Доступ за $10, 0-day за $250 000: цены в дарквебе на 2025 год

Доступ за $10, 0-day за $250 000: цены в дарквебе на 2025 год

Доступ за $10, 0-day за $250 000: цены в дарквебе на 2025 год

Исследователи из компании F6 изучили дарквеб и собрали картину того, как устроены криминальные сделки в теневом сегменте интернета. Там продают всё — от логинов и паролей до подписки на генераторы вредоносных программ и доступов к корпоративным сетям.

От аккаунтов за $10 до 0-day уязвимостей за четверть миллиона

Самое дешёвое — это обычные скомпрометированные аккаунты: логины и пароли от разных сервисов. Средняя цена — около $10. Но есть и «топовые» позиции — например, участие в партнёрских программах вымогателей (так называемые RaaS) может стоить до $100 000, а за 0-day уязвимость просят до $250 000.

Наиболее востребованная категория — это первичный доступ в корпоративную сеть (Initial Access). Цена может начинаться от $100–200, но в зависимости от размера компании и уровня доступа — доходит до $10 000 и выше.

Как устроена теневуха

В отличие от обычного интернета, дарквеб — это закрытая часть Сети, доступная через браузер Tor. Основу инфраструктуры составляют сайты в зоне .onion. Здесь действуют форумы, маркетплейсы и даже «центры техподдержки» для киберпреступников. Много активности уходит и в Telegram — там проще, быстрее и без лишней инфраструктуры.

На форумах почти всегда строгая модерация, система гарантов и закрытые клубы — чтобы не обманывали своих же. В день выкладываются тысячи объявлений. Продают, например:

  • базы с персональными и корпоративными данными;
  • логины и пароли от VPN, RDP и доменов Active Directory;
  • банковскую информацию и лог-файлы с заражённых машин;
  • «уникальные» сборки вредоносов, эксплойты и актуальные CVE;
  • фишинговые наборы, DDoS-услуги, инструкции по обналу и мошенничеству.

Цена зависит от качества и эксклюзивности данных. Простая база с ФИО, паспортами и ИНН может стоить $100–1000. За чувствительные или редкие данные просят десятки тысяч долларов. Иногда — и больше.

В отдельных случаях злоумышленники публикуют базы бесплатно, просто чтобы нанести ущерб компаниям. В 2024 году в открытом доступе оказалось 455 ранее не засвеченных баз данных российских и белорусских компаний. Почти половина — через Telegram.

Доступ как точка входа

Первичный доступ в сеть жертвы — ключевая цель. Если удаётся продать RDP-доступ или VPN, киберпреступники могут использовать это как старт для атаки. За последние пять лет таких продаж стало в десятки раз больше. В 2019 году — всего 130 лотов, в 2024 году — уже больше 4000.

Иногда продают «оптом» — набор из тысяч доступов, собранных через малварь. Часто объявления выкладываются как аукцион: с описанием компании, географией, масштабами, типом доступа. В одном случае исследователи под прикрытием вышли на продавца, успели установить, о какой компании речь, и предупредили пострадавшую до момента продажи.

Дарквеб по подписке

Всё чаще киберпреступные сервисы работают как обычный SaaS. Например, генераторы вредоносов: заходишь в личный кабинет, собираешь файл, задаёшь параметры, подключаешь телеграм-бота и получаешь логи. Всё — по подписке, с автоматическими обновлениями и технической поддержкой.

Отдельный рынок — фишинг и социальная инженерия. Там есть шаблоны писем, инструменты для подделки интерфейсов, сервисы для массовых рассылок.

В Telegram продаются и данные на заказ — от паспортов и номеров телефонов до недвижимости и остатков на счетах. Часто это стоит несколько тысяч рублей. Используется — для шантажа, целевых атак, корпоративного шпионажа.

Почему это важно

Отслеживание таких теневых активностей позволяет не только фиксировать уже случившиеся утечки, но и выявлять готовящиеся атаки. Иногда достаточно упоминания названия компании или даже фамилии сотрудника, чтобы понять: что-то готовится. И если заметить это вовремя, можно успеть среагировать до начала реальной атаки.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Партизанские приложения банков на iPhone живут сутки, но бьют рекорды

Российские банки нашли нестандартный способ вернуть свои приложения на iPhone — теперь они маскируют их под игры или сторонние сервисы, чтобы обойти ограничения App Store. Такие «партизанские» приложения живут там всего сутки, но этого времени хватает, чтобы их успели скачать миллионы пользователей.

Главная причина, как как рассказали «КомерсантЪ», такой настойчивости проста: владельцы iPhone — самая платёжеспособная аудитория. По данным МТС, в этом году на долю iPhone пришлось всего 8% проданных смартфонов в России, но целых 27% выручки.

Игра вместо банка

В конце прошлой недели Газпромбанк и Т-Банк выложили свои приложения в App Store. Долго они там не продержались: каждое удалили примерно через сутки.

Газпромбанк, например, замаскировал своё приложение под игру CashHunter («Охота за богатством»), где нужно «стрелять по летящим купюрам». Разработчиком была указана некая Любовь Веточкина.

В банке объяснили, что с каждой новой версией добавляют улучшения и новая функциональность — в частности, моментальную оплату по QR-коду. Цель — перевести пользователей iOS на обновлённую, более стабильную версию онлайн-банка.

Т-Банк пошёл другим путём: его последнее приложение под названием VibroGym App не маскировалось под игру. Но это уже четвёртая попытка банка за три недели — предыдущие версии удалялись через день-два, максимум продержались пять дней. Несмотря на это, каждое успевало собрать несколько миллионов установок.

По словам представителей Т-Банка, версия всегда была одна и та же, просто под разными названиями. Главное обновление — возврат функции бесконтактной оплаты T-Pay через Bluetooth.

Первыми были в Сбере

Эту же идею первыми протестировали в Сбербанке — ещё в августе они выпустили приложение «Вжух» с оплатой по Bluetooth. Оно продержалось в App Store меньше суток, но его скачали 9,5 млн человек.

Глава Сбера Герман Греф позже отметил, что за первую неделю пользователи сделали через «Вжух» больше платежей, чем с помощью биометрии, и в первую очередь это были владельцы iPhone.

Другие выбирают веб

Не все банки идут по пути «маскировки». В ВТБ решили не рисковать и предлагают клиентам на iPhone пользоваться веб-версией «ВТБ Онлайн». Там доступна та же функциональность, что и в приложении: переводы по контактам, вход по короткому коду, сканирование QR-кодов и т. д.

Почему это работает

Эксперты считают, что такие партизанские операции вполне оправданы. По словам независимого аналитика Максима Митусова, размещение нового приложения в App Store стоит несколько тысяч долларов, и даже если его скачает 10 тысяч человек, проект уже окупается.

Он отмечает, что оплата через Bluetooth стала нишевым решением — ей пользуются несколько процентов активных клиентов. Остальные по-прежнему спокойно платят картами и стикерами, не испытывая неудобств.

Роман Прохоров, глава ассоциации «Финансовые инновации», добавляет, что владельцам Android такие обходные пути просто не нужны — оплата через NFC у них работает без проблем.

В итоге получается любопытный феномен: банки снова и снова «прорываются» в App Store, пусть даже всего на сутки, потому что каждая такая попытка приносит тысячи установок и возвращает связь с самой ценной частью аудитории — пользователями iPhone.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru