За годы развития дарквеб превратился в высокоорганизованный рынок киберпреступности, на котором и опытные злоумышленники, и новички могут найти всё, что нужно для проведения успешных кибератак. Теневые площадки живут по законам легальных рынков: привлекают пользователей с помощью маркетинговых инструментов, работают с лояльностью клиентов, обеспечивают безопасность сделок и своих ресурсов. Рынок перегрет, предложений много, но и спрос высокий. Злоумышленники готовы платить немалые деньги за товары и услуги, зная, что в случае успеха могут многократно окупить затраты.

Мы проанализировали экосистему «темной сети», выяснили, что продают и покупают в подполье, сколько тратят и зарабатывают киберпреступники, а также предположили, как будет развивать дарквеб в ближайшем будущем. Обо всём по порядку — в этой статье.

О методике анализа

Исследование охватывает период с 2023 года по III квартал 2024-го. Мы проанализировали 40 источников на русском и английском языках, в числе которых крупнейшие теневые форумы и маркетплейсы, а также телеграм-каналы различной тематики. Всего изучено более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости, доступы к корпоративным сетям и киберпреступные услуги

Кто обитает в подполье

Для начала скажем пару слов о самом даркнете (darknet) — это скрытая часть глобальной сети интернета. Доступ к ней невозможен через стандартные и известные поисковые системы. «Темная сеть» не регулируется государством, что позволяет пользователям сохранять анонимность с помощью специальных методов шифрования и маршрутизации.

В числе пользователей дарквеба:

? Хактивисты

.Используя теневые ресурсы и некоторые легальные (в том числе Telegram), они организовывают атаки на правительственные системы, публикуют украденные данные или распространяют компрометирующую информацию о целевых объектах. А еще на тех же площадках хактивисты предлагают свои курсы, например по deface, и DDoS-услуги.

? Начинающие злоумышленники

Новички находят в дарквебе уже созданные и доступные инструменты для проведения кибератак, например вредоносное ПО, сети и другие ресурсы. Это позволяет им делать свои грязные делишки с минимальными усилиями. Кроме того, для начинающих злоумышленников подполье — это платформа, на которой они общаются с опытными киберпреступниками и хвастаются перед ними своими успехами. Стоит отметить, что для многих представителей этой касты участие в кибератаках — всего лишь развлечение.

? APT-группировки

Эти группировки часто связаны с государственными структурами или получают поддержку от национальных правительств, что позволяет им использовать передовые технологии и ресурсы для достижения своих целей. Часто они остаются незамеченными в сети жертвы на протяжении месяцев или даже лет. Основные цели их атак: сбор информации в рамках шпионажа, нарушение работы систем КИИ, повреждение корпоративных систем. На теневых ресурсах представители этих группировок могут приобретать различные доступы для проникновения в корпоративные сети и другие услуги.

? Группировки-вымогатели

Банды-вымогатели специализируются на атаках с использованием шифровальщиков с последующим требованием выкупа за восстановление доступа. Дарквеб — ключевая платформа для таких группировок. Здесь они публикуют имена жертв, выкладывают украденные данные, ведут поиск аффилированных лиц и продают шифровальщики по подписке (RaaS, Ransomware-as-a-Service).

? Разработчики вредоносов

Разработчики вредоносного программного обеспечения (или ВПО) занимают чуть ли не главное место в теневой экосистеме. Они создают необходимый софт для проведения кибератак, стремясь сделать его коммерчески успешным и завоевать авторитет на теневых площадках.   

? Все, кому просто любопытно

Несмотря на то, что даркнет обычно ассоциируется с преступной деятельностью, им пользуются и те, кому просто интересно: специалисты по ИБ, студенты и разные исследователи. Они собирают какие-либо данные, например читают комментарии на форумах или изучают актуальные методы атак, не преследуя незаконные цели.

Теневая экосистема

В дарквебе существует своя уникальная экосистема теневых ресурсов. В нее входят:

Форумы

На этих площадках пользователи общаются, обсуждают новости и методы атак, обмениваются опытом и предлагают различные нелегальные товары и услуги. Обычно теневые форумы скрыты от поисковых систем, но некоторые площадки доступны и в «открытом интернете» (clearnet — клирнет).

