Исследователи из компании F6 изучили дарквеб и собрали картину того, как устроены криминальные сделки в теневом сегменте интернета. Там продают всё — от логинов и паролей до подписки на генераторы вредоносных программ и доступов к корпоративным сетям.
От аккаунтов за $10 до 0-day уязвимостей за четверть миллиона
Самое дешёвое — это обычные скомпрометированные аккаунты: логины и пароли от разных сервисов. Средняя цена — около $10. Но есть и «топовые» позиции — например, участие в партнёрских программах вымогателей (так называемые RaaS) может стоить до $100 000, а за 0-day уязвимость просят до $250 000.
Наиболее востребованная категория — это первичный доступ в корпоративную сеть (Initial Access). Цена может начинаться от $100–200, но в зависимости от размера компании и уровня доступа — доходит до $10 000 и выше.
Как устроена теневуха
В отличие от обычного интернета, дарквеб — это закрытая часть Сети, доступная через браузер Tor. Основу инфраструктуры составляют сайты в зоне .onion. Здесь действуют форумы, маркетплейсы и даже «центры техподдержки» для киберпреступников. Много активности уходит и в Telegram — там проще, быстрее и без лишней инфраструктуры.
На форумах почти всегда строгая модерация, система гарантов и закрытые клубы — чтобы не обманывали своих же. В день выкладываются тысячи объявлений. Продают, например:
- базы с персональными и корпоративными данными;
- логины и пароли от VPN, RDP и доменов Active Directory;
- банковскую информацию и лог-файлы с заражённых машин;
- «уникальные» сборки вредоносов, эксплойты и актуальные CVE;
- фишинговые наборы, DDoS-услуги, инструкции по обналу и мошенничеству.
Цена зависит от качества и эксклюзивности данных. Простая база с ФИО, паспортами и ИНН может стоить $100–1000. За чувствительные или редкие данные просят десятки тысяч долларов. Иногда — и больше.
В отдельных случаях злоумышленники публикуют базы бесплатно, просто чтобы нанести ущерб компаниям. В 2024 году в открытом доступе оказалось 455 ранее не засвеченных баз данных российских и белорусских компаний. Почти половина — через Telegram.
Доступ как точка входа
Первичный доступ в сеть жертвы — ключевая цель. Если удаётся продать RDP-доступ или VPN, киберпреступники могут использовать это как старт для атаки. За последние пять лет таких продаж стало в десятки раз больше. В 2019 году — всего 130 лотов, в 2024 году — уже больше 4000.
Иногда продают «оптом» — набор из тысяч доступов, собранных через малварь. Часто объявления выкладываются как аукцион: с описанием компании, географией, масштабами, типом доступа. В одном случае исследователи под прикрытием вышли на продавца, успели установить, о какой компании речь, и предупредили пострадавшую до момента продажи.
Дарквеб по подписке
Всё чаще киберпреступные сервисы работают как обычный SaaS. Например, генераторы вредоносов: заходишь в личный кабинет, собираешь файл, задаёшь параметры, подключаешь телеграм-бота и получаешь логи. Всё — по подписке, с автоматическими обновлениями и технической поддержкой.
Отдельный рынок — фишинг и социальная инженерия. Там есть шаблоны писем, инструменты для подделки интерфейсов, сервисы для массовых рассылок.
В Telegram продаются и данные на заказ — от паспортов и номеров телефонов до недвижимости и остатков на счетах. Часто это стоит несколько тысяч рублей. Используется — для шантажа, целевых атак, корпоративного шпионажа.
Почему это важно
Отслеживание таких теневых активностей позволяет не только фиксировать уже случившиеся утечки, но и выявлять готовящиеся атаки. Иногда достаточно упоминания названия компании или даже фамилии сотрудника, чтобы понять: что-то готовится. И если заметить это вовремя, можно успеть среагировать до начала реальной атаки.
