Byte/RE ИТ-издание

UDV Group: дешевые кибератаки становятся дорогой проблемой для бизнеса

Российский разработчик UDV Group рассказал, почему снижение порога входа в киберпреступность увеличивает риски для компаний и делает предотвращение атак экономически более выгодным, чем восстановление после инцидента.
Кибератака больше не требует команды сильных разработчиков, месяцев подготовки и редкого набора технических навыков. В теневом сегменте уже есть готовые сервисы: доступы к корпоративным системам, фишинговые наборы, шифровальщики по подписке, инфраструктура для рассылок и переговоров о выкупе. То, что раньше было сложной операцией, все чаще собирается из готовых компонентов.
Для бизнеса это меняет экономику риска. Защитникам нужно контролировать внешний периметр, учетные записи, облака, API, подрядчиков, резервные копии и рабочие станции. Злоумышленнику достаточно одного удачного входа. Если доступ к нему стоит дешевле, чем обычная лицензия на корпоративный сервис, атака становится для преступников доступной и быстро монетизируемой.
За последние несколько лет вокруг ransomware сформировался полноценный рынок. Одни участники пишут вредоносное ПО, другие продают украденные учетные данные, третьи предоставляют инфраструктуру, четвертые ищут жертв или ведут переговоры о выкупе. В такой модели техническая квалификация конкретного исполнителя уже не играет прежней роли: он покупает готовую цепочку атаки и пытается быстро превратить ее в деньги.
«За последние 3–5 лет порог входа в киберпреступность существенно снизился. Сегодня злоумышленнику уже не нужно быть высококвалифицированным разработчиком: рынок киберуслуг предлагает готовые решения практически под любой бюджет. Полноценные Ransomware-as-a-Service-платформы, включающие шифровальщики, техническую поддержку и регулярные обновления, доступны по модели подписки — от $40 в месяц до нескольких тысяч долларов. При этом доступ к партнерским программам крупнейших вымогательских группировок стоит значительно дороже. Отдельный рынок сформировался вокруг продажи доступа к уже скомпрометированным корпоративным системам. Средняя стоимость “входа” в инфраструктуру компании стабильно держится на уровне нескольких сотен долларов, причем в большинстве случаев для атаки используются не сложные эксплойты, а обычные учетные записи сотрудников, полученные через фишинг или утечки», — комментирует Денис Назаренко, руководитель отдела технической поддержки продаж UDV Group.
По оценке UDV Group, именно учетные записи часто становятся самым коротким путем внутрь инфраструктуры. Компании могут закрывать известные уязвимости и обновлять средства защиты, но при этом оставлять слабые пароли, лишние права, старые VPN-доступы, сервисные аккаунты и каналы подрядчиков. Для злоумышленника это дешевле и надежнее, чем искать сложный эксплойт.
Наиболее доходным сценарием остаются вымогательские атаки. Шифровальщик сразу создает для бизнеса кризисную ситуацию: данные становятся недоступны, сервисы останавливаются, растет давление на руководство, подключаются юристы, PR и внешние специалисты. Чем сильнее компания зависит от ИТ-систем, тем дороже для нее каждый день простоя.
В России около 70% успешных инцидентов приходится на атаки с использованием шифровальщиков. Размеры выкупов продолжают расти: максимальная зафиксированная сумма в 2025 году достигала 400-500 млн руб. Для преступников ransomware остается удобной моделью: низкий вход, понятная схема давления и высокая потенциальная выплата.
Изменился и профиль атакующего. Образ одиночки, который самостоятельно пишет код и вручную пробует взломать компанию, уже не описывает рынок. В киберпреступности появилось разделение труда, похожее на сервисный бизнес: разработчики, операторы инфраструктуры, продавцы доступов, партнерские программы, техническая поддержка и исполнители отдельных этапов атаки.
«Типичный атакующий сегодня — это уже не хакер-одиночка, а участник развитой экосистемы, где постепенно стираются грани между киберпреступностью, шпионажем и хактивизмом. В 2025 году действуют десятки независимых группировок, которые работают как полноценные технологические стартапы — с распределением ролей, собственной инфраструктурой, технической поддержкой и партнерскими программами. При этом одиночки и небольшие команды по-прежнему остаются активными участниками рынка, но теперь активно используют автоматизированные инструменты, готовые фишинг-киты и методы социальной инженерии, не требующие глубокой технической подготовки», — говорит Денис Назаренко.
