Здравствуй, читатель!

В марте 2026 года несколько моих проектов, связанных с браузерными играми, подверглись масштабной DDoS-атаке. Атакуемые сайты были размещены на незащищенном VPS у одного из российских хостинг-провайдеров. Самостоятельно справиться с атакой не удалось, помимо L7-уровня (HTTP-флуд), атакующие задействовали и L4 (TCP/UDP-флуд), фактически убив канал и ресурсы моего сервера.

В результате для защиты нескольких доменов мне пришлось в экстренном порядке подключать внешнее решение с проксированием трафика. Это обошлось в несколько десятков тысяч рублей и превратилось в регулярные ежемесячные расходы, из-за чего моя пятая точка сильно подгорела и продолжает гореть до сих пор.

Этот опыт пожар подтолкнул меня разобраться, как устроен рынок DDoS-атак сегодня: кто их запускает, как это устроено и сколько это стоит в 2026 году. В ходе исследования серфинга я вышел на так называемые DDoS-стрессеры — сервисы, позволяющие любому желающему за относительно небольшую плату организовать атаку на любой сайт или сервер без какого-либо подтверждения прав на целевой ресурс. Доступ к таким платформам продается исключительно за криптовалюту. Интерфейс этих сервисов предельно упрощен и представляет собой панель управления атаками, в которой задается цель (IP-адрес или URL), указывается длительность атаки в секундах, выбирается метод атаки — L4 (TCP/UDP) или L7 (HTTP), после чего запуск и остановка атак выполняются с помощью одной или нескольких кнопок.

Само существование подобных сервисов давно не является новостью — о первых из них я слышал еще в далеком 2012 году, кажется в том же году создателей этих сервисов и посадили. По сей день против DDoS-стрессеров правоохранительные органы, включая Европол, ФБР и другие национальные службы, регулярно проводят операции под общим названием PowerOFF. В рамках этих мероприятий осуществляется блокировка доменов, изъятие серверной инфраструктуры, установление личности пользователей и создателей подобных сервисов с последующим привлечением их к уголовной ответственности.

Однако у российских компаний, о которых пойдет речь далее, сформировалась своя атмосфера, способствующая тому, что представители англоязычного сегмента киберпреступности постепенно перемещают свою деятельность на российскую инфраструктуру, стремясь сохранить и защитить свой нелегальный бизнес. Речь пойдет о вполне конкретных и известных игроках российского рынка:

• Руцентр — один из крупнейших российских регистраторов доменных имен

• Рег.Ру — один из крупнейших российских регистраторов доменов и хостинг-провайдеров

• DDoS-Guard — компания, специализирующаяся на защите интернет-ресурсов от DDoS-атак

Попадание в этот список компании DDoS-Guard выглядит особенно абсурдно. Позиционируя себя как поставщика защиты от DDoS-атак, она на практике оказывается встроенной в ту самую экосистему, против которой заявляет борьбу, предоставляя услуги защиты DDoS-стрессерам. В результате возникает парадоксальная ситуация: инфраструктура, предназначенная для противодействия атакам, одновременно обслуживает тех, кто эти атаки организует.

Руцентр и Рег.Ру — это, казалось бы, не какие-то "абузоустойчивые" сервисы из серой зоны, а крупные регистраторы с формально действующей идентификацией клиентов и проверкой данных при регистрации доменов. Однако на практике их инфраструктура продолжает использоваться для регистрации доменов, обслуживающих DDoS-стрессеры, а также площадки, где открыто торгуют крадеными банковскими картами, поддельными документами и другими незаконными услугами.

Речь идет не о разовых инцидентах или случайных упущениях. Наблюдаемая картина носит устойчивый, систематический характер. Одни и те же типы ресурсов: DDoS-стрессеры, теневые форумы, площадки с откровенно незаконным контентом — последовательно выбирают для своих доменов именно Руцентр и Рег.Ру.

Ключевой фактор — реакция на жалобы. На практике она либо отсутствует, либо сводится к формальным ответам в духе "обращайтесь в правоохранительные органы, у нас лапки". Такая позиция фактически снимает с регистраторов любую ответственность за происходящее в их зоне контроля.

