Сергей Крюков, генеральный директор exploitDog (НИР), рассказал Sostav, почему большинство взломов в новостях не подтверждаются и как на самом деле устроен рынок утечек данных.
В 2025 году количество уникальных фейков в СМИ выросло на 9% и достигло более 1,5 тысяч. Значительная часть сообщений в медиа о взломах не подтверждает, что компрометации действительно произошли именно в заявленных компаниях.
При этом информация о якобы атаках на почтовые сервисы, мессенджеры или отдельных пользователей часто сначала появляется в даркнете. Затем она попадает в открытые источники, где ее подхватывают журналисты — нередко без достаточной проверки происхождения и контекста.
К примеру, в СМИ появилась информация о том, что Московская биржа подверглась DDoS-атаке после того, как хакерская группа GhostSec (Ghost Security) сообщила о взломе серверов организации. Мосбиржа опровергла утечку секретных данных.
Этот пример подтверждает общую тенденцию, согласно которой, несмотря на регулярное появление новостей об утечках, по таким публикациям зачастую невозможно достоверно установить сам факт взлома.
По сведениям Центра ресурсов по борьбе с кражей личных данных (ITRC), в 2024 году было зафиксировано более 1,5 тыс. случаев компрометации данных, затронувших более 1 млрд человек. Наибольшему росту взломов подвергся сектор финансовых услуг — рост на 67%.
Во многих случаях речь идет не о взломе как таковом. Например, злоумышленники могут создавать сайты, визуально копирующие крупные бренды или сайты госструктур, и собирать через них пользовательские данные.
К примеру, в апреле 2025 года мошенники запустили фишинговый сайт, который внешне полностью копировал ресурс Федеральной налоговой службы. При выборе опции «Войти через Госуслуги» ссылка вела не на авторизацию через портал «Госуслуг», а на отрисованную страницу фишингового ресурса.
Также в сети распространяются базы с email-адресами и контактами, собранные из разных источников. По информации на сентябрь 2025 года, за первые восемь месяцев 2025 года (с января по август) в Сеть утекли почти 13 млрд строк персональных данных россиян. Это почти в четыре раза больше, чем за весь 2024 год, когда было зафиксировано 3,5 млрд слитых строк. Часть утечек связана с публикацией недостоверных или скомпилированных из разных источников баз. Эти массивы данных компилируются и публикуются как якобы новые утечки.
Хакеры продают репутацию через медиа
Для части игроков это способ заявить о себе. Они публикуют информацию о «взломах» на специализированных площадках, после чего эти данные попадают в СМИ, а иногда становятся поводом для проверок со стороны регуляторов.
Например, может появиться архив с десятками тысяч email-адресов, якобы принадлежащих компании. При этом такие данные нередко собраны из старых утечек или открытых источников.
Threat intelligence фиксирует все — но не все означает взлом
Threat intelligence — это системы мониторинга киберугроз, которые автоматически отслеживают упоминания компаний, доменов и данных в даркнете, на форумах и теневых маркетплейсах.
Помимо поиска утечек, такие решения анализируют активность киберпреступных групп, выявляют обсуждения возможных атак, отслеживают распространение вредоносного ПО и собирают индикаторы компрометации. Компании активно используют такие системы. При обнаружении информации о возможной утечке запускается внутреннее расследование.
В большинстве случаев выясняется, что речь идет о старых данных — иногда трехлетней давности и более — которые были повторно выложены в сеть. Распространена и практика, когда небольшие группы перерабатывают старые базы: делят их, объединяют и публикуют как новые.
SOC и SIEM — основа расследования инцидентов
По данным НИР, для анализа подобных ситуаций обычно подключается Security Operation Center (SOC), использующий инструменты SIEM-анализа — системы, обрабатывающие большие массивы событий информационной безопасности.
Если у компании есть внутренняя команда, она проводит расследование самостоятельно. В противном случае привлекаются внешние специалисты.
При наличии указаний на конкретную утечку проверяются соответствующие системы и базы. Если деталей нет, начинается поиск косвенных признаков: анализируются логи, проверяются артефакты, которые могли остаться после действий злоумышленников. Такие следы, как правило, сохраняются.
Подобные расследования — дорогостоящий процесс. Стоимость услуг коммерческого SOC может начинаться от 3,5 млн рублей в год для средней инфраструктуры с полным покрытием средством мониторинга провайдера. А стоимость внедрения SIEM-системы для крупной компании может быть десятками миллионов рублей. В среднем лицензия — от 40 до 70 млн рублей в год, интеграция и кастомизация — еще 20−50 млн рублей, плюс оборудование или облако — 10−30 млн рублей.
И в случаях, когда взлом не подтверждается, компании все равно несут значительные затраты из-за необходимости проверки информации, появившейся в медиа.
