Рынок киберпреступности

В исследовании мы проанализировали, к чему проявляли интерес злоумышленники и рынок преступных киберуслуг с 2023 по III квартал 2024 года, выделили наиболее популярные темы, тренды и сделали прогнозы. Мы также изучили стоимость предоставляемых товаров и услуг и первоначальные затраты преступников для проведения атаки. Кроме того, рассмотрели ключевые аспекты теневой экономики: экосистему дарквеба, мотивацию его участников, принципы регулирования сделок, конкуренцию и способы привлечения клиентов.

В отчете мы проанализировали 40 источников, среди которых крупнейшие теневые площадки (форумы, маркетплейсы) и телеграм-каналы на разных языках с различной тематической направленностью. Всего рассмотрели более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости и эксплойты, доступы к корпоративным сетям и киберпреступные услуги: взлом ресурсов, перенаправление трафика, распространение ВПО, кардинг, инфраструктура и DDoS-атаки.

Исследование будет полезно специалистам по информационной безопасности, аналитикам угроз (threat intelligence), а также организациям и частным лицам, интересующимися актуальным состоянием современного рынка киберпреступности.

• Теневой бизнес многое перенимает у легального: поддержание репутации, маркетинг, методы борьбы с конкуренцией (в том числе агрессивные), багбаунти, поддержку сотрудников.

• Наиболее популярным типом вредоносного ПО в дарквебе является инфостилер (19%).

• Самый дорогой тип ВПО — шифровальщик (медианная стоимость — 7500 $)

• Треть представленных к продаже эксплойтов — уязвимости нулевого дня (0-day, zero day)¹.

• Стоимость эксплойтов может доходить до нескольких миллионов долларов.

• Более половины всех продаваемых доступов (62%) оценивается до 1000 $.

• Наибольшее количество сообщений о продаже доступов связано со сферой услуг (20%).

• Почти половина сообщений (49%) посвящена взлому ресурсов.

• Чистая прибыль от успешной кибератаки может в пять раз превышать затраты на ее организацию.

Даркнет (darknet) представляет собой скрытую часть глобальной сети интернета, доступ к которой невозможен через стандартные и известные поисковые системы. «Темная сеть» не регулируется государством, что позволяет пользователям сохранять анонимность благодаря специальным методам шифрования и маршрутизации. Это делает даркнет привлекательным для различных киберпреступников. Особенность анонимности в нем также означает, что пользователи могут избежать ответственности за свои действия, это способствует распространению незаконных операций. Теневые ресурсы включают различные форумы, собственные поисковые системы и сайты, на которых предлагается широкий спектр товаров и услуг: от продажи украденных данных и вредоносного программного обеспечения (ВПО) до взломов на заказ.

По мере того как технологии развиваются, «открытый интернет» становится все более контролируемым, что порождает рост интереса к альтернативным пространствам, таким как дарквеб. В этом темном уголке интернета можно встретить разных пользователей: от преступников до просто интересующихся людей. Каждого из них привлекают особенные черты этой сети.

В широком смысле участников теневого рынка можно разделить на две категории — это продавцы и покупатели. Продавцы имеют важное значение в мире преступных рынков, закрывая высокий спрос своими предложениями. Играя по тем же правилам, что и в легальном бизнесе, они нацелены на удержание и привлечение новой аудитории и, соответственно, повышение своих доходов. Покупатели же являются теми, кто создает спрос, и часто их мотивация тоже — финансовая прибыль. И тех и других можно назвать киберпреступниками.

Киберпреступность охватывает широкий спектр незаконных действий, осуществляемых с помощью цифровых технологий, например фишинг или атаки с использованием вредоносных программ. Цели таких атак могут варьироваться: от получения финансовой выгоды до вывода из строя систем по личным или политическим мотивам. Существуют различные типы киберпреступников (хактивисты, начинающие злоумышленники, APT-группировки и другие), и у каждого из них — свои уникальные способы действия и причины.

Хактивисты

Киберпреступники, которые используют кибератаки для выражения своих политических, идеологических или социальных убеждений, а также для привлечения внимания к различным проблемам. Их деятельность выходит за рамки личной выгоды и направлена на изменение общественного мнения или политических процессов. Эта группа лиц часто выступает против правительств и организаций, которых они считают нарушителями в тех или иных аспектах. Используя теневые ресурсы и некоторые легальные (в том числе Telegram), они организовывают атаки на правительственные системы, публикуют украденные данные или распространяют компрометирующую информацию о целевых объектах. Хактивисты также предлагают свои курсы (например, по deface: злоумышленники изменяют контент сайта с целью политического протеста и прочих мотивов) или DDoS-услуги.

Начинающие злоумышленники

Неопытные злоумышленники используют уже созданные и доступные инструменты для проведения кибератак. В отличие от профессионалов начинающие киберпреступники не имеют глубоких технических знаний, но, несмотря на это, могут получать доступ к различным вредоносным программам, которые распространяются на теневых рынках. Это позволяет им участвовать в кибератаках с минимальными усилиями. Используя дарквеб, они могут покупать или скачивать вредоносные инструменты для атаки на сайты, сети и другие ресурсы, а затем хвастаться своими «успехами». Для новичков подполье является платформой, на которой они общаются с более опытными киберпреступниками, самопрезентуются перед ними. Для многих подобных злоумышленников участие в кибератаках является способом развлечения, а не целенаправленной вредоносной деятельностью.

APT-группировки

APT-группировки (advanced persistent threat) — это организованные и хорошо финансируемые группы хакеров, которые занимаются долгосрочными и целенаправленными кибератаками. Группировки часто связаны с государственными структурами или получают поддержку от национальных правительств, что позволяет им использовать передовые технологии и ресурсы для достижения своих целей. Важно отметить, что APT-группировки часто остаются незамеченными в сети жертвы на протяжении месяцев или даже лет. Основными целями их атак является: сбор информации в рамках шпионажа, нарушение работы систем КИИ, повреждение корпоративных систем. Вот некоторые примеры таких группировок: Lazarus, APT32. На теневых ресурсах представители этих группировок могут приобретать различные доступы (о них мы поговорим ниже) для проникновения в корпоративные сети и другие услуги.

Группировки-вымогатели

Банды-вымогатели — это киберпреступные группировки, специализирующиеся на атаках с использованием вредоносного ПО, которое зашифровывает данные жертв, с последующим требованием выкупа за восстановление доступа. Дарквеб является ключевой платформой для таких группировок, на которой они публикуют имена жертв, выкладывают украденные данные, ведут поиск аффилированных лиц и продают шифровальщики по подписке (RaaS, Ransomware-as-a-Service).

Разработчики ВПО

Разработчики вредоносного программного обеспечения занимают чуть ли не главное место в теневой экосистеме, создавая необходимый софт для проведения кибератак. Такие разработчики стремятся к написанию программ, которые будут пользоваться коммерческим успехом в подпольном мире. А также они нацелены на приобретение авторитета и репутации на теневых площадках или среди других злоумышленников, что положительно влияет на увеличение спроса на предоставляемый продукт.

Различные интересующиеся лица

Несмотря на то, что теневые ресурсы обычно ассоциируются с преступной деятельностью, ими пользуются и те, кто не преследует незаконные цели. В этот круг лиц входят специалисты по ИБ, студенты и разные исследователи. Каждый из них преследует свои цели, но все сводится к сбору и изучению данных. Например, некоторые люди заходят на теневые форумы, чтобы удовлетворить личный интерес к кибербезопасности и хакерской культуре. Они могут быть энтузиастами, которые хотят узнать больше о методах атак, но не имеют намерений применять полученные знания для преступной деятельности. И их цель не более чем расширение знаний или просмотр обсуждений и дискуссий.

Как и любая сфера, где покупаются и продаются товары и услуги, теневой рынок является прибыльным бизнесом, но нелегальным. Рынки «темной сети» — питательная среда для киберпреступников, которая стимулирует развитие спроса и предложения на незаконные товары и услуги. Способы получения дохода в дарквебе включают в себя не только их прямую продажу, но и такие способы заработка, как партнерские программы, схемы обмана, создание вредоносного ПО на заказ, а также продажу инструкций и консультаций по проведению различных кибератак.

Так, например, аналитики Chainalysis показали в последнем исследовании, что, хотя доходы рынков даркнета от криптовалюты значительно снизились после пика 2021 года, в 2023-м они начали восстанавливаться. Несмотря на закрытие крупнейшего дарквеб-рынка Hydra в 2022 году, другие нелегальные магазины и площадки увеличили свои доходы почти до двух миллиардов долларов в 2023-м, что почти на 25% больше, чем в 2022-м. Рост связан с появлением новых игроков, которые начали заполнять вакуум после закрытия Hydra, а также с агрессивными маркетинговыми методами и интеграцией анонимных криптовалютных платежных процессов, например UAPS (Universal Anonymous Payment System, универсальная анонимная платежная система).

По сути, эти платежные процессоры предоставляют услугу white label для даркнет-рынков, обеспечивая бесшовное оформление покупок для клиентов этих сервисов.

