Прибыль хакеров от одной атаки в 2025 году выросла на треть
В прошлом году прибыль киберпреступников от одной успешной атаки на субъекты в России увеличилась на 33% по сравнению с 2024 годом до $193 тыс. (16,06 млн руб. по среднегодовому курсу ЦБ), рассказал РБК руководитель BI.ZONE Threat Intelligence (BTI, направление киберразведки компании BI.ZONE) Олег Скулкин. Затраты на одну атаку составили $7 тыс, то есть каждый вложенный доллар приносит злоумышленникам $27,6 прибыли, обращает внимание собеседник РБК. В сложных атаках себестоимость могла доходить до $12 тыс, а прибыль — до $5 млн.
Для сравнения, в 2024 году медианная себестоимость атаки была ниже — $5 тыс, а средняя чистая прибыль с одной «жертвы» — $145 тыс.
Средний размер выплат в адрес злоумышленника в 2024 году составлял $150 тыс. В 2025 году, по данным BI.ZONE, эта сумма достигла $5 млн.
По словам Скулкина, высокая прибыль характерна для атак с финансовой мотивацией, где злоумышленники буквально «зарабатывают» вымогательством. Целевые атаки для шпионажа, финансируемые из других источников, могут быть сложнее и дороже, но их экономика строится иначе.
Зачем атакуют
По данным компании «Инфосистемы Джет», в 2025 году главной целью атак хакеров стало полное уничтожение IT-инфраструктуры с целью вымогательства с помощью программ-вымогателей. Среди наиболее популярных отраслей для атак «Инфосистемы Джет» называл финансовый сектор, IT и рынок недвижимости. В списке BI.ZONE в топ-3 вышли ритейл, IT-отрасль, транспортные и телеком-компании. Positive Technologies в январе оценила, что 47% атак на российские компании в 2025 году оказались успешными и привели к нарушению их деятельности.
Как устроен рынок хакинга
Киберпреступность — это полноценная отрасль в криминальном мире, в текущем виде она существует уже несколько десятилетий, меняются только типы преступлений и инструментарий, с помощью которого они совершаются, отметил в беседе с РБК руководитель группы анализа вредоносного программного обеспечения центра исследования киберугроз Solar 4RAYS (входит в ГК «Солар») Станислав Пыжов. В 2010-х главной «мишенью» хакеров были обычные интернет-пользователи, у которых можно было выманить деньги, но с повышением уровня осведомленности людей фокус хакеров сместился в сторону бизнеса, указал Пыжов. По его словам, киберпреступность привлекает новичков перспективой относительно легкого обогащения.
В дарквебе уже давно сформировался полноценный рынок товаров и услуг — со своей биржей сотрудников, инструментами, софтом для атак и приобретением доступов прямо в корпоративную сеть жертвы, говорит замдиректора PT Cyber Analytics в Positive Technologies Дмитрий Каталков. По его словам, хакеры считают кибератаку «своего рода инвестиционным проектом или стартапом, который должен окупиться».
Современный рынок киберпреступности напоминает легальную IT-индустрию, согласен «белый» хакер Сергей Зыбнев. «Оборудование и софт для атак можно арендовать, а не покупать, на рынке появились специализации: разработчики вредоносных программ, операторы инфраструктуры, переговорщики по выкупам и даже «техподдержка» для жертв, — перечисляет Зыбнев. — Возможность аренды вредоносных средств позволяет технически неквалифицированным преступникам проводить сложные атаки. Это можно назвать готовым бизнесом с минимальными начальными вложениями. При этом после ликвидации крупнейших хакерских группировок в 2024-2025 годы рынок фрагментировался, появились конфликты между операторами и аффилиатами из-за распределения прибыли, что, как следствие, приводит к утечкам данных о самих группировках».