Многие подобные ресурсы организованы в виде разделов и тем, чтобы пользователям было удобнее ориентироваться. Там есть и «Уязвимости веб-приложений», и отдельный раздел для ВПО, и многое другое.

Форумы живут и зарабатывают благодаря комиссии, например с системы автогарантов (об этом рассказываем ниже). Ощутимый финансовый поток обеспечивается и за счет размещения рекламы. Стоимость таких объявлений может начинаться от 50 $ за месяц.

Еще одна возможность заработка — платное повышение привилегий учетных записей участников форума. За оформление такой подписки пользователи могут получать различные бонусы, например доступ к скрытым сообщениям или возможность выставлять продукты на торговой площадке. Есть и более продвинутая подписка (за 2 000 $ в год, как видно на рисунке ниже), позволяющая собирать данные с форума без блокировки аккаунта. В целом стоимость пакетов варьируется от форума к форуму и начинается от 10 $ в месяц.

Важно отметить, что на некоторые форумы можно попасть только оформив платный доступ или имея хорошую репутацию на других признанных площадках. Это отсеивает «случайных пользователей» и создает сообщество заинтересованных злоумышленников с конкретными целями.

Здесь у каждого своя роль.

Как и в любой другой коммерческой экосистеме, на теневых площадках есть своя структура и иерархия, которая обеспечивает их функционирование.

• Администратор владеет платформой и несет ответственность за ее техническую и организационную работу. Его задача — поддерживать доверие к площадке.

• Гарант-сервис используется при совершении не особо крупных сделок. Это посредник, который в целях безопасности удерживают средства покупателя до тех пор, пока тот не подтвердит получение товара или услуги. Когда речь идет о более масштабных операциях, гарантом выступает кто-то из администраторов или пользователь с хорошей репутацией посредника. За такие услуги причитается награда — от 4% от суммы сделки, точную стоимость устанавливает администрация площадки.

• Арбитр помогает разрешать споры и проблемы, возникающие между участниками сделки. Можно сказать, это местный регулирующий орган.

• Модераторы следят за соблюдением правил на форуме, проверяют сообщения на наличие мошенничества, могут вступать в дискуссии.

• Продавцы и покупатели создают спрос на рынке. Чтобы подтвердить свою честность и заслужить лояльность площадки, торговцы «темной сети» проходят верификацию — вносят депозит на счет форума. В случае обмана эти средства могут быть удержаны и переданы пострадавшей стороне.

• Привилегированные участники и обычные пользователи — основная часть аудитории подполья. Они создают среду для оборота нелегальных услуг и товаров и в целом формируют сообщество «темной сети».

Есть строгие правила

Теневые ресурсы, как и открытые площадки, регулируют общение среди участников и торговлю товарами и услугами. В целом запреты стандартные: спам, токсичное поведение, доксинг, публикация вредоносных ссылок и файлов (которые направлены на заражение самих участников).

Интересно: на русскоязычных форумах запрещается работа (вредоносная активность) на территории России и стран СНГ. Например, именно по этой причине продавец Meduza Stealer был заблокирован на одном из форумов.

Запрещена и реклама программ-вымогателей, а также поиск сотрудничеств для их распространения. Но такое ограничение успешно обходится. Например, банды шифровальщиков ищут аффилированных лиц под предлогом найма пентестеров в команду или поиска поставщиков доступов в корпоративные сети.

Маркеты

Дарквеб-маркетплейсы работают по принципам легальных платформ электронной коммерции и получают процент с каждой продажи. На таких площадках размещаются разные нелегальные товары и услуги, например украденные данные, ВПО, взлом систем на заказ. Доступ к некоторым «темным маркетплейсам» можно получить только при одном условии — оплатить его.

Telegram

Этот мессенджер занимает важное место в плане по организации рынков киберпреступных товаров, позволяя реализовывать сразу несколько функций:

Коммуникацию: часто киберпреступники обсуждают подробные условия соглашений лично, не указывая всех деталей в объявлениях. Основными каналами для переговоров являются как раз мессенджеры. Помимо Telegram, еще используются Tox, Element, Briar.

