Атака дешевеет, последствия дорожают: почему бизнес проигрывает экономике киберпреступности

изображение: recraft
За последние 3-5 лет киберпреступность заметно изменилась. Главная перемена не только в росте числа атак или усложнении инструментов. Изменились экономика и доступность входа. Сегодня злоумышленнику уже не обязательно быть сильным разработчиком, писать шифровальщик с нуля или самостоятельно искать сложную уязвимость. Значительную часть атаки можно купить, арендовать или собрать из готовых компонентов.
Мы в UDV Group видим, что на теневом рынке уже есть решения почти под любой бюджет: фишинговые наборы, доступы к скомпрометированным корпоративным системам, вредоносное ПО, инфраструктура для рассылок, сервисы для вымогательских атак. Полноценные Ransomware-as-a-Service-платформы, включающие шифровальщики, техническую поддержку и регулярные обновления, доступны по модели подписки — от $40 в месяц до нескольких тысяч долларов. Доступ к партнерским программам крупнейших вымогательских группировок стоит значительно дороже, но для массовых атак порог входа все равно стал намного ниже, чем несколько лет назад.
Отдельный рынок сформировался вокруг продажи доступов к корпоративным инфраструктурам. Средняя стоимость такого «входа» стабильно держится на уровне нескольких сотен долларов. При этом в большинстве случаев речь идет не о сложных эксплойтах, а об обычных учетных записях сотрудников, полученных через фишинг, утечки или слабую гигиену управления доступами. Для атакующего это удобнее и дешевле: не нужно ломать сложную защиту, если можно купить рабочий ключ.
Из-за этого меняется профиль самого злоумышленника. Типичный атакующий сегодня — не обязательно хакер-одиночка. Все чаще это участник развитой экосистемы, где роли распределены почти как в технологическом бизнесе. Одни разрабатывают инструменты, другие продают доступы, третьи обслуживают инфраструктуру, четвертые занимаются рассылками, пятые ведут переговоры о выкупе. В 2025 году действуют десятки независимых группировок, которые работают как технологические стартапы: с собственной инфраструктурой, технической поддержкой, партнерскими программами и специализацией внутри команды.
Это не значит, что одиночки и небольшие группы исчезли. Они по-прежнему активны, но теперь у них есть готовые автоматизированные инструменты, фишинг-киты и методы социальной инженерии, которые не требуют глубокой технической подготовки. В результате атаковать могут больше участников рынка, а число потенциальных жертв расширяется. Под удар попадают не только крупные банки, промышленность или федеральный ретейл, но и средние компании, региональный бизнес, подрядчики и поставщики.
Мы в UDV Group считаем, что наибольшую окупаемость для злоумышленников по-прежнему дают атаки с использованием шифровальщиков. В России около 70% всех успешных инцидентов приходится именно на вымогательские атаки. Причина проста: шифровальщик быстро создает для бизнеса кризисную ситуацию. Останавливаются сервисы, данные становятся недоступны, растет давление на руководство, подключаются юристы, PR, внешние специалисты, а каждый день простоя увеличивает ущерб.
Размеры выкупов тоже растут. Максимальная зафиксированная сумма в 2025 году достигала 400-500 млн рублей. Для преступников такая модель остается экономически привлекательной: вход дешевеет, инструменты доступны, сценарии давления отработаны, а потенциальная выплата может многократно перекрывать затраты на подготовку атаки.
На стороне атакующих работает еще одна асимметрия. Злоумышленнику достаточно одной успешной попытки, даже если до этого были десятки неудачных. Защитник, напротив, должен предотвращать все инциденты без исключения. При этом поверхность атаки постоянно расширяется: компании используют облака, API, IoT-устройства, удаленные подключения, сервисные аккаунты, интеграции с подрядчиками. Каждая новая точка доступа может стать слабым звеном, если ее не контролировать.
ИИ усиливает эту разницу в скорости. Обе стороны уже используют искусственный интеллект, но задачи у них разные. Защитники в основном применяют ИИ для анализа событий, поиска аномалий и автоматизации реагирования. Атакующие используют его для масштабирования и ускорения атак: быстрее готовят фишинговые письма, адаптируют сообщения под конкретных сотрудников, автоматизируют разведку, проверяют цели и сокращают время между обнаружением уязвимости и ее эксплуатацией. Сейчас этот промежуток в отдельных сценариях сократился до нескольких часов.
