Доступ за $10, 0-day за $250 000: цены в дарквебе на 2025 год

Исследователи из компании F6 изучили дарквеб и собрали картину того, как устроены криминальные сделки в теневом сегменте интернета. Там продают всё — от логинов и паролей до подписки на генераторы вредоносных программ и доступов к корпоративным сетям.

От аккаунтов за $10 до 0-day уязвимостей за четверть миллиона

Самое дешёвое — это обычные скомпрометированные аккаунты: логины и пароли от разных сервисов. Средняя цена — около $10. Но есть и «топовые» позиции — например, участие в партнёрских программах вымогателей (так называемые RaaS) может стоить до $100 000, а за 0-day уязвимость просят до $250 000.

Наиболее востребованная категория — это первичный доступ в корпоративную сеть (Initial Access). Цена может начинаться от $100–200, но в зависимости от размера компании и уровня доступа — доходит до $10 000 и выше.

Как устроена теневуха

В отличие от обычного интернета, дарквеб — это закрытая часть Сети, доступная через браузер Tor. Основу инфраструктуры составляют сайты в зоне .onion. Здесь действуют форумы, маркетплейсы и даже «центры техподдержки» для киберпреступников. Много активности уходит и в Telegram — там проще, быстрее и без лишней инфраструктуры.

На форумах почти всегда строгая модерация, система гарантов и закрытые клубы — чтобы не обманывали своих же. В день выкладываются тысячи объявлений. Продают, например:

• базы с персональными и корпоративными данными;
• логины и пароли от VPN, RDP и доменов Active Directory;
• банковскую информацию и лог-файлы с заражённых машин;
• «уникальные» сборки вредоносов, эксплойты и актуальные CVE;
• фишинговые наборы, DDoS-услуги, инструкции по обналу и мошенничеству.

Цена зависит от качества и эксклюзивности данных. Простая база с ФИО, паспортами и ИНН может стоить $100–1000. За чувствительные или редкие данные просят десятки тысяч долларов. Иногда — и больше.

В отдельных случаях злоумышленники публикуют базы бесплатно, просто чтобы нанести ущерб компаниям. В 2024 году в открытом доступе оказалось 455 ранее не засвеченных баз данных российских и белорусских компаний. Почти половина — через Telegram.

Доступ как точка входа

Первичный доступ в сеть жертвы — ключевая цель. Если удаётся продать RDP-доступ или VPN, киберпреступники могут использовать это как старт для атаки. За последние пять лет таких продаж стало в десятки раз больше. В 2019 году — всего 130 лотов, в 2024 году — уже больше 4000.

Иногда продают «оптом» — набор из тысяч доступов, собранных через малварь. Часто объявления выкладываются как аукцион: с описанием компании, географией, масштабами, типом доступа. В одном случае исследователи под прикрытием вышли на продавца, успели установить, о какой компании речь, и предупредили пострадавшую до момента продажи.

Дарквеб по подписке

Всё чаще киберпреступные сервисы работают как обычный SaaS. Например, генераторы вредоносов: заходишь в личный кабинет, собираешь файл, задаёшь параметры, подключаешь телеграм-бота и получаешь логи. Всё — по подписке, с автоматическими обновлениями и технической поддержкой.

Отдельный рынок — фишинг и социальная инженерия. Там есть шаблоны писем, инструменты для подделки интерфейсов, сервисы для массовых рассылок.

В Telegram продаются и данные на заказ — от паспортов и номеров телефонов до недвижимости и остатков на счетах. Часто это стоит несколько тысяч рублей. Используется — для шантажа, целевых атак, корпоративного шпионажа.

Почему это важно

Отслеживание таких теневых активностей позволяет не только фиксировать уже случившиеся утечки, но и выявлять готовящиеся атаки. Иногда достаточно упоминания названия компании или даже фамилии сотрудника, чтобы понять: что-то готовится. И если заметить это вовремя, можно успеть среагировать до начала реальной атаки.