Как эволюционировали площадки — от готовых движков к самописному коду, эскроу-сервисам и автоматизации
Современная киберпреступность превратилась в полноценный теневой рынок услуг. Как правило, преступные сделки совершаются на специализированных форумах дарквеба — скрытого от простых пользователей сегмента интернета, обеспечивающего анонимность участников. Анализ таких площадок позволяет выявлять ключевые тенденции развития угроз и выстраивать проактивную защиту. Эксперты Positive Technologies провели исследование на основе данных с теневых форумов, из открытых источников, Telegram-каналов хактивистов1 и от правоохранительных органов.
Ключевой особенностью современных площадок стала их гибридная и распределенная архитектура: эволюция прошла путь от простых сайтов на готовых движках до сложных систем. Сегодня платформы уходят от стандартных решений к собственным разработкам и функционируют одновременно в публичном интернете и скрытых сетях, что значительно повышает устойчивость к блокировкам и наблюдению. Основой их теневой деятельности служит развитая внутренняя экономика и инструменты для торговли: на платформах внедрены автоматизированные эскроу-сервисы2 с комиссиями, системы платных подписок и внутренние кошельки.
Например, на одном из форумов есть отдельный раздел для арбитража3 и гарантированных сделок. Такая организация привела к глубокой специализации киберпреступных групп, у которых появился простой и гарантированный доступ к необходимым данным или услугам и глобальной автоматизации преступных процессов. Доступность готовых решений — от эксплойтов до аренды ботнетов — позволяет злоумышленникам масштабировать атаки, сводя личное участие к минимуму. Кроме того, сами форумы применяют автоматизацию для защиты: JavaScript-челленджи4 и многоуровневый контроль доступа затрудняют сбор данных и проникновение посторонних, смещая фокус расследований на анализ поведения и социальных связей в открытых темах форумов или в рамках исследования последствий деятельности киберпреступников.
1 Хактивисты — хакеры, которые проводят атаки по политическим мотивам, а не только ради финансовой выгоды. Их деятельность часто направлена на привлечение внимания к какой-либо проблеме, давление на организации или правительства.
2 Эскроу-сервис — механизм безопасной сделки, при котором покупатель переводит деньги гаранту (посреднику), а продавец отправляет товар. После подтверждения получения средства автоматически или по решению гаранта переводятся продавцу.
3 Арбитраж — это процесс разрешения споров между участниками сделки специальным модератором (арбитром) или гарантом. Арбитр изучает доказательства и выносит решение, кому должны перейти средства, замороженные в эскроу-сервисе.
4 JavaScript-челленджи — это задачи, выполняемые браузером с помощью JavaScript, которые служат для проверки, что на сайт заходит реальный пользователь, а не автоматический бот. На дарквеб-форумах они используются для защиты от парсинга и скрепинга данных аналитиками.
«Теневые форумы дарквеба — это уже не просто точки обмена данными, а сложные платформы с собственной экономикой, которые делают запуск атак массовым и доступным бизнесом. Именно такая сервисная модель стала катализатором всей индустрии, превратив дарквеб в источник угроз для компаний любого размера».
Артем БелейСтарший аналитик Positive Technologies
Сервисная модель превращает сложные атаки в готовый товар, снижая требуемый уровень навыков. Это позволяет злоумышленникам быстро масштабировать активность, а техническая и организационная устойчивость самих площадок усложняет противодействие. Поэтому понимание устройства этого рынка — основа для проактивной защиты, способной предугадывать угрозы, а не просто реагировать на инциденты.
