Хакерские атаки больше не требуют гения за клавиатурой — достаточно банковской карты. Киберпреступность давно вышла за рамки подполья и стала работать по тем же бизнес-моделям, что легальные ИТ-сервисы: с подписками, техподдержкой, партнерками и пользовательским соглашением. В статье разбираем, как появилось явление «преступность как услуга» (Crime-as-a-Service), кто стоит за этой индустрией и почему с ней все труднее бороться.
Как преступность стала услугой
Еще десять лет назад хакерская атака выглядела как штучная работа: нужен был специалист, который сам напишет вредоносное ПО, сам взломает систему и сам же попытается монетизировать доступ. Сегодня все иначе — любой человек с базовыми навыками и парой сотен долларов может заказать DDoS, купить доступ к корпоративной сети или подписаться на сервис для кражи данных. Взлом стал сервисом.
Эту трансформацию обеспечила модель Crime-as-a-Service (CaaS) — «преступность как услуга». Рынок CaaS предлагает набор готовых решений: программы-вымогатели, кейлоггеры, вирусы, фишинговые шаблоны, боты для DDoS-атак и, с недавних пор, генеративные ИИ-инструменты для создания фальшивых голосов и дипфейков.
Например, группа, подозреваемая в атаке на Marks and Spencer, предположительно использовала CaaS-платформу DragonForce. Она предоставляет своим «подписчикам» удобный интерфейс для запуска атак, шаблоны писем для фишинга, модули шифрования и панель управления заражениями. Все это — по SaaS-модели, с ежемесячной оплатой.
По оценкам World Economic Forum, число активно работающих CaaS-платформ увеличивается на 20–25% в год, а оборот отдельных групп сопоставим с доходами легальных ИТ-стартапов.
Согласно отчету Trend Micro, более 50% всех вредоносных кампаний в 2024 году использовали инструменты, арендованные через CaaS-сервисы. В отчете отмечается, что профессионализация киберпреступности достигла такого уровня, что некоторые платформы предлагают 24/7 техподдержку и гарантию «результата».
Особенно тревожной тенденцией становится использование генеративного ИИ в связке с CaaS. Инструменты WormGPT, FraudGPT и PoisonGPT, предназначенные для автоматизации фишинга, генерации «нативных» писем и обхода систем фильтрации, все чаще становятся частью готовых подписочных пакетов.
Кроме того, преступники активно тестируют модель «аффилированных программ», как в классическом маркетинге: разработчики CaaS предоставляют инструменты, а «исполнители» получают процент от выкупа, расширяя охват атак без дополнительных затрат для операторов.
Порог входа в преступный рынок резко упал. Теперь не обязательно быть хакером — достаточно быть клиентом.
Кто стоит за индустрией Crime-as-a-Service
CaaS — это не хаотичное собрание одиночек, а четко организованная экосистема с ролями, специализацией и бизнес-процессами. За каждым успешным кейсом стоит целая сеть:
- Разработчики создают и поддерживают вредоносное ПО, платформы для управления атаками, инструменты обхода защиты. Они обеспечивают удобные интерфейсы, инструкции, техподдержку — все как в легальном софте. Их задача — сделать продукт максимально простым и эффективным, чтобы «клиенты» могли быстро запустить атаки.
- Аффилиаты — это исполнители, которые арендуют или покупают инструменты у разработчиков и проводят атаки. Они получают процент от выкупа или фиксированную оплату, расширяя зону воздействия преступных групп. Такая модель похожа на франчайзинг: разработчик остается «брендом», а аффилиаты — его «филиалами».
- Операторы инфраструктуры обеспечивают хостинг, прокси, каналы связи, защищенные от правоохранителей. Они предлагают «bulletproof»-хостинги, которые сложно заблокировать или отследить.
- Мошенники и фишеры занимаются социальной инженерией, создавая фальшивые сайты, письма, звонки, которые становятся входными воротами для всей цепочки атаки.
- Посредники и брокеры данных продают украденную информацию — от личных данных до доступа к корпоративным системам — на специализированных рынках с рейтингами и эскроу-сервисами.
И все они взаимодействуют через закрытые форумы, мессенджеры и даркнет-платформы, где договоры, отзывы и жалобы на «сервис» выглядят так же, как в легальном бизнесе.
Что именно предлагают в рамках CaaS
На рынке Crime‑as‑a‑Service предлагают готовые пакеты, подписки и «корпоративные» интерфейсы, доступные через даркнет, Telegram или форумы. Разберем ключевые направления индустрии.
DDoS: удар под вычислительной нагрузкой
Услуги по аренде ботнетов предоставляются по ценам от $10-за-час до $20–$100 в день в зависимости от мощности атаки. Удобный API и плагины позволяют автоматизировать атаки под конкретную инфраструктуру клиента.
Наборы для фишинга (Phishing Kits)
Продаются и готовые макеты сайтов, скрипты и панели управления. Такие наборы стоят от $20 до $880 и часто включают техподдержку, аналогично SaaS, и даже backdoor-интеграцию для авторов.
Ransomware‑as‑a‑Service (RaaS)
Разработчики шифровальщиков предлагают эксплуатационные платформы по подписке ($50–$500 в месяц) или с партнерской схемой (15–30 % дохода). Клиенты оплачивают только локальный деплой, остальное — автоматизировано.
