أعلنت شركة Cloudflare أنها تصدت لـ 7.3 مليون هجوم حرمان من الخدمة الموزعة (DDoS) خلال الربع الثاني من عام 2025، بانخفاض كبير عن 20.5 مليون هجوم تم التصدي لها في الربع السابق.
ووفقًا للباحثين عومر يواخيميك وخورخي باتشيكو:
“شهد الربع الثاني من 2025 ارتفاعًا كبيرًا في الهجمات فائقة الحجم، حيث حظرت Cloudflare أكثر من 6,500 هجوم من هذا النوع، بمعدل 71 هجومًا يوميًا”.
وكانت حملة استمرت 18 يومًا ضد Cloudflare وبعض البنى التحتية الحيوية الأخرى التي تحميها الشركة، مسؤولة عن 13.5 مليون هجوم خلال الربع الأول من 2025. وبذلك تكون الشركة قد تصدت لما يقارب 28 مليون هجوم منذ بداية العام، متجاوزة إجمالي ما صدته خلال عام 2024.
هجمات بسرعة قياسية وتقنيات مدمجة
من أبرز الهجمات خلال الربع الثاني، هجوم بلغت ذروته 7.3 تيرابت في الثانية و4.8 مليار حزمة بيانات في الثانية خلال فترة لم تتجاوز 45 ثانية.
ولا تقتصر خطورة هذه الهجمات على حجمها فحسب، بل في كيفية دمجها مع عمليات مسح صغيرة ومستهدفة، حيث يقوم المهاجمون بمزج سيل من البيانات مع فحص دقيق للثغرات، متجاوزين الدفاعات التقليدية التي تركز فقط على الهجمات الواضحة.
تغييرات في أنماط الهجوم والقطاعات المستهدفة
-
انخفضت هجمات DDoS على الطبقة 3/4 (L3/L4) بنسبة 81% إلى 3.2 مليون هجوم.
-
بينما ارتفعت هجمات HTTP DDoS بنسبة 9% لتصل إلى 4.1 مليون هجوم، 70% منها جاءت من بوت نتات معروفة.
-
أبرز تقنيات الهجوم كانت من خلال بروتوكولات DNS وTCP SYN وUDP.
القطاعات الأكثر استهدافًا شملت:
-
مزوّدو خدمات الاتصالات
-
الإنترنت وخدمات تكنولوجيا المعلومات
-
الألعاب الإلكترونية والمراهنات
الدول الأكثر استهدافًا ومصادر الهجمات
اعتمادًا على بيانات عملاء Cloudflare، كانت الدول الأكثر استهدافًا:
الصين، البرازيل، ألمانيا، الهند، كوريا الجنوبية، تركيا، هونغ كونغ، فيتنام، روسيا، أذربيجان
أما الدول الخمس الأبرز كمصدر للهجمات فشملت:
إندونيسيا، سنغافورة، هونغ كونغ، الأرجنتين، أوكرانيا
كما كشفت Cloudflare أن عدد الهجمات فائقة الحجم التي تجاوزت 100 مليون حزمة في الثانية زاد بنسبة 592% مقارنة بالربع السابق.
ارتفاع هجمات الفدية عبر DDoS وتطور البوت نتات
سجّلت هجمات DDoS مقابل فدية ارتفاعًا بنسبة 68%، وهي الهجمات التي يُهدد فيها المهاجمون بشن هجوم DDoS على المؤسسات ما لم يتم دفع مبلغ مالي، وقد يشمل ذلك أيضًا تنفيذ الهجوم بالفعل ثم المطالبة بمبلغ لعدم تكراره.
وأشارت الشركة إلى أن:
“رغم أن غالبية الهجمات صغيرة الحجم، فإن الهجمات فائقة الحجم تتزايد من حيث الحجم والتكرار، حيث أن 6 من كل 100 هجوم HTTP DDoS تجاوزت مليون طلب في الثانية، و5 من كل 10,000 هجوم L3/L4 تجاوزت 1 تيرابت في الثانية – بزيادة ربع سنوية بلغت 1,150%”.
بوت نت DemonBot والتهديدات المستمرة عبر إنترنت الأشياء
أشارت Cloudflare إلى نسخة جديدة من البوت نت المعروفة باسم DemonBot، والتي تصيب الأجهزة المعتمدة على نظام Linux، خصوصًا أجهزة إنترنت الأشياء (IoT) غير المؤمنة، من خلال المنافذ المفتوحة أو بيانات الدخول الضعيفة، لتصبح جزءًا من شبكة هجومية تقوم بهجمات DDoS باستخدام بروتوكولات UDP وTCP وطبقات التطبيقات.
وأضافت الشركة:
“تُدار هذه الهجمات عبر أنظمة تحكم وسيطرة (C2)، وتُستخدم غالبًا لاستهداف خدمات الألعاب، الاستضافة، أو المؤسسات”.
يُظهر الانتشار المستمر لـ DemonBot التحديات المتزايدة المرتبطة بكشف أجهزة إنترنت الأشياء غير المؤمنة، وكلمات مرور SSH الضعيفة، وبرمجيات النظام غير المحدثة، وهي عوامل تسهم بشكل مباشر في توسع شبكات DDoS الخبيثة. كما تشمل أساليب الهجوم الحديثة تقنيات مثل الارتداد عبر TCP، وتضخيم DNS، والتخفي بطبقات متتالية، والتي يتم رصدها في تقارير Cloudflare حول طبقة التطبيقات وأمن واجهات API.