На этом фоне традиционная модель защиты становится все менее надежной. Мы в UDV Group постоянно сталкиваемся с тем, что компании переоценивают сам факт наличия средств ИБ. Нельзя рассчитывать, что достаточно купить несколько продуктов, закрыть базовые требования и считать инфраструктуру защищенной. Инструменты важны, но без регулярной проверки они создают только ощущение контроля. Компания может иметь межсетевые экраны, антивирусы, EDR, SIEM и при этом сохранять критические уязвимости во внешнем периметре, неотозванные доступы подрядчиков, слабые пароли или учетные записи из утечек.
Ключевая ошибка российских компаний сегодня — отсутствие регулярной и практической проверки защищенности инфраструктуры. По оценкам экспертов, 6 из 10 организаций имеют критические уязвимости во внешнем периметре, которые фактически открывают злоумышленникам прямой путь для атаки. Исследования показывают, что при моделировании реальных угроз «белые хакеры» получают доступ к инфраструктуре двух третей компаний менее чем за сутки.
Еще одна системная проблема — недооценка цепочек поставок и подрядчиков. В 2025 году более трети инцидентов были связаны именно с компрометацией партнеров, подрядных организаций и каналов доверенного доступа. Для атакующего это часто более удобный маршрут, чем прямая атака на крупную компанию. У подрядчика может быть доступ к внутренним системам, оборудованию, сервисам или данным, но уровень его защиты не всегда соответствует рискам основного заказчика.
Для бизнеса главный вопрос уже не в том, дорого ли стоит защита. Правильнее сравнивать ее стоимость с ценой инцидента. Предотвращение атак сегодня однозначно обходится дешевле, чем устранение последствий. Инвестиции в превентивную защиту давно перестали быть «избыточными расходами» и фактически стали формой страхования бизнеса.
Полное восстановление после серьезной атаки в среднем занимает 200-250 дней. В этот период компания несет не только прямые затраты на расследование и восстановление инфраструктуры. К ним добавляются простой, штрафы, юридическое сопровождение, репутационные потери, снижение доверия со стороны партнеров и клиентов, задержки проектов и потерянные сделки. На практике именно эти косвенные последствия часто оказываются болезненнее первоначального технического ущерба.
Снизить стоимость инцидента помогают скорость реагирования и автоматизация. В UDV Group мы исходим из того, что ИИ и автоматизированные системы реагирования дают эффект только там, где уже выстроены процессы: понятны роли, настроены сценарии реагирования, регулярно проверяются резервные копии, контролируются привилегированные учетные записи и подрядчики. Без этого автоматизация ускоряет отдельные действия, но не превращает защиту в управляемую систему.
Поэтому защита должна строиться не вокруг разовой закупки, а вокруг постоянной проверки. Нужно регулярно тестировать внешний периметр, моделировать реальные атаки, ограничивать избыточные привилегии, контролировать каналы доверенного доступа, проверять восстановление из резервных копий и заранее описывать порядок действий при инциденте. Без этого даже дорогое средство защиты может оказаться частью витрины, а не рабочим элементом безопасности.
Пока преимущество остается на стороне атакующих. Их инструменты дешевеют, автоматизация ускоряет подготовку атак, рынок украденных доступов снижает требования к квалификации исполнителей. Но это не означает, что бизнес обречен проигрывать. Мы в UDV Group видим рабочий ответ в другом подходе: перестать воспринимать кибербезопасность как набор продуктов и начать относиться к ней как к управлению экономикой риска.
Самая опасная позиция сегодня — надеяться, что инфраструктура компании никому не интересна. В новой экономике киберпреступности атакующий не всегда выбирает жертву вручную. Он ищет дешевый вход, слабую учетную запись, забытый сервис или доверенный канал подрядчика. Если такой вход есть, вопрос уже не в том, насколько компания привлекательна. Вопрос в том, кто найдет его первым: защитник на проверке или злоумышленник на теневом рынке.



