31 декабря 2025 года на портале Anti-Malware вышла новость про то, что сайт Роскомнадзора упал: https://www.anti-malware.ru/news/2025-12-31-111332/48614. Если посмотреть еще новости на эту тему, то можно найти новости что российская кампания обнаружила группировку, которая кошмарит сайты для саморекламы. Хакеры взяли на себя ответственность за серию ДДоС атак на сайты российских кампаний. (https://www.anti-malware.ru/news/2025-10-27-111332/47831 , https://www.anti-malware.ru/news/2025-04-10-121598/45767)

Кому именно выпала честь, что их назвали “хакерской группировкой” кто именно стоит за этим я, Григорий Мельников, создатель сервиса KillBot дальше расскажу и покажу.

Ниже видео, где всё это я рассказываю на конференции в Иннополисе (17 апреля 2026 года):

И далее всё то же самое, но текстом:

Утром 2 января 2026 года упал мой сервис KillBot.

Просто уронить сайт — скучно. Поэтому мне решили об этом написать. Мистер Х написал мне:

“смотри, у тебя сайт лёг, мы тут флудилку на час оставили — по приколу”

Мотивация здесь — не деньги. Мотивация — внимание и самолюбие. Диалог с ними вести бессмысленно. Они не хотят договориться, а хотят тебя просто задеть. Если у переговоров нет реальной цели — из них нужно выходить сразу.

Поэтому в такие моменты всегда нужен человек который поможет.

У меня есть друг, пусть это будет Василий. Человек, который умеет решать вопросы в интернете. Я к нему обратился с этой историей, скинул скрин. И через некоторое время он мне просто скидывает чат. Обычный Telegram-чат, где обсуждают сайты которые они сегодня уронили.

Телеграм чат, скорее всего, выбрали просто случайно — под разовый флуд.

Там вообще странная атмосфера: вперемешку русский, английский языки. Так же есть и левые сообщения непонятно от кого. Выглядит как обычный чат где просто флудят.

• Смотрите, нашли идиотов, которые продают анти-DDoS, а через пару минут их сайт лежит.

• Хвастается что уронил сайт Роскомнадзора 2 раза: 10 апреля и 31 декабря 2025г, и что как тогда защиты как не было, так и сейчас её нет.

• Ронял сайты фбр, гитхаб — и… ничего ему за это не было

И он этим гордится. Говорит смысл всего этого это подарок на новый год и чтобы не выделывались.

Ни разу не видел, чтобы GitHub “выделывался”. Но почему-то именно его решили “учить” DDoS-ом.

И ему прямо в этом же чате пишут: “Ты вообще нормальный? Ты же в России живёшь…”

То есть человеком двигает только хайп - ему плевать что он вне закона - он смотрит только на то, что какой-то новостной сайт о нем что-то написал.

Давайте посмотрим, кто это вообще такой Мистер-Х.

Весь диалог с Мистером Х - это заслуга Василия.

У него в профиле — ссылка на новость - это РИА новости. Где рассказывают про “новую мощную группировку”, которая кошмарит сайты: https://ria.ru/20240523/servicepipe-1947787478.html

Когда ведутся на понт

Тут его Василий начинает хвалить, он расслабляется, расцветает, скидывает котиков, смайлики и становится максимально “дружелюбным”. И ведется на понт. Василий говорит - прямым текстом - а докажи что это ты, и положи какой-нибудь сайт в реальном времени.

Я думал что так ведутся только в мультиках. По типу как джина заманивают обратно в бутылку. Нас даже с детства мультики учат, что с таким сценарием ты можешь проиграть.

Он берет и в реальном времени кладёт сайт fsb.ru , прикладывает ссылку на мониторинг, что сайт не доступен из множества стран.

Видишь - до было все ок, а сейчас все, сайт fsb.ru лег.

Круто! Красивые картинки, выглядит правдоподобно!

Что на самом деле происходит?

Теперь давайте разберёмся, что происходит на самом деле. В большинстве случаев сайты. вообще не падают.

Просто включается анти-DDoS. И он делает простую вещь: блокирует страны, откуда идёт атака. Да, сайт может упасть в начале атаки, но только в моменте пока антиддос не подключен. Или пока парни разберутся в чем дело и отфильтруют эти запросы. Даже если сайт упал, дыра будет закрыта и в следующий раз сайт уже не ляжет.

