- Специальный корреспондент
Правоохранители использовали сайты-приманки и вбросы в Telegram, чтобы отпугнуть клиентов от покупки DDoS-атак.
К концу 2023 года стало ясно, что самая масштабная на сегодня координированная операция против сервисов DDoS-for-Hire дала двойственный эффект. Авторы работы, на USENIX Security 2025, проследили судьбу рынка после двух волн изъятий в декабре 2022-го и мае 2023-го. Под удар попали около шестидесяти доменов, а вместе с блокировками правоохранители задействовали подменные площадки и информационные вбросы в сообществах, чтобы оттолкнуть потенциальных клиентов.
Такие площадки годами продавали удобный доступ к атакам за небольшие суммы, прикрываясь темой легальных нагрузочных проверок. Попытки зачистки уже предпринимались, в том числе в 2018-м, но тогда эффект быстро сходил на нет. На этот раз помимо конфискации сайтов сделали ставку на подрыв доверия внутри экосистемы — от разъяснительных страниц до имитации «новых» сервисов, которые вели на предупреждения о рисках.
Чтобы оценить последствия, исследовательская группа объединила несколько независимых источников. Трафик на страницы уведомлений о блокировке превысил 20 миллионов посещений — это позволило понять, кто и откуда приходил на изъятые ресурсы. Отдельно собрали аналитику Similarweb для конфискованных и «воскресших» доменов. На стороне наблюдений за атаками использовали четыре набора — Hopscotch, AmpPot, телеметрию Netscout и массив самостатов более чем 200 сервисов за 2 года; всего свыше 47 миллионов записей о . Дополнением стали тысячи сообщений на форумах и в каналах Telegram, где операторы и клиенты обсуждали зачистки.
Реакция рынка оказалась стремительной, но нервной. После декабрьской более половины площадок вновь подняли витрины, медианное время «воскрешения» уложилось примерно в 20 часов. После майской — восстановились все, средний срок составил около 40 часов. Однако узнаваемые интерфейсы не вернули аудиторию: посещаемость обрушилась на 80–90% по визитам и по числу уникальных пользователей, а к концу сентября 2023-го суммарные заходы на такие домены свелись к единичным.
География переходов на страницы уведомлений показала преобладание посетителей из США, затем шли Китай, Германия, Великобритания и Россия; заметно меньшие доли пришлись на Францию, Нидерланды, Турцию, Польшу и Сингапур. Преимущественно заходили с ПК, что согласуется с игровым контекстом использования. Показательно низкой была доля прокси и VPN, почти не встречался трафик из — это подтверждает, что основная аудитория состоит из молодых и неопытных пользователей. При этом наблюдалась перепродажа мощности крупными площадками через API второму эшелону; часть таких интеграторов не заметила изъятий и месяцами продолжала делать вызовы.
Поддельные сервисы от правоохранителей, маскирующиеся под реальные, на коротких отрезках привлекали сопоставимую с «воскресшими» сайтами аудиторию, но интерес затухал через несколько дней. Тем не менее само присутствие таких приманок подрезало уверенность покупателей: когда нельзя быть уверенным, что новая площадка не контролируется силовиками, порог входа подрастает.
Если смотреть на массивы атак, декабрьская волна ощутимо просела в телеметрии: глобальные объёмы падали на 20–40%, особенно по , которые чаще завязаны на услуги по аренде мощностей. Но уже через шесть недель показатели не только отыграли, но местами превысили прежние уровни — практически как после кампании 2018 года. Майская зачистка заметного следа в метриках не оставила. По самостату двух крупнейших площадок видно, что они пережили обе волны без резких всплесков доли. Восстановление рынка шло не через одного-двух лидеров, а за счёт рассыпного набора мелких игроков.
Дискуссии в сообществах дополнили картину: сначала обсуждали ФБР и британское NCA, кто-то упрямо пытался восстановить инфраструктуру, другие закрывали проект, выставляли исходники на продажу и искали подработку. Прозвучал и страх быть пойманным — для сегмента, который живёт ощущением низкого риска, такие сомнения болезненны.
Главный вывод в том, что точечные операции приносят ощутимый, но кратковременный результат. Они урезают потоки атак, ломают привычные маршруты аудитории и заставляют операторов тратить ресурсы на бег на месте. Это особенно ценно в периоды пиков вроде рождественских каникул и школьных отпусков. При этом рынок эластичен: домены меняются за часы, объёмы откатываются за недели. Поэтому задача не в том, чтобы однажды «победить», а в том, чтобы поддерживать нестабильность. Если услуги из категории лёгкой забавы для геймеров сместятся в нишу для более мотивированных злоумышленников, это уже положительный сдвиг.
