Провайдер облачной сетевой инфраструктуры и решений в области кибербезопасности и доставки контента CURATOR, специализирующийся на обеспечении доступности интернет-ресурсов, нейтрализации DDoS-атак и защите веб-приложений, подытожил данные своей инфраструктуры защиты за первое полугодие 2026 года и зафиксировал постепенное вхождение DDoS-атак терабитного класса в обычную практику злоумышленников.

По данным CURATOR, в течение второго квартала 2026 года структура кибератак претерпела заметные изменения: финтех сохранил лидерство среди целей, однако его доля сократилась, тогда как сегмент медиа резко усилил своё присутствие в статистике. Во втором квартале 2026 года финтех-сегмент по-прежнему остаётся главной целью злоумышленников, однако его доля сократилась с 44,2% до 31,9%. При этом медиасегмент — «Медиа, ТВ, радио и блогеры» — стремительно вырос и занял первое место в микросегментации с 12,7% всех инцидентов. Тройку лидеров по макросегментам замыкают «ИТ и Телеком» (16,8%) и «Медиа» (14,0%), вместе с финтехом формирующие около двух третей всех зафиксированных атак. В топ-5 микросегментов по числу атак вошли также «Платёжные системы» (10,0%), «Банки» (9,5%), «Онлайн-букмекеры» (9,0%) и «Торговые площадки» (7,9%).

На этом фоне атаки мощностью свыше 1 Тбит/с превратились в рутину: за один квартал их зафиксировано вдвое больше, чем за весь прошлый год. За апрель—июнь 2026 года CURATOR нейтрализовал 12 подобных инцидентов — вдвое больше, чем за весь 2025 год. Наиболее мощные атаки пришлись на сегмент онлайн-ставок: пиковый битрейт двух крупнейших достиг 1,64 и 1,58 Тбит/с при скорости передачи пакетов 553 и 638 Мпак/с (миллионов пакетов в секунду) соответственно. Наиболее продолжительная атака квартала — в сегменте онлайн-ритейла — длилась почти 80 часов.

Растёт техническая сложность атак: так, доля мультивекторных DDoS-инцидентов увеличилась с 8,0% в 2025 году до 11,7% во втором квартале 2026 года. Изменилась и структура векторов: доля UDP flood выросла с 22,9% до 29,3%, TCP flood удвоилась — с 4,2% до 8,9%, SYN flood — с 2,8% до 5,6%. Одновременно зафиксирован нетипичный всплеск ICMP flood: его доля достигла 4,3% против 0,1% годом ранее.

Во втором квартале впервые за два года зафиксировано резкое снижение размера крупнейшего наблюдаемого ботнета — с 13,5 млн устройств в первом квартале до 2,09 млн. По оценке специалистов CURATOR, это связано с международной операцией правоохранительных органов США, Канады и Германии, в ходе которой была выведена из строя инфраструктура ботнетов Aisuru и Kimwolf. Вместе с тем компания не ожидает долгосрочного изменения ситуации: фундаментальные предпосылки для формирования масштабных ботнетов — рост числа уязвимых устройств и доступность инструментов автоматизации на базе ИИ — никуда не исчезли.

Операция правоохранителей отразилась и на географии источников атак. На первое место среди источников L7 DDoS вышли США (15,9%), следом — Вьетнам (9,5%) и Россия (7,2%). Бразилия, лидировавшая несколько кварталов подряд, резко снизила долю (6,2%) и опустилась на четвёртое место. В целом распределение источников атак по-прежнему становится более равномерным: совокупная доля стран за пределами топ-20 продолжает расти. Это ещё раз подтверждает снижение практической ценности простых географических блокировок как инструмента защиты.

«Наши данные показывают: ландшафт угроз меняется быстрее, чем было принято считать. Атаки класса 1 Тбит/с больше не являются экстраординарными событиями — они за последний год стали частью нашей реальности. При этом смена приоритетов у злоумышленников происходит стремительно: медиасегмент, ещё недавно находившийся на периферии статистики, за один квартал вышел в лидеры по числу инцидентов. Для бизнеса это означает одно: защита не может строиться на отраслевых допущениях — угроза актуальна для любого публичного ресурса», — отметил Дмитрий Ткачёв, генеральный директор CURATOR.