Кроме того, в июле 2024 компания TRM Labs, специализирующаяся на анализе и обеспечении безопасности в области криптовалют, опубликовала отчет. В нем говорится, что три крупнейших русскоязычных даркнет-маркета обработали транзакции на сумму 1,4 миллиарда долларов, в то время как на западных площадках за тот же период было совершено сделок на 100 миллионов долларов.

В дарквебе существует своя уникальная экосистема теневых ресурсов, которая позволяет пользователям обмениваться информацией, продавать и покупать нелегальные товары, а также координировать кибератаки. Эта экосистема состоит из специализированных форумов, где преступники могут обсуждать новые методы атак, маркетплейсы, которые функционируют как онлайн-рынки, и мессенджеры вроде Telegram. Совокупность этих ресурсов формирует фундамент теневой экономики, скрытой от глаз обычных пользователей интернета.

Форумы дарквеба являются платформами, на которых пользователи могут общаться, обмениваться информацией и предлагать различные нелегальные товары или услуги. Например, там можно найти данные украденных платежных карт, вредоносное программное обеспечение, инструменты для взлома, а также доступ к скомпрометированным аккаунтам. Кроме этого, обсуждают различные новости, методы атак на компьютеры и сети, делятся опытом в области анонимности (в частности, как дольше оставаться незамеченным). Теневые форумы скрыты от обычных поисковых систем и требуют специального ПО для доступа к ресурсам. Однако некоторые площадки, посвященные обсуждению хакерской деятельности, могут существовать и в «открытом интернете» (clearnet — клирнет).

Многие подобные ресурсы организованы в виде разделов и тем, чтобы пользователям было удобнее ориентироваться. Там есть и «Уязвимости веб-приложений», и отдельный раздел для ВПО, и другое.

Форумы живут и зарабатывают благодаря комиссии, например с системы автогарантов при совершении не особо крупных сделок, или предоставляют своих «живых» гарантов, когда речь идет о более крупном масштабе операций. Еще немаловажным финансовым потоком является размещение рекламы. Таким образом, злоумышленники могут более эффективно продвигать свои услуги, например с помощью криптомиксеров, пробивов и прочего. Стоимость таких рекламных объявлений может начинаться от 50 $ за месяц.

Еще одним прибыльным потоком является повышение привилегий учетных записей участников форума. За оформление такой подписки пользователи могут получать различные бонусы в виде открытия всех скрытых сообщений на форуме, возможности поднимать коммерческие темы в топ, открытия возможности выставлять продукты на торговой площадке. Есть и более продвинутая подписка (2000 $ в год), обеспечивающая возможность собирать данные с форума без блокировки аккаунта.

Важно отметить, что на некоторые форумы можно попасть только оформив платный доступ или имея хорошую репутацию на других признанных площадках (в противном случае придется заплатить). В свою очередь, это позволяет отсеивать «случайных пользователей» и создавать сообщество только из заинтересованных личностей, настроенных на участие в незаконной деятельности.

Как и в любой другой коммерческой экосистеме, на теневых площадках имеется своя структура и иерархия, которая обеспечивает их функционирование. В основе стоят администраторы, гаранты и арбитры (о них поговорим позже). Первые являются «верхушкой» подпольных форумов. Они владеют платформой и несут ответственность за ее техническую и организационную работу. Их задача — поддерживать доверие к площадке, ведь этот аспект напрямую влияет на ее популярность. Затем идут модераторы — доверенные лица администраторов, которые следят за соблюдением правил на форуме, модерируют контент, проверяют сообщения на наличие мошенничества. Кроме того, они могут вступать в различные дискуссии, например в обсуждения рекомендаций по анонимности.

Те, кто создают спрос и предложение, — продавцы и покупатели. Верифицированные продавцы получают статус одобрения площадки, внося депозит на счет. Покупатели же являются ядром подполья. Новички и опытные злоумышленники создают спрос на предлагаемые товары. Следом идут привилегированные участники и обычные пользователи. Привилегированные участники зарабатывают особый статус на форуме благодаря высокой вовлеченности и высокой репутации (или просто оплачивают повышение аккаунта). Стоит отметить, что они могут получать доступ к закрытым разделам форумов. В свою очередь, обычные пользователи составляют основную часть аудитории теневых площадок. 

Теневые ресурсы имеют свою иерархию и внутренние строгие правила, которые направлены на регулирование общения среди участников. Есть также нормы, регулирующие торговлю продуктами и услугами. В целом на теневых ресурсах существуют стандартные запреты: спам, токсичное поведение, публикация вредоносных ссылок и файлов (которые направлены на заражение самих участников), доксинг (doxing — раскрытие личных данных). 

Запрещена также реклама программ-вымогателей или поиск сотрудничеств для их распространения. Но и такой запрет успешно обходится. Например, представители банд шифровальщиков скрывают поиск аффилированных лиц под предлогом найма пентестеров в команду или ищут поставщиков доступов в корпоративные сети.

Модель работы дарквеб-маркетплейсов схожа с легальными платформами электронной коммерции. Такие маркетплейсы предоставляют площадку для продавцов и покупателей нелегальных товаров и услуг, таких как украденные данные, продажа ВПО или взлом систем на заказ. Как и маркеты в обычной жизни, теневые торговые площадки зарабатывают с комиссии: получают процент с каждой продажи. Доступ к некоторым «темным маркетплейсам» можно получить только при одном условии — оплатить его.

Telegram занимает важное место в плане по организации рынков киберпреступных товаров, позволяя реализовывать несколько функций одновременно: коммуникацию, маркетинг и проведение сделок. Стоит отметить, что киберпреступники часто обсуждают подробные условия соглашений лично, не указывая всех деталей в объявлениях. Основными каналами для переговоров являются мессенджеры (Telegram, Tox, Element, Briar).

Telegram стал популярным среди киберпреступников не только для общения, но и для рекламы и распространения услуг. Продавцы создают каналы для продвижения своих товаров. Там они могут публиковать информацию о важных обновлениях, скидках и акциях. Такие каналы также позволяют поддерживать связь с клиентами, например быстро откликаться на недоступность сервисов или читать отзывы покупателей для улучшения продукта. Доступность и широкая база пользователей позволяют легко привлекать покупателей и распространять информацию о своих услугах. Ведь в отличие от даркнета, для доступа в Telegram не требуется установка специализированного программного обеспечения.

Кроме того, в 2021 году рынок киберпреступности расширил свое влияние, частично перейдя в Telegram. Как было показано в нашем исследовании, спектр услуг, представленный в мессенджере, был довольно значительным. Связано это было с закрытием больших площадок в даркнете. В свою очередь, Telegram как средство распространения товаров только процветал.

Стоит отметить, что 23 сентября 2024 года Павел Дуров (генеральный директор Telegram) заявил, что платформа усилит модерацию и будет передавать данные пользователей по запросам властей. Тем временем злоумышленники на теневых ресурсах начали обсуждать поиск альтернативных каналов связи, например Tox, Signal, Matrix. Возможно, в скором времени киберпреступники обратно перейдут на форумы или будут создавать свои альтернативы (Telegram или форумы). 

Теневые платформы часто воспринимаются как нелегальный мир без правил. Однако в их работе можно заметить принципы, знакомые каждому, кто сталкивался с бизнесом: репутацию, маркетинг и клиентский сервис. На подпольных площадках, например, также встречаются программы багбаунти, которые помогают защищать платформы от наступления недопустимых событий.

В мире подпольных рынков репутация и статус играют важную роль. Конкуренция на теневых ресурсах высока, и для успешной работы на этих площадках продавцы вынуждены учитывать множество факторов, чтобы выделиться. Они стремятся поддерживать высокий уровень доверия, так как от этого напрямую зависит их успех. Если у продавца хорошая репутация, он может позволить себе устанавливать более высокие цены на товары или услуги и рассчитывать на стабильный клиентский поток. Удовлетворение потребностей покупателей и своевременные ответы на их вопросы (многие продавцы предоставляют поддержку практически 24/7) способствуют формированию лояльной клиентской базы. С развитием сервисной модели поддержка выходит за рамки клиентов и также касается членов команды. Наряду с технической поддержкой теперь появилась психологическая помощь. Злоумышленники, стремясь создать эффективные команды, начинают выстраивать структуру, в которой забота об участниках группировки становится частью общей стратегии успеха. Бизнес-модель все больше напоминает внутреннюю корпоративную культуру, где важными элементами являются не только профессиональные навыки, но и эмоциональная поддержка.

Пользователи могут оставлять отзывы, в которых высказывают свои пожелания и предложения по улучшению продуктов или услуг, например запросы на обновления или улучшение функциональности. Разработчики часто реагируют на такие отзывы, внося необходимые изменения, чтобы соответствовать ожиданиям клиентов и повысить уровень их удовлетворенности.

Наравне с пожеланиями или положительными отзывами, некоторые пользователи могут высказывать недоумение о завышенной цене на предложенный продукт. Например, комментарии о необоснованности ценовой политики влекут за собой снижение спроса на предложение и, скорее всего, покупатели выберут другого поставщика услуг. Хотя если разработчик сможет объяснить высокую цену, возможно, это выведет товар в категорию «премиальных».

Важным элементом успешной конкурентной стратегии стало создание лендингов для привлечения клиентов. Грамотный дизайн и хорошо структурированный лендинг могут сыграть решающую роль в том, чтобы удержать внимание покупателя и побудить его к покупке.

