Новости

Positive Technologies: доступ к инфраструктуре компаний на теневом рынке можно купить за 100$

Стоимость доступа к инфраструктуре компаний на теневом рынке в большинстве случаев составляет от 100 до 10 000 долларов1. При этом ущерб от успешной кибератаки с использованием первичного доступа может достигать миллионов долларов. К таким выводам пришли эксперты Positive Technologies, изучив существующие рынки монетизации уязвимостей. На этом фоне затраты на превентивную защиту — кибериспытания2 и программы багбаунти3 — оказываются в десятки и сотни раз ниже возможных потерь бизнеса.

Цена доступа зависит в первую очередь от размера организации и ее выручки. Значительное количество объявлений на теневых форумах нацелено на компании с годовым доходом от 1 млн долларов. Вход в небольшие организации обычно продают «оптом», поэтому в статистику они попадают редко.

На стоимость влияет и отрасль, в которой работает компания. Например, доступ к инфраструктуре государственных учреждений может стоить до 1,5 млн долларов, а к финансовой организации — до 1 млн долларов. Высокая цена объясняется потенциальной выгодой для злоумышленников. По числу объявлений лидируют промышленность и торговля — на них приходится 20% и 19% всех сообщений.

1 Данные приведены в соответствии с форматом размещаемой на теневом рынке информации.

2 Кибериспытания — продвинутый формат проверки защищенности компаний от киберугроз, при котором исследователи безопасности без риска для организации пытаются реализовать недопустимое событие.

3 Багбаунти — программа, в рамках которой компания выплачивает вознаграждение независимым исследователям за найденные в ее системах уязвимости.

Стоимость первичных доступов, обращаемых на теневых форумах

Помимо готовых доступов, на теневых площадках активно продаются и сами уязвимости. Среди таких объявлений преобладают предложения о продаже уязвимостей 0-day4 (49%) и 1-day5 (11%). Чаще всего речь идет об удаленном запуске произвольного кода (43%) или повышении прав в системе (25%). Совокупность этих уязвимостей позволяет атакующему получить контроль над устройством и развивать атаку внутри сети. При этом 38% публикаций в этом сегменте содержат информацию не о продаже, а о намерении купить конкретные уязвимости, что свидетельствует о высоком спросе на готовые инструменты для атак.

Основными целями эксплуатации уязвимостей становятся интернет‑сервисы (36%) и корпоративное программное обеспечение (33%). Причем корпоративные системы имеют более высокую ценность для злоумышленника: их компрометация открывает доступ к внутренней инфраструктуре, данным сотрудников и клиентов, а также дает возможность для дальнейшего распространения атаки.

Реальные инциденты показывают, что цена успешной атаки может исчисляться десятками и даже сотнями миллионов рублей. Помимо затрат на устранение последствий, бизнес сталкивается с потерей выручки из-за простоя, необходимостью восстанавливать инфраструктуру, расходами на внешнюю экспертизу и репутационным ущербом.

4 Уязвимость нулевого дня (0‑day, zero‑day) — ранее неизвестная уязвимость, для которой еще не выпущено обновления для ее исправления.

5 Уязвимость первого дня (1‑day, one‑day) — уязвимость, для которой исправление уже выпущено, но установлено не всеми пользователями.

«Затраты на проактивную защиту, как правило, более предсказуемы и зачастую оказываются значительно ниже по сравнению с ущербом от успешной кибератаки. Так, в 2025 году медианный размер вознаграждения за выявление критически опасной уязвимости в рамках программ багбаунти составил 200 тыс. рублей, а медианная стоимость участия в кибериспытаниях — 1 млн рублей. Причем кибериспытания позволяют на практике проверить возможность реализации недопустимого события и выявить угрозы до наступления реального инцидента».

Макар Куманейкин
Макар КуманейкинМладший аналитик группы международной аналитики Positive Technologies

Эксперты Positive Technologies советуют компаниям не дожидаться инцидента, а выстраивать превентивную защиту. Программы багбаунти помогают находить уязвимости на внешнем периметре силами независимых исследователей, а кибериспытания позволяют проверить устойчивость инфраструктуры к реальным сценариям атак. Кроме того, решения класса Threat Intelligence заранее предупреждают компании о появлении данных о них на теневых площадках. Такой подход требует предсказуемого бюджета и обходится бизнесу в разы дешевле, чем ликвидация последствий взлома.