Все отрасли
Киберугрозы/инциденты

Рынки монетизации уязвимостей

Макар Куманейкин

Макар Куманейкин

Младший аналитик группы международной аналитики PT Cyber Analytics

Алиса Кулишенко

Алиса Кулишенко

Руководитель группы международной аналитики PT Cyber Analytics

Об исследовании

Данные об уязвимостях в программном обеспечении или инфраструктуре — важнейшая информация. Она может быть использована как для усиления защиты систем, так и для проведения кибератак. 

Существует несколько рынков продажи сведений об уязвимостях. Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них. Нелегальный связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.

В исследовании мы рассмотрим устройство этих рынков: их общие черты, ключевые различия и влияние на сферу кибербезопасности. Кроме того, разберем, совпадает ли предмет торговли на разных рынках или каждый из них ориентирован на свои классы уязвимостей (с разной ценностью, применимостью и потенциальными последствиями).

Резюме

  • Рынки монетизации уязвимостей существуют как в легальном, так и в нелегальном поле. Легальный рынок строится вокруг обнаружения и устранения уязвимостей, тогда как нелегальный — вокруг их скрытого использования.
  • На стоимость уязвимости на любом рынке влияют ее основные характеристики: целевая платформа, новизна, потенциальные последствия эксплуатации и, как следствие, уровень критичности.
  • Легальные каналы монетизации уязвимостей — программы багбаунти, кибериспытания.
    • Характерные уязвимости: типовые недостатки в веб-приложениях, а также исследуемые в рамках кибериспытаний цепочки атак, ведущие к реализации недопустимого для бизнеса события.
    • Стоимость для компаний: первичное размещение, ежегодная подписка в районе 1 млн ₽ на российских площадках (15 000–50 000 $ на зарубежных) и комиссия около 20% при выплате вознаграждений.
    • Доход багхантеров зависит от уровня критичности найденной уязвимости. На Standoff Bug Bounty медианные показатели за 2025 год для классических программ поиска уязвимостей следующие: критический — 200 000 ₽, высокий — 50 000 ₽, средний — 17 000 ₽, низкий — 5 000 ₽. На кибериспытаниях медианные суммы за тот же период выше — 1 млн ₽, потому что осуществляется эксплуатация исключительно критических уязвимостей. 
  • Убытки от кибератаки могут быть в разы выше, чем выплата за использованную злоумышленниками уязвимость, обнаруженную в рамках программы багбаунти. 
  • Серый рынок монетизации — ответственное раскрытие уязвимостей и работа с брокерами уязвимостей.
    • Характерные товары у брокеров: критические 0-day-уязвимости в популярных ОС и ПО.
  • Нелегальный канал монетизации — теневые форумы и дарквеб-магазины.
    • Характерные товары: первичные доступы (61% от CaaS1) и критические уязвимости (7% от CaaS) с высокой ценностью при эксплуатации.
    • Стоимость для компании при успешном проведении кибератаки: убытки от приостановки бизнес-процессов, реализации недопустимых событий, расходы на привлечение профильных специалистов либо на выплату выкупа.
    • Цены зависят от нескольких факторов. Для первичных доступов — это размер и отрасль компании, уровень предоставляемого доступа (привилегированный или непривилегированный) и способ подключения (легитимное корпоративное ПО или shell2). Для уязвимостей (49% от всех объявлений — это 0-day, а еще 11% — 1-day) ценообразующими являются факторы потенциального воздействия (RCE, LPE, обход средств защиты или MFA и т. д.) и новизны, поэтому уязвимости нулевого дня имеют медианную цену в 80 000 $, а уязвимости первого дня — лишь 5000 $. Кроме того, на стоимость влияет и целевая платформа. Так, недостатки мобильных ОС и ПО медианно оцениваются в 100 000 $, корпоративных ПО — в 80 000 $, настольных ОС и ПО — в 55 000 $, а интернет-сервисов — только в 2000 $.
    • Дополнительный риск для участников нелегального рынка — уголовное преследование.

1Киберпреступность как услуга (cybercrime as a service, CaaS) — модель организации киберпреступной деятельности, основанная на принципах, аналогичных легальным сервисным бизнес-моделям.

2Оболочка (shell) — загруженный на сервер вредоносный сценарий, с помощью которого злоумышленник может удаленно выполнять команды в целевой системе.

Введение

Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру). Киберпреступники могут использовать их для развития своей атаки. Зачастую такие ошибки возникают из-за человеческого фактора на этапе разработки или внедрения ИТ-решений.

Ключевые параметры классификации уязвимостей:

  • Платформа. Уязвимые ПО или системы, например ОС (настольные и мобильные), прикладные программы (системные и пользовательские), а также веб-приложения и иное ПО.
  • Используемая слабость системы. Уязвимости разделяются на типы (например, согласно стандарту CWE3).
  • Воздействие. Возможные негативные последствия эксплуатации найденной ошибки могут варьироваться от незначительной проблемы до выполнения произвольного кода, повышения привилегий и обхода средств защиты.
  • Критичность. Для определения серьезности уязвимости используют качественную оценку (информационный, низкий, средний, высокий, критический уровень) или числовую (например, по десятибалльной шкале CVSS).
  • Новизна. Для уязвимости указывают дату первого обнаружения. Самыми редкими и, как следствие, ценными являются ранее неизвестные уязвимости, или уязвимости нулевого дня (0-day).

