Рынок первоначального доступа вырос на 20% — почему киберпреступность становится массовым бизнесом

По данным «Информзащиты», за первые девять месяцев 2025 года спрос на услуги брокеров первоначального доступа вырос на 20% по сравнению с аналогичным периодом прошлого года. Рынок, где специализируются хакеры, занимающиеся получением несанкционированного доступа к информационным системам, продолжает расти. Эти злоумышленники могут продавать, сдавать в аренду или уступать доступ по индивидуальному заказу.

Рынок первоначального доступа оценивается в $9–10 млн. Стоимость одного доступа колеблется от $500 до $1,5 тыс. — в зависимости от масштаба и значимости цели. Эксперты связывают рост с развитием модели Cybercrime-as-a-Service (CaaS), которая предполагает четкое распределение ролей между участниками киберпреступной цепочки.

Рост структурированности киберпреступности

CaaS позволяет даже участникам с базовыми техническими навыками участвовать в сложных атаках, приобретая готовые инструменты и доступы. Это снижает порог входа в киберпреступную деятельность и, как следствие, увеличивает число инцидентов.

Анализ показывает, что чаще всего злоумышленники выбирают цели в государственных и муниципальных органах (до 15% сделок), в компаниях сферы услуг (около 12%) и в промышленности (10%). Такое распределение объясняется не только экономическими мотивами, но и деятельностью хактивистов, которые стремятся нанести урон государственным системам и крупным организациям.

Методы компрометации остаются простыми

Более 70% успешных атак брокеров первоначального доступа основываются на использовании украденных учетных данных. Эти данные добываются через фишинг, социальную инженерию или из утечек баз паролей. Еще 15% инцидентов связаны с эксплуатацией уязвимостей, в основном давно известных и неисправленных.

Это указывает на то, что даже базовые меры безопасности — такие как регулярное обновление ПО и обучение сотрудников — остаются критически важными для предотвращения инцидентов.

Рынок и его участники

На рынке первоначального доступа работают специализированные группы, часто действующие в рамках теневого рынка. Эти участники не только обеспечивают доступ, но и предоставляют его как услугу, что делает процесс масштабируемым и систематизированным. В число ключевых игроков входят брокеры, хакеры, разработчики эксплойтов, а также покупатели доступов — как отдельные лица, так и организованные группы.

Интересно: Сможет ли традиционная кибербезопасность противостоять росту структурированного киберпреступления, где даже минимальные технические навыки позволяют участвовать в атаках?

i

Создано специально для ASECTOR

Концептуальное изображение

Рынок первоначального доступа: как киберпреступность становится индустрией

Рост спроса на услуги брокеров первоначального доступа указывает на значительное изменение в характере киберпреступности. Ранее атаки требовали от злоумышленников высокого уровня технической подготовки и времени на разработку. Сегодня же преступные действия становятся частью структурированной модели, где каждый участник играет свою роль — как в законопослушном бизнесе.

Cybercrime-as-a-Service (CaaS) меняет парадигму. Это не только новое слово в киберпространстве — это прямой ответ на рост сложности защиты. Когда защита становится всё более профессиональной, преступники адаптируются, предлагая готовые решения и снижая порог входа. Это приводит к увеличению числа участников, включая тех, кто обладает лишь базовыми техническими навыками.

Такой подход делает киберпреступность более доступной и, соответственно, более распространённой. Вместо того, чтобы создавать сложные атаки с нуля, злоумышленники могут просто приобрести готовый доступ. Это упрощает процесс и ускоряет его реализацию. В результате, даже организации с хорошей защитой становятся уязвимыми, если хотя бы один сотрудник допустит ошибку.

Скрытые мотивы и цели

Повышение спроса на первоначальный доступ связано не только с технологическим прогрессом, но и с изменением мотивации злоумышленников. Если раньше основной целью были финансовые выгоды, то теперь всё чаще в центре внимания оказываются политические и идеологические аспекты. Хактивисты, действующие в рамках CaaS, могут использовать атаки как инструмент давления на государства или корпорации.

Это меняет баланс: киберпреступность становится не только вопросом безопасности, но и инструментом влияния. В таких условиях традиционные меры защиты, направленные только на предотвращение финансового ущерба, могут оказаться недостаточными. Важно учитывать, что атаки могут быть не просто случайными, а частью более широкой стратегии.

