За последние годы рынок кибератак сильно изменился. Раньше для сложного взлома нужны были редкие специалисты, собственные инструменты и месяцы подготовки. Сейчас часть этой работы продаётся как обычная услуга: шпионское ПО, взлом по заказу, покупка уязвимостей нулевого дня, вредоносные программы по подписке, готовые наборы для фишинга. Британский Национальный центр кибербезопасности NCSC не скрывая пишет: коммерческое распространение таких инструментов снижает порог входа для самых разных игроков и почти наверняка меняет весь ландшафт угроз. Отдельные коммерческие продукты по уровню уже сопоставимы с возможностями некоторых продвинутых группировок.
Для бизнеса опасность растёт не из-за какой-то одной внезапно появившейся суперугрозы, а из-за того, что рынок атак научился продавать сложные фичи и инструменты массово. Это напоминает обычный ИТ-рынок: есть поставщики, лицензии, поддержка, обновления, партнёрская модель, перепродажа доступа и разделение ролей. Microsoft весной 2025 года называла Lumma одним из самых востребованных инструментов для кражи данных, который продавался по модели вредоносная программа как услуга. Весной 2026 года Microsoft вместе с Europol и партнёрами отключила инфраструктуру Tycoon 2FA — крупной платформы, предоставляющей фишинг как услугу. Через неё шли десятки миллионов мошеннических писем в месяц.
Читайте также:
Tycoon2FA вернулся после громкого удара
Что именно продают
В отчёте NCSC рынок разделили на несколько направлений.
Шпионское ПО. Речь о программах для скрытого доступа к устройству, чаще всего к смартфону. Такой инструмент может читать сообщения, получать фотографии, отслеживать местоположение, включать камеру и микрофон. Согласно отчёту, за последние десять лет коммерческое ПО для киберпроникновения или слежки закупали как минимум 80 стран. Для государств без собственной сильной технической базы это стало быстрым способом получить дорогую и сложную возможность без долгой внутренней разработки.
Взлом на заказ. В англоязычных документах это часто называют hackers-for-hire. Суть простая: клиент платит, исполнитель добывает доступ, данные или организует атаку. NCSC указывает, что такие услуги применяют ради корпоративного шпионажа, кражи интеллектуальной собственности, сбора данных для юридических конфликтов, инсайдерской торговли и хищения конфиденциальной информации. Для компаний это уже не абстрактная история про спецслужбы, а вполне приземлённый риск для сделок, разработок, закупок и внутренней переписки.
Рынок уязвимостей нулевого дня. Уязвимость нулевого дня — это ошибка в системе, для которой ещё нет исправления от производителя. Эксплойт — это код или техника, которая позволяет такую ошибку использовать, эксплуатировать. NCSC пишет, что крупные и дорогие уязвимости нулевого дня остаются в первую очередь товаром для государств и коммерческих компаний, которые работают на них. Для злоумышленников с деньгами и опытом это быстрый путь к очень сильному инструменту атаки.
Коммодитизация инструментов. Слово неудобное, зато смысл важный: сложные средства становятся типовым товаром. Это хорошо видно на примере malware-as-a-service, то есть «вредоносного ПО как услуги». Разработчик пишет и поддерживает вредоносную программу, партнёры или клиенты берут её в аренду, запускают кампании и делят прибыль. NCSC отмечает, что такой подход снижает требования к квалификации и почти наверняка увеличивает число жертв. Microsoft в случае Lumma описывает ту же модель: инструмент продавался на подпольных площадках, развивался по версиям и использовался сотнями злоумышленников.
Массовость проблемы
Получаем снижение порога входа. Tycoon 2FA демонстрирует, как это работает на практике. Это была платформа «фишинг как услуга», которая позволяла тысячам злоумышленников красть учётные данные и обходить многофакторную аутентификацию. Многофакторная аутентификация — это вход с дополнительной проверкой, например кодом из приложения или SMS. Tycoon 2FA работал по схеме «человек посередине»: жертве показывали очень похожую страницу входа, сервис в реальном времени перехватывал логин, пароль и данные проверки, а затем забирал сеанс. К середине 2025 года на Tycoon 2FA приходилось около 62% всех фишинговых попыток, которые блокировала Microsoft; за один месяц система фиксировала свыше 30 млн таких писем. С 2023 года платформа связана примерно с 96 тысячами жертв по всему миру.