В результате формируется устойчивая закономерность: киберпреступники осознанно выбирают те компании, где риск последствий минимален. И пока эта ситуация сохраняется, инфраструктура данных регистраторов продолжает использоваться для обслуживания противоправных сервисов — не вопреки заявленным политикам, а вследствие их фактической неэффективности.

В качестве наглядного примера ниже приведена таблица с рядом обнаруженных стрессеров и форумов. Внимание: подобные ресурсы рекомендуется посещать исключительно в исследовательских целях. Создание и использование подобных сервисов в Российской Федерации подпадает под действие уголовного законодательства:

• ст. 272 УК РФ («Неправомерный доступ к компьютерной информации»)

• ст. 273 УК РФ («Создание, использование и распространение вредоносных программ»)

• ст. 274 УК РФ («Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации»)

В контексте ресурсов с продажей украденных банковских карт и поддельных документов:

• ст. 159.3 УК РФ («Мошенничество с использованием электронных средств платежа»)

• ст. 187 УК РФ («Неправомерный оборот средств платежей»)

• ст. 327 УК РФ («Подделка, изготовление или оборот поддельных документов»)

Кликните на скрытую часть текста, чтобы увидеть полное имя домена.

1. * — Динамический IP-адрес (CloudFlare, Amazon и т.п.)

2. ** — Не удалось определить регистратора

3. *** — Домен используется для перенаправления (редиректа) на другой домен

Посмотрите на этот список — и он далеко не полный. Во что превращаются российские регистраторы, если даже на зарубежных ресурсах я нашел массу обсуждений, где для нелегальной деятельности рекомендуют использовать домены, зарегистрированные через Руцентр или Рег.Ру? В этих же обсуждениях их прямо называют «bulletproof» регистраторами, параллельно разбирая, как обходить KYC верификацию, где купить сканы и фотографии российских паспортов и как проводить оплату с использованием российских карт.

У популярных международных регистраторов, таких как GoDaddy, Namecheap, IONOS, Gandi и Tucows, подобные ресурсы живут не более 72 часов после жалобы, после чего их домены снимаются с делегирования, но у российских регистраторов, как я уже отмечал, своя атмосфера — и на этом фоне неудивительно, что киберпреступность, включая англоязычную, мигрирует именно к ним.

Под спойлерами приведены скриншоты с краткими описаниями по каждому из рассматриваемых сайтов — в той же последовательности, что и в таблице:

№ 1

№ 2

№ 3

№ 4

№ 5

№ 6

№ 7

№ 8

№ 9

№ 10

№ 11

№ 12

№ 13

№ 14

Как можно понять, этот материал не появился бы, если бы ситуацию удалось решить через стандартные обращения в поддержку регистраторов и DDoS-Guard. В Координационном центре доменов .RU/.РФ мне рекомендовали обратиться к администратору домена верхнего уровня .SU — RIPN, а также в ряд профильных организаций, с которыми они взаимодействуют.

В течение месяца я направлял обращения во все нижеперечисленные организации — без фанатизма, по два письма с интервалом в 14 дней: на abuse-адреса, контактные почтовые адреса и через формы обратной связи, если таковые были доступны на их сайтах. Результаты обращений на ваших экранах:

• RIPN SU — ответа нет

• НКЦКИ — ответа нет

• BI.ZONE — ответа нет

• Dr.Web — ответа нет

• F6 — ответа нет

• RU-CERT — ответа нет

• Роскомнадзор — обращение зарегистрировано, спустя месяц отсутствуют какие-либо действия

• МВД РФ — обращение зарегистрировано, но в течение месяца также не последовало каких-либо действий

Ну и, разумеется, основные участники:

• DDoS-Guard — ответа нет

• Рег.Ру — ответа нет

• Руцентр — формально ответ получен, но по сути это можно охарактеризовать как отписку:

Здравствуйте!