Что происходит в реальности

Среди наиболее уязвимых остаются государственные и муниципальные органы. Их выбор не случаен — такие цели часто содержат значительный объём данных, которые могут быть использованы как для финансовой выгоды, так и для политического давления. При этом, как показывает анализ, большинство атак основано на самых простых методах: фишинге, социальной инженерии и утечках данных. Это говорит о том, что даже базовые меры безопасности, такие как обучение сотрудников и регулярное обновление программного обеспечения, остаются ключевыми.

Однако, в условиях роста CaaS, этих мер может быть недостаточно. Нужно переосмыслить подход к защите: перейти от реактивной к проактивной стратегии. Это включает в себя постоянный аудит, мониторинг активности в системе и внедрение более сложных механизмов идентификации и авторизации.

Важный нюанс: Рост рынка первоначального доступа демонстрирует, что киберпреступность становится не только более организованной, но и более демократизированной. Это создаёт новую реальность, где даже небольшие ошибки могут иметь масштабные последствия.

Угрозы, связанные с искусственным интеллектом

Новые данные демонстрируют, что злоумышленники всё чаще используют искусственный интеллект (ИИ) для повышения эффективности своих атак. Например, фишинг становится более убедительным, когда письма и сообщения генерируются с помощью ИИ. Это снижает порог входа для злоумышленников, позволяя им масштабировать атаки и создавать угрозы, которые труднее распознать [!].

Кроме того, вредоносные инструменты, такие как QuietVault и PromptSteal, используют ИИ для динамического изменения поведения, чтобы избежать обнаружения системами безопасности [!]. Это означает, что даже самые современные меры защиты могут быть обойдены, если не учитывать эволюцию методов атак.

Ключевой момент: ИИ не только ускоряет атаки, но и делает их более сложными для обнаружения. Это требует пересмотра подходов к мониторингу и анализу угроз.

Уязвимости в цепочке поставок и подрядчиков

Другой важной областью, где растут риски, является атаки через подрядчиков. Исследования показывают, что более половины российских ИТ-подрядчиков имеют низкий уровень кибербезопасности, что делает их уязвимыми для взломов [!]. Злоумышленники используют социальную инженерию и фишинг для получения доступа к корпоративным учетным записям, что позволяет им распространять вредоносное ПО и украсть данные.

В результате, даже крупные компании, которые считают свою защиту надежной, могут стать жертвами атак, начавшихся с компрометации подрядчика. Это подчеркивает необходимость строгого контроля над партнерами и внедрения единых стандартов безопасности в цепочке поставок.

Вывод: Без надежной защиты подрядчиков невозможно обеспечить кибербезопасность всей цепочки. Это требует системного подхода к управлению рисками.

Что делать бизнесу

Для минимизации рисков ключевым становится аудит текущих мер безопасности, включая проверку политики аутентификации, уровня обучения сотрудников и наличия двухфакторной авторизации. В условиях роста CaaS и использования ИИ злоумышленниками, необходимо внедрять более сложные методы защиты, такие как биометрия, поведенческая аналитика и шифрование данных.

Кроме того, важно учитывать, что фишинговые атаки становятся технически сложнее, а злоумышленники всё чаще используют утечки данных для создания убедительных сценариев [!]. Это требует регулярного обучения сотрудников и внедрения систем раннего обнаружения подозрительной активности.

Практический совет: Организациям стоит пересмотреть свои меры защиты с точки зрения проактивного подхода, включая мониторинг активности в реальном времени и внедрение систем искусственного интеллекта для анализа угроз.

Выводы

Рынок первоначального доступа демонстрирует, как киберпреступность становится индустрией — с четкими ролями, бизнес-моделями и масштабными атаками. Это требует не только обновления технических мер защиты, но и системного подхода к управлению рисками. Особенно важно учитывать рост угроз, связанных с искусственным интеллектом и атаками через подрядчиков.

Для российского бизнеса ключевым остается адаптация к новым реалиям, где даже небольшие ошибки могут привести к масштабным последствиям. Без этого невозможно обеспечить надежную защиту в условиях быстро меняющейся угрозы.