Маркетинг: продавцы создают каналы для продвижения своих товаров, там они публикуют информацию о важных обновлениях, скидках и акциях, читают отзывы покупателей.

Проведение сделок: в 2021 году рынок киберпреступности расширил свое влияние, частично перейдя в Telegram. Это было связано с закрытием больших площадок в даркнете. Возможно, из-за усиления модерации в мессенджере киберпреступники в скором времени обратно перейдут на форумы или будут создавать свои альтернативы (Telegram или форумы).

Бизнес-инструменты

Теневые платформы часто воспринимаются как мир без правил, но в реальности дарквеб работает по принципам легального рынка. Так, в подполье репутация и статус играют важную роль, там высокая конкуренция. Это стимулирует продавцов улучшать товары и услуги, а также форсировать лояльную клиентскую базу. Кроме того, в «темной сети» широко используются инструменты маркетинга для привлечения внимания клиентов. А еще владельцы площадок защищают свои системы от кибератак, в том числе с помощью программ багбаунти.

Ценообразование

В даркнете цены формируют двумя основными способами: либо продавец сам устанавливает фиксированную стоимость, либо проводятся торги. Аукционы часто используются для редких или уникальных товаров, таких как эксплойты нулевого дня или эксклюзивные наборы данных, а также доступы к инфраструктурам организаций. Например, злоумышленник может ставить начальную цену лота и указывать шаги повышения стоимости.

Валюта

Основной инструмент оплаты в дарквебе — криптовалюта: Bitcoin (BTC), Monero (XMR) и другая. Это можно объяснить несколькими причинами. Во-первых, криптовалюты обеспечивают высокий уровень анонимности, что критически важно для пользователей нелегальных рынков. Во-вторых, часть криптовалют децентрализована и не контролируется государствами. И в-третьих, это средство платежа удобно использовать для международных транзакций — здесь не требуется участие посредников, в частности банков, что снижает риск ареста и упрощает ведение дел в глобальном масштабе.

Витрина дарквеба

Теперь переместимся в торговые ряды дарквеба и посмотрим, чем-же торгуют на киберпреступном рынке.

Вредоносное ПО

Одну из ключевых ролей в арсенале злоумышленников играет ВПО. Так, по итогам III квартала 2024 года вредоносы применялось в 65% успешных атак на организации.

Среди всех проанализированных объявлений, посвященных вредоносному ПО, более половины (53%) относится к продаже. Это значит, что рынок ВПО в основном ориентирован на коммерческую модель — злоумышленников монетизируют свои инструменты. Запросы на покупку составляют 41%. Пользователи часто ищут проверенные инструменты, соответствующие конкретным требованиям. Например, RAT для Android должен записывать экран в реальном времени, а стилер — красть информацию из всех современных криптокошельков. Раздача вредоносных инструментов встречается в 1% случаев. Это может быть связано с попытками повысить репутацию автора в сообществе.

Если рассматривать сообщения о продаже в разрезе типов ВПО, то здесь лидируют инфостилеры (19%). Возможно, они так популярны из-за довольно низкой цены: стоимость начинается от 20 $, а медианное значение составляет 400 $.

Следом идут криптеры и инструменты для обфускации, доля которых составила 17%. Связано это с тем, что за небольшие деньги (цена начинается от 10 $) киберпреступники получают эффективные средства для обхода антивирусных программ.

Тройку лидеров замыкают загрузчики с долей в 16%. Они часто используются злоумышленниками в качестве начальной точки входа в систему жертвы, поскольку помогают обойти средства защиты и доставить другие типы вредоносного ПО, например стилеры или программы для удаленного управления. Цена загрузчиков может начинаться от 50 $, медианное стоимость достигает 400 $.

Цены на ВПО сильно варьируются в зависимости от типа вредоноса и набора его функций. При этом большая часть программа продается по подписке (1 неделя – 1 месяц – 3 месяца – 1 год).