Кроме того, наличие юзер-френдли интерфейса стало практически обязательным. Благодаря наличию удобного и красивого интерфейса, покупатели тратят меньше времени на изучение часто сложных инструментов и быстрее переходят к использованию продукта. Предоставление юзер-френдли интерфейса также становится важным способом выделиться среди конкурентов. Продукты, которые легче использовать (даже если они предлагают более ограниченную функциональность), приобретают популярность быстрее, чем сложные инструменты. Все это происходит вследствие нацеливания продавцов на менее технически подкованных покупателей. Итог такой: чем проще пользоваться продуктом, тем больше клиентов готовы его приобрести. Если же говорить о продвинутых злоумышленниках, то для них на первое место встает не столько простота использования, сколько функциональность и стабильность работы решения.

Еще одним примером успешной конкурентной стратегии в «теневых» кругах являются акции, приуроченные к общеизвестным праздникам. Так, один из дарк-форумов в своем телеграм-канале запустил акцию в честь черной пятницы, предложив скидку 50% на все тарифные планы, включая повышение привилегий аккаунта. Подобный ход еще раз демонстрирует, как злоумышленники адаптируют традиционные маркетинговые приемы под реалии даркнета.

Стоит отметить, что конкурентные преимущества получали те платформы, которые упрощали проведение криптоплатежей и использовали дерзкие маркетинговые стратегии. Например, один из даркнет-маркетов разместил билборд в общественном пространстве Москвы. Неизвестно, как такую рекламу смогли пропустить для публикации, но это говорит о том, что злоумышленники не прочь воспользоваться и «белыми» маркетинговыми стратегиями. Еще одним интересным рекламным ходом стала акция группы вымогателей LockBit. Они предлагали выплатить вознаграждение в размере 1000 $ любому, кто сделает татуировку с названием и логотипом группировки на своем теле. Человеку, сделавшему это, нужно было просто опубликовать фото, чтобы получить деньги. Такая своеобразная маркетинговая стратегия помогала создать образ группировки, как мощного и влиятельного игрока. Подобный шаг повышает узнаваемость бренда, а также является механизмом для привлечения новых партнеров и выделения на фоне других банд шифровальщиков, что обеспечивает конкурентное преимущество.

Заслуживает внимания недавний пример возможного ребрендинга ныне несуществующей группировки BlackCat. Банды шифровальщиков часто занимаются ребрендингом, но именно эта замена является хорошим примером того, как злоумышленники нацелены на узнаваемость бренда и быстрое завоевание обсуждения. В июне 2024 года банда вымогателей начала рекламировать свои услуги на теневом форуме. Примечательно здесь то, что они взяли название и логотип одного из загадочных и нашумевших проектов Cicada 3301. С точки зрения конкурентного преимущества такой ход (выбор уже известного названия) дает бесплатную рекламу, повышение узнаваемости и, возможно, авторитет. Это упрощает поиск потенциальных партнеров, ведь быстрое завоевание имени и репутации важно для игроков ransomware-рынка, которые метят в первые эшелоны.

Конкуренция в мире подпольных рынков зачастую выходит за рамки обычных бизнес-методов. В условиях, когда репутация и успех напрямую влияют на прибыль, некоторые участники рынка прибегают к агрессивным способам борьбы с конкурентами. Одним из таких методов является проведение кибератак. Например, DDoS-атаки, направленные на перегрузку серверов, стали распространенным оружием в руках некоторых игроков. Эти действия нацелены на подрыв работы конкурента и снижение доверия со стороны клиентов.

Все говорит о жесткой конкуренции на теневых рынках, где каждый пытается удержать свои позиции и оставить соперников позади. Тем не менее кибератаки не являются гарантией победы. Многие продавцы в подполье являются технически подкованными специалистами и способны быстро восстанавливать свою работу, минимизируя последствия атак.

Конечно же атаки не заканчиваются обычным DDoS. Конкурирующие площадки могут использовать и другие методы, чтобы нарушить работу сервисов. Например, в июне 2023 года произошла утечка данных 4000 участников теневого форума. Как выяснилось дальше, ответственность на себя взяла другая платформа-конкурент (поделившись новостью в одной из соцсетей). Подобные действия рассчитаны на подрыв репутации форума среди злоумышленников, это также может грозить раскрытию личностей участников, что упростит их отслеживание правоохранительными органами.

Теневой рынок многое перенимает у легального бизнеса и программы багбаунти не стали исключением. Различные теневые ресурсы внедряют собственные багбаунти, где оплата происходит, конечно же, в криптовалюте. Эта практика стала ответом на необходимость защитить данные участников и самих платформ от внешних угроз, таких как конкурирующие преступные группировки. Основным мотивом внедрения подобных программ является повышение устойчивости площадок, что позволяет избегать утечек информации или взломов, которые могут привести, например, к краже криптовалюты с депозитов пользователей.

Например, небезызвестная группа шифровальщиков с 2022 года внедрила программу вознаграждения за ошибки: этичным и неэтичным хакерам предлагали найти уязвимости в инфраструктуре. Что касается ошибок сайта: банде LockBit было особенно интересно услышать об XSS-уязвимостях, через которые посторонние могут получить доступ к инструменту расшифрования или журналам чатов жертв, а также об ошибках в Locker (вредоносное ПО для блокировки доступа к системе), которые могут позволить жертвам восстановить свои файлы без оплаты инструмента для расшифровки. В свою очередь, награда варьировалась от одной тысячи до миллиона долларов.

Как и в легальном мире, в дарквебе тоже существует мошенничество. Например, могут обманывать аффилированных лиц или распространять ВПО под видом легитимного (например, известное шпионское программное обеспечение Pegasus), что мы отмечали в квартальной аналитике. Чтобы минимизировать риски и обеспечить хотя бы минимальную чистоту сделки, киберпреступники часто обращаются к услугам гарантов или гарант-сервисов.

Гарант-сервис (escrow service) — это третья сторона, которая выступает посредником между покупателем и продавцом. Они временно удерживают средства покупателя до тех пор, пока тот не подтвердит получение товара или услуги, а затем переводят деньги продавцу.

Кроме того, на многих форумах практикуется система депозита (что часто является обязательным условием): продавец должен внести определенную сумму в качестве залога, чтобы подтвердить свою честность и серьезность намерений. В случае обмана эти средства могут быть удержаны и переданы пострадавшей стороне.

С развитием теневых форумов начали появляться автоматизированные системы гарантов. Эти системы позволяют ускорить процесс проведения типовых сделок, автоматизируя этапы депонирования средств.

В большинстве случаев на ресурсах дарквеба есть свои официальные гаранты: кто-то из администрации форума или пользователь с хорошей репутацией посредника. За свои услуги гарант получает от 4% от суммы сделки (стоимость может варьироваться, так как на конечную цену напрямую влияет администрация площадки).

Когда возникают спорные ситуации, в дело «входят» арбитры. Можно сказать, что они являются местным регулирующим органом. Арбитры помогают разрешать споры и проблемы, возникающие между участниками сделки, принимая решение о распределении средств или компенсации в случае возникновения конфликтов. Их роль критически важна для поддержания доверия и стабильности на теневых рынках, где они выполняют функцию основного доступного механизма по разрешению споров. Для разрешения конфликтных ситуаций пострадавшая сторона прикладывает необходимые доказательства для подтверждения факта обмана. Арбитр, в свою очередь, все это проверяет и выносит вердикт. При этом конечное решение принимает администрация площадки.

На теневых ресурсах цены формируют двумя основными способами: через фиксированную стоимость или торги. Фиксированные цены устанавливаются продавцом и не подлежат обсуждению. Это удобный способ для массовой торговли, когда нужно быстро продать товар без длительных переговоров. В то же время торги предоставляют возможность покупателям предлагать свою цену за товар, и продавец может выбрать наиболее выгодное предложение. Аукционы часто используются для редких или уникальных товаров, таких как эксплойты нулевого дня или эксклюзивные наборы данных, а также доступы к инфраструктурам организаций. Например, злоумышленник может ставить начальную цену лота и указывать шаги повышения стоимости.

Криптовалюты, такие как Bitcoin (BTC), Monero (XMR) и другие, стали основным средством оплаты в дарквебе, что связано с несколькими факторами. Во-первых, криптовалюты обеспечивают высокий уровень анонимности, что критически важно для пользователей нелегальных рынков. Хотя транзакции с Bitcoin записываются в блокчейне (публичной базе данных, в которой видны все переводы), пользователи могут применять так называемые миксеры или другие монеты. Например, Monero и некоторые другие криптовалюты изначально разработаны так, чтобы скрывать данные о транзакциях, что делает их практически неотслеживаемыми.

Кроме того, часть криптовалют децентрализована и не контролируется государствами, что делает их особенно привлекательными для пользователей дарквеба. Использование криптовалют также обеспечивает безопасность и удобство для международных транзакций, поскольку они не требуют участия банков и могут проводиться напрямую между участниками, что снижает риск ареста и упрощает ведение дел в глобальном масштабе.

