Хакерский рынок. Цена хакерских услуг в даркнете составляет от $10 до $250 тыс.

АО "Будущее" (ИБ-компания F6) опубликовало исследование, посвященное криминальным сделкам в даркнете по продажам баз персональных данных, вредоносного программного обеспечения и доступа в корпоративные сети. Оказалось, что самыми дорогими лотами среди злоумышленников являются доступы в партнерские программы вымогателей - за них придется заплатить до $100 тыс., и уязвимости нулевого дня, их цена доходит до $250 тыс. Самыми дешевыми стали учетные записи от аккаунтов - такие уходят в среднем по $10 за штуку. А самыми востребованными - доступ в корпоративные сети: в зависимости от компании их цена может превысить $10 тыс.

Руководитель отдела исследования и мониторинга андеграунда департамента киберразведки (Threat Intelligence) компании F6 Лада Крюкова рассказала, что аналитики компании сочетали автоматизированный и ручной подходы для анализа активности на даркнет-форумах. Они делали упор не только на появлении новых тем и сообщениях о продажах от авторов готовых продуктов и услуг в даркнете, но и следили за деятельностью злоумышленников в целом: на каких площадках функционируют сервисы, какие смежные услуги могут потребоваться для сбыта скомпрометированной информации, оценивали качество предоставляемых услуг (нередко встречаются и мошеннические сервисы, не предоставляющие никаких услуг), профили продавцов, обсуждения в коммьюнити, а также принимали во внимание другие аспекты андеграундных рынков.

"Таким образом, просто публикация объявления на теневом ресурсе не всегда является необходимым и достаточным условием для того, чтобы сразу однозначно отнести его к какой-либо категории", - рассказала она.

Невидимая рука черного рынка

Авторы исследования определяют даркнет, или Dark Web, как скрытый уровень мировой Сети, который не индексируется обычными поисковыми системами. Его основу составляют сайты с доменной зоной .onion, доступ к которым можно получить только через сеть Tor. Анонимностью доменной зоны пользуются злоумышленники для организации криминальных форумов и маркетплейсов.

"При этом значительная доля преступной активности может происходить и за пределами Dark Web - в приватных группах, мессенджерах, включая Telegram. Исследователи подчеркивают, что большинство андеграундных форумов работают в условиях строгой модерации, закрытого членства и системы гарантов, чтобы исключить случаи внутреннего мошенничества при совершении криминальных сделок. Ежедневно в дарквебе публикуются тысячи объявлений, среди которых можно встретить предложения о продаже: скомпрометированных баз данных (массивы корпоративных и пользовательских данных); скомпрометированных учетных записей; доступов в корпоративные сети (VPN, RDP, Active Directory и т.д.); банковской информации; логов, собранных вредоносным ПО", - говорится в сообщении F6.

Лада Крюкова отметила, что теневые рынки хакеров работают так же, как и обычные. В каждой нише есть злоумышленник-продавец и злоумышленник-покупатель, а на решение о покупке товаров и услуг влияет общая оценка качества сервисов. В нее входят, например, репутация продавца (почти на всех известных площадках есть система рейтинга, счетчик успешных сделок, модерация и верификация продаваемого продукта), наличие сервисов-гарантов (сделки проводятся через посредника-администратора или бота форума, которые замораживают средства до получения подтверждения от покупателя), демодоступы и материалы (они служат как доказательства реальности предложения) и система постоплаты.

"Не стоит забывать, что вся деятельность в андеграунде направлена на анонимность, поэтому и оплата товаров зачастую ведется в популярной криптовалюте (BTC, XMR, и др.), иногда встречается внутренняя валюта форумов, но она менее популярна. Классические платежи легитимными методами практически не встречаются из-за рисков деанонимизации", - рассказала она.

https://www.comnews.ru/content/238227/2025-03-13/2025-w11/1010/bankovsk…

Цена лота

Согласно данным исследования, на черном рынке хакеров можно найти самые разные предложения, но их можно поделить на две группы. Первую условно можно назвать результатами хакерской деятельности, а вторую - инструментарием хакеров.

Первая группа включает в себя такие "товары", как доступ в корпоративные сети, базы персональных данных, базы данных клиентов, подписка в партнерские программы вымогателей, доступ к учетным записям, эксплоиты и уязвимости нулевого дня и т.д. Самыми дорогими лотами являются уязвимости нулевого дня и подписка на партнерство, их цена может доходить до $250 тыс. и $100 тыс. соответственно, а самыми дешевыми - доступ к учетной записи (средняя цена от $10 до $150 за аккаунт) и базы персональных данных (от $100 до $1000).

"Согласно годовому аналитическому отчету F6 "Киберугрозы в России и СНГ", за последние пять лет отмечается рост продаж доступов к корпоративным сетям компаний по всему миру: если в 2019 г. было выставлено всего 130 лотов, то в 2024 г. - более 4000. Причем нередко в рамках продажи одного лота злоумышленники предлагали набор доступов, состоящий от нескольких десятков до нескольких тысяч доступов, полученных при помощи различного вредоносного ПО. Например, на одном из даркфорумов регулярно появляются объявления о продаже доступов в корпоративные сети в формате аукциона: злоумышленники указывают, какой компании принадлежит инфраструктура, какие у нее масштабы, из какой она страны и каким доступом располагает (например, VPN, RDP или Active Directory-учетки)", - говорится в исследовании.

Инструменты для злоумышленников, судя по результатам F6, обходятся злоумышленникам в десятки раз дешевле. Исследователи компании выделили несколько категорий таких продаж, в них вошли: вредоносное ПО (к нему относятся бэкдоры, стиллеры, кейлоггеры и т.д.), фишинговые комплекты (готовые шаблоны сайтов и скрипты сбора данных), услуги DDoS-атак, сервисы по обналичиванию, мошеннические схемы и мануалы, услуги пробива информации. Средний ценник варьируется от $10 до $5000, при этом в некоторых случаях (чаще всего за услуги обнала украденных со взломанных аккаунтов и криптокошельков средств) продавцы требуют процент от суммы украденного.