АО "РСИЦ" не является компетентным органом для определения наличия признаков преступления в действиях своих клиентов. В соответствии с разделом 3.18.2 Соглашения об аккредитации регистраторов (RAA) 2013 г. Регистратор не обязан предпринимать какие-либо действия, противоречащие применимому законодательству. RU-CENTER – юридическое лицо, созданное и осуществляющее свою деятельность в соответствии с законодательством Российской Федерации. В соответствии с нормами законодательства Российской Федерации RU-CENTER обязан добросовестно оказывать услуги клиентам, за исключением случаев, когда (i) компетентный суд вынес иное решение, (ii) правоохранительные органы Российской Федерации требуют иного или (iii) это прямо указано в соответствующем законе (и перечень таких случаев является исчерпывающим). Регистратор может аннулировать домен или остановить его делегирование только на основании запроса его регистранта или вышеупомянутых органов.
Заявитель не является правоохранительным органом, органом по защите прав потребителей, квазиправительственным или
другой аналогичный орган, назначенный национальным правительством в юрисдикции, в которой
Регистратор учреждает и имеет физический офис (Российская Федерация).
Если АО "РСИЦ" получит предписание правоохранительных органов РФ или такое же решение суда, АО "РСИЦ" будет иметь право заблокировать домен

--
С уважением,
Александр
Департамент по работе с клиентами
Руцентр
https://nic.ru

Вот поэтому, как я уже отметил ранее, на англоязычных киберкриминальных площадках российских регистраторов уже прямо называют «bulletproof» регистраторами, и именно у российских регистраторов киберпреступники всех мастей массово регистрируют домены под свои черные схемы — используя купленные сканы и фотографии российских паспортов, а также чужие платежные карты.

Исходя из всего вышеизложенного, хотелось бы задать несколько вопросов представителям Runity @runity — технологического бренда, объединяющего Руцентр и Рег.Ру, а также представителям DDoS-Guard @DDoS-GUARD, @olegantipovDDG.

Runity, зачем регистраторам нужны публичные каналы связи abuse@nic.ru и abuse@reg.ru, если какие-либо меры принимаются только по запросам правоохранительных органов, тогда как обращения от частных лиц — даже с описанием очевидных и легко проверяемых нарушений — либо заканчиваются формальными отписками, либо вовсе остаются без реакции, как это произошло в моем случае с Рег.Ру? Быть может, в таком случае корректнее прямо указывать на сайтах, что обращения от физических лиц фактически не рассматриваются и приоритет отдается исключительно запросам от уполномоченных органов?

Учитывая, что для прохождения идентификации киберпреступники используют чужие или поддельные документы, а также указывают чужие либо несуществующие номера телефонов в качестве контактных, возникает еще один вопрос — существуют ли у регистраторов действительно эффективные методы проверки достоверности данных при регистрации доменов, способные выявлять подобные схемы, или вся проверка ограничивается формальным сбором данных без проверки их действительной принадлежности регистранту?

DDoS-Guard, учитывая профиль вашей деятельности, вы должны лучше многих понимать, что представляют собой DDoS-стрессеры и для каких целей они используются. Как сотрудник, обрабатывавший обращения, мог просто проигнорировать неоднократные жалобы на такие ресурсы и не предпринять никаких действий? Почему компания занимающаяся защитой от DDoS-атак предоставляет свою инфраструктуру тем кто эти атаки организовывает?

Помимо этого, хочу обратиться ко всем представителям уполномоченных органов, которые, возможно, прочитают данный материал. Как видно из моего опыта взаимодействия с перечисленными компаниями, за месяц ни по одному из указанных ресурсов не было предпринято каких-либо действий или санкций. На момент публикации данного материала все ресурсы, о которых шла речь, продолжают функционировать. На фоне такого бездействия российская инфраструктура продолжает использоваться для проведения DDoS-атак на ресурсы по всему миру, включая российские сайты и серверы, а также без ограничений функционируют площадки, на которых осуществляется продажа украденных банковских карт поддельных документов. Это системная проблема, требующая внимания и немедленной реакции на уровне компетентных структур.

Спасибо за внимание.