Такие особенности криптовалют играют важную роль в функционировании дарквеба. Анонимность и отсутствие контроля способствуют расширению рынков, привлекают новых участников и стимулируют их дальнейший рост. Это, в свою очередь, затрудняет работу правоохранительных органов, так как анонимность транзакций и использование миксеров делают идентификацию участников и пресечение их деятельности крайне сложными задачами.

В будущем, если меры по отслеживанию криптовалют станут более эффективными и начнут представлять серьезную угрозу для пользователей дарквеба, вероятно, произойдет адаптация и поиск новых, более безопасных методов оплаты. Одним из возможных направлений развития может стать использование криптовалют, таких как Monero, в более крупных масштабах; или появление новых криптовалют, специально разработанных для максимальной анонимности. Например, новые цифровые валюты могут включать усовершенствованные методы шифрования и сокрытия информации о транзакциях.

Еще одним возможным сценарием может стать использование технологии trustless swaps. Trustless swaps — технология, которая позволяет пользователям обменивать криптовалюты или другие цифровые активы напрямую друг с другом без необходимости привлекать третью сторону, например биржу или посредника. В основе этого решения лежат смарт-контракты, которые гарантируют, что обмен произойдет только в случае выполнения всех условий сделки. Если условия не выполнены, активы возвращаются обратно владельцам.

Нельзя также исключать возможность появления совершенно новых концепций оплаты, например с использованием децентрализованных и зашифрованных коммуникационных сетей или внедрения платежных систем на основе квантовых технологий, которые обеспечат почти абсолютную защиту от отслеживания.

Финансово мотивированные злоумышленники получают выкупы и плату за услуги в криптовалюте и, соответственно, им необходимо обналичивать эти средства. Отмывание денег в дарквебе — это процесс превращения нелегально полученных денег в законные активы с помощью различных схем и специализированных сервисов, предлагающих свои услуги на теневых платформах.

Например, криптомиксеры являются популярным средством в подполье. Суть проста: эти сервисы смешивают нелегально полученную криптовалюту с криптовалютой других пользователей, создавая многочисленные мелкие транзакции. В итоге становится крайне сложно (а иногда и невозможно) связать исходные средства с конечным получателем. После использования миксера преступники часто конвертируют свои активы в другие, менее отслеживаемые криптовалюты, такие как Monero. Теперь, когда деньги стали практически неотслеживаемыми, их можно обменивать в разных направлениях. Например, на одном из форумов предлагают услуги по обмену криптовалюты на фиатные деньги (обычные валюты, такие как доллар или евро) или другие криптомонеты. При таком выводе средств появляется еще одна сторона сделки — дроп или денежный мул. Дропом является человек, который участвует в мошеннических финансовых схемах. Основная роль этих лиц заключается в переводе или обналичивании незаконных средств. Обычно это происходит через личные банковские счета, а вознаграждение мулов составляет процент от транзакций.

В некоторых случаях злоумышленники могут использовать сложные схемы перевода криптовалюты через несколько подставных кошельков, чтобы усложнить отслеживание.

И, конечно, немаловажный этап — вывод средств в легальную экономику. Преступники могут создавать сети подставных компаний специально для обналичивания средств. Эти организации используют фиктивные контракты, через которые криминальные деньги постепенно вливаются в легальный мир. На некоторых форумах этой теме посвящены отдельные разделы, где предоставляются услуги под ключ.

Еще один пример вывода денег — покупка недвижимости с помощью криптовалюты. Некоторые сайты предлагают широкий спектр инвестиций в недвижимость за виртуальные средства. 

Многие преступники активно интересуются, как вывести и легализовать заработанные активы. Для этого они просят совет у более опытных представителей теневого бизнеса или же сами делятся различными схемами и статьями на заданную тему.

Еще одним интересным способом отмывания денег являются онлайн-казино. Схема выглядит следующим образом: киберпреступники сначала делают депозиты на счета в онлайн-казино или на биржах ставок, используя нелегально полученные средства. Эти платформы часто принимают криптовалюту, что делает процесс еще проще для злоумышленников. Деньги можно вывести через одно или несколько казино, чтобы распределить средства и избежать подозрений. После того как деньги проходят через онлайн-казино, преступники выводят средства на банковские счета или криптовалютные кошельки. В некоторых случаях преступники могут использовать ставки с гарантированным исходом. Например, они могут сделать ставки на все возможные исходы одного и того же события с разных аккаунтов. В таком случае они «страхуют» свои средства, зная, что один из их аккаунтов точно выиграет, и потом выводят деньги, как будто это был законный выигрыш.

Одну из ключевых ролей в арсенале злоумышленников играет вредоносное программное обеспечение. Так, по итогам III квартала 2024 года ВПО применялось в 65% успешных атак на организации. Злоумышленники используют вредоносное ПО для достижения различных целей, например кражи конфиденциальной информации или шифрования файлов с целью дальнейшего требования выкупа.

Среди всех проанализированных объявлений, посвященных вредоносному ПО, более половины (53%) относится к продаже. Это свидетельствует о том, что рынок ВПО в основном ориентирован на коммерческую модель, когда разработчики и группы злоумышленников монетизируют свои инструменты.

Запросы на покупку составляют 41%, что отражает высокий спрос на готовые решения. Покупатели часто ищут проверенные инструменты, которые должны соответствовать их требованиям. Например, RAT для Android должен обладать записью экрана в реальном времени или стилер с обязательной возможностью кражи информации из всех современных криптокошельков. Раздача вредоносных инструментов встречается в 1% случаев. Это может быть связано с попытками повысить репутацию автора в сообществе.

Распределение сообщений о продаже по типам ВПО демонстрирует предпочтение определенным категориям вредоносных инструментов. Наибольшее количество объявлений (19%) связано с продажей инфостилеров. Их популярность может быть обусловлена не самой высокой ценой: стоимость начинается от 20 $ а, медианное значение составляет 400 $. При этом злоумышленник, потратив небольшую сумму, может получить значительно больший доход, если сумеет грамотно воспользоваться полученной информацией.

Следом идут криптеры и инструменты для обфускации, доля которых составила 17%. Связано это с тем, что за небольшие деньги (цена начинается от 10 $) применение криптеров и обфускаторов позволяет киберпреступникам повысить эффективность своих атак, минимизируя риск обнаружения антивирусными программами.

Тройку лидеров замыкают загрузчики с долей в 16%. Они часто используются злоумышленниками в качестве начальной точки входа в систему жертвы, поскольку помогают обойти средства защиты и доставить другие типы вредоносного ПО, например стилеры или ВПО для удаленного управления. Так, по данным сервиса ANY.RUN, в третьем квартале 2024 года количество обнаружений загрузчиков выросло на 49%. Цена такого ВПО может начинаться от 50 $, медианное значение составило 400 $.

Доля сообщений о продаже вредоносного программного обеспечения для удаленного управления (RAT), которое по итогам первых трех кварталов популярно у злоумышленников, составляет 12%. RAT привлекает киберпреступников из-за возможности скрытого и постоянного контроля зараженной системы. Например, для шпионажа, поскольку такое ВПО позволяет злоумышленникам отслеживать действия жертвы, собирать конфиденциальную информацию, включая пароли, личные данные или коммерческую информацию. Медианная стоимость RAT составляет 1500 $, а начальная цена — от 80 $.

Наиболее дорогостоящим типом ВПО является шифровальщик. Медианная стоимость составляет 7500 $. А цены могут доходить до 32 0000 $. Обусловлено это тем, что большинство объявлений о продаже касается именно исходного кода. В основном шифровальщики распространяются по партнерской программе (RaaS — Ransomware-as-a-Service). А сами участники обычно получают 70–90% от выкупа жертвы. Чтобы попасть в партнерскую программу, кандидат должен заплатить 5000 $ – 1 BTC (≈107 879 $), а также иметь высокую репутацию на теневых форумах. Став участником группировки, партнер получает доступ к актуальной версии билдера, возможность обращения в техническую поддержку, а также различные мануалы, посвященные получению первоначального доступа в систему жертвы и прочее.

Но не у всех злоумышленников, особенно начинающих, есть деньги в размере 1 BTC или репутация в подполье. И тогда на сцену выходят утечки необходимых инструментов и гайдбуков.

Как мы выяснили выше, мануалы являются важной составляющей партнерской программы банд вымогателей. Они могут содержать шаги для подготовки инфраструктуры, получения первоначального доступа в системы организаций или методов повышения привилегий. Стоит отметить, что мануалы злоумышленники могут выставлять на продажу, это является еще одним способом монетизации. Например, один из таких гайдов некогда продавался на теневых площадках за 10 000 $. Распространялся он от лица партнера LockBit. Внутри публикации были инструкции по добыче доступов и многое другое. Стоит отметить, что все приведенные примеры в гайдбуке были использованы на реальных компаниях. Интересно, что в одной из атакованных крупных организаций пароль от корпоративного VPN состоял только из цифр, были открыты тестовые учетные записи, оставленные системными администраторами. 