Такая модель расширяет круг потенциальных жертв. Крупный бизнес остается привлекательной целью, но атаки уже не ограничиваются банками, промышленностью или ретейлом федерального масштаба. Средние компании, региональные игроки, поставщики, подрядчики и сервисные организации тоже попадают в поле зрения, потому что их доступы могут открыть путь к более крупным клиентам или дать быстрый выкуп.
Одной из ключевых проблем остается нерегулярная проверка защищенности. Формальный аудит, проведенный раз в год, не показывает, насколько легко пройти внутрь через реальный внешний периметр. Открытый сервис, забытый тестовый контур, неактуальная версия ПО, неотозванный доступ подрядчика или учетная запись сотрудника из утечки могут месяцами оставаться незаметными для бизнеса.
«Ключевая ошибка российских компаний сегодня — отсутствие регулярной и практической проверки защищенности инфраструктуры. По оценкам экспертов, 6 из 10 организаций имеют критические уязвимости во внешнем периметре, которые фактически открывают злоумышленникам прямой путь для атаки. Исследования показывают, что при моделировании реальных угроз “белые хакеры” получают доступ к инфраструктуре двух третей компаний менее чем за сутки. Еще одной системной проблемой остается недооценка рисков, связанных с цепочками поставок и подрядчиками. В 2025 году более трети инцидентов были связаны именно с компрометацией партнеров, подрядных организаций и каналов доверенного доступа», — отмечает Денис Назаренко.
Цепочки поставок стали отдельным источником риска. Подрядчики часто получают удаленный доступ, работают с внутренними системами, обслуживают оборудование или интеграции. При этом уровень их защиты может быть ниже, чем у основного заказчика. Для злоумышленника компрометация такого партнера иногда оказывается более удобным маршрутом, чем прямая атака на крупную компанию.
После инцидента экономика резко меняется. До атаки расходы на ИБ могут восприниматься как избыточные: еще один инструмент, еще один аудит, еще одна проверка подрядчиков, еще одно обучение сотрудников. После шифрования или утечки эти затраты сравниваются уже не с нулем, а с простоем, расследованием, восстановлением, юридическими рисками, штрафами, потерянными сделками и репутационным ущербом.
«Предотвращение атак сегодня однозначно обходится дешевле, чем устранение последствий инцидента. Инвестиции в превентивную защиту давно перестали быть “избыточными расходами” и фактически превратились в форму страхования бизнеса. Полное восстановление после серьезной атаки в среднем занимает 200-250 дней. За это время компании сталкиваются не только с прямыми затратами на расследование и восстановление инфраструктуры, но и с простоями, штрафами, репутационными потерями и снижением доверия со стороны партнеров и клиентов. Ключевую роль в снижении ущерба сегодня играют скорость реагирования и автоматизация: компании, использующие ИИ и автоматизированные системы реагирования, существенно сокращают время простоя и снижают стоимость одного инцидента», — подчеркивает Денис Назаренко.
ИИ усиливает разницу в скорости между атакующими и защитниками. Компании используют его для анализа событий, поиска аномалий, приоритизации сигналов и автоматизации реагирования. Злоумышленники применяют ИИ для масштабирования фишинга, ускорения разведки, адаптации сообщений под конкретных сотрудников, проверки целей и эксплуатации уязвимостей вскоре после их обнаружения.
Из-за этого классическая модель защиты, при которой компания реагирует уже после сигнала, становится менее надежной. Поверхность атаки растет за счет облачных сервисов, API, IoT-устройств, удаленной работы и внешних подрядчиков. Чем больше таких точек, тем выше вероятность, что где-то останется слабая учетная запись, неучтенный сервис или незакрытая уязвимость.
В UDV Group отмечают, что покупка средств защиты сама по себе не решает проблему. Система должна регулярно проверяться в условиях, близких к реальной атаке. Бизнесу необходимо контролировать внешний периметр, моделировать атаки, ограничивать привилегии, проверять подрядчиков, тестировать восстановление из резервных копий и заранее описывать порядок реагирования.
В ближайшие годы разрыв может усилиться: инструменты нападения будут дешеветь, автоматизация ускорит подбор целей, а рынок украденных доступов продолжит снижать требования к квалификации исполнителей. Для компаний ключевой задачей становится не ожидание инцидента, а регулярная проверка того, где атака может оказаться для злоумышленника слишком простой и дешевой.

Вам также могут понравиться