Прибыль хакеров от одной атаки в 2025 году выросла на треть — до $193 тыс. В 2025-м прибыль от одной атаки хакеров в 27 раз превысила затраты на нее, при этом каждая вторая атака была успешной. Эксперты называют индустрию «готовым бизнесом с минимальными вложениями», что привлекает все больше новичков
В прошлом году прибыль киберпреступников от одной успешной атаки на субъекты в России увеличилась на 33% по сравнению с 2024 годом до $193 тыс. (16,06 млн руб. по среднегодовому курсу ЦБ), рассказал РБК руководитель BI.ZONE Threat Intelligence (BTI, направление киберразведки компании BI.ZONE) Олег Скулкин. Затраты на одну атаку составили $7 тыс, то есть каждый вложенный доллар приносит злоумышленникам $27,6 прибыли, обращает внимание собеседник РБК. В сложных атаках себестоимость могла доходить до $12 тыс, а прибыль— до $5 млн.
Для сравнения, в 2024 году медианная себестоимость атаки была ниже— $5 тыс, а средняя чистая прибыль с одной «жертвы»— $145 тыс.
Средний размер выплат в адрес злоумышленника в 2024 году составлял $150 тыс. В 2025 году, по данным BI.ZONE, эта сумма достигла $5 млн.
По словам Скулкина, высокая прибыль характерна для атак с финансовой мотивацией, где злоумышленники буквально «зарабатывают» вымогательством. Целевые атаки для шпионажа, финансируемые из других источников, могут быть сложнее и дороже, но их экономика строится иначе.
Как устроен рынок хакинга
Киберпреступность— это полноценная отрасль в криминальном мире, в текущем виде она существует уже несколько десятилетий, меняются только типы преступлений и инструментарий, с помощью которого они совершаются, отметил в беседе с РБК руководитель группы анализа вредоносного программного обеспечения центра исследования киберугроз Solar 4RAYS (входит в ГК «Солар») Станислав Пыжов. В 2010-х главной «мишенью» хакеров были обычные интернет-пользователи, у которых можно было выманить деньги, но с повышением уровня осведомленности людей фокус хакеров сместился в сторону бизнеса, указал Пыжов. По его словам, киберпреступность привлекает новичков перспективой относительно легкого обогащения.
Новости компаний РБК Компании Самые крупные компании в сфере водообеспечения Узнайте, кто есть кто в бизнесе вашего региона РБК Компании KPI — что это и как использовать в бизнесе Зачем нужны KPI, какие бывают и как их выбирать РБК Компании IT-компании с выручкой более 2 млрд рублей в год Ознакомьтесь с информацией в каталоге
В дарквебе уже давно сформировался полноценный рынок товаров и услуг— со своей биржей сотрудников, инструментами, софтом для атак и приобретением доступов прямо в корпоративную сеть жертвы, говорит замдиректора PT Cyber Analytics в Positive Technologies Дмитрий Каталков. По его словам, хакеры считают кибератаку «своего рода инвестиционным проектом или стартапом, который должен окупиться».
Современный рынок киберпреступности напоминает легальную IT-индустрию, согласен «белый» хакер Сергей Зыбнев. «Оборудование и софт для атак можно арендовать, а не покупать, на рынке появились специализации: разработчики вредоносных программ, операторы инфраструктуры, переговорщики по выкупам и даже «техподдержка» для жертв,— перечисляет Зыбнев.— Возможность аренды вредоносных средств позволяет технически неквалифицированным преступникам проводить сложные атаки. Это можно назвать готовым бизнесом с минимальными начальными вложениями. При этом после ликвидации крупнейших хакерских группировок в 2024-2025 годы рынок фрагментировался, появились конфликты между операторами и аффилиатами из-за распределения прибыли, что, как следствие, приводит к утечкам данных о самих группировках».