Без внимания не останутся и утекшие материалы банды шифровальщиков Conti. В 2021 году недовольный партнер группировки опубликовал на одном из теневых форумов руководства и технические мануалы. Утекшие инструкции использовались для обучения участников партнерской программы киберпреступной группировки. Как и в случае с гайдом партнера LockBit, были подробные инструкции по перемещению внутри периметра, повышению привилегий в системе, отключению антивируса, перечислялись атаки с использованием неправильных параметров или известных уязвимостей (PrintNightmare, EternalBlue и Zerologon), а также указывалось, на какие данные обращать внимание, чтобы в дальнейшем их украсть. Кроме того, в этом мануале описывался инструмент CobaltStrike и, соответственно, подробная методичка по его использованию.

Стоит отметить и утекшие билдеры² группировок шифровальщиков. С помощью билдера злоумышленники могут кастомизировать шифровальщики, изменяя параметры (имя процесса, имя файла с требованиями, текст самих требований), а также задавать список расширений шифруемых файлов. Более того, это ПО позволяет сгенерировать декриптор, необходимый для расшифровки данных.

Несмотря на то, что утечки билдеров могут датироваться 2022 годом, они до сих пор используются киберпреступниками в атаках и, соответственно к ним проявляют интерес в подполье. Например, по итогам расследований инцидентов наиболее часто в атаках типа Cybercrime (в атаках этой категории, как правило, применяются шифровальщики, легитимное ПО для шифрования информации и вайперы) использовался шифровальщик LockBit: его доля составила 37%. Немаловажно, что на основе подобных утечек шифровальщиков могут появляться и новые представители индустрии RaaS. 

Утечки мануалов и билдеров шифровальщиков в дарквебе оказывают большое влияние на рынок киберпреступности. Как следствие, подобные публикации снижают барьер для входа в мир кибератак и помогают «выращивать» внутри подполья преступников, что может сказываться на общем повышении их квалификации. Важно подчеркнуть, что этими инструментами могут пользоваться и продвинутые злоумышленники, атакуя государственные предприятия (их целью является не финансовая прибыль, а полное уничтожение данных и инфраструктуры).

На первый взгляд может показаться, что на теневых ресурсах вся деятельность, связанная с вредоносным ПО, ограничивается лишь продажей и покупкой уже готовых инструментов. Но за время существования дарквеба в нем успешно сформировалось MalDev-сообщество (malware development)³. Внутри комьюнити продолжает развиваться гораздо более сложная экосистема, которая включает услуги по созданию, доработке и адаптации вредоносных программ для удовлетворения конкретных нужд заказчиков. Например, за дополнительную плату клиенты могут попросить опытных разработчиков изменить или улучшить уже существующее вредоносное программное обеспечение.

Важно отметить, что MalDev-комьюнити состоит не только из опытных разработчиков. Это сообщество привлекает и менее профессиональных пользователей, которые хотят изучить основы разработки ВПО. Подобно тому, как в легальной сфере многие ищут советы по началу карьеры, новички в дарквебе также просят наставлений от более опытных участников. Начинающие разработчики часто просят советы по выбору языка программирования (например, Python, C++ и другие), который будет наиболее подходящим для создания различных типов вредоносных программ.

Кроме того, в подпольном сообществе активно делятся мануалами и примерами кода, которые помогают новичкам создавать простые вредоносные инструменты, такие как загрузчики, стилеры или RAT. Публикация материалов служит основой для обучения базовым методам разработки, а также помогает неопытным пользователям разобраться в механизмах работы вредоносных программ. Ведет это к тому, что каждый новый участник может шаг за шагом погружаться в практическую разработку ВПО, учась на примерах более опытных коллег. В связи с этим постепенно повысится уровень квалификации у разработчиков вредоносного ПО, и мы будем все чаще видеть появление новых представителей индустрии.

Стоит отметить, что сейчас у злоумышленников популярны не только популярные языки программирования (C++ и т. п.), но и другие— Rust и Golang (Go). Сейчас на Golang создано множество различных вредоносных программ. Go широко используется для разработки разнообразных типов такого софта: ВПО для удаленного управления, стилеры, майнеры и ботнеты. Одним из главных преимуществ ВПО на Go и Rust является его способность с легкостью атаковать сразу несколько операционных систем, включая Windows, Linux и VMWare ESXi при использовании одной и той же кодовой базы. Банды шифровальщиков тоже активно подхватили этот некогда зародившийся тренд и постепенно переходили на Rust и Go. Например, BlackCat, Hive, RansomHub и многие другие. Мы ожидаем продолжения развития этого тренда у разработчиков вредоносного ПО из-за ряда преимуществ этих языков.

Каждая уязвимость в системе — своего рода потенциальная дверь, через которую злоумышленники могут проникнуть в сеть, вывести из строя сервисы или украсть важную информацию. Для того чтобы использовать эти слабые места, разрабатываются эксплойты.

И злоумышленники, и исследователи в области кибербезопасности активно ищут уязвимости. Первые пишут эксплойты, чтобы использовать уязвимость в злонамеренных целях, а вторые создают их в качестве демонстрации слабых мест в системе (PoC — Proof of concept). 

Из всех проанализированных сообщений, 7 из 10 объявлений посвящены продаже эксплойтов. К теме «Покупка» относится почти треть сообщений (27%), отражая значительный спрос на подобные инструменты среди злоумышленников.

Информация об уязвимостях и эксплойтах высоко ценится на теневых рынках. Так, 32% эксплойтов, выставленных на продажу, относятся к уязвимостям нулевого дня. Их стоимость может доходить до миллионов долларов, и часто вместе с покупкой злоумышленники получают подробные инструкции по их эксплуатации.

Четверть объявлений (25%) посвящена уже известным уязвимостям. Стоит отметить и наиболее опасные уязвимости, которые часто привлекают злоумышленников — RCE и LPE. Их доля составляет 26 и 12% соответственно.

RCE (Remote Code Execution) является уязвимостью, которая позволяет злоумышленнику удаленно выполнять произвольный код в системе жертвы. RCE-уязвимость может предоставить полный доступ к скомпрометированному устройству и контроль над ним, что делает ее одной из самых опасных. Ее часто используют в целенаправленных атаках, а также для распространения программ-вымогателей и других типов вредоносного программного обеспечения. Например, в октябре злоумышленники использовали RCE-уязвимость для атаки на более чем 22 000 серверов CyberPanel для дальнейшей доставки программы-вымогателя PSAUX. В результате атаки почти все экземпляры CyberPanel были выведены из строя.

LPE (Local Privilege Escalation) позволяет злоумышленникам повысить свои привилегии в системе, получив доступ к действиям, доступным только администраторам, например root-доступ. Уязвимость типа LPE представляет большую ценность для киберпреступников и является одним из этапов эксплуатации. После взлома атакующий обычно получает непривилегированный доступ с ограниченными возможностями. Для полного захвата устройства и дальнейшего развития атаки необходим полный доступ, который и предоставляет уязвимость LPE.

Продажа доступов к корпоративным сетям компаний является довольно прибыльным бизнесом. В свою очередь, этим занимаются отдельные представители киберподполья, а именно брокеры первоначального доступа (IAB — Initial access brokers) — злоумышленники, которые специализируются на получении и продаже доступов к скомпрометированным сетям или системам организаций. IAB используют различные методы, к ним относятся: эксплуатация уязвимостей в ПО, фишинговые сообщения с целью получения учетных данных или для доставки и развертывания вредоносной программы или использование подбора паролей (Brute Force — взлом учетных записей с помощью распространенных или известных паролей). Например, по итогам пентестов 2023 года в результате внешнего тестирования на проникновение 56% векторов атак, направленных на получение доступа в ЛВС, содержали технику Brute Force.

Получив необходимые данные, брокеры первоначального доступа предоставляют свои услуги группировкам, занимающимся программами-вымогателями, или другим злоумышленникам, в том числе APT-группировкам. Стоит отметить, что неопытные злоумышленники не всегда могут довести атаку до конца, например, найдя уязвимость при помощи легального сканера уязвимостей. Однако даже если они не в состоянии закончить, полученную информацию (доступ) они могут продать более опытным киберпреступникам, которые смогут эффективно ею воспользоваться. 

Наибольшая доля сообщений в категории «Доступы» относится к продаже — 72%, тогда как объявления о покупке составляют лишь 14%. Преобладание объявлений о продаже отражает тенденцию к так называемому «разделению труда» в киберпреступной среде. Одни злоумышленники специализируются на добыче доступов, в то время как другие — на использовании их в атаках. Тип «Раздача» составляет 13% от всех объявлений и содержит посты о бесплатной раздаче доступов.

Большинство объявлений (62%) находится в низком ценовом диапазоне, стоимость которых не превышает тысячи долларов. Обычно на стоимость доступа влияет доход компании, поэтому есть и дорогостоящие предложения (7%): цены, указанные в таких объявлениях, могут доходить до нескольких десятков тысяч долларов. Отметим, что такие доступы, как правило, продаются к финансовым учреждениям, промышленным предприятиям и компаниям в сфере услуг.

На теневых ресурсах продаются доступы различного типа. Треть объявлений содержит предложения с подключением по протоколам VPN или RDP. Популярными также являются доступы с возможностью подключения при помощи оболочки Shell и программ удаленного доступа, таких как AnyDesk, Citrix. Их доля составила 11 и 10% соответственно.

Из всех проанализированных объявлений 20% относится к сфере торговли. Следом идут сфера услуг (17%) и промышленность (16%).

