Przejdź do treści głównej
Bezpieczeństwo Chmury

Raport Strategiczny DDoS Q3 2025: ogromne ataki z botnetów

Sebastian Cyber Security Consultant
15 min czytania
Raport Strategiczny DDoS Q3 2025: ogromne ataki z botnetów

Koniec Epoki Cybernetycznej Niewinności

Trzeci kwartał 2025 roku będzie zapamiętany jako moment, gdy granice fizycznej przepustowości infrastruktury internetowej zostały brutalnie przetestowane. Pojawienie się botnetu Aisuru, zdolnego do generowania ataków o sile przekraczającej 29 terabitów na sekundę, redefiniuje bezpieczeństwo sieciowe dla polskich przedsiębiorstw.

ICWT, jako autoryzowany partner Cloudflare w Polsce, obserwuje zmiany z pierwszej linii frontu. Raport łączy globalną telemetrię Cloudflare z lokalnym kontekstem, analizując wpływ geopolityki, regulacji NIS2 i specyfiki polskiego rynku.

Rozdział 1: Anatomia Cyfrowego Lewiatana – Botnet Aisuru

Skala i Parametry Techniczne Zagrożenia

Botnet Aisuru zgromadził armię zainfekowanych urządzeń szacowaną na od 1 do 4 milionów hostów na całym świecie. W przeciwieństwie do poprzednich generacji, wykorzystuje szersze spektrum przejętych zasobów, w tym serwery i routery brzegowe z wydajnymi łączami.

Dane wskazują, że ataki, które jeszcze rok temu byłyby uznane za rekordowe incydenty roku, obecnie zdarzają się średnio co dwie godziny.

Ataki DDoS 2023-2025

Mechanika Ataku: Carpet Bombing i Randomizacja

Atak 29.7 Tbps nie był skierowany w pojedynczy adres IP. Zastosowano technikę carpet bombing — bombardowanie dywanowe na protokole UDP, atakowując tysięce adresów IP wewnątrz podsieci docelowej. Aisuru bombardował średnio 15 000 portów docelowych na sekundę.

Tradycyjne systemy monitorują ruch do konkretnych IP, ale carpet bombing nasyca łącze uplink całej organizacji. Atakujący randomizowali atrybuty pakietów, uniemożliwiając stworzenie prostej sygnatury blokującej.

Ekonomia Cyberprzestępczości: Botnet-for-Hire

Fragmenty botnetu Aisuru są oferowane na czarnym rynku w modelu usługowym. Za kwotę rzędu kilkuset do kilku tysięcy dolarów podmiot bez wiedzy technicznej może sparaliżować infrastrukturę cyfrową konkurenta. Dla polskich firm oznacza to zagrożenie nie tylko od zaawansowanych grup APT, ale również nieuczciwej konkurencji.

Rozdział 2: Geopolityka jako Wektor Ataku – Wnioski dla Polski

Indonezja: Nowe Centrum Grawitacji Cyberzagrożeń

Indonezja dominuje jako źródło ataków. Udział ruchu HTTP DDoS pochodzącego z tego kraju wzrósł o 31 900% w ciągu pięciu lat i utrzymał pozycję lidera w 2025.

Przyczyną jest masowa infekcja niezabezpieczonych urządzeń IoT oraz routerów, szczególnie popularnych w regionie urządzeń MikroTik. Dla polskich administratorów oznacza to konieczność monitorowania ruchu z Azji Południowo-Wschodniej i implementacji reguł geolokalizacyjnych.

Źródła ataków DDoS w Q3 2025

Wojna o Surowce i Przemysł Wydobywczy

Eskalacja napięć handlowych między UE a Chinami znalazła odzwierciedlenie w celach ataków. Branża Mining, Minerals & Metals odnotowała gwałtowny wzrost incydentów, awansując o 24 pozycje w rankingu.

Jest to sygnał ostrzegawczy dla polskich gigantów przemysłowych. Cyberataki stają się narzędziem nacisku ekonomicznego, mającym na celu zakłócenie łańcuchów dostaw.

Polska na Celowniku: Kontekst Regionalny

Polska pozostaje jednym z najczęściej atakowanych krajów w Europie. Ataki zaobserwowano na:

  • Sektor publiczny: systemy mObywatel i CEPiK
  • Transport: systemy sprzedaży biletów PKP Intercity
  • Finanse: sektor bankowy, BLIK

Każda polska firma będąca częścią łańcucha dostaw infrastruktury krytycznej jest potencjalnym celem, nawet jeśli nie angażuje się w politykę.

Rozdział 3: Transformacja Celów – Kogo Atakują Boty?

Sztuczna Inteligencja pod Ostrzałem

Najbardziej dynamiczny wzrost odnotowano w sektorze firm zajmujących się generatywną sztuczną inteligencją. We wrześniu 2025 roku ruch atakujący te podmioty wzrósł o 347% miesiąc do miesiąca.

  • Przetwarzanie zapytań do modeli AI wymaga ogromnej mocy GPU
  • Ataki fałszywych zapytań generują gigantyczne koszty operacyjne
  • Wzrost zbiegł się z debatami regulacyjnymi, sugerując motywacje aktywistyczne

Sektor Motoryzacyjny

Branża Automotive odnotowała skok o 62 pozycje w górę w rankingu celów. Związane jest to z rosnącym stopniem skomunikowania pojazdów. Atak DDoS może uniemożliwić zdalne otwieranie pojazdów, aktualizacje OTA i funkcjonowanie systemów nawigacyjnych.

Najczęściej atakowane sektory DDoS

Rozdział 4: Ewolucja Wektorów Ataku – Analiza Techniczna

Najczęstsze rodzaje ataków DDoS

Renesans Warstwy Sieciowej (L3/4)

Ataki w warstwie sieciowej stanowiły 71% wszystkich incydentów, notując wzrost o 87% rok do roku.

