Positive Technologies: число киберугроз для бизнеса растет — атаки теперь доступны как готовый сервис
Современная киберпреступность продолжает превращаться в масштабируемый бизнес с развитой экономикой и перешла на сервисную модель. Теперь злоумышленникам доступны готовые решения для проведения всех этапов атаки. К такому выводу пришли эксперты Positive Technologies, проанализировав более 4300 объявлений о продаже киберпреступных услуг за последние два года. Построение защиты в таких условиях требует учитывать изменения самой модели киберугроз.
На теневых площадках разворачивается полноценная киберпреступная экосистема. Одни сдают в аренду серверную инфраструктуру, другие продают доступ к скомпрометированным корпоративным системам, третьи разрабатывают вредоносное ПО под конкретные задачи и предоставляют инструменты для обхода защитных решений. Часть сервисов, работающих по подписке, также включает техническую поддержку. Таким образом, атакующему достаточно обладать одним узким навыком, а все остальное он может приобрести как услугу. При этом для проведения массовых атак низкой сложности нет необходимости разбираться в технических деталях.
Самые доступные1 услуги на теневом рынке — это аренда серверной инфраструктуры (медианная цена — 8 долларов), организация DDoS-атаки и продажа доступа к украденным учетным данным (медианная цена — 20 долларов). Дороже всего стоят эксплойты: их медианная стоимость составляет 27,5 тыс. долларов, а 35% предложений оцениваются дороже 100 тыс. долларов. Однако наборы эксплойтов можно приобрести также и по подписке от 500 долларов в месяц, что делает их доступными2 значительно более широкому кругу злоумышленников.
Эксперты Positive Technologies смоделировали несколько типовых сценариев атак и оценили стоимость используемых для них инструментов и сервисов. Фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребует примерно 158 долларов, при этом затраты окупятся уже с первого полученного доступа. Атака с применением программы-вымогателя на небольшую организацию обойдется в 358 долларов, а против крупного бизнеса с профессиональной командой ИБ — порядка 3900 долларов. Целевое проникновение в надежно защищенную инфраструктуру с использованием ранее неизвестной уязвимости оценивается примерно в 33 тыс. долларов3.
Эти цифры особенно показательны на фоне урона, нанесенного пострадавшим организациям. К примеру, медианная сумма выкупа, которую компании-жертвы выплатили хакерам в прошлом году, составила 115 тыс. долларов. Этим тратам сопутствуют операционные потери и расходы на восстановление систем после инцидента, которые в 2025-м в среднем составили 1,5 млн долларов. Таким образом, если атака будет успешной, потенциальная прибыль злоумышленников и ущерб жертв на несколько порядков превышают затраты на проведение кибератаки. Такая асимметрия выступает ключевым драйвером сервисной модели киберпреступности.
1 В отличие от легальных облачных провайдеров, такие сервисы, как правило, ориентированы на анонимность и не требуют прохождения процедур идентификации, а также могут игнорировать жалобы и запросы на блокировку. Это делает их удобными для размещения вредоносной инфраструктуры и проведения атак.
2 Более низкая стоимость таких решений объясняется тем, что они включают набор эксплойтов для уже известных уязвимостей и распространяются массово, тогда как отдельные эксплойты, особенно для уязвимостей нулевого дня, представляют собой уникальный продукт с ограниченным числом покупателей.
3 Указанные оценки отражают стоимость доступных на теневом рынке инструментов. Успешность атаки зависит от множества факторов, включая уровень защищенности цели.
"Рынок киберпреступности движется к платформенной модели, где несколько этапов атаки будут объединяться в одну экосистему. Уже сегодня сервисы по продаже украденных учетных данных продаются вместе с инструментами для их проверки, а к услугам вымогателей все чаще предлагается дальнейшая продажа доступов к взломанным корпоративным системам. В перспективе автономные ИИ-агенты смогут самостоятельно объединять результаты выполнения отдельных услуг в полноценную скоординированную атаку".
Для организаций эта тенденция означает дальнейший рост сложности атак при сокращении времени на их подготовку. Поэтому приоритетными направлениями противодействия злоумышленникам должны стать регулярный мониторинг дарквеба и связанных с ним коммуникационных каналов, а также усиление обмена информацией между компаниями, исследовательскими организациями и правоохранительными органами.