Для специалистов по кибербезопасности и компаний информация об уязвимостях позволяет своевременно выявлять слабые места, устранять их и повышать устойчивость систем к угрозам. Эта же самая информация представляет ценность и для злоумышленников, поскольку дает возможность получить несанкционированный доступ, нарушить работу сервисов или похитить данные. Таким образом, уязвимость становится объектом интереса для разных сторон, а ее ценность определяется потенциальными последствиями использования. По нашей информации, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).

3CWE (common weakness enumeration) — система классификации типовых ошибок в программном и аппаратном обеспечении.

Рисунок 1. Распределение последствий атак, связанных с эксплуатацией уязвимостей, за 2025 год

В условиях активной цифровизации уязвимости программного обеспечения становятся одним из ключевых факторов риска для компаний и пользователей. По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей. При этом он развивается в двух параллельных направлениях — легальном (программы багбаунти и практики ответственного раскрытия) и теневом (дарквеб-площадки, на которых информация об уязвимостях может использоваться в противоправных целях). Оба направления имеют свою специфику, которую мы разберем далее.

Легальные каналы монетизации уязвимостей

Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, скупающий данные о 0-day-уязвимостях для последующего ответственного разглашения затронутой компании, а также для превентивного улучшения собственных систем защиты. Самым масштабным каналом является багбаунти.

Багбаунти

Багбаунти (bug bounty) — программа, в рамках которой компании выплачивают денежные вознаграждения исследователям безопасности за обнаруженные в системах, продуктах или сервисах уязвимости.

Программы багбаунти позволяют оценивать защищенность практически любых ИТ-решений. Тем не менее основной фокус заметно смещается на внешнюю поверхность атаки: веб-приложения, API, корпоративную инфраструктуру. Обычно речь идет о типовых недостатках безопасности (например, ошибках контроля доступа, конфигурации, XSS), которые можно обнаружить применяя повторяемые техники тактик «Разведка» и «Первоначальный доступ» матрицы MITRE ATT&CK. Обуславливается это низким порогом входа в веб-безопасность (96% багхантеров работают с веб-приложениями, а с ОС и ПО — лишь 38%) в сочетании с тем, что внешние веб-ресурсы компании представляют собой первичную цель для исследования. Остальные этапы атаки (закрепление в системе, перемещение внутри периметра, обход защитных механизмов или воздействие на инфраструктуру) и обнаруженные в рамках их реализации уязвимости тоже встречаются в отчетах, но их количество существенно ниже. Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS4.

4XSS (cross-site scripting, межсайтовый скриптинг) — уязвимость, позволяющая хакеру внедрить произвольный код в HTML-страницу, генерируемую скриптами на сервере.

Рисунок 2. Распределение уязвимостей на багбаунти-платформе HackerOne по доле принятых отчетов

Для преодоления этой асимметрии на площадке Standoff Bug Bounty традиционный поиск атомарных уязвимостей дополняется форматом кибериспытаний. Исследователю, чтобы получить вознаграждение, нужно реализовать полноценный сценарий атаки — от получения первичного доступа до реализации недопустимого события. Такой подход позволяет участвующим компаниям выйти за рамки точечного исправления багов и увидеть полную цепочку действий атакующего. Это дает возможность определить реальные векторы реализации недопустимых событий и расставить приоритеты в защите.

Существуют различные подходы к организации самих программ багбаунти. Компании могут запускать программы самостоятельно и напрямую общаться с исследователями безопасности, обрабатывая все приходящие отчеты и осуществляя выплаты, либо могут воспользоваться услугами багбаунти-платформ (Standoff Bug Bounty, HackerOne, Bugcrowd и другими), которые берут на себя эти задачи как частично, так и полностью. Сами программы бывают двух типов: открытыми, когда любой участник сообщества может попробовать свои силы в нахождении уязвимостей, и закрытыми, когда анализ защищенности доступен только определенному кругу багхантеров. С более детальным описанием устройства багбаунти и реализацией на примере площадки Standoff Bug Bounty можно ознакомиться в недавнем исследовании.

С точки зрения компании

Программы багбаунти являются одним из инструментов защиты продуктов и внешнего периметра компании и имеют ряд преимуществ:

  • оплачиваются только найденные уязвимости, а не затраченное на их поиск время, что является более экономным вариантом по сравнению с тестированием на проникновение;
  • анализ безопасности осуществляется на постоянной основе, а не разово;
  • в исследованиях участвует большое количество белых хакеров, что позволяет всесторонне протестировать защищенность благодаря разным навыкам, опыту и подходам;
  • разглашение информации контролируется самой компанией;
  • возможные неудобства (триаж, то есть оценка отчетов, общение с исследователями, проведение платежей) зачастую берут на себя багбаунти-платформы;
  • компании получают готовые отчеты о найденных уязвимостях либо отчеты, в которых описаны полноценные цепочки атак (при участии в кибериспытаниях).