Гигиенический минимум в кибербезопасности
В условиях, когда рынок переполнен псевдоутечками и шумом вокруг взломов, для бизнеса критично выстроить базовый гигиенический минимум кибербезопасности — прозрачную и управляемую систему контроля инфраструктуры. Речь не про реакцию на инфоповоды, а про постоянное знание: из чего состоит инфраструктура, какие уязвимости в ней есть прямо сейчас и как они меняются во времени. Ключевую роль здесь играет мониторинг в реальном времени и динамическая отчетность, позволяющая видеть тренды снижения рисков и оперативно закрывать уязвимости по мере их появления. Без автоматизированных уведомлений команды физически не успевают реагировать на поток новых угроз. Именно такая превентивная модель, где уязвимости фиксируются и устраняются до того, как становятся проблемой, позволяет отделять реальные инциденты от информационного шума и снижать как технические, так и репутационные риски.
Игнорирование базовой гигиены неизбежно приводит к последствиям для бизнеса. Инциденты безопасности, будь то утечка данных или полноценная кибератака, обходятся компаниям чрезвычайно дорого. По данным исследования экспертно-аналитического центра ГК InfoWatch, опубликованному в 2025 году, средний ущерб от утечки информации в российских компаниях достигает 11,5 млн рублей, а по максимальным оценкам пострадавших организаций — более 41 млн рублей.
Кроме этого, не исключены операционные сбои. Паралич ключевых систем (например, CRM, ERP, производственных систем), недоступность сервисов для клиентов, остановка производственных и логистических цепочек приводит к прямой потере дохода, снижению производительности и, как следствие, к утрате доли рынка.
Возможен репутационный ущерб и потеря доверия. Утечка конфиденциальной информации клиентов, партнеров или сотрудников моментально подрывает доверие к компании. Восстановление утраченного доверия может занять годы, а иногда и вовсе невозможно.
Хакеры атакуют только там, где это экономически выгодно
Перед атакой злоумышленники оценивают экономику: сколько ресурсов потребуется и какой результат можно получить. Если затраты слишком высоки, цель просто меняется.
Задача специалистов — показать реальный уровень защищенности инфраструктуры и точки, требующие усиления. Если защита выстроена качественно, это становится очевидно еще на этапе разведки. Сильная Blue Team (подразделение информационной безопасности, отвечающее за активную защиту инфраструктуры, мониторинг аномалий, предотвращение кибератак и реагирование на инциденты) снижает вероятность атаки. По данным НИР, при наличии сильной внутренней команды информационной безопасности или качественного аутсорсинга злоумышленники понимают, что атака будет ресурсоемкой и рискованной. В большинстве случаев они отказываются от такой цели.
Ценность данных падает, но не исчезает
Исходя из опыта работы НИР, при регулярной смене паролей и корректном управлении доступами старые базы быстро теряют актуальность. Их ценность напрямую зависит от соотношения затрат на использование и потенциальной выгоды. По данным внутренней аналитики НИР, на черном рынке качественные базы стоят дорого, однако от 10 до 60% информации в них может быть неактуальной и требовать очистки. Чем старее данные, тем ниже их практическая ценность. Несмотря на это, отдельные элементы остаются востребованными — например, связки имени и телефона. Они используются для подготовки точечных атак.
Взломы через социальную инженерию
По данным НИР, на основе таких данных злоумышленники проводят таргетированные атаки, получают доступ к дополнительной информации или аккаунтам пользователей. Далее это может использоваться для кражи данных, перенаправления на фишинговые сайты или хищения средств — например, бонусов из личных кабинетов. Такие данные активно применяются и против сотрудников компаний. Злоумышленники, зная имя и должность, могут выдавать себя за руководство и пытаться инициировать переводы средств или получить доступ к внутренним системам.
Таким образом, рынок так называемых псевдоутечек сегодня фактически сформировался как отдельное явление. Мошенники создают ложные инфоповоды, используя слухи из даркнета или старые данные, а СМИ их распространяют. Компании вынуждены реагировать, проводить дорогие проверки и страдать от репутационных рисков, даже если реального взлома не было. В этих условиях ключевая задача бизнеса — смещение фокуса с реактивной модели на превентивную. В НИР уверены, что эффективная защита сегодня — это не разовые проверки, а выстроенная система киберустойчивости: регулярный аудит инфраструктуры, управление уязвимостями, мониторинг инцидентов и сценарное моделирование атак.
Принципиально важно, чтобы ответственность за понимание собственной ИТ-инфраструктуры не была сосредоточена исключительно в ИБ-подразделении. Каждый владелец продукта или сервиса должен четко понимать, какие системы находятся в его зоне ответственности, где проходят критические данные, какие есть точки уязвимости и какие риски они несут для бизнеса.