Наиболее дорогостоящий тип ВПО — шифровальщик. Медианная цена составляет 7 500 $, но есть предложения и за 320 000 $. Обусловлено это тем, что большинство объявлений о продаже касается именно исходного кода. В основном шифровальщики распространяются по партнерской программе (RaaS — Ransomware-as-a-Service). А сами участники обычно получают 70–90% от выкупа жертвы. Чтобы попасть в партнерскую программу, кандидат должен заплатить 5000 $–1 BTC (≈104 123 $). Также важна репутация не теневых форумах. Став участником группировки, партнер получает «плюшки», например доступ к актуальной версии билдера и различные мануалы, описывающие шаги для подготовки инфраструктуры или повышения привилегий в системе жертв.

Кстати, мануалы — еще одно средство заработка злоумышленников. Например, один из таких гайдов некогда продавался на теневых площадках за 10 000 $ от лица партнера LockBit.

Высокая стоимость шифровальщиков, комиссия разработчиков, платный доступ к форумам-монополистам — все это привело к формированию рынка дешевых программ-вымогателей. Они доступны широкой аудитории, злоумышленники могут использовать их в атаках на средний и малый бизнес и не делиться своим заработком с владельцами и продавцами. 

Разница на лицо: на одном из теневых форумов в объявлении была указана цена исходного кода шифровальщика в размере 8 000 $ — это почти в 38 раз меньше стоимости его «старшего брата» inc ransom.

Медианная стоимость исходного кода дешевых шифровальщиков на одной из теневых площадок составляет 400 $. Цена может начинаться от 50 $.

Утечки мануалов

Для тех, кто все же хочет воспользоваться крупным ВПО, но не имеет денег и репутации, в даркнете найдутся утекшие инструменты и информация. Например, в 2021 году недовольный партнер банды шифровальщиков Conti опубликовал на одном из теневых форумов руководства и технические мануалы. Утекшие инструкции использовались для обучения участников партнерской программы группировки.

Стоит отметить и утекшие билдеры группировок шифровальщиков. Например, часть из них датируются 2022 годом, но эти ВПО до сих пор используются киберпреступниками в атаках, поэтому к ним проявляют интерес в подполье. Например, по итогам расследований инцидентов наиболее часто в атаках типа Cybercrime использовался шифровальщик LockBit: его доля составила 37%. Немаловажно, что на основе подобных утечек могут появляться и новые представители индустрии RaaS.

Утечки мануалов и билдеров шифровальщиков в дарквебе снижают барьер для входа в мир кибератак и помогают «выращивать» внутри подполья новых преступников. Важно подчеркнуть, что этими инструментами могут пользоваться и продвинутые злоумышленники, атакуя государственные предприятия с целью полного уничтожения данных и инфраструктуры.

Сервисы и кастомизация вредоносов

Злоумышленники постоянно совершенствую свои инструменты, в том числе с помощью теневых аналогов популярных сервисов для проверки файлов на вредоносную активность. Киберпреступники анализируют свои программы, смотрят, обнаруживают ли их антивирусы. Одна проверка стоит 0,1 $. Можно оформить ежемесячные подписку — от 25 $.

В даквебе также встречаются отдельные сервисы для кастомизации вредоносных файлов, после использования которых, например, можно будет обходить проверки VirusTotal (VirusTotal bypass). То есть файл не будет определяться антивирусными программами как вредоносный.

MalDev-комьюнити

Деятельность в дарквебе, связанная с ВПО, не ограничивается покупкой и продажей готовых инструментов. За время существования «темной сети» в ней успешно сформировалось MalDev-сообщество. Внутри него развиваться гораздо более сложная экосистема, которая включает услуги по созданию, доработке и адаптации вредоносных программ под конкретные запросы заказчиков. Например, за дополнительную плату клиенты могут попросить опытных разработчиков изменить или улучшить уже существующее ВПО.

MalDev-сообщество привлекает и менее профессиональных пользователей, которые хотят изучить основы разработки вредоносов. Новички в дарквебе просят наставлений от более опытных участников.

В подпольном сообществе активно делятся мануалами и примерами кода, которые помогают новичкам создавать простые вредоносные инструменты, такие как загрузчики, стилеры или RAT.