Кроме того, стоимость багбаунти невелика по сравнению с другими классическими решениями в сфере кибербезопасности. Так, на российских площадках ежегодная подписка стоит 1 млн ₽, на иностранных — 15 000–50 000 $, а дополнительная комиссия при выплате вознаграждений составляет около 20%.

Все эти факторы делают программы багхантинга эффективным решением для закрытия конкретных потребностей компании в вопросе выстраивания системы информационной безопасности. Это подтверждается статистикой платформы Standoff Bug Bounty, на которой с момента запуска было размещено более 400 программ багбаунти и более 100 программ кибериспытаний. Дополнительно, по нашим данным, 80% опрошенных вовлеченных компаний отметили выявление уязвимостей, которые не были найдены другими способами. Аналогичное число опрошенных подсветили формирование более ясного представления о поверхности атаки. Чем больше у компании сервисов, устройств, облачных ресурсов, внешних интеграций и пользовательских точек доступа, тем больше у нее потенциально уязвимых мест. Неучтенные системы, устаревшее ПО или открытые сервисы могут стать точкой входа для злоумышленников.

С точки зрения багхантера

Со стороны же исследователей безопасности программы багбаунти являются уникальным и одним из немногих полностью легальных способов монетизировать найденные уязвимости, однако это не единственное преимущество багхантинга. 

По нашим данным, 92% исследователей называют своей основной мотивацией финансовое вознаграждение. Однако более половины из них также преследуют и нематериальные цели: развитие навыков (76%), укрепление репутации в сообществе (54%), возможность сделать мир безопаснее и карьерный рост (по 50%). Таким образом, участие в подобных программах позволяет не только зарабатывать, но и учиться в профессиональной среде, а также продвигаться по социальной лестнице.

Несмотря на описанные выше преимущества, у платформ багбаунти есть свои ограничения:

  • не все компании участвуют в подобных программах;
  • область тестирования и разрешенные методы ограничены условиями конкретной программы;
  • возможны разногласия при оценке уровня критичности или уникальности выявленной уязвимости;
  • существуют ограничения на разглашение найденной информации;
  • между обнаружением уязвимости и получением выплаты часто проходит много времени.

Даже с учетом описанных ограничений, устанавливаемых компаниями, багбаунти формирует среду, в которой поиск уязвимостей становится частью легального взаимодействия между исследователями безопасности и компаниями. Это способствует развитию профессионального сообщества и делает процесс поиска уязвимостей более структурированным и контролируемым, хотя интересы участников не всегда совпадают полностью.

Ценообразование

Суммы вознаграждений заранее известны исследователям безопасности: при запуске программы компания прописывает размеры выплат. Они зависят от нескольких факторов: места обнаружения уязвимости (в какой системе или продукте), ее уровня опасности (критичности) и типа. Дополнительно организация может увеличить сумму вознаграждения, если исследователь продемонстрирует, что найденная уязвимость (или цепочка уязвимостей) способна привести к реализации недопустимого события. А на кибериспытаниях, где основное внимание уделяется именно недопустимым событиям и цепочкам уязвимостей, выплаты еще выше.

Рисунок 3. Размер вознаграждений на Standoff Bug Bounty в зависимости от уровня опасности найденных уязвимостей 2022H2-2025H2

90-й процентиль — значение, ниже которого находится 90% всех данных, что позволяет отсеивать аномально высокие показатели.

Рисунок 4. Размер вознаграждений на кибериспытаниях (топ-5)

Аналогичное распределение стоимости наблюдается и при анализе способов реализации атаки. В данном случае есть корреляция со сложностью используемой слабости системы и возможными последствиями. Так, нарушение контроля доступа является лидером по максимальной сумме выплат (2 400 000 ₽), но медианная стоимость много меньше из-за большого разброса в последствиях эксплуатации. Многие такие уязвимости приводят лишь к частичному обходу ограничений доступа или затрагивают небольшое количество данных, поэтому оцениваются относительно недорого. Однако в отдельных случаях ошибки контроля доступа могут позволять получить административные привилегии, доступ к критически важным данным или полный контроль над системой. 

Кроме того, выделяется сбой в криптографической защите — здесь наибольшая медианная стоимость при сравнительно небольшой максимальной выплате. Это связано с тем, что подобные уязвимости считаются стабильно опасными. Компании готовы регулярно платить за них больше, поскольку они напрямую связаны с рисками компрометации данных, обхода авторизации или получения доступа к системе.

