Кто и зачем атакует сайты: мотивы и реальные кейсы

«За что?» — этот вопрос задаёт каждый владелец бизнеса, когда его сайт впервые попадает под DDoS-атаку. Кажется, что вы никому не мешаете, работаете честно, конкурентов не обижали. Зачем кому-то тратить деньги и усилия, чтобы «положить» именно ваш сайт?

Реальность такова: мотивы атакующих разнообразны, и «ничего личного» — это не просто фраза. Иногда ваш сайт атакуют по заказу конкурента, иногда — просто потому что он оказался в списке для тестирования ботнета. Разберёмся, кто и зачем атакует сайты — и сколько это стоит бизнесу.

По нашим наблюдениям и данным российских ИБ-компаний, заказные DDoS-атаки со стороны конкурентов — причина №1 для среднего и малого бизнеса в России. По разным оценкам, от 40% до 60% DDoS-атак на коммерческие сайты в рунете — конкурентные.

Логика проста: «положить» сайт конкурента в пик продаж — и клиенты придут к вам. Классические сценарии:

Сезонные атаки в e-commerce. Чёрная пятница, 8 марта, Новый год — дни, когда интернет-магазины делают 15–30% годовой выручки. Атака на конкурента в эти дни — удар максимальной силы. Мы фиксируем двукратный рост DDoS-атак на интернет-магазины в ноябре-декабре каждый год.

Атака под рекламную кампанию. Конкурент знает (или догадывается), что вы запускаете крупную акцию. Ваш лендинг получает тысячи кликов из рекламы — и не отвечает. Деньги на рекламу потрачены впустую, лиды ушли к конкуренту. Мы разбирали такой случай в статье о реальных потерях бизнеса от DDoS.

Заказ на закрытых площадках. Найти исполнителя DDoS-атаки — дело 15 минут в Telegram или на форумах. Заказчик остаётся анонимным, платит в криптовалюте. Стоимость — от $50 за несколько часов атаки. Доказать причастность конкурента практически невозможно.

Характерный признак конкурентной атаки: она происходит в «удобное» для конкурента время — пик продаж, запуск акции, тендер. Если ваш сайт лёг именно в Чёрную пятницу или в день когда вы объявили скидки — стоит задуматься.

Ransom DDoS (RDoS) — второй по распространённости мотив. Схема выглядит так:

Этап 1: Демонстрация. Ваш сайт ложится на 15–30 минут. Достаточно, чтобы вы заметили и запаниковали.

Этап 2: Письмо. На email приходит сообщение: «Мы — группировка [название]. Мы только что продемонстрировали наши возможности. Если вы не переведёте X биткоинов на кошелёк [адрес] в течение 48 часов, мы начнём полномасштабную атаку, которая положит ваш бизнес на неделю».

Этап 3 (если заплатили): В 90% случаев — повторное требование через 1–3 месяца. Или продажа вашего контакта другим вымогателям как «тёплого» клиента, который платит.

Суммы выкупа варьируются: для малого бизнеса — от $500 до $5 000 (40 000–400 000 рублей), для среднего — от $5 000 до $50 000. Для крупных компаний — от $100 000 и выше.

Известные группировки: Fancy Lazarus (не путать с Fancy Bear и Lazarus Group — вымогатели специально берут громкие имена для запугивания), Armada Collective, DD4BC. Многие работают из стран, где правоохранители не приоритизируют такие дела: Юго-Восточная Азия, Восточная Европа, отдельные регионы Южной Америки.

Хактивизм — это использование хакерских методов для политического или социального протеста. DDoS — любимый инструмент хактивистов, потому что он прост в организации и обеспечивает медийный эффект.

