По оценкам компании Positive Technologies, ущерб от сервисной модели киберпреступности (CaaS) будет только увеличиваться. Это связано с тем, что прибыль злоумышленников в несколько раз превышает их затраты на проведение атак через купленные услуги. Продолжает снижаться и порог входа в киберпреступность: распространение готовых инструментов позволяет проводить атаки даже участникам с ограниченными навыками. Средняя цена аренды инфраструктуры составляет 8 долл США, DDoS-атак и журналов стилеров - по 20 долл.
Просто и дёшево
Компания Positive Technologies опубликовала исследование киберпреступных услуг с 2024 по 2025 годы, в рамках которого было проанализировано 38 источников, включая крупные теневые площадки, маркетплейсы и Telegram-каналы. Основной акцент был сделан на концепции «киберпреступность как услуга» (as a Service) и ее влиянии на криминальную экономику в цифровой сфере.
Напомним, CaaS - это подход к организации противоправной деятельности в цифровой сфере, который построен на принципах, схожих с легальными бизнес-моделями, ориентированными на предоставление сервисов. Всё необходимое для осуществления кибератак (инструменты, инфраструктура и экспертные знания) предлагается на специализированных подпольных онлайн-площадках в виде отдельных предложений.
Как указывают авторы исследования, такая модель избавляет мошенников от необходимости самостоятельно разрабатывать технические решения: в результате, киберпреступность становится более организованной за счет четкого распределения ролей и доступной самому широкому кругу лиц.
В частности, развитию CaaS способствуют несколько ключевых факторов. Во-первых, это коммерциализация киберпреступной деятельности, где злоумышленники рассматривают ее как бизнес, нацеленный на максимальную прибыль. Переход к моделям предоставления услуг позволил им добиться более предсказуемого и высокого уровня дохода. Во-вторых, наблюдается рост специализации внутри теневой экосистемы, когда различные группы фокусируются на отдельных этапах атак и предлагают свои компетенции другим участникам.
В-третьих, CaaS снижает порог вхождения в сферу киберпреступности, предоставляя доступ к готовым инструментам и инфраструктуре даже тем, кто обладает ограниченными техническими навыками. Развитию данного рынка также способствуют глобальные сети связи через специализированные форумы и торговые площадки, а также применение технологий анонимизации и криптовалют, упрощающих коммуникацию и расчеты между исполнителями.
Неизбежные изменения
В этой связи, как указывают эксперты Positive Technologies, широкое распространение сервисной модели значительно меняет картину киберугроз. Доступность готовых решений приводит к увеличению числа потенциальных атакующих и расширению арсенала используемых методов. Параллельно формируется среда для кооперативного криминала, где активно происходит обмен знаниями и инструментами, ускоряя эволюцию атакующих техник. Глобальный характер этих рынков усложняет работу правоохранительных органов, так как операции могут осуществляться из юрисдикций с различающимся законодательством и правоприменительной практикой.
В исследовании подчеркивается, что современный рынок CaaS развивается в двух направлениях: с одной стороны, происходит консолидация, формируются крупные платформы и надежные поставщики услуг. С другой стороны, углубляется специализация, появляются все более узкопрофильные сервисы, отвечающие за конкретные этапы кибернападений.
В итоге складывается сложная, но гибкая экосистема, где большинство участников зависят от приобретения внешних инструментов и сервисов. Рынок демонстрирует устойчивость, и, несмотря на меры противодействия, такие как закрытие площадок, на смену им быстро приходят новые. Анализ предложений на рынке показывает, что наибольшую долю (61%) составляют объявления, связанные с доступом к различным системам.
Это свидетельствует о развитости данного сегмента и стабильном спросе, а также об особенностях модели продаж, где доступы обычно реализуются единоразово, и каждая такая сделка отражается в отдельном объявлении. На втором месте находится вредоносное программное обеспечение (18%), что объясняется его фундаментальной ролью в большинстве современных кибератак. Оставшиеся категории занимают значительно меньшие доли, что указывает либо на более узкую специализацию соответствующих услуг, либо на меньшее предложение на рынке.
Другие ключевые факторы
В числе других ключевых выводов исследования - двойственность развития рынка CaaS, где, с одной стороны, происходит консолидация с появлением крупных платформ, а с другой - углубляется специализация, предлагаются узконаправленные сервисы для отдельных этапов атак. Также наблюдается эволюция «киберпреступности как платформы» за счет формирования единых экосистем, объединяющих комплексные атаки в рамках одного сервиса. Одни из самых доступных услуг - аренда инфраструктуры, DDoS-атаки и продажа баз данных стиллеров, подходящих для массовых, низкоквалифицированных атак.
Наиболее востребована аренда серверных ресурсов (66%), включая VPS, RDP и облачные аккаунты. ИИ также применяется для персонализации фишинга, генерации кода и коммуникации с жертвами. В будущем ожидается усиление всех этапов атак с помощью ИИ, вплоть до автономных агентов, собирающих результаты. Зрелые услуги, такие как аренда инфраструктуры, вымогательство, фишинг и разработка вредоносного ПО, будут развиваться в виде самостоятельных бизнес-направлений.
«Продолжат набирать популярность и развиваться услуги по обходу средств защиты, подписи и криптованию ВПО. Медианная цена на EDR-киллеры составляет 2,25 тыс долларов, криптование ВПО - 150 долл за файл или от 1 тыс до 5 тыс долл по подписке, сертификаты подписи кода - 2150 долл за сертификат. Развитие технологий автоматизации и использование моделей ИИ может привести к появлению сервисов, способных выполнять OSINT-задачи в автоматическом режиме, агрегировать данные из различных источников и формировать готовые разведывательные отчеты. Это может привести к выделению разведки в самостоятельный сервисный сегмент», - подчеркивают авторы исследования.
Фото: Шедеврум.