Positive Technologies: стоимость популярного вектора атак хакеров стартует от 20 тысяч долларов

Компания Positive Technologies выпустила исследование* рынка дарквеба, в котором проанализировала цены на нелегальные киберуслуги и товары, а также затраты злоумышленников на проведение кибератак. Самый дорогой тип вредоносного ПО — шифровальщик: его медианная стоимость составляет 7,5 тыс. долларов США. Особую ценность имеют эксплойты** нулевого дня: нередко их продают за миллионы долларов. Однако чистая прибыль от успешной атаки может в среднем в пять раз превышать затраты на ее подготовку даже в условиях высоких цен.

По подсчетам экспертов, организация популярного сценария фишинговых атак с использованием шифровальщика обходится начинающим киберпреступникам минимум в 20 тыс. долларов. В случае, если подготовка к атаке начинается с нуля, хакеры арендуют выделенные серверы, приобретают подписку на VPN-сервисы и другие инструменты, чтобы создать защищенную и анонимную ИТ-инфраструктуру для управления атакой. Расходы также включают в себя покупку исходного кода ВПО или готового вредоноса по подписке, программ для его загрузки в систему жертвы и маскировки от средств защиты. Кроме того, злоумышленники могут обратиться за консультацией к опытным киберпреступникам, купить доступ к целевой инфраструктуре и данные о компании, воспользоваться услугами по повышению привилегий в скомпрометированной системе. Перечень товаров и опций, а также утекшее ВПО и инструкции к нему, представленные на теневом рынке, способны максимально упростить задачи новичкам.

Вредоносное ПО — один из основных инструментов в арсенале злоумышленников: 53% объявлений, касающихся таких программ, относятся к продаже. В 19% случаев предлагаются инфостилеры, предназначенные для кражи данных, в 17% — крипторы и инструменты обфускации*** кода, позволяющие скрываться от средств защиты, в 16% — загрузчики. Медианная стоимость подобных вредоносов составляет 400, 70 и 500 долларов соответственно. Самым дорогим ВПО является шифровальщик: его медианная стоимость — 7,5 тыс. долларов, при этом есть предложения за 320 тыс. долларов. Эти вредоносы в основном распространяются по партнерской программе (RaaS), участники получают 70–90% от выкупа жертвы. Чтобы стать партнером, нужно внести взнос — 0,05 биткойна (от 5 тыс. долларов); также необходимо иметь хорошую репутацию на теневом рынке.

Еще один популярный инструмент для атак — эксплойты: 69% объявлений на эту тему связаны с продажей, при этом с долей в 32% лидируют сообщения про уязвимости нулевого дня. В 31% случаев стоимость эксплойтов превышает 20 тыс. долларов и может достигать нескольких миллионов долларов. Более низкие цены присущи доступам к корпоративным сетям компаний: 72% объявлений в этом сегменте относятся к продаже и 62% из них находятся в диапазоне до тысячи долларов. Среди киберпреступных услуг наибольшей популярностью пользуется взлом ресурсов (49% сообщений): например, цены на компрометацию личного аккаунта в электронной почте начинаются от 100 долларов, корпоративного — от 200 долларов.

Стоимость подготовки атаки

Дмитрий Стрельцов

Аналитик направления аналитических исследований Positive Technologies

На теневых площадках цены формируются двумя основными способами: либо продавцы сами определяют фиксированную стоимость, либо проводятся торги. Последние актуальны для эксклюзивных товаров, например для эксплойтов нулевого дня. Ресурсы, на которых проходят сделки, тоже зарабатывают, в том числе с помощью собственных гарант-сервисов, временно удерживающих средства покупателя до тех пор, пока он не подтвердит получение товара или услуги. На многих площадках такие услуги оказывает кто-то из администраторов или пользователи с хорошей репутацией. За это они получают минимум 4% от суммы сделки — форумы сами устанавливают тарифы.

С учетом стоимости инструментов и услуг на теневом рынке, а также медианной суммы выкупа вымогателям, чистая прибыль злоумышленников от успешной атаки может составить 100–130 тыс. долларов, что в пять раз превышает расходы на подготовку. Для компании такой инцидент может обернуться не только затратами на выкуп, но и колоссальным финансовым ущербом в результате нарушения бизнес-процессов. Например, в 2024 году из-за атаки вымогателей серверы компании CDK Global не работали две недели, организация заплатила киберпреступникам 25 млн долларов, при этом финансовые потери дилеров из-за простоя системы превысили 600 млн долларов.

* Исследование охватывает период с 2023 года по III квартал 2024-го. Эксперты проанализировали 40 источников на русском и английском языках, в числе которых крупнейшие теневые форумы и маркетплейсы, а также телеграм-каналы различной тематики. Всего изучено более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости, доступы к корпоративным сетям и киберпреступные услуги.

** Эксплойт — код или программа, которая использует уязвимости в программном или аппаратном обеспечении для выполнения вредоносных действий.

*** Обфускация — приведение кода к виду, сохраняющему его функциональность, но затрудняющему его анализ и понимание алгоритмов работы.

Источник: Positive Technologies