И получается интересный эффект: Атакующий смотрит — показатели мониторинга с разных локаций для сайта красные (типа сайт лежит), а пользователи внутри страны — спокойно пользуются услугами сайта. То есть с его точки зрения — он победил. А с точки зрения того же FSB.ru — всё нормально, возможно они и не заметили атаку. Пользователь в России может зайти на сайт и оставить обращение. Пару часов с антиддос фильтром пережили - не страшно.

Но дальше начинается классика. Он пишет:

“геоблок — это не защита, они без геоблока никто”. И вместо того, чтобы признать: “меня отрезали фильтром” он делает вывод: “у них нет защиты”.

Мистер Х не понимает, что все работало как и раньше, ничего не изменилось, просто он наработал на статью.

Большинство упомянутых в новостях сервисов лежали только на картинках, которые он сам и слал, а СМИ шикарно писали об этом.

Что за секретные технологии?

Василий пошёл дальше. И решил аккуратно выпытать: “А какие у вас там вообще технологии?” И вот здесь проявляется вся сущность ГЛАВЫ группировки. Он с гордостью начинает перечислять все секреты.

• enable aggressive cache bypassing techniques…

• path/query randomization…

• user agent variations…

• edge cache busting

user-agent variations…

Это подаётся это так, как будто это какие-то секретные разработки 2024 года. В его мире это “продвинутые техники”, а в реальности — это базовый набор из любого парсера, который существовал и 30 лет назад, когда была еще Windows 95.

В переписке, видно, что “Мистер Х” использует скрипт, который скачал в интернете и который на вход ест прокси - и тупо делает множество параллельных запросов через прокси на сайт. Плюс он даже не понимает, цифр которые скрипт отдает. Он говорит:

видишь 5 запросов в секунду и сайт лежит, потому что секретные технологии!

5 запросов в секунду это ни о чем. Здесь, на его скрине, я могу предположить, и скорее всего имеется ввиду 5 запросов в секунду НА ПРОКСИ, а не общее число генерируемых запросов. Так как его софтина реально генерирует очень много запросов, раз антиддос включается.

Если бы Мистер Х был умнее

То он мог бы предложить тестирование нагрузки. Он мог бы сказать:

Друзья, я могу нагенерировать DDoS трафика, чтобы вы улучшили свою защиту и чтобы сайт не падал от реальных атак.

В этом случае он бы и денег заработал, и друзей бы приобрел и стал бы членом команды.

А что сейчас? Сейчас с одной стороны, он наделал добрых дел:

• Парни атакуемых сайтов улучшили защиту и, если сайт падал, от такого трафика больше не упадет.

• Он подарил мне тему этой статьи, все-таки интересно почитать, кто этим занимается.

• Василий наработал на медаль: Не каждый сможет разговорить самого Главу группировки.

И за добрые дела Мистер Х получает тоже статью, но уже в УК РФ. Это результат работы его нейронных связей.

Раскрыта хакерская группировка, проводящая DDoS-атаки

Вот как громко СМИ говорят о таких событиях. И это реально комплемент что Мистера Х назвали “хакерская группировка”: https://ria.ru/20240523/servicepipe-1947787478.html

Вот перед тем, как делать комплименты непонятно кому, нужно обратиться прямо в эти сервисы, которые упомянули хакеры и попросить комментарии. Не нужно верить тому, что они в своих каналах пишут и какие скрины выкладывают.

А заголовок должен быть таким:

Бравые парни из Яндекс Еды, Вкусвила, Райфайзен банка и Теле2 даже и не заметили что на их сайт пришелся ДДоС.

Я отправляю запрос через сайт FSB.ru, чью защиту снес мистер Х.

Через сайт fsb.ru я обратился 4 января 2026г. вечером, ждал пока Василий соберет друзей и друзей друзей мистера Х. Получил ответ что возьмут как будут проходить мимо.

У них и своей, более важной работы очень много, а тут еще и запрос на поиск неудачников. Специально им заниматься не будут. Если только кто захочет звезду на погоны, то не побрезгает - все-таки в новостях про него писали и сайты реально падали.

Ссылки на скрипты, которые защитят от ДДоС типа Мистер Х, есть в комментарии к соответствующему посту в моём телеграм канале

Как защититься от воровства заявок конкурентами?

Единственный, и рабочий метод я расскажу в следующем посте, поэтому подписывайтесь: https://t.me/KillBotRus, чтобы не пропустить этот интересный материал.