  • UDP Flood: Najpopularniejszy wektor, napędzany przez Aisuru. Protokół UDP jest idealny do generowania ogromnych wolumenów ruchu przy minimalnym koszcie.
  • Mirai wciąż żywy: Warianty Mirai odpowiadają za blisko 2% wszystkich ataków sieciowych mimo upływu dekady.

HTTP DDoS: Mniej, ale Sprytniej

Liczba ataków w warstwie aplikacji spadła o 41%, jednak ich jakość wzrosła.

  • Headless Browsers: Aż 20% ataków HTTP jest generowanych przez narzędzia symulujące pełnoprawne przeglądarki. Omijają wyzwania JavaScript, wymagając analizy behawioralnej.
  • Known Botnets: 70% ataków HTTP pochodzi ze znanych botnetów. Dzięki globalnej inteligencji Cloudflare (20% ruchu globalnego), klienci są chronieni proaktywnie.

Czas Trwania: Koniec Reakcji Ludzkiej

89% ataków sieciowych i 71% ataków HTTP trwa krócej niż 10 minut. Model ochrony oparty na reakcji zespołu SOC jest całkowicie nieskuteczny. Jedynym rozwiązaniem jest autonomiczna mitygacja Always-On reagująca w czasie poniżej 3 sekund.

Rozdział 5: Rola Partnera w Procesie Wdrożenia – Podejście ICWT

Dlaczego „Pudełkowe" Cloudflare to za mało?

Wiele firm kupuje licencję Cloudflare, włącza domyślne ustawienia i uważa się za bezpieczne. Raport Q3 2025 pokazuje, że przy atakach >29 Tbps domyślna konfiguracja może być niewystarczająca.

  • Misconfigurations: Botnet Aisuru aktywnie szuka luk, takich jak pozostawione otwarte porty na serwerze origin czy zbyt liberalne reguły WAF.
  • Fałszywe poczucie bezpieczeństwa: Bez poprawnego wdrożenia atakujący mogą ominąć Cloudflare, uderzając bezpośrednio w adres IP serwera.

Metodyka ICWT: „Globalna Technologia, Lokalna Realizacja"

Podejście ICWT opiera się na:

  • Zrozumienie potrzeb biznesowych klienta
  • Analiza środowiska i zaplanowanie architektury bezpieczeństwa
  • Poprawne przeprowadzenie wdrożenia minimalizujące przestoje
  • Audyt konfiguracji i hardening wyłapujący błędy
  • Doświadczenie realizacji dziesiątek wdrożeń
  • Architektura hybrydowa integrująca Cloudflare z systemami on-premise
  • Wsparcie DevSecOps integrujące ochronę w procesy CI/CD
  • Eksperci od rozwiązań, nie od logo, dobierający narzędzia do potrzeb

Rozdział 6: Dyrektywa NIS2 a Ochrona Przed DDoS

DDoS jako Zagrożenie dla Zgodności

Rok 2025 stoi pod znakiem implementacji dyrektywy NIS2. Atak DDoS paraliżujący usługi na kilka godzin jest poważnym incydentem wymagającym zgłoszenia. Brak adekwatnych zabezpieczeń anty-DDoS może zostać zinterpretowany jako niedochowanie należytej staranności, co grozi karami finansowymi sięgającymi do 10 mln EUR lub 2% obrotu rocznego.

Cloudflare jako Element Compliance

Wdrożenie Cloudflare Enterprise wspiera zgodność z NIS2:

  • Ciągłość działania: Gwarancja SLA na dostępność usług nawet w ataku
  • Bezpieczeństwo łańcucha dostaw: Ochrona API i integracji B2B
  • Raportowanie i audytowalność: Szczegółowe logi i raporty poincydentowe niezbędne w zgłaszaniu do CSIRT

Rekomendacje Strategiczne dla Polskich CISO

  • Eliminacja hardware’u z obrony DDoS: Lokalne urządzenia są bezużyteczne przy atakach >1 Tbps. Należy przenieść obronę do chmury, gdzie pojemność sieci (449 Tbps) wielokrotnie przewyższa największe możliwe ataki.
  • Wdrożenie ochrony API: Ze względu na wzrost ataków na interfejsy programistyczne, niezbędne jest wdrożenie WAF i API Gateway z walidacją schematów.
  • Audyt bezpieczeństwa origin: Ukrycie prawdziwego adresu IP serwerów (Cloudflare Tunnel zamiast otwartych portów).
  • Edukacja i testy: Regularne przeprowadzanie testów penetracyjnych i symulacji DDoS.

Podsumowanie

Trzeci kwartał 2025 roku pokazał, że internet stał się polem bitwy, na którym amunicją są terabity danych. Botnet Aisuru dowodzi, że jedyną stałą jest zmiana skali zagrożeń. Dla polskich firm ochrona przed DDoS nie jest już opcją, lecz warunkiem koniecznym istnienia na rynku cyfrowym.

ICWT łączy potęgę Cloudflare z wiedzą wdrożeniową i zrozumieniem lokalnego rynku, dostarczając rozwiązania, które pozwalają spać spokojnie nawet wtedy, gdy na zewnątrz szaleje cyfrowa burza.

Tagi:
#ochrona DDoS 2025 #botnet Aisuru #Cloudflare #partner Cloudflare Polska #NIS2

Powiązane artykuły

EDR czy XDR - które rozwiązanie pasuje do twojej organizacji?

EDR czy XDR - które rozwiązanie wybrać? Porównanie zasięgu, korelacji danych i dojrzałości operacyjnej. Kryteria doboru dla Twojej organizacji.
Wszystkie artykuły