Дарквеб — это не только большой рынок для продажи вредоносного ПО, эксплойтов и доступов к системам, но и пространство, в котором предоставляются отдельные услуги. Кроме того, для реализации атак злоумышленники прибегают к услугам сторонних лиц, например для настройки серверов или разработки фишинговых страниц. Интерес вызывают и сервисы, предоставляющие инфраструктуру. Это могут быть выделенные серверы, VPN или прокси, которые важны для проведения атак.

Почти треть объявлений (29%) относится к категории «Кардинг» и содержит такие данные, как номер карты, год и месяц окончания ее действия, CVV-код, данные держателя, номер телефона, адрес и электронную почту. Злоумышленники используют эту информацию для покупок различных товаров или обналичивания денег. Иными словами, кардинг часто становится первой ступенью для новичков в мире киберпреступлений благодаря его относительной простоте.

Следом идет «Перенаправление трафика и инсталлы» (загрузочный трафик), составляющая 16% от общего числа сообщений. Такие услуги обеспечивают переход пользователей на определенный ресурс, например фишинговый сайт или сайт с ВПО. Работает это следующим образом: пользователи кликают на рекламу и переходят на подготовленный фишинговый ресурс, где им предлагается установить вредоносную программу под видом легального и безопасного ПО.

Для успешной реализации атак киберпреступникам требуется надежная инфраструктура. Доля таких сообщений составила 5%. Они рекламируют широкий спектр услуг: от хостинга и прокси-серверов до VPS и VPN или выделенных серверов (dedicated servers).

VPN (Virtual private network — виртуальная частная сеть) необходим для обеспечения безопасных и анонимных соединений. При использовании VPN трафик злоумышленника шифруется, а его данные и местоположение остаются скрытыми. Цена на VPN-сервисы начинается от 4 $ в месяц. Но здесь злоумышленники разделяются по предпочтениям. Одни используют легальные коммерческие продукты, другие арендуют в подполье, а третьи создают свой инструмент. Кроме того, для скрытности и анонимности киберпреступники активно используют прокси-серверы, которые помогают скрыть реальный IP-адрес, но, в отличие от VPN, трафик пользователя не шифруется.

Немаловажным компонентом для кибератак являются выделенные серверы. Стоимость аренды начинается от 100 $ в месяц, и, как правило, такие серверы используют для создания командных центров или хостинга.

Так, для фишингового сайта, помимо хостинга, еще необходимо доменное имя. Оно позволяет добавить немного легитимности для вредоносного ресурса. А цены за такую услугу начинаются от 2 $, хотя окончательная стоимость зависит от доменной зоны. Кроме того, в комплекте либо как дополнительная услуга может идти SSL-сертификат⁴, который повышает уровень доверия к сайту.

Услуги по взлому ресурсов пользуются большим спросом в дарквебе, объявления о них составляют значительную часть сообщений — 49%. Чаще всего это связано не с громкими атаками на организации, как принято думать, а с более простыми задачами: доступом к личным данным, взломом аккаунтов в социальных сетях и мессенджерах, поиском уязвимостей на сайтах или компрометацией корпоративных почт. Отметим, что заказчиками таких услуг могут быть не только мошенники или частные лица, но и компании, стремящиеся получить преимущество, например доступ к конфиденциальной информации конкурентов. Цены за компрометацию личного почтового аккаунта могут начинаться от 100 $, а за взлом корпоративного почтового ящика придется заплатить уже 200 $.

Кроме того, цена может варьироваться в зависимости от вероятности успешности атаки. Так, на одном из теневых форумов предлагалась услуга по взлому телеграм-аккаунта за 7000 и 9000 рублей с вероятностью успеха 50 и 70% соответственно.

Запрос на взлом хеша становится все более популярным на теневых форумах. Например, в конце 2023 года он достиг рекордного уровня, а затем снизился на 29% в первом квартале 2024-го. Несмотря на это, к третьему кварталу 2024 года количество запросов снова резко возросло, установив новый максимум. Хеш используется для ряда задач: проверки целостности данных при передаче или защиты файлов. Однако для пользователей наиболее распространенная форма хеширования — хранение пароля. Например, когда вы создаете аккаунт на сайте и вводите пароль, ресурс не сохраняет его в открытом виде. Вместо этого он преобразует пароль в уникальный набор символов. Даже если злоумышленник украдет базу данных, он получит не сами пароли, а только эти хеши.

Рост спроса на такие услуги связан с несколькими факторами. Пользователи используют слабые и предсказуемые пароли. Так, исследователи NordPass подготовили антирейтинг паролей. Они проанализировали базу данных объемом 2,5 ТБ, полученную из открытых источников. В рейтинг вошли такие пароли, как «123456» или „password“, что означает одно — облегчение процесса взлома хеша.

Не стоит забывать и про криптовалюты. С ростом интереса киберпреступников к ним, злоумышленники все чаще обращают внимание на хеши, взлом которых может привести к краже средств с криптокошельков.

Спрос также связан с увеличением количества утечек конфиденциальных данных. По нашим сведениям, более половины успешных атак на организации в 2023 и 2024 годах привели к утечкам. Например, если злоумышленник сможет взломать хеш и узнать открытый пароль, который используется для доступа к критически важным системам внутри компании, он получит доступ к конфиденциальным данным и ресурсам.

На первый взгляд может показаться, что кибератаки требуют минимальных вложений, но в реальности подготовка и покупка инструментов, особенно для начинающих преступников, обходятся дорого. Приведенная ниже схема описывает стоимость подготовки (с учетом, что преступник начинающий) одного из популярных векторов атак среди злоумышленников.

На этом этапе злоумышленникам необходимо закупить все инструменты и услуги для проведения кибератаки. Первым шагом становится создание инфраструктуры. Для этого они приобретают прокси-серверы и VPN, а также арендуют выделенные серверы (dedicated servers), чтобы создать анонимную и защищенную среду для управления атаками. Следующий этап — покупка инструментария. Одним из ключевых элементов является приобретение CobaltStrike-фреймворков для постэксплуатации и загрузчика. Для того чтобы сделать ВПО полностью необнаруживаемым (FUD — Fully Undetectable) антивирусами, злоумышленники также покупают EV-сертификаты для подписи файлов и криптеры.

Понимая, что их навыков может быть недостаточно (если мы говорим о новичках), киберпреступники обращаются за консультациями по настройке всей инфраструктуры и использованию CobaltStrike. В дополнение они могут присоединяться к банде шифровальщиков, чтобы использовать уже готовое вредоносное ПО и не заниматься его разработкой самостоятельно. Как мы выяснили, чтобы присоединиться к группировке, недостаточно только желание, нужны еще: вступительный взнос и репутация в подполье. Поэтому злоумышленники могут купить либо исходный код шифровальщика, либо билдер.

Для получения доступа в инфраструктуру организации преступники могут пойти несколькими путями: отправить фишинговые сообщения жертвам, искать уязвимости на сетевом периметре или покупать доступы на теневых ресурсах. Например, злоумышленники могут сканировать открытые порты на наличие устаревшего ПО или уязвимости. В случае, если в системе не обнаружены известные уязвимости, хакеры могут воспользоваться услугами повышения привилегий, доступными на теневых рынках.

Подготовительный этап требует значительных затрат. Общие расходы на инфраструктуру, покупку инструментов и услуги, а также консультации могут составлять от 20 000 $. Отметим, что цена может варьироваться в зависимости от приобретаемых продуктов. Использование шифровальщика в формате RaaS означает, что 10–30% от итогового выкупа уходит разработчикам вредоносного ПО.

По данным Coveware, во втором квартале 2024 года средняя сумма выкупа выросла и составила 391 015 $ (рост на 2,4% по сравнению с первым кварталом того же года), а медианная сумма выкупа снизилась до 170 000 $ (снижение на 32% по сравнению с первым кварталом того же года). Поэтому киберпреступники предположительно могут получить 120 000–150 000 $ после выплаты комиссии разработчикам ПО. Если вычесть расходы на все необходимые инструменты и услуги, чистая прибыль злоумышленника может составить 100 000–130 000 $ при успешной атаке.

Для организаций последствия подобных атак могут быть намного серьезнее, чем выплата выкупа. Например, в июне 2024 года технологическая компания CDK Global стала жертвой вымогательской атаки, которая парализовала работу серверов компании на две недели. В результате инцидента около 15 000 автодилеров по всей территории США столкнулись с остановкой продаж. Стоит отметить, что компания заплатила выкуп в размере 25 миллионов долларов, а финансовые потери дилеров из-за простоя системы CDK за первые две недели оцениваются в более чем 600 миллионов долларов.

Как известно, с 2015 года услуги на теневых ресурсах начали перенимать подписочную модель из легального бизнеса. В ходе этой трансформации появились различные подписочные бизнес-модели, выделим четыре наиболее популярных подхода: MaaS (Malware-as-a-Service), RaaS (Ransomware-as-a-Service), PhaaS (Phishing-as-a-Service), DaaS (DDoS-as-a-Service). Благодаря преимуществам подписочной модели распространения продуктов, современному злоумышленнику уже не надо самостоятельно разрабатывать необходимые инструменты для проведения атак. Теперь же подполье больше напоминает легальный бизнес, где предоставляется поддержка клиентов, выходят регулярные обновления (как мы выяснили выше).