Lumma — другая сторона этой же модели. Это не фишинговый набор, а инфостилер — программа для кражи данных. Инфостилер собирает пароли, банковские данные, файлы cookie, сведения о криптокошельках и другие чувствительные данные. Microsoft сообщила, что в период с 16 марта по 16 мая 2025 года обнаружила более 394 тысяч заражённых компьютеров Windows по всему миру, связанных с Lumma. Одновременно были изъяты или заблокированы около 2 300 вредоносных доменов, которые составляли основу его инфраструктуры. Для рынка атак это показательный кейс: злоумышленнику уже не нужно самому писать сложное ПО, искать хостинг и строить панели управления — готовая экосистема продаётся почти «под ключ».
Google Cloud в отчёте M-Trends 2025 сообщает ещё одну важную цифру о начальном доступе. В расследованиях Mandiant за 2024 год самым частым способом проникновения в сеть оказалось использование уязвимостей — 33% случаев. На втором месте впервые оказались украденные учётные данные — 16%. Это хорошо стыкуется с коммерциализацией рынка: одни продают эксплойты, другие — доступы, третьи — инструменты для кражи сессий и паролей. В итоге у атакующего есть выбор из готовых дорожек входа.
Недальновидность и беспечность бизнеса
Официальный британский опрос Cyber Security Breaches Survey 2025 рисует неприятную картину. За последние 12 месяцев о киберинцидентах или атаках сообщили 43% британских компаний. А в целом по стране бизнес столкнулся примерно с 8,58 млн киберпреступлений всех типов за год, из них около 680 тысяч пришлись на непочтовые сценарии, то есть без учёта фишинга. Это постоянный операционный риск.
Самый уязвимый сегмент — управление и готовность к инцидентам. Кибербезопасность считают высоким приоритетом 72% компаний. Звучит бодро, пока не открываешь следующие цифры. Лишь у 27% компаний есть член совета или руководства, который формально отвечает за кибербезопасность. В 2021 году таких компаний было 38%. Формальный план реагирования на инцидент есть только у 23% бизнеса. Понимание, когда и кому нужно сообщать о внешнем инциденте, прописано у 32%. Обучение сотрудников за последние 12 месяцев проводили 19% компаний. Проверку киберрисков у своих прямых поставщиков делают 14% компаний, по всей цепочке поставок — 7%.
А теперь вспомним, как устроены современные атаки. У нападающей стороны есть подписка, готовые панели управления, обновления и распределение ролей. У защищающейся стороны часто нет даже утверждённого сценария и распределения ролей и ответственности: кто звонит провайдеру, кто изолирует сегмент сети, кто общается с юристами, кто сообщает клиентам и кто собирает артефакты для расследования. Проблема тут кроется в обычной организационной незрелости.
Есть соблазн отнести угрозы к проблемам государств, крупных банков и операторов связи. Источники говорят об обратном. Глава NCSC в речи на CYBERUK 2025 сообщил, что центр с сентября обработал более 200 инцидентов, причём число инцидентов национального значения выросло вдвое по сравнению с тем же периодом годом раньше. Это означает, что серьёзных случаев стало больше, а спектр целей расширяется.
Наёмные взломщики, как сказано в документе, увеличивают риск непредсказуемого выбора целей и случайной эскалации. Причина понятна: когда исполнитель работает ради прибыли, он ищет ценные данные и доступы там, где их легче добыть и можно продать. В такую модель отлично вписываются подрядчики, интеграторы, сервисные компании, разработчики, региональные сети, клиники, образовательные учреждения, логистика и любая организация с платёжными данными, персональными данными, коммерческой тайной и удалённым доступом.
Коммерческое шпионское ПО в отчёте NCSC описано как инструмент для чтения сообщений, получения фотографий, слежения за местоположением и удалённого включения микрофона и камеры. Для руководителей, владельцев бизнеса, юристов, HR и финансистов это напоминание: атакуют давно уже не один ноутбук в домене. Ценна и переписка в корпоративных чатах, и файлы из облака, и учётки в почте и токены сеанса после входа через единый портал.
Вывод
Киберпреступность стала сервисом. Вот главный факт, который стоит держать в голове в 2025–2026 годах: сложные инструменты больше не живут в закрытом клубе редких специалистов. Их упаковали в понятный продукт для рынка, а рынок умеет масштабироваться. И может этот продукт покупать.
Для бизнеса отсюда следует практический вывод: выше безопасность не у того, кто использует самый модный и новый антивирус, а у того, у кого есть базовая дисциплина — учётные записи под контролем, понятный план реагирования, обучение людей, работа с поставщиками, быстрые обновления и нормальная проверка доступа к данным. Именно такая скучная, приземлённая основа сейчас даёт больше пользы, чем вера в одну волшебную коробку.