Уязвимости и эксплойты

И злоумышленники, и исследователи в области кибербезопасности активно ищут уязвимости. Первые пишут эксплойты, чтобы использовать уязвимость в злонамеренных целях, а вторые создают их в качестве демонстрации слабых мест в системе (PoC — Proof of concept).

Из всех проанализированных сообщений, 69% посвящены продаже эксплойтов. К теме «Покупка» относится почти треть сообщений (27%), что отражает значительный спрос на подобные инструменты среди злоумышленников.

Информация об уязвимостях и эксплойтах высоко ценится на теневых рынках. Так, 32% эксплойтов, выставленных на продажу, относятся к уязвимостям нулевого дня. Их стоимость может доходить до миллионов долларов, и часто вместе с покупкой злоумышленники получают подробные инструкции по эксплуатации этих недостатков безопасности.

Доступы

Продажа доступов к корпоративным сетям компаний — довольно прибыльный бизнес, и занимаются этим отдельные представители киберподполья, а именно брокеры первоначального доступа (IAB — Initial access brokers). Они получают доступы к системам жертв, используя разные методы: эксплуатирую уязвимости, рассылают фишинговые письма, подбирают пароли.

Большинство объявлений в категории «Доступы» относится к продаже — 72%, тогда как сообщения о покупке составляют лишь 14%. Преобладание первых отражает тенденцию к так называемому «разделению труда» в киберпреступной среде. Одни злоумышленники добывают доступы, а другие — используют их в атаках.

В большинстве объявлений (62%) доступы предлагаются по низкой цене — до тысячи долларов. Обычно на стоимость влияет доход компании, поэтому есть и дорогостоящие предложения (7%) — за несколько десятков тысяч долларов. Как правило, это доступы к финансовым учреждениям, промышленным предприятиям и компаниям в сфере услуг.

На теневых ресурсах продаются доступы различного типа. Треть объявлений содержит предложения с подключением по протоколам VPN или RDP. Популярными также являются доступы с возможностью подключения при помощи оболочки Shell и программ удаленного доступа, таких как AnyDesk, Citrix. Их доля составила 11 и 10% соответственно.

Из всех проанализированных объявлений 20% относится к сфере торговли. Следом идут сфера услуг (17%) и промышленность (16%).

Услуги

Сюда относится настройка серверов, разработка фишинговых страниц, аренда ИТ-инфраструктуры и другие услуги, которые помогают реализовывать атаки. 

Почти треть объявлений (29%) входят в категорию «Кардинг» и содержит такие данные, как номер карты, год и месяц окончания ее действия, CVV-код, данные держателя, номер телефона, адрес и электронную почту. Злоумышленники используют эту информацию для покупок различных товаров или обналичивания денег. Кардинг часто становится первой ступенью для новичков в мире киберпреступлений благодаря его относительной простоте.

Следом идет категория «Перенаправление трафика и инсталлы» (загрузочный трафик), составляющая 16% от общего числа сообщений. Такие услуги обеспечивают переход пользователей на определенный ресурс, например на фишинговую страницу или сайт с ВПО. Работает это следующим образом: пользователи кликают на рекламу и попадают на подготовленный фишинговый ресурс, где им предлагается установить вредоносную программу под видом легального и безопасного ПО.

Для успешной реализации атак киберпреступникам требуется надежная инфраструктура. Доля сообщений на эту тему составила 5%. Они рекламируют широкий спектр услуг: от хостинга и прокси-серверов до VPS и VPN или выделенных серверов (dedicated servers). Цена на VPN начинается от 4 $ в месяц, на аренду выделенных серверов — от 100 $ в месяц.

Услуги по взлому ресурсов пользуются большим спросом в дарквебе, на них приходится 49% сообщений. Но чаще всего они связаны не с громкими атаками на организации, как принято думать, а с более простыми задачами: доступом к личным данным, взломом аккаунтов в социальных сетях и мессенджерах, поиском уязвимостей на сайтах или компрометацией корпоративных почт. Такие услуги покупают не только злоумышленники и частные лица, но и компании, стремящиеся получить преимущество над конкурентами.

