Хакерская группировка NoName057(16) привлекает исполнителей для DDoS‑атак на государственные и коммерческие сайты в Европе под видом «патриотической онлайн‑игры». По результатам анализа конфигураций атак за период 2023–2026 годов, среднее число команд для совершения атак выросло с примерно 6 300 в месяц до около 7 708.
Масштаб активности и ответ правоохранителей
В середине июля 2025 года правоохранительные органы ряда стран ЕС, Швейцарии и США провели совместную операцию против инфраструктуры группировки. Несмотря на изъятие серверов и другие меры, атаки возобновились и даже участились в ближайшие дни.
- В ходе операции изъяли более сотни серверов и провели около двух десятков обысков.
- Произвели допросы и выдали ордера на арест; тысячи человек получили предупреждения о возможной ответственности за киберпреступления.
- Тем не менее в среднем примерно 300 атак в месяц оказывались успешными и временно выводили сайты из строя.
Как организована вербовка и оплата
Атаки выполняются через программу DDoSia, которую добровольцы устанавливают на свои устройства. Приложение генерирует сотни и даже миллионы автоматических запросов в сутки с одного устройства. Участникам обещают вознаграждение во внутренней валюте — декоинах, которую затем можно обменять на криптовалюту TON и вывести через сторонние сервисы.
Примеры расчётов из анализа: за 500 000 успешных атак в сутки пользователь может получить 50 декоинов; стоимость одного декоина оценивалась около 2 рублей. Рекрутмент и реклама приложения велись через Telegram‑каналы с предложениями «заработать на хакерской игре» и «помочь на информационном фронте».
Цели атак и инцидент с выборами в Дании
Мишенями становились компании, банки и государственные сайты западных стран. В одной из операций в ноябре 2025 года под удар попали сайты нескольких государственных учреждений, партий и СМИ в Дании — это создало риск сбоев в работе сервисов во время местных выборов.
Вероятные организаторы
Европол называет подозреваемыми двух граждан России: 39‑летнего Михаила Бурлакова и 36‑летнего Максима Лупина. По данным утечек, они проживают в Москве и связаны с Центром изучения и сетевого мониторинга молодёжной среды (ЦИСМ); одному из них приписывают участие в заседаниях профильных советов и форумах.
Появление и распространение подобных инструментов демонстрирует риски мобилизации распределённых ресурсов через «игровые» механики и подчёркивает необходимость координированной международной реакции на киберугрозы.