Рисунок 5. Размер вознаграждений на Standoff Bug Bounty в зависимости от способа реализации найденных уязвимостей 2022H2-2025H2

Программы багбаунти являются эффективным инструментом повышения уровня кибербезопасности, поскольку позволяют компаниям привлекать широкое сообщество независимых исследователей для поиска уязвимостей. Такой подход расширяет охват тестирования и помогает выявлять баги быстрее и раньше, чем это могут сделать злоумышленники. Кроме того, багбаунти делает ответственное раскрытие уязвимостей привлекательным для этичных хакеров. В результате компании получают возможность оперативно устранять проблемы, а исследователи — легальный и прозрачный способ монетизировать свои навыки. Вместе с тем наличие альтернативных каналов сбыта информации об уязвимостях (прежде всего нелегальных) свидетельствует о системных различиях с моделью багбаунти и обуславливает необходимость рассмотрения теневого сегмента.

Серый рынок монетизации уязвимостей

Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. Этот сегмент часто вызывает споры о границах допустимого использования данных об уязвимостях. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают. Подобные сделки остаются в правовом поле, однако конечное использование уязвимостей часто остается непрозрачным. По этой причине такой рынок сочетает черты как легального обращения с данными об уязвимостях, так и теневых практик их коммерциализации.

  • Поиск уязвимостей с ответственным раскрытием
    Наиболее близким к легальной сфере является анализ защищенности с последующим ответственным разглашением информации о найденных уязвимостях, когда исследователи безопасности в частном порядке уведомляют организации об обнаруженных недостатках. Этот подход не гарантирует получение каких бы то ни было вознаграждений, но несет за собой риск судебного преследования исследователя.
  • Брокеры уязвимостей
    Другим каналом монетизации уязвимостей являются компании-брокеры. В отличие от программы ZDI, в рамках которой информация о найденных уязвимостях передается разработчикам исходного продукта, в котором была обнаружена ошибка, брокеры перепродают сведения государственным и коммерческим организациям.
    Такие компании покупают данные об уязвимостях, отличных от тех, которые обнаруживаются в рамках багбаунти. Например, брокера Operation Zero интересуют только подтвержденные 0-day-эксплойты, причем дополнительный приоритет отдается мобильным операционным системам и их программам, а также средствам виртуализации. Стоимость одного такого эксплойта может доходить до 2,5 млн $ и 1 млн $ соответственно. Важно отметить, что такие расценки являются верхней границей, реальные коммерческие предложения могут быть намного ниже. К примеру, другой брокер — Advance Security Solutions — за все время работы выплатил лишь 40 млн $, в то время как максимальная сумма за одну уязвимость у них достигает 20 млн $.

Нелегальный рынок монетизации уязвимостей

Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки. Кроме того, существуют полноценные каналы и магазины, в которых владельцы в одностороннем порядке выставляют лоты на продажу.

Теневые форумы

Теневые форумы — это онлайн-платформы, позволяющие анонимным пользователям обмениваться различной информацией и продавать нелегальные товары или услуги. Основной целью многих участников таких сообществ является обогащение, что напрямую влияет на типы востребованных товаров, выводя на первое место эксплуатационную ценность, однако также встречается бесплатное распространение аналогичной информации.

Злоумышленники, не ограниченные правовыми и организационными рамками, могут использовать любые удобные и эффективные для них методы проведения атак. Если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day-уязвимостях и готовых доступах к системам.

По сути, продажа доступов к инфраструктуре является результатом успешной эксплуатации уязвимостей, не подходящих для самостоятельной продажи. Получение первоначального доступа к системам компании часто становится возможным именно из-за наличия ошибок в программном обеспечении, в механизмах аутентификации или конфигурациях. После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По нашим данным, подобные предложения составляют большую часть теневого рынка сервисов — на них приходится 61% сообщений.

Рисунок 6. Сообщение на теневом форуме о продаже доступа к инфраструктуре организации
Рисунок 6. Сообщение на теневом форуме о продаже доступа к инфраструктуре организации

Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. Особенно ценятся новые или малоизвестные методы компрометации, способные дать злоумышленникам существенное преимущество. На этом рынке также наблюдается активный переход к сервисной модели. Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в программном обеспечении. При этом в 40% объявлений фигурируют 0-day-уязвимости, что дополнительно подтверждает их популярность.

Рисунок 7. Сообщение на теневом форуме о продаже информации об уязвимости
Рисунок 7. Сообщение на теневом форуме о продаже информации об уязвимости

Дополнительные особенности устройства рынка вытекают из его анонимности. Так, создана целая инфраструктура доверия, призванная сделать торговлю более безопасной для злоумышленников.

Рисунок 8. Сообщение участника теневого форума о недобросовестном продавце
Рисунок 8. Сообщение участника теневого форума о недобросовестном продавце
  • Иногда нелегальный рынок перенимает практики из легальной сферы, используя в своих продуктах схожие с багбаунти подходы. Например, один из теневых маркетплейсов по продаже данных банковских карт среди своих преимуществ указывает наличие багбаунти-программы, которая призвана повысить уровень безопасности сервиса и, как следствие, доверия клиентов.