Цены на взлом личного аккаунта в почте начинаются от 100 $, корпоративного — 200 $. Стоимость может варьироваться в зависимости от успеха атаки. Так, на одном из теневых форумов предлагалась услуга по взлому телеграм-аккаунта за 7 000 и 9 000 рублей с вероятностью успеха 50 и 70% соответственно.

Опции для привлечения внимания клиентов

Реклама, как известно, двигатель торговли и всевозможные маркетинговые приемчики в виде акций, скидок и прочей заманухи работают на теневом рынке так же, как и везде. Как же заманивают в дарквебе?

Мода на демоверсии

Продавцы активно вводят опцию пробного периода. Покупатели получают возможность бесплатно познакомиться с продуктами. Это выглядит довольно привлекательно, ведь теневой рынок переполнен, продавцы соперничают за внимание клиентов. 

Магазины внутри вредоносов

На одном из теневых форумов появилось интересное нововведение — магазин журналов прямо в панели управления вредоносного ПО. Не нужно тратить время на поиск отдельных объявлений — удобно, неправда ли? Для преступников журналы — не просто набор данных, а источник дальнейшей монетизации. В них может скрываться довольно ценная информация, например доступ к администраторской панели сайта, учетные данные крупных аккаунтов в социальных сетях или данные платежных карт. Кроме того, в журналах могут быть конфиденциальные сведения, которые полезны для атак на организации, например конфигурации VPN, ключи доступа к репозиториям, SSH-ключи и сведения о 2FA.

Бешеные деньги: сколько стоит атака

На первый взгляд может показаться, что кибератаки требуют минимальных вложений, но вы видели цены. В частности, новичкам придется потратить круглую сумму на покупку необходимых инструментов. Мы посчитали, во сколько им обойдется подготовка с нуля популярного сценария фишинговых атак, в котором используется шифровальщик.

Получилось 20 000 $. Сюда входит аренда выделенных серверов, покупка подписки на VPN-сервисы и другие инструменты, приобретение исходного кода ВПО или готового вредоноса по модели RaaS, а также загрузчиков, фреймворков для постэксплуатации и программ для маскировки от средств защиты. Кроме того, новички могут обратиться за консультацией к более опытным киберпреступникам или присоединиться к банде шифровальщиков, купить доступ к целевой инфраструктуре и данные о компании, а также воспользоваться любыми другими услугами, которые облегчат им задачу.

Но даже потратив такую сумму, они могут заработать на успешной атаке в пять раз больше — 100 000–130 000 $. Причем это чистый доход. Подробные расчеты ищите в полном исследовании.

Как будет развиваться рынок дарквеба

? Сервисов по подписке станет еще больше, в скором времени эта модель может проникнут в сегмент эксплойтов и в полной мере затронуть теневые форумы. Так, начиная с декабря 2023 года на ресурсах дарквеба было размещено множество объявлений о продаже аккаунтов к одной из популярных площадок, на которою начинающим злоумышленникам очень сложно попасть.

? Возрастет интерес злоумышленников к EV-сертификатам и продвинутым инструментам, таким как Nighthawk и Brute Ratel C4 (фреймворки для постэксплуатации).

? На теневых площадках может появиться опция тайного покупателя для оценки уровня сервиса и качества продуктов. Зачатки такого направления уже есть в дарквебе. Например, на одном из теневых форумов ввели живую проверку продавцов: поставщик публикует свое предложение и выполняет тестовое задание, которое проверяет представитель площадки.   

? Появятся инструменты с модулями искусственного интеллекта: полагаем, злоумышленники создадут новые виды сервисов, которые благодаря автоматизации позволят проводить кибератаки буквально в один клик.

? В целом дарквеб в скором времени может выйти на новый уровень экосистемности: у злоумышленников появится возможность покупать все необходимые инструменты и услуги у одного поставщика.

---

Спасибо, что дочитали эту статью до конца. В полной версии исследования на нашем сайте вы можете узнать подробнее о том, как устроен дарквеб, по каким законам он работает и развивается, за что злоумышленники готовы платить большие деньги и как новички становятся асами. А еще там намного больше интересных примеров.

До новых исследований!