компании столкнулись с качественным изменением характера киберугроз. Если раньше DDoS-атаки были преимущественно кратковременными и объёмными, то теперь злоумышленники переходят к сложным многоступенчатым сценариям, доля которых достигла 42% от общего числа инцидентов.
Один из зафиксированных во втором квартале ударов достиг мощности 965 Гбит/с при интенсивности более 100 млн пакетов в секунду. В компании Curator, специализирующейся на кибербезопасности, также фиксируют рост масштабных атак: в первом квартале 2026 года максимальная атака достигла 2065 Гбит/с и 953 Mpps, во втором — 1,6 Тбит/с. При этом атаки мощностью свыше 1 Тбит/с перестали быть исключением и фиксируются регулярно, став новой нормой для рынка.
Ключевым элементом сложных атак становится предварительная разведка инфраструктуры. Атакующие с помощью низкоинтенсивного трафика анализируют уязвимые узлы, скрытые адреса и пропускную способность каналов, после чего формируют целевой удар. Собранные данные используются для атак не только на публичные сервисы, но и на теневую инфраструктуру — резервные каналы и технические подсети. Это позволяет перегружать пограничные устройства и блокировать доступ к основным сервисам.
Одновременно увеличивается и продолжительность атак: если ранее они ограничивались минутами, то в 2026 году фиксируются инциденты длительностью до 22–36 часов. Роскомнадзор в мае приводил оценку наиболее длительной кибератаки в более чем 11 дней, пиковая мощность которой достигала 885 Гбит/с.
Среди трендов этого года эксперт Kaspersky DDoS Protection Вячеслав Кириллов также отмечает рост доли атак на уровень приложений (L7 по модели OSI) — до 50% от общего объёма. Атакующие смещают фокус на прицельную нагрузку бизнес-логики и API, обходя защиту, рассчитанную только на транспортные и сетевые уровни. Комбинация объёмной атаки на сеть с одновременной атакой на приложение усложняет автоматическое обнаружение и требует эшелонированной защиты.
Эксперты сходятся во мнении, что классические фильтры и ручные методы адаптации защиты больше не работают: злоумышленники меняют векторы настолько часто, что системы просто не успевают перестраиваться под новые угрозы. Это требует пересмотра подходов к кибербезопасности и внедрения многоуровневых систем защиты, способных противостоять как терабитным объёмным ударам, так и точечным атакам на прикладной уровень.





