Среди основных затрат хакеров Зыбнев назвал подписку на аренду софта, которая может стоить от нескольких сотен до нескольких тысяч долларов; покупку начального доступа у IAB (хакеры, которые продают доступ к скомпрометированным корпоративным сетям. — РБК); покупку эксплойтов (вредоносная программа, фрагмент кода или набор команд, использующие уязвимости в софте, операционных системах или аппаратных средствах для проникновения в систему). Также кибергруппировки несут расходы на хостинги для размещения утечек, криптовалютные миксеры для отмывания денег (сервисы анонимности) и коммуникационную инфраструктуру. По оценке «белого» хакера, себестоимость простой атаки на средний и малый бизнес составляет $1-5 тыс., целевой атаки на корпорацию — $10-15 тыс.
По словам Зыбнева, прибыль хакеров состоит не только из суммы полученного выкупа за расшифровку украденных данных, но и за их неразглашение. Если жертва не платит, хакеры зарабатывают на продаже украденных данных. По его оценке, 64% жертв в 2024 году не платили выкуп вообще, что снижает реальную среднюю доходность в расчете на все попытки. Из-за сокращения числа компаний, которые платят выкуп, злоумышленники увеличивают его сумму и в целом меняют подход к работе, указал эксперт.
Что дальше
В ближайшие годы киберпреступность будет и дальше следовать за деньгами, считает Пыжов. «Например, если биометрические данные обретут финансовую ценность, то следует ожидать появления соответствующих атак, — рассуждает он. — Если киберпреступники стали выручать из атак больше, то это приведет к росту числа новых атак, а значит и рынок, которые эти атаки обслуживает вырастет».
По словам Зыбина, взломать можно все — не взломают только то, в чем нет смысла или прибыли. «Огромное количество продуктов информационной безопасности на российском рынке не равно их эффективному использованию. Зачастую продукты покупаются, но не настраиваются, алерты игнорируются, а правила не обновляются, — рассуждает он. — Кроме того, атаки эволюционируют быстрее защиты, новые уязвимости эксплуатируются в течение дней после раскрытия, а с популяризацией и развитием нейросетей время может сократиться до часов. Причем хакеры работают в произвольное время в отличие от сотрудников компаний». Часто причина успешных атак, по словам Зыбина, — это человеческий фактор, зависимость бизнеса от одного вендора и небезопасное внедрение машинного обучения и нейросетей. «Гонка за внедрением ИИ в угоду маркетингу создает новую поверхность атаки. Компании интегрируют ИИ-модели без тестирования на безопасность, и бизнес сам открывает двери атакующим. При этом 83% организаций не имеют специалистов по безопасности облачной инфраструктуры, а большинство ИИ-сервисов работает в облаке», — пояснил он.
Зыбин советует компаниям, которые подверглись атакам, не платить выкуп, так как 80% заплативших подвергаются повторной атаке, часто от той же группы. Впрочем, эта рекомендация актуальна только для тех, кто уверен в возможности восстановления украденных данных. Также важно сокращать время реагирования на новые уязвимости и затруднять первоначальный доступ хакеров в инфраструктуру. В ближайшие годы, по его словам, рынок киберпреступности продолжит фрагментироваться и специализироваться. Кроме того, из-за ИИ продолжится автоматизация атак.
Многие компании до сих пор пренебрегают безопасностью и начинают задумываться об этом только после того, как их атаковали — из-за этого процент успеха атакующих держится на относительно высоком уровне, говорит руководитель департамента киберразведки компании F6 Елена Шамшина. «Киберпреступность — зрелая индустрия, которая постоянно разрабатывает новые уникальные виды вредоносного софта, новые схемы. Безусловно, в ближайшие годы в атаках будет все чаще использоваться ИИ и автоматизация. Считаем, что будет больше атак на устройства с операционной системой MacOS от Apple, которые в настоящее время довольно редки на фоне атак на устройства, работающие на Windows и Android», — заключила Шамшина.
Читайте РБК в Telegram
Читайте РБК в Telegram! Самые важные новости, только проверенная информация.
Илон Маск стал первым человеком в истории с состоянием больше $800 млрд
ЦИК назвала дату выборов в Госдуму
Минцифры расширило «Белый список» приложений
Bloomberg узнал, что США подготовили санкции против России
Politico объяснило смену тона России на переговорах в Абу-Даби
Приставы объяснили, когда можно изъять домашнее животное
