Positive Technologies: число киберугроз для бизнеса растет — атаки теперь доступны как готовый служба

Современная киберпреступность продолжает превращаться в масштабируемый бизнес с развитой экономикой и перешла на сервисную схема. Теперь злоумышленникам доступны готовые решения для проведения всех этапов атаки. К такому выводу пришли эксперты Positive Technologies, проанализировав более 4300 объявлений о продаже киберпреступных услуг за последние два года. Построение защиты в таких условиях требует учитывать изменения самой модели киберугроз.

На теневых площадках разворачивается полноценная киберпреступная экосистема. Одни сдают в аренду серверную инфраструктуру, другие продают доступ к скомпрометированным корпоративным системам, третьи разрабатывают вредоносное ПО под конкретные задачи и предоставляют инструменты для обхода защитных решений. Часть сервисов, работающих по подписке, равным образом включает техническую поддержку. Итак, атакующему в достаточной степени обладать одним узким навыком, а все остальное он может приобрести как услугу. Одновременно для проведения массовых атак низкой сложности нет необходимости разбираться в технических деталях.

Самые доступные услуги на теневом рынке — это аренда серверной инфраструктуры (медианная цена — 8 долларов), компания DDoS-атаки и продажа доступа к украденным учетным данным (медианная цена — 20 долларов).

В отличие от легальных облачных провайдеров, такие сервисы, как правило, ориентированы на анонимность и не требуют прохождения процедур идентификации, а также могут игнорировать жалобы и запросы на блокировку. Это делает их удобными для размещения вредоносной инфраструктуры и проведения атак.

Дороже всего стоят эксплойты: их медианная стоимость составляет 27,5 тыс. долларов, а 35% предложений оцениваются дороже 100 тыс. долларов. Однако наборы эксплойтов можно приобрести также и по подписке от 500 долларов в месяц, что делает их доступными значительно более широкому кругу злоумышленников.

Более низкая стоимость таких решений объясняется тем, что они включают набор эксплойтов для уже известных уязвимостей и распространяются массово, тогда как отдельные эксплойты, особенно для  уязвимостей нулевого дня, представляют собой уникальный продукт с ограниченным числом покупателей.

Эксперты Positive Technologies смоделировали несколько типовых сценариев атак и оценили стоимость используемых для них инструментов и сервисов. Фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребует примерно 158 долларов, одновременно затраты окупятся уже с первого полученного доступа. Атака с применением программы-вымогателя на небольшую организацию обойдется в 358 долларов, а против крупного бизнеса с профессиональной командой ИБ — порядка 3900 долларов. Целевое проникновение в надежно защищенную инфраструктуру с использованием ранее неизвестной уязвимости оценивается приблизительно в 33 тыс. долларов. Указанные оценки отражают стоимость доступных на теневом рынке инструментов. Успешность атаки зависит от множества факторов, включая уровень защищенности цели.

Эти цифры особенно показательны на фоне урона, нанесенного пострадавшим организациям. К примеру, медианная сумма выкупа, которую компании-жертвы выплатили хакерам год назад, составила 115 тыс. долларов. Этим тратам сопутствуют операционные потери и расходы на восстановление систем после инцидента, которые в 2025-м в среднем составили 1,5 млн долларов. Таким образом, если атака будет успешной, потенциальная прибыль злоумышленников и ущерб жертв на некоторое количество порядков превышают затраты на проведение кибератаки. Такая асимметрия выступает ключевым драйвером сервисной модели киберпреступности.

Рынок киберпреступности движется к платформенной модели, где некоторое количество этапов атаки будут объединяться в одну экосистему. Уже сегодня сервисы по продаже украденных учетных данных продаются наряду с инструментами для их проверки, а к услугам вымогателей все чаще предлагается дальнейшая продажа доступов к взломанным корпоративным системам. В перспективе автономные ИИ-агенты смогут самостоятельно объединять результаты выполнения отдельных услуг в полноценную скоординированную атаку.

Анна Вяткина, аналитик Positive Technologies

Для организаций эта тренд означает дальнейший рост сложности атак при сокращении времени на их подготовку. Следовательно приоритетными направлениями противодействия злоумышленникам должны стать регулярный мониторинг дарквеба и связанных с ним коммуникационных каналов, а равным образом усиление обмена информацией между компаниями, исследовательскими организациями и правоохранительными органами.