Positive Technologies сравнила легальный рынок поиска уязвимостей с теневыми площадками, где продают эксплойты и первичный доступ к инфраструктуре компаний. Разрыв получился ожидаемо неприятным: в 2025 году медианная выплата за критически опасную уязвимость в программах багбаунти составила 200 тыс. рублей, а доступ к инфраструктуре компаний на теневом рынке в большинстве случаев продаётся за $10–100 тыс. При успешной атаке ущерб для бизнеса может доходить до миллионов долларов.
Багбаунти — это легальная программа, где компания заранее разрешает независимым исследователям искать уязвимости в ограниченном периметре и платит за подтверждённые находки. В нормальной модели исследователь получает деньги, репутацию и понятный канал раскрытия бага, а бизнес — шанс закрыть уязвимость до атаки. В теневой модели тот же технический навык превращается в товар для злоумышленников: уязвимость, эксплойт, доступ к VPN, учётная запись администратора или вход в корпоративную сеть.
На багбаунти чаще оплачивают воспроизводимую ошибку в конкретной системе: обход контроля доступа, межсайтовый сценарий, неправильную настройку, утечку данных через интерфейс программирования, ошибку бизнес-логики. На теневом рынке покупателю нужна не красивая заявка в трекере, а готовый рычаг для атаки. Поэтому там выше спрос на удалённое выполнение кода и повышение привилегий. В исследовании Positive Technologies среди объявлений о продаже уязвимостей чаще всего встречаются удалённый запуск произвольного кода — 43% — и повышение прав в системе — 25%.
Удалённое выполнение кода, или RCE, означает, что атакующий может заставить чужую систему выполнить свою команду. Повышение привилегий, или LPE, позволяет подняться от обычного пользователя до администратора или системного уровня. В связке эти два класса уязвимостей превращают единичную ошибку в полноценную цепочку атаки: сначала вход, затем закрепление, затем движение по сети.
Positive Technologies отмечает, что среди объявлений о продаже самих уязвимостей преобладают 0-day и 1-day. Уязвимость нулевого дня — это ошибка, о которой разработчик ещё не знает или для которой нет исправления. Уязвимость первого дня — уже известная ошибка с выпущенным патчем, который многие организации ещё не установили. В теневых объявлениях доля 0-day составила 49%, доля 1-day — 11%. Ещё 38% публикаций в этом сегменте были не продажей, а запросом на покупку конкретных уязвимостей.
Другие исследования подтверждают тот же спрос. «Лаборатория Касперского» изучала объявления в даркнете и теневых Telegram-каналах с января 2023 года по сентябрь 2024-го: из 547 объявлений о купле-продаже эксплойтов 51% был нацелен на уязвимости нулевого и первого дня. Наибольшим спросом пользовались RCE и LPE; средняя цена для RCE составляла $100 тыс., для LPE — $60 тыс.
Первичный доступ продаётся как отдельный продукт. Это может быть VPN-аккаунт, RDP-доступ, панель администратора, скомпрометированная почта, доступ к облаку, учётная запись в системе управления, токен или вход через подрядчика. Positive Technologies пишет, что цена в первую очередь зависит от размера организации и её выручки. Доступ к инфраструктуре государственных учреждений может стоить до $1,5 млн, к финансовым организациям — до $1 млн. По числу объявлений лидируют промышленность и торговля: на них приходится 20% и 19% сообщений.
Российский легальный рынок при этом быстро растёт. По итогам 2025 года на Standoff Bug Bounty было 233 программы по поиску уязвимостей — в 2,2 раза больше, чем годом ранее. Количество зарегистрированных багхантеров достигло 32 тыс., выплаты исследователям превысили 160 млн рублей за год, а средняя выплата за принятый отчёт превысила 65 тыс. рублей. Доля уязвимостей высокого и критического уровня опасности составила 32%.
За три года работы Standoff Bug Bounty общий объём вознаграждений превысил 242 млн рублей, а число зарегистрированных исследователей приблизилось к 25 тыс. из 60 стран. Средняя выплата за принятую уязвимость на тот момент достигла 58 тыс. рублей, а максимальная сумма вознаграждения на платформе составляла почти 4 млн рублей.
При этом в России всё ещё нет окончательно устоявшейся рамки, которая одинаково ясно защищала бы исследователя, компанию и пользователя. Идея отдельного правового статуса для белых хакеров обсуждается несколько лет. В 2025 году прежний законопроект о легализации такой деятельности отклонили, а в 2026 году снова появились сообщения о подготовке новых правил для пентестеров и участников багбаунти.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.