В 2022–2025 годах Россия стала одной из главных мишеней хактивистских DDoS-атак. Группировки вроде IT Army of Ukraine координировали массовые атаки на российские ресурсы через Telegram-каналы с сотнями тысяч подписчиков. Под удар попадали не только государственные сайты, но и обычный бизнес:

— Банки и финансовые организации (Сбер фиксировал до 2 000 атак в квартал)
— Маркетплейсы и сервисы доставки
— СМИ и медиахолдинги
— Авиакомпании и сервисы бронирования
— Государственные порталы (Госуслуги, mos.ru)

Характерные признаки хактивистской атаки: массовость (атакуются десятки компаний одновременно), публичные заявления в соцсетях, «волновой» характер (атака включается по команде координатора). Иногда ваш сайт попадает в «список целей» просто потому, что вы — российская компания определённого масштаба.

Есть и внутрироссийский хактивизм. Экологические активисты атаковали сайты промышленных предприятий. Зоозащитники — сайты меховых фабрик. Противники определённых законов — сайты депутатов и органов власти. Масштаб меньше, но для конкретного бизнеса результат тот же — сайт не работает.

Недооценённая, но реальная угроза. Бывший системный администратор, который ушёл «не по-хорошему», может знать IP-адреса серверов, структуру инфраструктуры, слабые места. Не все из них обладают техническими навыками для организации DDoS, но заказать атаку на конкретный IP — не проблема.

Характерные признаки: атака начинается вскоре после увольнения сотрудника (1–4 недели), целенаправленно бьёт по известным слабым местам, может сопровождаться другими деструктивными действиями (удаление данных, смена паролей).

Мы знаем случай, когда уволенный разработчик оставил бэкдор в коде и через месяц организовал DDoS-атаку, одновременно используя бэкдор для кражи базы клиентов. DDoS был отвлекающим манёвром — пока все занимались восстановлением доступности, злоумышленник скачивал данные. Именно поэтому после атаки важно провести полный аудит безопасности — об этом подробнее в статье «После атаки: восстановление и план защиты».

Профилактика: при увольнении технических сотрудников немедленно меняйте все пароли, ключи доступа и ревокайте сертификаты. Это базовая гигиена, но про неё забывают удивительно часто.

Звучит абсурдно, но значительная часть DDoS-атак не имеет конкретной цели. Вот почему вас могут атаковать «ни за что»:

Тестирование ботнета. Владелец ботнета купил или собрал сеть из 100 000 заражённых устройств. Ему нужно проверить мощность. Он выбирает случайный сайт — и обрушивает трафик. Ваш сайт стал подопытным кроликом.

Школьники и «скрипт-кидди». Подростки, которые нашли бесплатный инструмент для DDoS (или бесплатный стресс-тест) и решили «попробовать». Жертву выбирают случайно — или атакуют сайт школы, местного магазина, популярного блогера. Атаки обычно слабые и короткие, но для незащищённого сайта на виртуальном хостинге хватает.

Побочный ущерб. Атака направлена на другой сайт, но вы находитесь на том же физическом сервере (shared hosting). Атакуют соседа — падаете вы. Это как жить в многоквартирном доме: если квартиру соседа заливают — к вам тоже потечёт.

«Учебные» атаки. Существуют онлайн-курсы и тренинги по кибербезопасности, где практикуют DDoS на реальных целях (что незаконно, но происходит). Ваш сайт может попасть в «учебный материал».

Эта тема масштабнее обычного бизнеса, но знать о ней стоит. Государственные кибергруппировки (APT — Advanced Persistent Threat) используют DDoS как один из инструментов:

— Давление на целые отрасли экономики
— Дестабилизация перед важными политическими событиями
— Прикрытие более сложных операций (шпионаж, внедрение в инфраструктуру)
— Тестирование способности страны к кибервосстановлению

Для обычного бизнеса прямая атака со стороны государственного актора маловероятна. Но если вы — часть критической инфраструктуры (энергетика, транспорт, финансы, телеком) или государственный подрядчик — риски повышены.

В 2024–2025 годах фиксируются устойчивые кампании: координированные атаки на группы сайтов одной отрасли, атаки приуроченные к политическим событиям, комбинирование DDoS с фишинг-кампаниями и попытками взлома.

