Цена, которую злоумышленники запрашивают за доступ к корпоративной инфраструктуре на нелегальных площадках, обычно варьируется от $100 до $10 тыс (данные представлены в формате, принятом на теневом рынке). В то же время убытки от кибератаки, использующей такой первоначальный доступ, могут достигать миллионов долларов. К подобным выводам пришли аналитики Positive Technologies, проанализировав рынки, где монетизируются уязвимости. На этом фоне расходы на упреждающие меры — киберучения и программы bug bounty — оказываются в десятки или сотни раз меньше возможного ущерба для бизнеса. Эту информацию CNews предоставили представители Positive Technologies.
Стоимость доступа главным образом определяется масштабом компании и ее доходом. Большинство предложений на теневых форумах ориентированы на организации с годовой выручкой от $1 млн. Доступ к небольшим предприятиям чаще реализуется пакетами, поэтому такие случаи редко попадают в статистику.
На цену также влияет отрасль деятельности компании. Например, проникновение в инфраструктуру государственных структур может оцениваться до $1,5 млн, а в финансовые учреждения — до $1 млн. Высокая стоимость обусловлена потенциальной прибылью для киберпреступников. По количеству объявлений лидируют промышленный сектор и торговля, на которые приходится 20% и 19% всех сообщений соответственно.
Помимо готовых доступов, на теневых ресурсах активно торгуют самими уязвимостями. В таких объявлениях преобладают предложения по продаже уязвимостей 0-day (49%) и 1-day (11%). Чаще всего речь идет об удаленном выполнении произвольного кода (43%) или повышении привилегий в системе (25). Комбинация этих уязвимостей дает атакующему возможность взять устройство под контроль и продолжить атаку внутри сети. При этом 38% публикаций в данном сегменте содержат не предложения о продаже, а запросы на покупку конкретных уязвимостей, что указывает на высокий спрос на готовые инструменты для взлома.
Основными целями эксплуатации уязвимостей выступают интернет-сервисы (36%) и корпоративное ПО (33%). При этом корпоративные системы представляют для злоумышленников большую ценность: их взлом открывает доступ к внутренней сети, данным сотрудников и клиентов, а также создает возможности для дальнейшего распространения атаки.
Реальные инциденты демонстрируют, что стоимость успешной атаки может достигать десятков и даже сотен миллионов рублей. Помимо затрат на ликвидацию последствий, бизнес сталкивается с потерей доходов из-за простоев, необходимостью восстанавливать инфраструктуру, расходами на привлечение внешних экспертов и репутационным уроном.
«Расходы на превентивную защиту, как правило, более прогнозируемы и часто оказываются существенно ниже, чем урон от удачной кибератаки. К примеру, в 2025 году средняя сумма выплаты за обнаружение критической уязвимости в рамках программ bug bounty составила 200 тыс. рублей, а средняя стоимость участия в киберучениях — 1 млн рублей. При этом киберучения дают возможность на практике оценить вероятность наступления недопустимого события и выявить риски до того, как произойдет реальный инцидент», — отметил Макар Куманейкин, младший аналитик группы международной аналитики Positive Technologies.
Специалисты Positive Technologies рекомендуют компаниям не ждать инцидента, а формировать защиту на опережение. Программы bug bounty позволяют выявлять уязвимости на внешнем контуре силами независимых специалистов, а киберучения дают возможность проверить устойчивость инфраструктуры к реальным сценариям атак. Кроме того, решения класса Threat Intelligence заранее информируют компании о появлении их данных на теневых форумах. Такой подход требует предсказуемого бюджета и обходится бизнесу в разы дешевле, чем устранение последствий взлома.