Cloudflare зафиксировала 230 миллиардов угроз в день: вот главные выводы

Сеть Cloudflare ежедневно блокирует свыше 230 миллиардов угроз. Этот объём показывает, насколько рутинным и автоматизированным стал цикл атак, а закономерности, стоящие за этими цифрами, указывают на изменение того, как начинаются и развиваются утечки данных.

Исследовательское подразделение Cloudflare по угрозам, Cloudforce One, опубликовало свой первый отчёт о киберугрозах на 2026 год, охватывающий активность, наблюдавшуюся в течение 2025 года, и прогнозы на будущий период. Отчёт основан на телеметрии сети Cloudflare, которая обрабатывает примерно 20% мирового веб-трафика.

«Злоумышленники постоянно меняют тактику, находят новые уязвимости для эксплуатации и способы подавления своих жертв. Чтобы не быть застигнутыми врасплох, организациям необходимо перейти от реактивной позиции к стратегии, основанной на актуальной и практической информации», — заявил Блейк Дарше, руководитель отдела анализа угроз Cloudforce One в Cloudflare.

Украденные сессии заменяют подбор учётных данных

Похитители информации, такие как LummaC2, извлекают с заражённых устройств активные токены сессий, а не сохранённые пароли. Эти токены дают злоумышленникам доступ к уже аутентифицированным сеансам, полностью обходя многофакторную аутентификацию. Согласно отчёту, 54% атак с использованием программ-вымогателей в 2025 году были связаны с кражей учётных данных через похитителей информации, что подтверждается отчётом Verizon по расследованиям утечек данных за 2025 год.

Cloudforce One участвовал в скоординированной глобальной операции в мае 2025 года по нейтрализации инфраструктуры LummaC2, размещая предупреждающие страницы на вредоносных доменах управления и контроля. Подразделение уже отслеживает варианты-преемники, которые, как ожидается, сократят время между заражением и развёртыванием программы-вымогателя до нескольких часов.

На боты приходится 94% всех попыток входа, наблюдаемых в сети Cloudflare. Среди попыток входа, совершённых людьми, в 46% случаев используются учётные данные, уже скомпрометированные в предыдущих утечках. Эти цифры отражают масштабы, в которых автоматизированная проверка учётных данных действует в интернете.

Облачные платформы используются как инфраструктура для атак

Злоумышленники из различных категорий, связанных с национальными государствами, направляют вредоносную активность через легитимные облачные сервисы, включая AWS, Google Cloud, Azure, а также SaaS-платформы, такие как Google Календарь и Dropbox. Такой подход смешивает трафик атак с обычным корпоративным использованием, что затрудняет его обнаружение для команд сетевой безопасности.

Группа Cloudforce One классифицирует эту тактику как «Существование за счёт XaaS» или LotX. Китайские связанные группировки, упомянутые в отчёте, используют описания событий в Google Календаре для передачи зашифрованных команд заражённым системам, а также эксплуатируют инфраструктуру F5 и VMware для долгосрочного сохранения доступа. Иранские группы размещают командные серверы на платформе Azure Web Apps.

Группы Salt Typhoon и Linen Typhoon, также связанные с Китаем, продолжали в 2025 году атаковать североамериканских телекоммуникационных провайдеров, государственные сети и ИТ-сервисы. Отчёт связывает с этой деятельностью компрометации в AT&T, Verizon и Lumen, а также взлом Microsoft SharePoint в июле 2025 года. Характер целей указывает на стремление получить устойчивый доступ к критической инфраструктуре для возможных будущих дестабилизирующих действий.

Пробелы в аутентификации электронной почты позволяют проводить фишинг в огромных масштабах

Анализ 450 миллионов писем показал, что 43% не прошли проверку SPF, более 44% не имели валидной подписи DKIM, а 46% не соответствовали политике DMARC. Эти уязвимости позволяют ботам для фишинга как услуги (Phishing-as-a-Service) использовать неполные цепочки аутентификации и доставлять поддельные сообщения, которые выглядят так, будто пришли из доверенных внутренних или известных источников.

Чаще всего в фишинговых кампаниях имитировались бренды Windows, SANS, Microsoft, Stripe и Facebook. Исследователи также перехватили в 2025 году попытки финансовых краж через компрометацию бизнес-почты (BEC) на сумму свыше 123 миллионов долларов. Средняя сумма попытки составляла примерно 49 225 долларов, что, по мнению авторов отчёта, является результатом намеренного расчёта мошенников, нацеленных на суммы ниже порога, требующего одобрения руководством.

Объёмы DDoS-атак достигли новых рекордов в 2025 году

Общее количество DDoS-атак, зафиксированных Cloudflare, в 2025 году более чем удвоилось, достигнув 47,1 миллиона. Атаки на сетевом уровне выросли более чем в три раза по сравнению с предыдущим годом. Cloudforce One зарегистрировала 19 новых мировых рекордных атак за год. Крупнейшая из них — UDP-флуд мощностью 31,4 Тбит/с, запущенный ботнетом Aisuru в ноябре 2025 года, — почти в шесть раз превысила пиковый объём самой большой атаки, зарегистрированной в 2024 году.

Большинство атак в 2025 году длились менее 10 минут, что практически исключает возможность ручного реагирования. Ботнет Aisuru и его преемник Kimwolf, по оценкам, контролируют от одного до четырёх миллионов заражённых устройств. В отчёте отмечается, что в начале 2026 года для Kimwolf было заблокировано более 550 командных серверов.

Северокорейские операторы внедряются в удалённые рабочие коллективы

Государственные оперативники, связанные с Северной Кореей, получают работу в западных организациях, используя профили с дипфейками, созданными искусственным интеллектом, и фермы ноутбуков на территории США, которые создают видимость местного проживания. После трудоустройства эти работники направляют зарплату режиму и могут обеспечить вредоносный доступ к внутренним системам. В отчёте указаны признаки для обнаружения, включая оповещения о входах в систему с невозможных локаций, использование программного обеспечения для имитации активности мыши и артефакты в метаданных видео, характерные для рендеринга дипфейков в реальном времени.

Обрабатывающая промышленность и объекты критической инфраструктуры составили более 50% атак с целью выкупа в 2025 году, что обусловлено высокой стоимостью простоя в этих отраслях.

Безопасность по умолчанию: Встраивание защиты на этапе проектирования