Malware‑as‑a‑Service (MaaS)
Кейлоггеры, банковские трояны и «стилеры» идут по подписке ($199–$500/мес) или разовым пакетом. В такой услуге есть мониторинг распространения, отчетность и скрытая панель управления зараженными системами.
Bullet‑proof хостинги
Этот сегмент включает защищенные VPS и прокси, используемые для размещения вредоносных ресурсов. Стоимость — $69–$130 в месяц.
Обфускация и скрытие нелегального софта
Услуги шифрования и обфускации вредоносных файлов стоят до $2 000/мес или $30 за один файл. Такая услуга снижает вероятность детектирования антивирусами.
Торговля данными (Data‑as‑a‑Service)
На черном рынке продаются личные данные от $5 до $300 за «Fullz» — полный комплект персональной информации, включая номер карты, SSN и другие атрибуты. Участники настолько организованы, что используют рейтинговые системы и эскроу-сервисы.
Exploit Kits & PPI‑сети
Готовые эксплойты предлагаются от $500/нед до $1 400/мес. Кроме того, есть модели «плати за установку» (PPI), где клиент платит за каждое заражение.
Все вышеописанные услуги оформлены как SaaS‑решения: панели управления, API, техподдержка через Telegram, инструкции, акционные предложения и разные тарифы для новичков и профи. Именно эта коммерческая подача и делает CaaS таким доступным.
Самое слабое звено на рынке CaaS — человек
Многие организации по-прежнему выстраивают киберзащиту вокруг технологического периметра: антивирусов, межсетевых экранов, систем шифрования и контроля доступа. Однако злоумышленники по модели CaaS все чаще обходят эти рубежи, используя не уязвимости в коде, а уязвимости в поведении людей. Такой подход дешевле, быстрее и зачастую гораздо результативнее.
В ход идут фишинговые письма, маскирующиеся под уведомления от банков, ИТ-отделов или деловых партнеров, звонки от «службы безопасности», поддельные формы входа или даже прямой подкуп сотрудников. Стоит пользователю перейти по вредоносной ссылке или неосмотрительно выдать доступ — и вся выстроенная защита оказывается бесполезной.
По данным IBM X-Force Threat Intelligence, в 51% атак в 2024 году использовался фишинг или иная форма социальной инженерии. Особенно уязвимы сотрудники фронт-офиса, не прошедшие регулярного обучения: менеджеры, операторы, кассиры. А согласно отчету Proofpoint Human Factor Report, 98% кибератак так или иначе требуют участия человека, будь то клик по ссылке, ввод пароля или загрузка вредоносного файла.
Уязвимость здесь — не в коде, а в эмоциях. Люди устают, спешат, боятся быть некомпетентными, склонны доверять, а иногда идут на компромиссы. Один из громких примеров — попытка вымогательства $20 млн у криптобиржи Coinbase через подкуп сотрудников техподдержки, которым предлагали деньги за доступ к административным системам.
Как адаптировать защиту к современным киберугрозам?
Кибербезопасность больше не сводится к обновлению антивируса и установке фаервола. Человечество вступило в эпоху, где главный риск — не сбой алгоритма, а ошибка человека. Значит, и защита должна меняться: от технической к поведенческой.
Формирование культуры кибербезопасности
Если сотрудники относятся к безопасности как к ИТ-проблеме, значит, система уже уязвима. Настоящая защита начинается там, где каждый — от стажера до гендиректора — узнает фишинг с первого взгляда, знает, что делать при подозрении, и не боится поднять тревогу.
Это не про сухие тренинги «по чек-листу» раз в год. Это про культуру: напоминания, игровые симуляции, открытые обсуждения провалов и успехов. Организации, где безопасность — часть ДНК, а не пункт регламента, реже становятся жертвами атак.
Развитие компетенций и обучение сотрудников
Согласно исследованию Outlook, одним из главных приоритетов в киберзащите на 2025 год станет «human-centric security» — обучение распознаванию обмана, развитие стрессоустойчивости, и даже психология принятия решений под давлением.
Не только «знай, куда кликать», но и «знай, когда насторожиться». Речь идет о развитии цифровой интуиции, критического мышления.
Управление доступом и снижение уязвимостей
Идея, что безопасность достигается тотальной слежкой за сотрудниками, — ложный путь. Это разрушает доверие и вредит корпоративной культуре. Гораздо эффективнее:
- использовать принцип наименьших привилегий — доступ только к тем данным, которые реально нужны;
- разделять зоны доступа, чтобы даже при компрометации нельзя было нанести критический ущерб;
- изолировать критичные системы, чтобы сбой в одной части не обрушил все.
Вывод
Crime-as-a-Service — это не просто новый виток киберпреступности, а полноправная индустрия с инфраструктурой, экономикой и клиентским сервисом. Она выросла из подполья в масштабный рынок, где злоумышленник — это не обязательно гениальный кодер, а чаще — пользователь с банковской картой и доступом к Telegram.
Самое тревожное здесь — не доступность инструментов, а то, как быстро сдвинулся фокус атак: от уязвимостей в ПО к уязвимостям в человеческом поведении. Технологии больше не спасают, если человек устал, испугался или не понял, что его атакуют. И это уже не вопрос настройки фаервола — это вопрос культуры, обучения и зрелого отношения к рискам.
Если раньше ИТ-отдел был «щитом» компании, сегодня щитом становится каждый сотрудник. И значит, защищаться нужно не только быстрее, но умнее.