Рисунок 9. Сообщение на теневом форуме с описанием маркетплейса по продаже данных банковских карт
Рисунок 9. Сообщение на теневом форуме с описанием маркетплейса по продаже данных банковских карт

Любая публикация данных об организации на теневых ресурсах является поводом для настороженности, так как подобная информация может быть использована злоумышленниками для подготовки и проведения атак. Даже частичные сведения об устройстве инфраструктуры, используемом ПО, точках входа или способах обхода защиты помогают сократить время на поиск уязвимых мест и повысить вероятность успешной атаки. Публикация же актуальных доступов к инфраструктуре компании или уязвимостей в ее ПО является прямой угрозой, так как способна привести к компрометации систем, утечке данных, нарушению работы сервисов и дальнейшему распространению вредоносной активности.

Результатом даже мелкомасштабной атаки могут стать репутационные издержки и значительные финансовые потери, связанные с приостановкой бизнес-процессов, реализацией недопустимых событий, штрафами от регуляторных органов, расходами на привлечение профильных специалистов либо на выплату выкупа для скорейшего восстановления инфраструктуры.

Однако с этими проблемами можно бороться с помощью специализированных средств защиты, например систем threat intelligence, постоянно отслеживающих ситуацию в теневой сегменте интернета и предупреждающих компании при появлении релевантной информации.

Участники нелегальных рынков, в свою очередь, преследуют финансовую выгоду, чему способствует фактор противозаконности, дающий полную свободу действий участникам и многократно повышающий стоимость выплат. Однако вместе с тем появляются и существенные риски: совершение сделок, даже с учетом выстроенной инфраструктуры доверия, может привести к обману и потере денег и ресурсов, а постоянная работа правоохранительных органов по выявлению злоумышленников грозит многолетним лишением свободы.

  • Тенденцию подтверждает и произошедший в 2022 году инцидент, когда группа злоумышленников смогла похитить 7000 подарочных сертификатов «Детского мира», а после одного из участников приговорили к пяти годам колонии и штрафу в полмиллиона рублей.

Ценообразование

Покупаемая информация об уязвимостях встраивается злоумышленниками в свой сценарий кибератаки, создавая тем самым уникальную комбинацию из цели и вектора развития нападения. Это приводит к тому, что стоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор — эксплуатационная ценность — остается неизменным. Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day- и 1-day-уязвимости соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.

Рисунок 10. Стоимость обращаемых на теневых форумах данных об уязвимостях в зависимости от их новизны

Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с удаленным выполнением кода (RCE5) и повышением привилегий (LPE6), на них приходится 43% и 25% соответственно. Это объясняется тем, что такие недостатки безопасности имеют высокую практическую ценность для злоумышленников: RCE-уязвимости позволяют выполнять произвольный код в целевой системе и получать первоначальный контроль над устройством или сервером, а LPE дают возможность расширить уже полученный доступ и перейти к полному контролю над системой.

5RCE (remote code execution) — уязвимость, позволяющая злоумышленнику дистанционно запустить вредоносный код в целевой системе по локальной сети или через интернет.

6LPE (local privilege escalation) — уязвимость, позволяющая пользователю или процессу получить более высокий уровень прав в системе, чем был предоставлен изначально.

Рисунок 11. Распределение обращаемых на теневых форумах данных об уязвимостях по их воздействию, нормированное до 100%

Наиболее частыми целями атак и эксплуатации уязвимостей становятся интернет-сервисы (36%) и корпоративное программное обеспечение (33%). Зачастую информация об уязвимостях, найденных в интернет-сервисах, не уникальна и сопоставима с тем, что обнаруживается на платформах багхантинга. Корпоративные системы представляют более высокую ценность, потому что их компрометация открывает доступ к внутренней инфраструктуре, данным сотрудников и клиентов, а также дает возможность для дальнейшего распространения атаки внутри сети организации.

Рисунок 12. Распределение обращаемых на теневых форумах данных об уязвимостях по их целям, нормированное до 100%

Показательно, что при рассмотрении распределения цен для аналогичных категорий в топ выходят мобильные платформы, в то время как корпоративное ПО сохраняет за собой второе место, а интернет-сервисы уходят в конец рейтинга. Это ранжирование совпадает с распределением максимальных сумм выкупа у брокеров уязвимостей, демонстрируя прямую корреляцию стоимости со сложностью обнаружения уязвимости.

Рисунок 13. Стоимость обращаемых на теневых форумах данных об уязвимостях в зависимости от их цели

Помимо информации о критических уязвимостях, на теневых форумах также продаются результаты эксплуатации ошибок на внешних периметрах компаний — первичные доступы. В этом случае в 75% объявлений указана точная цена либо минимальная, а доля заявок на покупку конкретных доступов составляет лишь 30% от всех сообщений.

