Страну не взламывают как один большой сейф с деньгами. Атакуют заводы, госучреждения, провайдеров, разработчиков, подрядчиков и СМИ. У каждой цели есть не только банковский счет, но и документы, доступы, производственные процессы, публичная репутация и способность работать без сбоев. Поэтому дешевая база на теневом форуме еще не означает, что атака была бессмысленной.
По данным отчета Positive Technologies, с июля 2024 года по сентябрь 2025 года 55% публикаций об утечках, связанных с российскими организациями, представляли собой бесплатную раздачу данных. Среди объявлений о продаже в 81% случаев цена не превышала 1000 долларов. Одновременно финансово мотивированные группы совершили 33% успешных атак, кибершпионские группы 22%, хактивисты 19%. Цифры относятся к наблюдениям одной компании и не описывают весь рынок, но хорошо показывают главное: выручка от продажи архива часто не является основной целью.
Материал предназначен для легального и ответственного понимания киберугроз и защиты от них. Соблюдайте законодательство своей страны, особенно России. Описанные сценарии нельзя применять для несанкционированного доступа, слежки, взлома, нарушения правил сервисов или незаконного обхода ограничений.
Украденные данные могут стоить мало, а доступ дорого
Теневой рынок не умеет честно оценивать ущерб жертвы. Слитый архив кадровых документов может продаваться за несколько сотен долларов, хотя компании придется уведомлять пострадавших, расследовать инцидент, менять учетные данные и объясняться с клиентами. База с внутренней перепиской может не принести продавцу крупной суммы, но помочь следующему атакующему составить убедительные письма от имени руководителя или подрядчика.
Особенно опасен доступ, который еще не превратился в публичную утечку. Учетная запись подрядчика, VPN-канал технической поддержки, сервер обновлений или рабочая станция инженера дают путь к нескольким организациям сразу. Продажа такого входа, шантаж компании или дальнейшее скрытое проникновение могут оказаться выгоднее, чем публикация файлов на форуме.
В глобальном масштабе деньги по-прежнему остаются мощным мотивом. В Microsoft Digital Defense Report 2025 говорится, что среди атак с известной мотивацией не менее 52% были связаны с вымогательством или шифровальщиками, а чистый шпионаж составлял 4%. Но глобальная статистика не отменяет целевые кампании против отдельных стран и отраслей, где ценность представляет не выкуп, а информация, простой или публичный эффект.
Четыре причины атаковать без большой кассы
| Мотив | Что получает атакующий | Почему цена утечки не показатель |
|---|---|---|
| Вымогательство | Давление через шифрование, остановку процессов или угрозу публикации | Платят не за файлы, а за шанс быстрее восстановить работу или снизить репутационный ущерб |
| Кибершпионаж | Проектные документы, переписку, технологии, планы, доступ к подрядчикам | Разведывательная ценность не отражается в цене архива на форуме |
| Хактивизм | Резонанс, символическую победу, недоверие к организации или государству | Целью служит публичный эффект, а не продажа данных |
| Подготовка будущей атаки | Закрепление в инфраструктуре, учетные записи, доверенные каналы | Полезный доступ могут не продавать и не раскрывать месяцами |
Для кибершпиона наиболее привлекательны не компании с самой большой выручкой, а организации с редкой информацией. У промышленного предприятия могут быть чертежи, сведения об оборудовании, маршруты поставок, настройки автоматизированных систем управления или данные о производственных ограничениях. В наблюдениях Positive Technologies промышленность стала наиболее атакуемым российским сектором, а 37% успешных атак на промышленные организации связывались с кибершпионскими группировками.
Хактивисту тоже не нужна дорогая база. Дефейс сайта ведомства, публикация служебной переписки или остановка публичного сервиса на несколько часов дают картинку для канала, заявление об «успешной операции» и повод для обсуждений. По той же причине временный сбой малоизвестного магазина часто никому не интересен, а сбой у транспортной компании, государственного сервиса или крупного провайдера быстро превращается в заметный информационный сюжет.