"С экономической точки зрения, как отмечают аналитики, эффективнее всего себя в криминальном мире показывают модели SaaS (сервисы по подписке). Например, некоторые злоумышленники предлагают доступ к платным платформам для генерации вредоносных программ: атакующим достаточно через личный кабинет собрать уникальный исполняемый файл, задать ему параметры - от имени иконки до шифрования сетевого трафика, подключить Telegram-бота для получения логов, загрузить билд и начать атаку. Отдельный сегмент дарквеба - арсенал хакера: предлагаются вредоносные программы, исходные коды, эксплойты и базы с актуальными уязвимостями. Широко распространены инструменты для фишинга и атаки с использованием социальной инженерии - от шаблонов писем до готовых платформ, где любой желающий может "собрать" вредонос под нужные параметры. Все это - на подписке, как обычный SaaS, только для преступников", - говорится в исследовании.

https://www.comnews.ru/content/238094/2025-03-05/2025-w10/1008/okhotnik…

Не даркнетом единым

Исследователи отметили возрастающую роль Telegram как площадки для публикации украденных баз данных. Согласно сообщению F6, в закрытых чатах и группах мессенджера в два раза больше публикаций с ворованной информацией, чем на хакерских форумах.

С этим согласился руководитель BI.ZONE Threat Intelligence ООО "БИЗон" Олег Скулкин. Он отметил, что злоумышленники объявляют об утечках персональных данных в Telegram и соцсети X. Там новые сообщения появляются в среднем в три раза чаще, чем на форумах в даркнете. При этом Telegram является главной платформой для коммуникаций между хактивистами, атакующими Россию и другие страны СНГ. По его словам, более 85% их кластеров располагаются в мессенджере.

"В этих каналах злоумышленники освещают результаты реализованных атак, подкрепляя сообщения доказательствами в виде скриншотов скомпрометированных систем и украденных данных. Более трети кластеров используют соцсеть X, а 6% кластеров разрабатывают для публикации данных собственные теневые веб-ресурсы, используя для них название кибергруппировки. Общая сумма превышает 100%, поскольку один и тот же кластер может использовать сразу несколько площадок", - рассказал Олег Скулкин.

Он отметил, что ключевая причина популярности Telegram - удобство платформы, а не желание привлечь общественное внимание. Не последнюю роль играет и популярность мессенджера среди пользователей на территории СНГ.

"Роль Telegram и других мессенджеров выросла лавинообразно с момента их появления и с тех пор не менялась, но это надстройка для оперативного взаимодействия, и, собственно, даркнет они подменить или заменить не смогут. Персональные данные выкладываются туда для повышения оперативности их использования. Почему именно этот мессенджер? Потому что WhatsApp себя сильно скомпрометировал: еще во второй половине 2010-х годов стало известно, что он "сливает" данные западным спецслужбам, что Цукерберг признал в 2020 г. публично", - рассказал директор по информационной безопасности ПАО "Группа Астра" Дмитрий Сатанин.

https://www.comnews.ru/content/238167/2025-03-10/2025-w11/1002/doveryat…

D-3

"Персональные данные не просто так стали называть новой нефтью: за них готовы платить многие легальные структуры, постоянный устойчивый спрос на эти сведения есть и в киберпреступном мире. В первую очередь злоумышленников интересуют базы данных с телефонными номерами пользователей, ФИО, датами рождения, паспортными данными, электронными почтовыми адресами, адресами проживания и места работы, а также паролями и IP-адресами", - рассказала Лада Крюкова.

Она отметила, что в любой компании существует риск утечки персональных данных, который зависит от целого ряда факторов. Однако вероятность утечки снижается при условии, что компания уделяет должное внимание кибербезопасности системы, настраивает, внедряет и использует средства защиты от разного вида угроз и т.д. Введение новых мер регуляторами, по ее мнению, косвенно усилит стимул введения новых инструментов защиты информации.

"Организации, которые собирают персональные данные, нередко воспринимают такие данные как товар, но не как информацию, которая потенциально может нанести серьезный вред человеку при попадании в распоряжение злоумышленников, и не предпринимают необходимых мер для защиты от киберугроз. Злоумышленники активно этим пользуются", - сказала Лада Крюкова.

По мнению Дмитрия Сатанина, оборотные штрафы приведут к активизации "бумажной" безопасности и ужесточению внутренних организационно-режимных мер, таких как повышение осведомленности персонала. Оборотные штрафы, по его мнению, простимулируют ИБ-подразделения компаний наращивать компетенции, связанные с отечественными решениями, а это приведет к росту качества и уровня интеграции российских разработок в области кибербезопасности.

"Публикация и продажа скомпрометированных баз данных уже долгие годы занимает одну из основных ниш на теневом рынке. Злоумышленники могут публиковать базы данных в открытом доступе с различными целями: нанесение ущерба репутации компании или распространение персональной информации. В случае, если объем утекших данных невелик, они могут выбрать открытую публикацию вместо продажи, стремясь к получению репутации на андеграундных форумах и Telegram-сообществах. Многие пользователи редко меняют пароли, а контактные данные, такие как электронная почта и телефонные номера, и вовсе могут оставаться актуальными довольно долгое время, что лишний раз подстегивает киберпреступность "поживиться" результатами пользовательской неосторожности в интернете", - заключила Лада Крюкова.

https://www.comnews.ru/content/239298/2025-05-21/2025-w21/1008/spros-ki…