Когда сайт «ложится» в самый важный день — на распродаже, в день запуска рекламы или перед тендером — мысль о конкуренте возникает автоматически. И иногда она справедлива. Но есть важный нюанс: даже если вы уверены, что это конкурент, публичные обвинения и «война постами» почти всегда вредят вам больше, чем им.

Вот как действовать прагматично и юридически аккуратно — без самоуправства и без иллюзий:

1) Не делайте громких заявлений

Фраза «нас атакует конкурент X» в соцсетях — это риск. Во‑первых, вы можете ошибиться. Во‑вторых, даже если правы, доказать это в публичном поле почти невозможно. В‑третьих, вы даёте атакующему удовольствие: он видит, что попал в цель.

2) Соберите «цифровую бухгалтерию» инцидента

Владелец бизнеса не обязан разбираться в логах, но обязан обеспечить их сохранность. Попросите техспециалиста или хостинг‑провайдера:

— подтвердить факт DDoS (письменно, в тикете)
— сохранить логи и графики трафика за период атаки
— зафиксировать время начала/окончания и тип атаки (если возможно)

Эти данные важны не для мести, а для анализа и для заявления в правоохранительные органы.

3) Посмотрите на «совпадения», но не путайте их с доказательствами

Совпадения, которые часто встречаются в конкурентных атаках:

— атака начинается через 10–30 минут после запуска рекламной кампании
— атака идёт строго в рабочие часы и «выключается» ночью/в выходные
— повторяется в те же окна времени каждую неделю
— ударяет по конкретной странице (лендинг, корзина, оплата)

Это полезно для гипотезы, но не является доказательством «кто заказал».

4) Переведите разговор из эмоций в риск‑менеджмент

Ваш практический вывод: «рынок агрессивный → мы в зоне риска → защита нужна постоянно». То есть вы делаете то, что атакующий не хочет: становитесь устойчивее. Как посчитать потери и обосновать бюджет — в статье «Сколько стоит DDoS-атака».

5) Укрепите процессы и «время реакции»

Конкурентные атаки выигрывают временем. Пока вы 2 часа пытаетесь понять «это атака или сломалось», вы теряете клиентов. Поэтому обязательно внедрите мониторинг и алерты и регламент действий по инциденту. Базовая структура процесса — в статье про инцидент‑менеджмент.

А главное — подключите защиту (хотя бы базовую) заранее. Тогда даже если атака повторится, она будет выглядеть для вас как «график в панели», а не как остановка продаж.

И последний практический момент: даже если вы не узнаете «кто заказал», вы всё равно можете выиграть. Когда сайт работает под атакой, вы сохраняете продажи, а атакующий — тратит деньги впустую. Через 1–3 попытки ему обычно становится невыгодно продолжать. Поэтому лучший ответ на DDoS — не поиск виноватого, а повышение устойчивости.

Понимание мотивов атакующего — это не абстрактное знание. Оно помогает принимать конкретные решения:

Если вы в конкурентной отрасли (e-commerce, доставка, букмекеры, финансы) — защита нужна на постоянной основе, особенно в сезонные пики. Не «авось пронесёт», а системная защита с мониторингом и алертами.

Если получили письмо с угрозами — не паникуйте и не платите. Подключите защиту, сообщите в полицию (заявление в ближайшем отделении или через сайт МВД), сохраните письмо со всеми заголовками.

Если ваш бизнес может быть интересен хактивистам — имейте план на случай массовых атак. Отказоустойчивая архитектура и CDN — ваши лучшие друзья.

Если увольняете технического сотрудника — проведите полную ротацию доступов в тот же день. Не «на следующей неделе», а сегодня.

В любом случае — первый шаг одинаковый: подключите базовую защиту. Подробности — в нашем гайде по выбору защиты от DDoS. А если атака уже идёт — действуйте по нашей экстренной инструкции.