У клиентов хостинг-провайдера Макхост перестали работать сайты и сервисы, размещенные на части европейской инфраструктуры компании. В Макхост заявили, что причиной стал инцидент на стороне партнера MIRhosting. По версии компании, дата-центр nLighten без предупреждения отключил электропитание оборудования в Нидерландах и Германии. По оценкам на основе DNS-статистики, инфраструктура Макхоста обслуживает не менее 15 тыс. сайтов.
В Макхосте сообщили, что доступ к серверам ограничен, ситуация сложная, а MIRhosting пытается восстановить доступ, консультируется с юристами и ищет альтернативные площадки для переноса оборудования.
«Ожидаем от партнера информацию по каждому серверу, включая возможность восстановления, варианты для переезда и сроки», — говорится в сообщении Макхоста.
Компания пообещала связаться с клиентами, как только появятся конкретные варианты по их оборудованию.
Масштаб: речь не о маленьком хостинге
Официального числа пострадавших клиентов Макхост не назвал. Но сама компания крупная. На сайте Макхоста говорится, что провайдер работает с 2004 года, обслуживает более 50 тыс. клиентов и использует более 1 тыс. серверов Dell. На главной странице сервиса также указано, что Макхост выбрали более 60 тыс. клиентов.
Отдельно масштаб можно оценить по DNS-статистике. В Statdom, где есть рейтинг серверов имен по числу размещенных зон в .RU, у NS-серверов Макхоста учитываются не менее 13 тыс. и около 1.5 тыс в зоне .SU. У стороннего сервиса SoHost оценка близкая — примерно 14,4 тыс. доменов .RU на Макхосте.
Что это за компания MCHost
Макхост — российский хостинг-провайдер, который работает с 2004 года. Компания предоставляет виртуальный хостинг, CMS-хостинг, VPS/VDS, аренду серверов, регистрацию доменов, резервное копирование и другие услуги для сайтов.
В описании на сайте Макхост называет себя премиальным хостингом и отдельно указывает, что работает с частными лицами, малым и средним бизнесом, онлайн-проектами, инвестиционными компаниями, банками и госструктурами. В разделе «О компании» также говорится о 300 Гбит/с общей пропускной способности каналов Макхоста в России.
Что именно сообщил Макхост
Макхост связывает текущие проблемы с партнером MIRhosting. По сообщению компании, цепочка выглядит так: Макхост работал с MIRhosting, MIRhosting использовал поставщика nLighten, а nLighten отключил питание на оборудовании в Нидерландах и Германии.
В сообщении Макхоста сказано, что отключение произошло без предупреждения и без переходного периода. Из-за этого доступ к серверам оказался ограничен.
MIRhosting, по данным Макхоста, сейчас пытается восстановить доступ, консультируется с юристами и ищет альтернативные площадки для переноса оборудования. Макхост ждет от партнера информацию по каждому серверу: можно ли восстановить данные, куда переносить оборудование и в какие сроки.
Кто такой nLighten
nLighten — европейская платформа дата-центров. Компания называет себя edge data center platform и указывает, что входит в инфраструктурную платформу I Squared Capital. У nLighten есть площадки в разных странах Европы, включая Германию и Нидерланды.
Именно nLighten, по версии Макхоста, отключил электропитание на оборудовании MIRhosting в Нидерландах и Германии. Публичной позиции nLighten по этому конкретному отключению в открытых источниках на момент подготовки текста не нашлось.
Поэтому корректная формулировка здесь такая: Макхост сообщил, что питание отключил nLighten. Причины такого решения сам nLighten публично не объяснял.
MIRhosting обвиняют в массовых DDOS
MIRhosting — нидерландский хостинг-провайдер, который фигурирует в более широкой истории вокруг Stark Industries, WorkTitans и расследования нидерландской службы FIOD.
В публикации KrebsOnSecurity говорится, что после санкций против PQHosting часть инфраструктуры Stark Industries была перенесена на сервис the.hosting, который контролировала нидерландская компания WorkTitans B.V. Там же указано, что WorkTitans получал подключение к интернету через MIRhosting.
MIRhosting отрицает поддержку незаконной активности. В комментарии KrebsOnSecurity основатель MIRhosting Андрей Нестеренко заявил, что компания не поддерживает киберпреступность, обход санкций или незаконную деятельность. Он также утверждал, что переход инфраструктуры к the.hosting не был попыткой обойти санкции.
Рейд FIOD и 800 серверов
18 мая 2026 года нидерландская служба финансовых расследований FIOD задержала двух человек по подозрению в нарушении санкционного законодательства. Ведомство сообщило, что речь идет о 57-летнем мужчине из Амстердама и 39-летнем мужчине из Гааги.
По данным FIOD, прошли обыски в трех офисах в Энсхеде и Алмере, а также в двух дата-центрах — в Дронтене и Схипхол-Рейке. Во время операции были изъяты документы, ноутбуки, телефоны и более 800 серверов.
FIOD пишет, что расследование связано с хостинговой компанией, созданной 10 февраля 2022 года, за две недели до начала боевых действий на Украине. По версии ведомства, ее инфраструктура в последующие годы использовалась для дестабилизирующей активности против Евросоюза, включая вмешательство, кибератаки и распространение дезинформации.
В мае 2025 года эта компания попала под санкции ЕС. После этого, по версии FIOD, значительная часть технической инфраструктуры была перенесена на новую нидерландскую компанию. Следствие считает, что она могла быть прикрытием для подсанкционных структур.
Связь со Stark Industries и WorkTitans
FIOD в своем официальном сообщении не называет компании по именам. Но KrebsOnSecurity связывает расследование с Stark Industries, WorkTitans и MIRhosting.
По данным издания, нидерландские следователи задержали Андрея Нестеренко и Юсефа Зинада. KrebsOnSecurity пишет, что WorkTitans контролировалась Нестеренко и Зинадом, а интернет-подключение для нее шло через MIRhosting.
В публикации также говорится, что пользователям the.hosting после изъятия серверов показывали сообщение о потере данных на сервере и невозможности восстановления. Это относится к the.hosting, а не к клиентам Макхоста. Прямого подтверждения, что данные клиентов Макхоста потеряны, сейчас нет.
Отдельная старая история — NoName057(16)
Вокруг MIRhosting и Stark Industries уже раньше появлялась техническая фактура в контексте DDoS-атак. В 2023 году Team Cymru писала, что большая часть DDoS-инфраструктуры, использовавшейся в кампаниях пророссийской группы NoName057(16), была назначена двум связанным хостинг-провайдерам — MIRhosting и Stark Industries.
В том же отчете Team Cymru указала, что 84% коммуникаций с одним из C2-серверов приходилось на IP-адреса, назначенные MIRhosting или Stark Industries.
Это не доказывает связь текущего отключения у Макхоста с DDoS-кампаниями. Но это объясняет, почему инфраструктура MIRhosting и связанных с ней компаний уже была в поле зрения исследователей кибербезопасности.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.
