Современная киберпреступность продолжает превращаться в масштабируемый бизнес с развитой экономикой и перешла на сервисную модель. Теперь злоумышленникам доступны готовые решения для проведения всех этапов атаки. К такому выводу пришли эксперты Positive Technologies, проанализировав более 4300 объявлений о продаже киберпреступных услуг за последние два года. Построение защиты в таких условиях требует учитывать изменения самой модели киберугроз.
На теневых площадках разворачивается полноценная киберпреступная экосистема. Одни сдают в аренду серверную инфраструктуру, другие продают доступ к скомпрометированным корпоративным системам, третьи разрабатывают вредоносное ПО под конкретные задачи и предоставляют инструменты для обхода защитных решений. Часть сервисов, работающих по подписке, также включает техническую поддержку. Таким образом, атакующему достаточно обладать одним узким навыком, а все остальное он может приобрести как услугу. При этом для проведения массовых атак низкой сложности нет необходимости разбираться в технических деталях.
Самые доступные услуги на теневом рынке — это аренда серверной инфраструктуры (медианная цена — 8 долларов), организация DDoS-атаки и продажа доступа к украденным учетным данным (медианная цена — 20 долларов).
В отличие от легальных облачных провайдеров, такие сервисы, как правило, ориентированы на анонимность и не требуют прохождения процедур идентификации, а также могут игнорировать жалобы и запросы на блокировку. Это делает их удобными для размещения вредоносной инфраструктуры и проведения атак.
Дороже всего стоят эксплойты: их медианная стоимость составляет 27,5 тыс. долларов, а 35% предложений оцениваются дороже 100 тыс. долларов. Однако наборы эксплойтов можно приобрести также и по подписке от 500 долларов в месяц, что делает их доступными значительно более широкому кругу злоумышленников.
Более низкая стоимость таких решений объясняется тем, что они включают набор эксплойтов для уже известных уязвимостей и распространяются массово, тогда как отдельные эксплойты, особенно для уязвимостей нулевого дня, представляют собой уникальный продукт с ограниченным числом покупателей.
Эксперты Positive Technologies смоделировали несколько типовых сценариев атак и оценили стоимость используемых для них инструментов и сервисов. Фишинговая кампания для кражи корпоративных учетных данных с их последующей перепродажей потребует примерно 158 долларов, при этом затраты окупятся уже с первого полученного доступа. Атака с применением программы-вымогателя на небольшую организацию обойдется в 358 долларов, а против крупного бизнеса с профессиональной командой ИБ — порядка 3900 долларов. Целевое проникновение в надежно защищенную инфраструктуру с использованием ранее неизвестной уязвимости оценивается примерно в 33 тыс. долларов. Указанные оценки отражают стоимость доступных на теневом рынке инструментов. Успешность атаки зависит от множества факторов, включая уровень защищенности цели.
Эти цифры особенно показательны на фоне урона, нанесенного пострадавшим организациям. К примеру, медианная сумма выкупа, которую компании-жертвы выплатили хакерам в прошлом году, составила 115 тыс. долларов. Этим тратам сопутствуют операционные потери и расходы на восстановление систем после инцидента, которые в 2025-м в среднем составили 1,5 млн долларов. Таким образом, если атака будет успешной, потенциальная прибыль злоумышленников и ущерб жертв на несколько порядков превышают затраты на проведение кибератаки. Такая асимметрия выступает ключевым драйвером сервисной модели киберпреступности.
Рынок киберпреступности движется к платформенной модели, где несколько этапов атаки будут объединяться в одну экосистему. Уже сегодня сервисы по продаже украденных учетных данных продаются вместе с инструментами для их проверки, а к услугам вымогателей все чаще предлагается дальнейшая продажа доступов к взломанным корпоративным системам. В перспективе автономные ИИ-агенты смогут самостоятельно объединять результаты выполнения отдельных услуг в полноценную скоординированную атаку.
Анна Вяткина, аналитик Positive Technologies
Для организаций эта тенденция означает дальнейший рост сложности атак при сокращении времени на их подготовку. Поэтому приоритетными направлениями противодействия злоумышленникам должны стать регулярный мониторинг дарквеба и связанных с ним коммуникационных каналов, а также усиление обмена информацией между компаниями, исследовательскими организациями и правоохранительными органами.
ссылка на оригинал статьи https://habr.com/ru/articles/1026810/