Среди основных затрат хакеров Зыбнев назвал подписку на аренду софта, которая может стоить от нескольких сотен до нескольких тысяч долларов; покупку начального доступа у IAB (хакеры, которые продают доступ к скомпрометированным корпоративным сетям.— РБК); покупку эксплойтов (вредоносная программа, фрагмент кода или набор команд, использующие уязвимости в софте, операционных системах или аппаратных средствах для проникновения в систему). Также кибергруппировки несут расходы на хостинги для размещения утечек, криптовалютные миксеры для отмывания денег (сервисы анонимности) и коммуникационную инфраструктуру. По оценке «белого» хакера, себестоимость простой атаки на средний и малый бизнес составляет $1-5 тыс., целевой атаки на корпорацию— $10-15 тыс.
По словам Зыбнева, прибыль хакеров состоит не только из суммы полученного выкупа за расшифровку украденных данных, но и за их неразглашение. Если жертва не платит, хакеры зарабатывают на продаже украденных данных. По его оценке, 64% жертв в 2024 году не платили выкуп вообще, что снижает реальную среднюю доходность в расчете на все попытки. Из-за сокращения числа компаний, которые платят выкуп, злоумышленники увеличивают его сумму и в целом меняют подход к работе, указал эксперт.
Что дальше
В ближайшие годы киберпреступность будет и дальше следовать за деньгами, считает Пыжов. «Например, если биометрические данные обретут финансовую ценность, то следует ожидать появления соответствующих атак,— рассуждает он.— Если киберпреступники стали выручать из атак больше, то это приведет к росту числа новых атак, а значит и рынок, которые эти атаки обслуживает вырастет».
По словам Зыбина, взломать можно все— не взломают только то, в чем нет смысла или прибыли. «Огромное количество продуктов информационной безопасности на российском рынке не равно их эффективному использованию. Зачастую продукты покупаются, но не настраиваются, алерты игнорируются, а правила не обновляются,— рассуждает он.— Кроме того, атаки эволюционируют быстрее защиты, новые уязвимости эксплуатируются в течение дней после раскрытия, а с популяризацией и развитием нейросетей время может сократиться до часов. Причем хакеры работают в произвольное время в отличие от сотрудников компаний». Часто причина успешных атак, по словам Зыбина,— это человеческий фактор, зависимость бизнеса от одного вендора и небезопасное внедрение машинного обучения и нейросетей. «Гонка за внедрением ИИ в угоду маркетингу создает новую поверхность атаки. Компании интегрируют ИИ-модели без тестирования на безопасность, и бизнес сам открывает двери атакующим. При этом 83% организаций не имеют специалистов по безопасности облачной инфраструктуры, а большинство ИИ-сервисов работает в облаке»,— пояснил он.
Зыбин советует компаниям, которые подверглись атакам, не платить выкуп, так как 80% заплативших подвергаются повторной атаке, часто от тойже группы. Впрочем, эта рекомендация актуальна только для тех, кто уверен в возможности восстановления украденных данных. Также важно сокращать время реагирования на новые уязвимости и затруднять первоначальный доступ хакеров в инфраструктуру. В ближайшие годы, по его словам, рынок киберпреступности продолжит фрагментироваться и специализироваться. Кроме того, из-за ИИ продолжится автоматизация атак.
Многие компании до сих пор пренебрегают безопасностью и начинают задумываться об этом только после того, как их атаковали— из-за этого процент успеха атакующих держится на относительно высоком уровне, говорит руководитель департамента киберразведки компании F6 Елена Шамшина. «Киберпреступность— зрелая индустрия, которая постоянно разрабатывает новые уникальные виды вредоносного софта, новые схемы. Безусловно, в ближайшие годы в атаках будет все чаще использоваться ИИ и автоматизация. Считаем, что будет больше атак на устройства с операционной системой MacOS от Apple, которые в настоящее время довольно редки на фоне атак на устройства, работающие на Windows и Android»,— заключила Шамшина.