Компания Servicepipe, специализируется на ИБ и защите онлайн-ресурсов от DDoS, ботов и целевых атак, проанализировала географическое распределение ip-адресов ботнетов, с помощью которых были атакованы отечественные веб-ресурсы в 2024 году.
Исследование показало рост ботовой активности, идущей из регионов.
Если сравнивать год к году, то в 2022-2023 году чуть больше половины вредоносного трафика шла из-за рубежа. Российские же боты приходили в основном с ip-адресов двух столиц – Москвы и Санкт-Петербурга (более 85% в общем объеме российского вредоносного трафика).
Во второй половине 2023-начале 2024 года распределение ботовой активности по регионам изменилось - доля нелегитимной автоматизации с московских и питерских ip-адресов упала до ~65%.
Оставшиеся 35% российского ботового трафика приходится на регионы.
В региональном трафике (без учета Москвы и Санкт-Петербурга) лидерами стали:
Доля вредоносной активности с иностранных ip-адресов постепенно снижается из-за дополнительных сложностей аренды иностранных вычислительных мощностей. Вторая причина – при настройке защиты сайтов к зарубежному трафику относятся всё более насторожено.
На сегодняшний день доля отечественного ботового трафика для типичного крупного ресурса может составлять от 47% до 92%. Доля человеческого трафика с российских ip-адресов составляет порядка 91- 97%.
«Полагаем у миграции ботнетов в российские регионы есть ряд причин.
Во-первых, ботнетам нужны российские и при этом не «засвеченные» во вредоносной активности ip-адреса. Это один из технических ответов ботоводов на все более совершенствующиеся системы детектирования ботнетов.
Во-вторых, сказывается тренд на региональную удалёнку в российских it-секторе. Всё больше специалистов не торопятся "покорять Москву", оставаясь после окончания ВУЗа в крупных региональных центрах, где среди прочего арендуют и вычислительны мощности в местных ЦОДах.
-В-третьих, часть специалистов, работающих в "серой зоне" нелегитимной автоматизации, могут перебираться подальше от столиц из-за все более активной работы правоохранительных органов по раскрытию киберпреступлений. Злоумышленники едут туда, где "люди в погонах" пока еще не столь опытны в борьбе с ботоводами (из-за их отсутствия прежде в регионе). Злоумышленники рассчитывают, что там в разы меньше шансы, что правоохранители «позвонят в дверь»».
Исследование показало рост ботовой активности, идущей из регионов.
Если сравнивать год к году, то в 2022-2023 году чуть больше половины вредоносного трафика шла из-за рубежа. Российские же боты приходили в основном с ip-адресов двух столиц – Москвы и Санкт-Петербурга (более 85% в общем объеме российского вредоносного трафика).
Во второй половине 2023-начале 2024 года распределение ботовой активности по регионам изменилось - доля нелегитимной автоматизации с московских и питерских ip-адресов упала до ~65%.
Оставшиеся 35% российского ботового трафика приходится на регионы.
В региональном трафике (без учета Москвы и Санкт-Петербурга) лидерами стали:
- Екатеринбург ~26% от всего регионального трафика;
- Новосибирск ~14%;
Доля вредоносной активности с иностранных ip-адресов постепенно снижается из-за дополнительных сложностей аренды иностранных вычислительных мощностей. Вторая причина – при настройке защиты сайтов к зарубежному трафику относятся всё более насторожено.
На сегодняшний день доля отечественного ботового трафика для типичного крупного ресурса может составлять от 47% до 92%. Доля человеческого трафика с российских ip-адресов составляет порядка 91- 97%.
«Полагаем у миграции ботнетов в российские регионы есть ряд причин.
Во-первых, ботнетам нужны российские и при этом не «засвеченные» во вредоносной активности ip-адреса. Это один из технических ответов ботоводов на все более совершенствующиеся системы детектирования ботнетов.
Во-вторых, сказывается тренд на региональную удалёнку в российских it-секторе. Всё больше специалистов не торопятся "покорять Москву", оставаясь после окончания ВУЗа в крупных региональных центрах, где среди прочего арендуют и вычислительны мощности в местных ЦОДах.
-В-третьих, часть специалистов, работающих в "серой зоне" нелегитимной автоматизации, могут перебираться подальше от столиц из-за все более активной работы правоохранительных органов по раскрытию киберпреступлений. Злоумышленники едут туда, где "люди в погонах" пока еще не столь опытны в борьбе с ботоводами (из-за их отсутствия прежде в регионе). Злоумышленники рассчитывают, что там в разы меньше шансы, что правоохранители «позвонят в дверь»».