Еще одна причина связана с накоплением доступа. В 2025 году SecurityLab описывал кампанию PhantomCore против российских организаций: атакующие распространяли архивы под видом документов, устанавливали бэкдор и строили инфраструктуру для скрытого управления зараженными системами. Подобная операция ценна не мгновенной продажей файлов, а возможностью долго видеть внутреннюю сеть и выбрать момент для следующего шага.
Где рассуждение про «три копейки» ломает защиту
Компания ошибается, когда считает себя неинтересной из-за небольшого оборота, отсутствия секретных разработок или невозможности быстро заплатить выкуп. Региональный подрядчик может стать входом в крупного заказчика. Небольшой разработчик может распространять обновления клиентам. Обычная бухгалтерия хранит платежные шаблоны, договоры, подписи и переписку, из которой легко собрать убедительную мошенническую схему.
Другая ошибка состоит в попытке объяснить каждый инцидент геополитикой. Большая часть атак по-прежнему может быть банальным поиском слабых узлов: открытого удаленного доступа, старого сервера, украденного пароля или сотрудника, который открыл вредоносное вложение. Наличие политического фона не доказывает причастность государства или идеологическую цель конкретного взлома. Атрибуция требует технических признаков, расследования и сопоставления кампаний, а не догадок по названию жертвы.
Защита должна исходить не из вопроса «сколько у нас можно украсть», а из вопроса «какое событие для нас недопустимо». Для завода таким событием станет остановка выпуска или кража технологической документации. Для провайдера это массовая недоступность сети. Для редакции или госучреждения это подмена публикаций, утечка источников и компрометация служебной переписки.
Минимальный набор проверок скучен, но работает лучше уверенности в собственной неинтересности: многофакторная аутентификация для удаленного доступа и почты, отдельный контроль учетных записей подрядчиков, резервные копии с проверкой восстановления, своевременное закрытие известных уязвимостей, журналирование действий администраторов и готовый сценарий реагирования на утечку или простой. Критические процессы нужно проверять отдельно: сможет ли компания работать, если почта, домен, файловое хранилище или система удаленного доступа внезапно окажутся недоступны.
Вопросы и ответы
Если данные продаются дешево, значит ущерб тоже небольшой?
Нет. Цена объявления отражает спрос на конкретный архив, а не стоимость восстановления систем, простоя, расследования, смены доступов, юридических последствий и потери доверия клиентов.
Российские компании атакуют в основном из-за политики?
Нет. В статистике Positive Technologies финансово мотивированные группы занимали крупнейшую долю среди указанных категорий атакующих. Политическая и разведывательная мотивация заметна, особенно в промышленности и госсекторе, но не объясняет каждый инцидент.
Малому бизнесу можно не беспокоиться, если у него нет важных данных?
Нельзя. Малый бизнес хранит учетные данные, договоры, переписку и доступы к клиентам. Кроме того, подрядчика могут использовать как менее защищенный вход в инфраструктуру крупной организации.
Почему атакующие иногда бесплатно выкладывают украденные файлы?
Бесплатная публикация может усиливать давление на жертву, создавать публичный резонанс, подтверждать заявления группировки или помогать другим преступникам использовать украденные сведения в новых атаках.
DDoS-атака опаснее утечки данных?
Зависит от организации и момента. Для сервиса, который должен работать непрерывно, даже короткая недоступность может стать тяжелым инцидентом. Для промышленной компании или государственного органа утечка внутренних документов и учетных данных часто дает более долгий и глубокий ущерб.
Как понять, какая угроза для компании главная?
Нужно перечислить процессы, без которых бизнес не сможет работать, и данные, утечка которых создаст неприемлемый ущерб. Затем проверить, кто имеет доступ, как быстро обнаружат взлом и сможет ли компания восстановиться без оплаты вымогателю.
Атакующий не обязан зарабатывать на жертве миллионы. Иногда достаточно украсть доступ, остановить процесс, вытащить документ, устроить публичный скандал или оставить бэкдор на будущее. Поэтому аргумент «с нас нечего взять» защищает только от здравого смысла. Инфраструктуру нужно строить вокруг реальных последствий взлома, а не вокруг предполагаемой цены украденной базы.
