Киберпреступность переходит на сервисную модель

Киберпреступность превращается в масштабируемый бизнес с развитой экономикой и переходит на сервисную модель — теперь злоумышленникам доступны готовые решения для проведения всех этапов атаки. К такому выводу пришли эксперты Positive Technologies, сообщает Forbes.

Согласно наблюдениям специалистов, аренда сервера для нападения может обойтись всего в несколько долларов, организация DDoS-атаки и продажа доступа к украденным учетным данным — в пару десятков, а эксплойты уже доступны по подписке всего за 500 долларов.

Экосистема для нападений

На теневых площадках в даркнете разворачивается полноценная киберпреступная экосистема: одни сдают в аренду серверную инфраструктуру, другие продают доступ к скомпрометированным корпоративным системам, третьи разрабатывают вредоносное ПО под конкретные задачи и предоставляют инструменты для обхода защитных решений. Более того, часть сервисов, работающих по подписке, также включает техническую поддержку. Такими наблюдениями поделились с Forbes в Positive Technologies, чьи эксперты изучили более 4300 объявлений на теневых форумах.

Самые доступные услуги на теневом рынке — это аренда серверной инфраструктуры (медианная цена — 8 долларов), организация DDoS-атаки и продажа доступа к украденным учетным данным (медианная цена — 20 долларов).

«В отличие от легальных облачных провайдеров, такие сервисы, как правило, ориентированы на анонимность и не требуют прохождения процедур идентификации, а также могут игнорировать жалобы и запросы на блокировку, — поясняют в Positive Technologies. Это делает их удобными для размещения вредоносной инфраструктуры и проведения атак».

Дороже всего стоят эксплойты: их медианная стоимость составляет 27,5 тыс. долларов, а 35% предложений оцениваются дороже 100 тыс. долларов. Однако наборы эксплойтов можно приобрести также и по подписке от 500 долларов в месяц, что делает их доступными значительно более широкому кругу злоумышленников.

«Более низкая стоимость таких решений объясняется тем, что они включают набор для уже известных уязвимостей и распространяются массово, тогда как отдельные эксплойты, особенно для уязвимостей нулевого дня, представляют собой уникальный продукт с ограниченным числом покупателей», — указывают эксперты.

Говорящие цифры

Эксперты Positive Technologies смоделировали несколько типовых сценариев атак и оценили стоимость используемых для них инструментов и сервисов. Так, фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребовала примерно 158 долларов, при этом затраты окупятся уже с первого полученного доступа. Атака с применением программы-вымогателя на небольшую организацию обойдется в 358 долларов, а против крупного бизнеса с профессиональной командой ИБ — около 3,9 тыс. долларов. Целевое проникновение в надежно защищенную инфраструктуру с использованием ранее неизвестной уязвимости оценивается примерно в 33 тыс. долларов.

«Указанные оценки отражают стоимость доступных на теневом рынке инструментов. Успешность атаки зависит от множества факторов, включая уровень защищенности цели», — оговариваются аналитики.

Эти цифры показательны на фоне урона, нанесенного пострадавшим организациям. Средняя сумма первоначальных требований хакеров-вымогателей за расшифровку данных у российского бизнеса в 2025 году колебалась от 4 млн до 40 млн рублей. По данным отчета IBM Cost of a Data Breach Report 2025, средняя стоимость одного инцидента в мире в 2025 году составила 4,4 млн долларов.

«Если атака будет успешной, потенциальная прибыль злоумышленников и ущерб жертв на несколько порядков превышают затраты на проведение кибератаки. Такая асимметрия выступает ключевым драйвером сервисной модели киберпреступности», — подчеркивают в Positive Technologies.

Порог снижается

Тезис о платформенной модели справедлив, подтверждает директор Лаборатории кибербезопасности Servicepipe и «Спикател» Михаил Хлебунов, коммерциализация криминальной инфраструктуры уже стирает границы между массовыми и целевыми атаками. Это снижает порог входа: злоумышленнику все чаще не нужно уметь делать всю цепочку самому — достаточно одной компетенции и доступа к нужным сервисам.

«Уже сегодня сервисы по продаже украденных учетных данных продаются вместе с инструментами для их проверки, а к услугам вымогателей все чаще предлагается дальнейшая продажа доступов к взломанным корпоративным системам. В перспективе автономные ИИ-агенты смогут самостоятельно объединять результаты выполнения отдельных услуг в полноценную скоординированную атаку», — отмечает аналитик Positive Technologies Анна Вяткина.

Рынок киберпреступности активно движется в сторону сервисной модели, согласен старший инженер технического расследования центра исследования киберугроз Solar 4RAYS ГК «Солар» Денис Чернов. Это превращает киберпреступность в масштабируемый бизнес с развитой экономикой, где каждый этап атаки становится отдельной услугой.

«Однако важно отметить, что сама по себе доступность таких инструментов не делает атаку успешной, — подчеркивает Чернов. — Сервисная модель киберпреступности действительно становится заметным трендом, но ее влияние на успешность атак зависит от уровня подготовки злоумышленников».

Типовой пользователь таких услуг — не обязательно сильный технарь, а скорее прагматичный участник с финансовой мотивацией, рассуждает Хлебунов. «Поэтому портрет злоумышленника становится шире, а число потенциальных атакующих — больше», — говорит он.

Что это означает для защиты?

Переход от точечных решений к связанной, превентивной модели: нужны контроль доступа, MFA, защита веб-сервисов, анализ сетевого трафика и готовый сценарий реагирования, перечисляет Хлебунов. «Ставка только на сигнатуры и реакцию постфактум уже не работает, потому что атаки становятся быстрее и лучше автоматизируются».

По словам руководителя BI.ZONE Threat Intelligence Олега Скулкина, это подчеркивает необходимость мониторинга теневых ресурсов, чтобы идентифицировать уязвимости, методы и инструменты, которые обсуждают или предлагают злоумышленники. «Так организации могут озаботиться вопросом защиты от них еще до того, как они начали использоваться в атаках», — рекомендует он.

Фото из открытых источников