Стоимость доступа к инфраструктуре компаний зависит в первую очередь от размера компании и ее прибыли. Большая часть наблюдаемых объявлений о продаже подобных товаров выбирает целью компании с доходом от 1 млн $, тогда как доступ к организациям меньшего масштаба часто продают оптом, в результате чего они не входят в эту статистику. Большая часть цен попадает в коридор 100–10 000 $, тогда как ущерб от успешной атаки в результате использования подобной информации достигает миллионов долларов.

  • В результате киберинцидента 18 февраля сайт и мобильное приложение микрофинансовой организации CarMoney стали недоступны, а клиенты получили спам-рассылку, которая нанесла дополнительный репутационный ущерб. Компании удалось справиться с последствиями. В период восстановительных работ CarMoney отказалась от начисления неустойки пользователям, а затем запустила бонусную программу для клиентов сервиса, что позволило минимизировать репутационный ущерб от киберинцидента.

Другим фактором, влияющим на стоимость конкретного доступа, является уровень прав, который он предоставляет. Причем распределение по этому фактору достаточно неравномерное: около 3/4 от общего количества объявлений занимают сообщения о привилегированных доступах, в то время как на непривилегированные приходится лишь 1/4. Это вновь подтверждает важность эксплуатационной ценности в объявлениях на теневых форумах. Для наглядности из графиков по первичным доступам исключены аномальные объявления от недоверенных участников.

Рисунок 15. Стоимость обращаемых на теневых форумах первичных доступов в зависимости от предоставляемых ими прав

Более половины объявлений о первичных доступах нацелены на командные оболочки (shell), VPN, RDP и аналогичные программы для удаленного доступа. Так, командные оболочки, являясь классическим результатом эксплуатации уязвимостей на внешнем периметре компании, распространены больше других методов подключения, но ценятся меньше них, так как создают аномальный трафик в сети. В это же время VPN, RDP и ПО для удаленного доступа хоть и распространены меньше, но стоят в разы дороже, поскольку предоставляют легитимный канал доступа во внутреннюю инфраструктуру организации.

Рисунок 16. Распределение обращаемых на теневых форумах первичных доступов по методам подключения, нормированное до 100%

Рисунок 17. Стоимость обращаемых на теневых форумах первичных доступов в зависимости от метода подключения

Помимо метода подключения, на итоговую стоимость доступа также влияет и отрасль целевой компании. Например, стоимость доступа к конкретному госучреждению может достигать 1,5 млн $, а к целевой финансовой организации — 1 млн $, поскольку успешное проведение кибератаки на эти критически важные отрасли позволит злоумышленникам кратно приумножить вложенные средства. Кроме того, количество объявлений в каждой отрасли зависит еще от одного фактора — распространенности проэксплуатированной для получения доступа уязвимости. Так, сферы торговли и услуг включают множество небольших бизнесов, чей внешний периметр зачастую содержит типичные ошибки, позволяющие злоумышленникам получать первичные доступы в большом количестве.

Рисунок 18. Распределение обращаемых на теневых форумах первичных доступов по отрасли их целевой компании, нормированное до 100%

Нелегальный рынок уязвимостей представляет собой искривленное отражение легального сектора безопасности. Здесь типичные ошибки превращаются в первичные доступы, а критические уязвимости — в инструменты для реализации последующих этапов кибератаки. Такое разделение на брокеров первичного доступа и ВПО как услуги сокращает время подготовки кибератаки и повышает ее эффективность, формируя зрелую и высокоорганизованную экосистему.

В то же время рыночные условия диктуют свои правила: высокие цены, актуальные лишь для востребованных товаров, создают для злоумышленников риск невозможности монетизировать найденную уязвимость. Кроме того, нелегальный статус деятельности добавляет вероятность деанонимизации и уголовного преследования.

В этих условиях внедрение систем класса threat intelligence и постоянный мониторинг теневых площадок — важные шаги стратегии защиты компании.

Сравнение рынков монетизации уязвимостей

Несмотря на то что все рассматриваемые сегменты связаны данными об уязвимостях, спрос внутри них формируется по-разному. Это влияет как на типы наиболее востребованных уязвимостей, так и на то, в каком виде информация о них становится объектом продажи. В результате в каждом сегменте складывается собственное представление о релевантных типах уязвимостей и их ценности. 

Багбаунти-программы обычно ориентированы на поиск уязвимостей в веб-приложениях, сервисах и корпоративной инфраструктуре, фокусируясь на начальных этапах атаки, так как целью таких программ обычно является выявление точки входа и отдельных недостатков безопасности. При этом даже отдельный баг может стать частью атакующей цепочки и при развитии привести к критически опасным последствиям: компрометации данных, повышению привилегий, обходу контроля доступа или нарушению ключевых бизнес-процессов. Логичным дополнением к такому подходу является формат кибериспытаний, нацеленный на имитацию полной атаки, где исследователю необходимо последовательно пройти через все ее этапы. Это позволяет проверить в контролируемой среде, во что потенциально может перерасти найденная уязвимость, можно ли на ее основе собрать цепочку атаки и добиться серьезных негативных последствий (например, реализовать недопустимое событие). Отдельным аспектом является определение недопустимых событий, позволяющее компаниям самостоятельно сформулировать, что представляет для них наибольшую опасность.