К концу 2023 года стало ясно, что самая масштабная на сегодня координированная операция против сервисов DDoS-for-Hire дала двойственный эффект. Авторы работы, на USENIX Security 2025, проследили судьбу рынка после двух волн изъятий в декабре 2022-го и мае 2023-го. Под удар попали около шестидесяти доменов, а вместе с блокировками правоохранители задействовали подменные площадки и информационные вбросы в сообществах, чтобы оттолкнуть потенциальных клиентов.
Такие площадки годами продавали удобный доступ к атакам за небольшие суммы, прикрываясь темой легальных нагрузочных проверок. Попытки зачистки уже предпринимались, в том числе в 2018-м, но тогда эффект быстро сходил на нет. На этот раз помимо конфискации сайтов сделали ставку на подрыв доверия внутри экосистемы — от разъяснительных страниц до имитации «новых» сервисов, которые вели на предупреждения о рисках.
Чтобы оценить последствия, исследовательская группа объединила несколько независимых источников. Трафик на страницы уведомлений о блокировке превысил 20 миллионов посещений — это позволило понять, кто и откуда приходил на изъятые ресурсы. Отдельно собрали аналитику Similarweb для конфискованных и «воскресших» доменов. На стороне наблюдений за атаками использовали четыре набора — Hopscotch, AmpPot, телеметрию Netscout и массив самостатов более чем 200 сервисов за 2 года; всего свыше 47 миллионов записей о . Дополнением стали тысячи сообщений на форумах и в каналах Telegram, где операторы и клиенты обсуждали зачистки.
Реакция рынка оказалась стремительной, но нервной. После декабрьской более половины площадок вновь подняли витрины, медианное время «воскрешения» уложилось примерно в 20 часов. После майской — восстановились все, средний срок составил около 40 часов. Однако узнаваемые интерфейсы не вернули аудиторию: посещаемость обрушилась на 80–90% по визитам и по числу уникальных пользователей, а к концу сентября 2023-го суммарные заходы на такие домены свелись к единичным.
География переходов на страницы уведомлений показала преобладание посетителей из США, затем шли Китай, Германия, Великобритания и Россия; заметно меньшие доли пришлись на Францию, Нидерланды, Турцию, Польшу и Сингапур. Преимущественно заходили с ПК, что согласуется с игровым контекстом использования. Показательно низкой была доля прокси и VPN, почти не встречался трафик из — это подтверждает, что основная аудитория состоит из молодых и неопытных пользователей. При этом наблюдалась перепродажа мощности крупными площадками через API второму эшелону; часть таких интеграторов не заметила изъятий и месяцами продолжала делать вызовы.
Поддельные сервисы от правоохранителей, маскирующиеся под реальные, на коротких отрезках привлекали сопоставимую с «воскресшими» сайтами аудиторию, но интерес затухал через несколько дней. Тем не менее само присутствие таких приманок подрезало уверенность покупателей: когда нельзя быть уверенным, что новая площадка не контролируется силовиками, порог входа подрастает.
Если смотреть на массивы атак, декабрьская волна ощутимо просела в телеметрии: глобальные объёмы падали на 20–40%, особенно по , которые чаще завязаны на услуги по аренде мощностей. Но уже через шесть недель показатели не только отыграли, но местами превысили прежние уровни — практически как после кампании 2018 года. Майская зачистка заметного следа в метриках не оставила. По самостату двух крупнейших площадок видно, что они пережили обе волны без резких всплесков доли. Восстановление рынка шло не через одного-двух лидеров, а за счёт рассыпного набора мелких игроков.
Дискуссии в сообществах дополнили картину: сначала обсуждали ФБР и британское NCA, кто-то упрямо пытался восстановить инфраструктуру, другие закрывали проект, выставляли исходники на продажу и искали подработку. Прозвучал и страх быть пойманным — для сегмента, который живёт ощущением низкого риска, такие сомнения болезненны.
Главный вывод в том, что точечные операции приносят ощутимый, но кратковременный результат. Они урезают потоки атак, ломают привычные маршруты аудитории и заставляют операторов тратить ресурсы на бег на месте. Это особенно ценно в периоды пиков вроде рождественских каникул и школьных отпусков. При этом рынок эластичен: домены меняются за часы, объёмы откатываются за недели. Поэтому задача не в том, чтобы однажды «победить», а в том, чтобы поддерживать нестабильность. Если услуги из категории лёгкой забавы для геймеров сместятся в нишу для более мотивированных злоумышленников, это уже положительный сдвиг.
