Эксперты StormWall изучили ключевые характеристики инцидентов, организованных в праздничные дни в 2026 году и 2025 году и обнаружили, что многие важные показатели атак выросли в несколько раз. Это указывает на то, что злоумышленники значительно усилили атаки на ритейл в 2026 году и считают эту отрасль перспективной для получения выгоды.
Одна из важнейших тенденций заключается в том, что во время празднования 8 марта терабитные атаки стали для онлайн-магазинов суровой реальностью. Максимальная мощность атак на сетевом уровне в этот период выросла на 129% до 2,08 Тбит/с по сравнению с прошлым годом. При таких условиях даже крупные маркетплейсы могут быть полностью отрезаны от покупателей за секунды.
Еще одним пугающим трендом является то, что число мощных атак (более 100 Гбит/с) на ритейл 8 марта в этом году выросло почти в 10 раз (с 15 тыс до 161,5 тыс). Такие инциденты перегружают каналы связи и транзитные узлы, выводя из строя всю инфраструктуру ритейлера. Кроме того, атаки на прикладном уровне (L7) стали в 3 раза интенсивнее. Пиковая нагрузка на ритейлеров 8 марта 2026 года достигала 564 тысячи запросов в секунду (рост составил 201% по сравнению с 2025 годом). Для интернет-магазинов это означает мгновенное исчерпание ресурсов, которое может приводить к отказу систем оплаты, корзин покупок и других критичных для бизнеса сервисов.
Эксперты также обнаружили ряд других изменений, связанных с атаками на сферу электронной коммерции в марте 2026 года. Размеры ботнетов, используемых для запуска атак на ритейл, выросли в 75 раз. Размер крупнейшего ботнета увеличился с 92 тысяч в 2025 году до 6,97 миллионов зараженных устройств в 2026 году.
В марте 2026 года DDoS-атаки на уровне L3 стали более “таргетированными” под бизнес-процессы ритейла. В этом году резко сократилось количество кратковременных атак (до 15 минут), зато основная масса (более 65%) теперь длится 15-30 минут. При этом, атаки на уровне L7 продолжались несколько часов. Более 60% атак на уровне L7 длились от 1 до 6 часов. Длительная атака заставляет систему защиты постоянно адаптировать правила фильтрации: первоначально настроенные политики часто оказываются недостаточно точными и требуют корректировки. Пока защита подстраивается, атакующий может удерживать давление и нарушать работу сервиса в течение критически важного временного окна. Количество мелких атак в марте этого года сократилось на 93%. Вместо тысяч слабых флудов хакеры теперь направляют используют ресурсы для организации нескольких мощных ударов.
География угроз в марте этого года сильно сместилась. Новым лидером по числу IP-источников в этом году стала Бразилия (это связано с развитием атак с участием ботнета Kimwolf). За год количество атакующих IP из Бразилии выросло до 898 тысяч, обогнав Турцию. Для ритейла, работающего с международной аудиторией, это означает необходимость перестраивать профили трафика и правила геоблокировок. При этом важно понимать, что геоблокировки не являются панацеей: атакующие могут использовать прокси и распределенные сети, поэтому защита должна быть комплексной и динамически адаптироваться под новые источники угроз.
Фото: freepik