На теневых рынках интерес не ограничивается начальной компрометацией: помимо уязвимостей для получения доступа, там востребованы инструменты и услуги, связанные с более поздними этапами атаки, включая уклонение от защитных механизмов, получение учетных данных, перемещение внутри периметра и воздействие на инфраструктуру или данные. Это отражает ориентацию теневого рынка на практическую реализацию атак. 

Основной интерес на теневых площадках сосредоточен на более сложных и редких уязвимостях, особенно в программном обеспечении. Высоко ценятся 0-day-уязвимости, позволяющие проводить атаки до выхода исправлений, а также уже полученные доступы к корпоративной инфраструктуре. В отличие от багбаунти, информация об уязвимостях низкой критичности здесь зачастую распространяется бесплатно. Сделки в таком сегменте анонимны, а стоимость уязвимостей определяется их эффективностью и эксклюзивностью. Данные о недостатках веб-приложений также встречаются, но составляют относительно небольшой процент от общего числа объявлений.

Рисунок 19. Распределение обращаемых на теневых форумах данных об уязвимостях по способу их реализации

отображены только классические для веб-приложений уязвимости

Помимо теневых форумов, авторитетный злоумышленник может продать информацию об обнаруженной уязвимости напрямую разработчику ВПО или хакерской группировке — итоговая стоимость будет даже выше за счет уникальности и сохранения полной конфиденциальности.

Брокеры уязвимостей занимают промежуточное положение. Они также заинтересованы в сложных и ценных уязвимостях, схожих с теми, которые востребованы на теневых рынках, однако работают в более формализованной среде и перепродают их ограниченному кругу клиентов. По этой причине стоимость у брокеров часто ниже, чем на нелегальном рынке, хотя сами уязвимости могут быть сопоставимы по технической сложности и ценности.

Для исследователя безопасности багбаунти и теневой рынок предлагают разные подходы к монетизации уязвимостей. Багбаунти — легальный и предсказуемый способ заработка, возможность развивать репутацию и работать напрямую с компаниями. Область исследований, а также размер выплат обычно ограничены рамками конкретной программы, что не всегда позволяет полностью раскрыть реальную ценность уязвимостей. Эта проблема решается расширением границ оценки безопасности, например выходом на кибериспытания.

На теневых рынках область исследований не ограничена, но появляются риски, связанные с безопасностью самого исследователя. При этом цены часто выше, особенно на уязвимости, которые можно использовать для качественного развития атаки, например RCE, LPE и обход средств защиты. Не менее важным параметром при расчете стоимости уязвимости является ее новизна. Так, факт 0-day многократно повышает цену (вплоть до 20-кратной разницы с багбаунти). Кроме того, дополнительное внимание уделяется ошибкам, найденным в популярных продуктах, в которых эксплуатация возможна при стандартной конфигурации и без дополнительных действий со стороны пользователя (0-click).

Рисунок 20. Распределение рынков монетизации уязвимостей по характеристикам последних
Рисунок 20. Распределение рынков монетизации уязвимостей по характеристикам последних
  • Однако рыночные условия теневых форумов, с одной стороны увеличивающие стоимость востребованных уязвимостей, с другой стороны делающие невозможным монетизацию найденных в непопулярных сервисах ошибок, приводят к нетипичным последствиям. Так, в ноябре прошлого года один из участников теневого форума выставил на продажу информацию об обнаруженной им 0-day-уязвимости, но, не получив коммерческих предложений в первые 20 дней, решил продать ее через багбаунти.

Рисунок 21. Сообщения на теневом форуме о продаже информации об уязвимости, которая затем была передана на багбаунти
Рисунок 21. Сообщения на теневом форуме о продаже информации об уязвимости, которая затем была передана на багбаунти

Для компании багбаунти-программы позволяют получать информацию об уязвимостях напрямую от исследователей до того, как они будут использованы в реальных атаках. Сами организации подчеркивают, что багбаунти покрывает недоступную для автоматизированных инструментов область (68% опрошенных компаний), дополняет пентесты благодаря разнообразию подходов багхантеров (48%), а также обеспечивает непрерывную оценку защищенности (40%) и снижает нагрузку на внутренние команды (20%). Кроме того, программы багбаунти создают более структурированный процесс раскрытия уязвимостей и позволяют организации лучше понимать собственную поверхность атаки.

В случае теневого рынка компания, как правило, узнает об уязвимости уже после ее эксплуатации или появления индикаторов компрометации. При этом на подобных площадках часто есть объявления о более сложных уязвимостях и готовых доступах к инфраструктуре, что может увеличивать потенциальные последствия инцидента. В такой ситуации организация вынуждена сперва реагировать на атаку, а затем устранять ее последствия.