С каждым кварталом мы отмечаем появление новых сервисов. Например, фишинговые наборы, распространяющиеся по модели PhaaS (Phishing-as-a-Service, фишинг как услуга): Tycoon 2FA или ONNX. А некоторые из них становятся большой проблемой для организаций. Так, летом 2023 компания Proofpoint предупредила о крупной кампании, в ходе которой с помощью одного из фишинговых наборов было отправлено около 120 000 мошеннических электронных писем сотням организаций по всему миру. Немаловажно, что специалисты Proofpoint отмечали использование этого инструмента группировкой TA4903.

Далее разберем как рынок подполья продолжает развиваться сейчас.

В экосистеме подполья существует свой монополист в сфере шифровальщиков (большинство известных крупных игроков именно там и рекламируют свои продукты). Но доступ на форум получают пользователи с высокой репутацией на других крупных теневых форумах или путем внесения оплаты в размере 500 $. Как мы говорили ранее в исследовании, этот ход отсекает ряд случайных пользователей. Стоит отметить, что на многих англоязычных подпольных площадках запрет на рекламирование и продажу программ-вымогателей отсутствует. При таком подходе создается отдельный рынок дешевых программ-вымогателей. Благодаря низкой стоимости такие ВПО обладают массовой доступностью и охватывают широкую аудиторию. В отличие от сложной инфраструктуры крупных программ-вымогателей, бюджетные вредоносные программы позволяют киберпреступникам действовать дешево и независимо. Они могут нацеливаться на малый и средний бизнес, у которого вряд ли есть ресурсы для защиты или эффективного реагирования на инциденты. После совершения успешной кибератаки злоумышленники могут требовать маленький выкуп (в сравнении с более крупными представителями индустрии). Это побуждает компании выплачивать денежные средства, например, в размере нескольких тысяч долларов, ведь это будет гораздо меньше, чем затраты на расследование и восстановление данных.

Стоить отметить разницу в стоимости исходного кода подобных ВПО. Например, на одном из теневых форумов в объявлении была указана цена исходного кода шифровальщика в размере 8000 $, что почти в 38 раз меньше стоимости его «старшего брата» inc ransom.

Злоумышленники активно адаптируют свои методы для повышения эффективности атак. Одним из таких шагов стало создание теневых аналогов популярных сервисов для проверки файлов на вредоносную активность. Как известно, легальные площадки позволяют пользователям загружать файлы и проверять их на наличие различных вирусов с использованием множества антивирусных движков. Главное отличие теневых проверок файлов от легальных аналогов состоит лишь в том, что легальные площадки делятся данными с компаниями, которые разрабатывают антивирусы. Чтобы не делать этого, неэтичные хакеры создали подпольные аналоги, которые работают по тому же принципу: анализируют файлы на наличие детектирования антивирусами, но при этом не передают результаты в организации, которые занимаются разработкой антивирусов. Такие решения еще раз демонстрируют, как рынок подполья эволюционирует, перенимая технологии легального бизнеса для повышения эффективности и закрывая потребности киберпреступников. 

Например, в январе 2024 года компания в области кибербезопасности Trellix проанализировала одну из программ-вымогателей. Но примечателен здесь не сам анализ, а объявление о вредоносной программе на одном из теневых форумов. Рекламируя шифровальщик, злоумышленник предлагал кастомизацию ВПО для каждой отдельной атаки. Благодаря этому (использованию билдера) вредоносная программа становится лучше подготовлена для атаки на конкретную цель. Это значительно увеличивает вероятность успешного проникновения в системы жертвы и нанесения максимально возможного ущерба.

Существуют также отдельные сервисы для кастомизации вредоносных файлов, после использования которых, например, можно будет обходить проверки VirusTotal (VirusTotal bypass). Это означает, что файл не будет определяться антивирусными программами как вредоносный.

Важным изменением на теневых рынках стало активное введение пробных периодов или демоверсий продуктов. Предоставление бесплатного тестового периода снижает порог входа для потенциальных покупателей. Без необходимости немедленной оплаты они могут оценить продукт без особого риска, что особенно привлекательно в рамках переполненности теневого рынка с множеством предложений, которые соперничают за внимание клиента. Подобные изменения не только позволяют расширить клиентскую базу, но и стимулируют подполье ориентироваться на сервисную модель. 

Киберпреступность постоянно развивается, внедряются новые технологии для улучшения мошеннических схем. Стало известно, что операторы одного из вредоносных программных обеспечений в апреле 2024 года запустили собственный коин (цифровой актив, криптовалюта) и NFT (non-fungible token — цифровой актив, который может быть представлен в виде фотографии, видео и др.) на базе блокчейна TON (The Open Network). Такой шаг может быть новым способом заработка для злоумышленников. В свою очередь, он дает возможность преступникам построить вокруг монеты уникальную экосистему. Например, возможно появится оплачивать продукт или получать эксклюзивные предложения, недоступные для обычных пользователей. 

На одном из теневых форумов появилось нововведение — магазин журналов прямо в панели управления ВПО. Журналы — наборы данных, которые злоумышленники получают после взлома, например учетные записи банковских приложений, социальных сетей, криптокошельков и конфигурации VPN других сервисов. Добываются сведения при помощи стилера (stealer — вредоносное ПО для кражи данных). Для преступников журналы — не просто набор данных, а источник дальнейшей монетизации. В них может скрываться довольно ценная информация, например доступ к администраторской панели сайта, учетные данные крупных аккаунтов в социальных сетях или данные платежных карт. Кроме того, в журналах могут быть конфиденциальные данные, которые полезны для атак на организации, например конфигурации VPN, ключи доступа к репозиториям, SSH-ключи и сведения о 2FA (Two-factor authentication — двухфакторная аутентификация).

Стоит отметить, что на теневых ресурсах можно купить уже украденные журналы. Часто продают старые, уже использованные данные, которые теряют свою актуальность (пароли сменили, сессии истекли, деньги с криптокошельков вывели). Возможно, это повлияло на появление нового элемента в теневой среде — магазина журналов прямо в панели управления. Новшество позволяет продавать уже использованные журналы (но не до конца отработанные) или не подошедшие киберпреступникам. Создав подрынок журналов стилера, злоумышленники расширили свое влияние, что в конечном счете сводится к одному: больше клиентов, больше финансовой прибыли, но и больше потенциальных жертв.

Распространение сервисной модели снижает необходимый уровень знаний для преступников, и такой подход объясняет, почему количество кибератак не снижается. Так, количество инцидентов в 2024 году больше на 16%, чем годом ранее.

Мы предполагаем, что в ближайшем будущем появятся новые виды сервисов, позволяющие проводить кибератаки буквально «в один клик». Возможно, такие решения будут настолько автоматизированы благодаря развитию искусственного интеллекта⁵, что злоумышленнику достаточно будет выбрать цель и нажать «Запустить атаку». Решение откроет дверь для тех, кто раньше не мог участвовать в преступной деятельности из-за недостатка знаний или навыков.

В будущем теневые сервисы, возможно, смогут выйти на новый уровень экосистемности, предоставляя злоумышленникам шанс получать все необходимые инструменты и услуги в рамках одного поставщика. Такие сервисы будут интегрировать оплату, магазины журналов, доступ к эксплойтам и установку дополнительных модулей для вредоносного ПО в единой системе.

EaaS

Еще одним возможным вариантом может стать развитие EaaS (Exploit-as-a-Service— эксплойт как услуга). Как известно, стоимость 0-day-уязвимостей может доходить до миллионов долларов, но не у всех злоумышленников имеются такие средства. Модель EaaS позволит киберпреступникам сдавать в аренду эксплойты вместо продажи одному человеку. В свою очередь, это приведет к увеличению числа злоумышленников, способных эксплуатировать уязвимости, а также к обогащению разработчиков эксплойтов.

Предвестником сервиса уже можно назвать использование злоумышленниками эксплойт-китов (exploit kits — программный пакет, используемый киберпреступниками для автоматизации эксплуатации уязвимостей сайтов и веб-приложений). Одним из примеров является RIG EK. Согласно данным компании PRODAFT, набор эксплойтов достиг высокого уровня использования в 2022 году (треть успешных атак), при этом ежедневно пользователи совершали около 2000 попыток взлома с его помощью.

Первое, что представляется при упоминании Access-as-a-Service (доступ как услуга), — продажа доступов в корпоративную инфраструктуру компаний. Однако эта услуга развивается, появляется продажа аккаунтов от крупного теневого форума. Начиная с декабря 2023 года на теневых ресурсах было размещено множество объявлений о продаже аккаунтов к одной из популярных дарквеб-площадок. Для общего понимания: чтобы стать участником форума, претенденты должны продемонстрировать технические навыки, а также иметь репутацию в киберпреступном сообществе. Мы предполагаем, что рынок продажи аккаунтов от популярных теневых площадок будет продолжать развиваться, что может привести к росту числа злоумышленников, и, соответственно, к увеличению количества кибератак. Ведь теперь вход на закрытые форумы открыт и менее квалифицированным хакерам.