С учетом того, что в 2025 году средний убыток компании от утечки данных составил 4,4 млн $, особенно показательным выглядит замечание пользователя теневого форума, что участие в багбаунти обошлось бы целевой организации намного дешевле, чем суммарный ущерб от кибератаки. Например, на Standoff Bug Bounty за 2025 год медианная стоимость уязвимости критического уровня была 200 000 ₽, высокого — 50 000 ₽, среднего — 17 000 ₽, низкого — 5 000 ₽, а участия в кибериспытаниях — 1 млн ₽.

Рисунок 22. Сообщение на теневом форуме о том, что участие в багбаунти было бы для компании более финансово выгодным решением
Рисунок 22. Сообщение на теневом форуме о том, что участие в багбаунти было бы для компании более финансово выгодным решением

Затраты на превентивное выявление критических уязвимостей с помощью программы багбаунти значительно ниже потенциальных потерь от успешной кибератаки. Кроме прямых финансовых убытков, подобные инциденты также приводят к операционным сбоям, расходам на восстановление инфраструктуры и рискам для устойчивости бизнеса.

Итоги

Информация об уязвимости остается двойственным активом: ее ценность определяется не только техническими характеристиками, но и контекстом использования, который задается рынком. Причем легальный и нелегальный сегменты работают в частично пересекающихся плоскостях, но, как правило, ориентируются на разные уязвимости.

Багбаунти эффективно обеспечивает безопасность внешнего периметра за счет обнаружения множества типичных уязвимостей в веб-приложениях, а также помогает повысить уровень защиты иных продуктов, но уже с меньшей долей вовлеченный белых хакеров. Теневой рынок фокусируется на эксплуатационной ценности, ставя на первое место сложные 0-day-уязвимости в корпоративном ПО, настольных и мобильных ОС, а также продажу готовых доступов к инфраструктуре компаний. В то же время брокеры уязвимостей занимают промежуточное положение, скупая информацию о критических 0-day-уязвимостях для государственных и коммерческих заказчиков, обычно без обязательств информировать затронутые компаний, что создает долгосрочные угрозы, о которых никому (кроме брокера и его клиента) не известно.

Одновременно с этим стоит учитывать, что рынок защитных решений и способов легальной монетизации уязвимостей становится все больше. Для выстраивания результативной кибербезопасности требуется четко понимать задачи, которые решает выбранное решение и какие аспекты закрывает, подбирая экосистему продуктов под конкретную ситуацию. Багбаунти-платформы ограничивают исследователей на согласованной границе демонстрации риска, однако это не значит, что обнаруженная уязвимость не имеет дальнейшей эксплуатационной ценности. Для проверки таких сценариев существуют другие легальные форматы, например кибериспытания, где можно контролируемо проверять развитие атаки, повышение привилегий, перемещение внутри инфраструктуры и реализацию согласованного недопустимого события. В свою очередь, запуск threat-intelligence-платформы может позволить превентивно узнавать о событиях и сделках на теневых рынках и выстраивать проактивную защиту.

Несмотря на то что на нелегальном рынке независимые исследователи безопасности, нашедшие востребованные типы уязвимостей, могут заработать больше, важными преимуществами багбаунти остаются финансовая безопасность, возможность развития личного бренда, отсутствие каких-либо рисков уголовного преследования.

При этом для компаний существует значительный разрыв между затратами на превентивный поиск уязвимостей и ущербом от ликвидации последствий успешной атаки. Организациям стоит рассматривать запуск программ багбаунти и выход на кибериспытания не только как инструменты непрерывной оценки защищенности, но и как способ снижения финансовых рисков с предсказуемым бюджетом. Однако для полноценного проактивного противодействия угрозам следует создавать целую экосистему решений для ИБ.

Рекомендации

В условиях усложнения инфраструктуры и развития рынка уязвимостей компаниям важно сочетать технические, организационные и аналитические меры защиты.

  • Использовать программы багбаунти как дополнительный инструмент непрерывного поиска уязвимостей и расширения возможностей тестирования безопасности. Привлечение внешних исследователей позволяет находить уязвимости, которые могут оставаться незамеченными при внутренних проверках или автоматизированном анализе. Особенно эффективно такие программы работают для внешней инфраструктуры. 
  • Участвовать в кибериспытаниях для моделирования индивидуальных цепочек атак и проверки реальной защищенности от реализации недопустимых событий.
  • Интегрировать решения класса threat intelligence для мониторинга актуальных угроз, утечек данных, компрометации доступов и информации о релевантных уязвимостях на теневых площадках. Это позволит выявлять потенциальные риски, отслеживать интерес злоумышленников к инфраструктуре компании и своевременно реагировать на новые угрозы.
  • Придерживаться методологии результативной кибербезопасности, повышая уровень киберустойчивости компании, и фокусироваться на проактивной защите. Вместо реагирования на уже произошедшие инциденты важно регулярно анализировать поверхность атаки, выявлять потенциальные точки компрометации и устранять уязвимости до их эксплуатации злоумышленниками. Это снижает вероятность успешной атаки и уменьшает возможные последствия инцидентов.