На протяжении первого полугодия 2024 года мы часто слышали об использовании злоумышленниками фреймворка Sliver. Это фреймворк для пентеста с открытым исходным кодом, позволяющий создавать и управлять имплантами, которые могут выполнять различные действия на зараженных системах: повышение привилегий, кражу учетных данных, перемещение внутри периметра. И по итогам третьего квартала Sliver стал одним из трендов у киберпреступников. Сейчас же ситуация складывается следующим образом: на теневых ресурсах начали активно интересоваться Nighthawk⁶. Хотя на момент написания исследования неизвестно, были ли утечки этого инструмента, интерес злоумышленников и готовность платить немалые деньги (например, в одном из объявлений предлагали 50 000 $) говорят о том, что в скором времени мы увидим Nighthawk в руках высококвалифицированных APT-группировок или менее опытных хакеров (после утечки версии трояна на теневых ресурсах). 

Интерес у киберпреступников вызывает и Brute Ratel C4. Инструмент обладает схожими возможностями с CobaltStrike⁷ и был разработан специально для обхода систем обнаружения угроз, таких как EDR-система⁸ и антивирусы. Но в отличие от Nighthawk Brute Ratel C4 стал доступен широкому кругу лиц (версия 1.4.5 в июле 2024 года была выложена в открытый доступ на теневых форумах). Стоит отметить, что этот инструмент уже используют в кибератаках. Например, в июле 2024 года команда Knownsec 404 Advanced Threat Intelligence обнаружила потенциальную атаку на Бутан, организованную группировкой Patchwork (APT-C-09), которая использовала Brute Ratel C4.

На протяжении 2024 года в квартальных аналитиках мы отмечали рост интереса злоумышленников к искусственному интеллекту и инструментам на его базе, который и дальше не будет спадать по ряду причин: ИИ может автоматизировать множество задач, таких как сканирование на наличие уязвимостей, создание фишинговых писем или анализ данных. Кроме того, разработчики ВПО активно внедряют технологию оптического распознавания символов (OCR — optical character recognition), что мы отмечали во втором квартале 2024 года. А в сентябре того же года исследователи McAfee обнаружили новый тип ВПО SpyAgent для Android, который использует OCR для кражи фраз мнемонических ключей (обеспечивает восстановление доступа к криптокошельку в качестве резервного ключа) из изображений на устройстве.

Примечательно, что на теневых ресурсах было найдено вредоносное ПО, в котором используются алгоритмы машинного обучения. Как утверждает продавец, ВПО способно самораспространяться по сети зараженного устройства и может самокопироваться на любые подключенные внешние носители.

Но не стоит забывать и про автоматизированные легальные средства. Существует инструмент для автоматизации тестирования на проникновение от компании Ridge Security — RidgeBot. Например, продукт сам идентифицирует и эксплуатирует уязвимости в системах. Однако стоит отметить, что RidgeBot был выложен на теневых ресурсах (стоимость составляет 1000 $). Утечка делает инструмент доступным для злоумышленников, что может привести к серьезным последствиям. Используя автоматизированный инструмент, киберпреступники способны украсть конфиденциальные данные у компаний и в дальнейшем потребовать выкуп за их возврат. Кроме того, злоумышленники могут нанести серьезный ущерб системам, что приведет к затратам на восстановление стоимостью миллионы долларов.

Возможно, утечки подобных продуктов создадут конкуренцию на рынке киберпреступности, отчего побудят разработчиков ВПО все больше внедрять модули ИИ в инструменты для увеличения ущерба от атак и привлечения новых клиентов (не всегда профессионалов).

На теневых ресурсах злоумышленники активно интересуются и продают EV-сертификаты⁹. Для получения EV Code Signing издатели и разработчики программного обеспечения проходят строгую проверку и аттестацию. Центр сертификации (CA — certificate authority) требует предоставить данные, подтверждающие подлинность компании, например факт существования организации физически и юридически. И теперь злоумышленники берут этот метод на вооружение, так как EV-сертификат не только позволяет обходить средства защиты Windows (например, Microsoft SmartScreen), но и уменьшает шанс обнаружения антивирусами. Мы предполагаем, что подобные услуги будут пользоваться большим спросом у киберпреступников, что ознаменует рост числа предложений на теневых ресурсах. Стоит отметить, что в августе 2024 года компания Intrinsec выпустила отчет о развивающемся рынке использования сертификатов с расширенной проверкой.

Спрос рождает предложение и, конечно, может повлиять на появление мошеннических схем. В теневой экономике некоторые злоумышленники видят хорошую возможность обмана при продаже новых востребованных услуг. Вместо того чтобы действительно предоставлять обещанный продукт, они обманывают клиентов.

В легальном бизнесе есть такое понятие, как ревизор или тайный покупатель — человек, который проверяет качество обслуживания, выдавая себя за обычного клиента. Тайные покупатели оценивают уровень сервиса или качество продукции. Скорее всего, такой метод проверки не обойдет стороной и теневые ресурсы, где продавцы также борются за внимание покупателей. С введением роли «теневого ревизора» конкуренция между поставщиками решений значительно возрастет, что приведет к росту качества киберпреступных услуг.

Примечательно, что зачатки такого направления уже есть в дарквебе. Например, на одном из теневых форумов ввели живую проверку продавцов. Схема работает следующим образом: поставщик выставляет свое предложение и должен выполнить тестовое задание, чтобы показать уровень предлагаемых услуг. Ревизор (представитель площадки с хорошей репутацией) оценивает качество продукта, проверяя тестовое. Если все выполнено на должном уровне, злоумышленник допускается к торговле.

За годы развития теневые ресурсы стали высокоорганизованной экосистемой со своими правилами и теми, кто следит за их выполнением. Есть также и регулирование сделок, чтобы минимизировать риск обмана.

Дарквеб стал настоящей витриной для тех, кто ищет киберпреступные услуги и инструменты для атак. Развитие и укрепление сервисной модели, а также утечки инструментов и пособий открывают двери для злоумышленников любой квалификации. В свою очередь, развитость рынка побуждает пользоваться подпольными продуктами и различные группировки, отчего определить киберпреступников становится все более сложной задачей при расследовании инцидентов. Важно отметить, что «теневые» продавцы пользуются теми же схемами продвижения, как и любая легальная компания, которая хочет привлекать и увеличивать поток клиентов. Это и отзывы покупателей (как положительные, так и негативные), и переход к привлекательным лендингам и удобным интерфейсам.

Особое внимание стоит уделить наблюдаемым трендам. Злоумышленники все больше фокусируются на обходе средств защиты, что подтверждает популярность криптеров и EV-сертификатов на теневых рынках. Одновременно с этим разработчики ВПО продолжают адаптировать инструменты под изменения в браузерах и других системах, чтобы оставаться конкурентоспособными. Развитие технологий также привлекает преступников, и мы видим, что постепенно внедряются модули искусственного интеллекта во вредоносное ПО.

Тенденция к укреплению экосистемности сервисов становится все более очевидной. Некоторые поставщики уже внедряют магазины журналов в панели управления ВПО и создают собственные криптомонеты. Ожидается, что такие сервисы будут включать весь спектр услуг: от покупки журналов и эксплойтов до полного набора инструментов для проведения атак в рамках единой панели управления.

Анализ стоимости кибератак показал, что первоначальные траты на необходимый инструментарий и дополнительные услуги могут начинаться от 20 000 $ (при условии, что злоумышленнику придется все покупать). При этом успешная атака может многократно окупить затраты. Это подчеркивает, насколько высок риск для организаций, которые становятся целями таких атак. Важно отметить, что последствия для компаний — не только выплата выкупа. Например, нарушение бизнес-процессов может нанести колоссальный ущерб в виде убытков в миллионы долларов.

Для организаций это сигнал о необходимости переходить к проактивной защите. Без систематического анализа теневых ресурсов и мониторинга активности злоумышленников невозможно вовремя обнаружить новые угрозы, такие как эксплойты, уязвимости или актуальные инструменты атак. Поэтому первым шагом является налаживание процессов threat intelligence. С учетом приведенных в исследовании трендов и прогнозов, организациям следует переходить к подходу, основанному на идее результативной кибербезопасности. Такой подход к выстраиванию защиты позволит исключить возможность реализации недопустимых событий и нанесения компании неприемлемого ущерба. Недопустимые события, определяемые топ-менеджментом с учетом специфики бизнеса, помогут сфокусировать усилия на предотвращении наиболее критически опасных рисков.

Кроме того, мы рекомендуем применять межсетевые экраны уровня приложений (web application firewall, WAF). Для защиты устройств от современного вредоносного ПО стоит использовать песочницы, которые позволяют проанализировать поведение файлов в виртуальной среде, выявить вредоносную активность и предотвратить потенциальный ущерб. А для проверки результативности уже используемых средств защиты почты можно воспользоваться специальными сервисами. Не следует забывать про сбор и анализ событий безопасности, здесь следует применять системы класса SIEM (security information and event management). Для обнаружения продвинутых атак, расследования инцидентов и оперативного реагирования на угрозы следует использовать XDR-решения (extended detection and response). Организациям следует развивать процессы управления уязвимостями для устранения и отслеживания трендовых уязвимостей. Следует также использовать решения NTA (network traffic analysis) для поведенческого анализа сетевого трафика и обнаружения хакерских атак и другой злонамеренной активности.