По состоянию на 2025 год даркнет продолжает оставаться центром развития и инноваций для киберпреступников, эксплуатирующих новые уязвимости и монетизирующих украденные данные. Аналитикам центров безопасности (SOC), группам реагирования на инциденты и исследователям, занимающимся анализом угроз, крайне важно понимать, что может предложить подполье, чтобы предвидеть развитие угроз и выстраивать упреждающую защиту. Экономика незаконных данных гораздо сложнее, чем просто техническое распознавание инициированного события. Она очень динамично основывается на спросе и предложении, ценообразовании и инновационных моделях преступного бизнеса.
Форумы и торговые площадки даркнета служат рынками услуг, где киберпреступники продают украденную информацию, взломанные инструменты, данные и/или учётные данные. В отличие от чёрных рынков, эти незаконные торговые площадки работают независимо от локальных рынков, практически в любое время суток, без установленного графика работы. Эти скрытые интернет-платформы стали глобальны, практически превратившись в индустриальную экономику угроз, где любому заинтересованному лицу могут предложить огромные объёмы украденных данных и учётных записей. Они больше не представляют собой примитивные базары с продавцами-любителями, а стали сложной экосистемой. На форумах представлены организованные системы репутации поставщиков, списки по категориям и механизмы обратной связи с клиентами, которые могут способствовать росту доверия и повторному вовлечению клиентов в киберпреступную экосистему. Существует всё: от необработанных украденных данных до специализированных фреймворков для атак, предлагаемых в виде услуг, таких как «вредоносное ПО как услуга» (Malware-as-a-Service — MaaS) и «программы-вымогатели как услуга» (Ransomware-as-a-Service — RaaS).
В 2025 году доступ к корпоративным сетям стал одним из самых востребованных предложений. Услуга Initial Access Broker (IAB), или листинг, позволяет покупателям получить «готовый к использованию» доступ к организации. Покупатели могут использовать его для приобретения точек входа в целевую организацию, откуда злоумышленники могут запустить кампанию по вымогательству, похитить конфиденциальные данные или заняться шпионажем, не используя первоначальные уязвимости. Специализация позволяет злоумышленнику сосредоточиться на своей основной деятельности, что, в свою очередь, повышает ценность теневой экономики, где каждое звено в цепочке атак может монетизироваться независимо.
В этом году наблюдается рост числа краж учётных данных более чем на 160% из-за автоматизированных фишинговых кампаний, социальной инженерии с использованием искусственного интеллекта и постоянных утечек данных. Преступники теперь обмениваются связками корпоративных и частных имён пользователей и паролей, уделяя особое внимание парам учётных данных, которые обеспечивают доступ к таким ценным сервисам, как сервисы электронной почты, системы совместной разработки и др. В таких больших системах злоумышленнику очень легко осуществлять атаки с подменой и захватом аккаунтов, не будучи остановленным традиционным периметром безопасности или средствами защиты. Мониторинг учётных данных организаций стал сегодня неотъемлемой частью анализа угроз для системных администраторов, как самих платформ, так и центров обработки данных (ЦОД).
Более того, растущее предложение удобных решений MaaS и RaaS позволяют арендовать вредоносные инструменты и инфраструктуру профессионального качества, не требуя при этом особых технических навыков. Арендаторы получают регулярные обновления, техническую поддержку и даже помощь в ведении переговоров о выплате выкупа. Такие инструменты могут похищать учётные данные, файлы cookie браузера, криптовалютные кошельки и другие конфиденциальные данные без ведома пользователя. Практически любое лицо, организация или государство может арендовать вредоносное ПО или услуги преступников, что повышает риск анонимного вымогательства или кражи данных для предприятий любого размера.
Бизнес-модель MaaS является модульной, что может способствовать быстрому внедрению инноваций или обновлению продукта, в ответ на принятые меры защиты. Обе эти модели копируют настоящие SaaS-компаний, но с неблаговидными намерениями, ещё больше укрепляя позиции даркнета как преступной экосистемы, ориентированной на прибыль. Модели монетизации MaaS создают предсказуемые источники дохода не только за разовые акции, но и по подписке, что делает их привлекательными, но в то же время рискованными целями для правоохранительных органов и служб кибербезопасности.
Поверхность атак в будущем будет расширяться вглубь облачных сервисов, что приведёт к росту использования наборов эксплойтов, разработанных специально для атак на облачные инфраструктуры и сервисы. Эти наборы эксплойтов используют уязвимости популярных облачных платформ и SaaS-приложений, позволяя злоумышленникам переключиться с доступа к облачной сети на локальную или похитить конфиденциальные данные из облака. Инструменты на основе ИИ теперь ускоряют обнаружение и использование эксплойтов нулевого дня в качестве оружия, создавая высокий спрос на наборы для продажи на подпольных форумах. Полные наборы, эксплуатирующие уязвимости в облаке, конечных точках и сетях, предоставляют злоумышленникам эффективный способ запустить многовекторную кампанию, ориентированную на конкретный целевой технологический стек.
Существуют различные категории украденных данных, имеющие несовместимые экономические характеристики с точки зрения их оценки:
- Необработанные учётные данные: это массивы имён пользователей и паролей, полученные в результате крупных утечек. Их стоимость относительно невысока, поскольку предложение велико, а уровень достоверности непредсказуем. Обработанные наборы данных часто используются в качестве исходного материала для будущих атак. Цены обычно варьируются от нескольких долларов за тысячу учётных данных, что отражает их эффективность в атаках с подменой учётных данных и в качестве плацдарма для захвата аккаунтов.
- Подтверждённый доступ по RDP и VPN: если учётные записи протоколов удалённого рабочего стола или VPN проверены и к ним получен доступ, стоимость будет выше. Подтверждённый доступ создаёт для злоумышленника немедленную возможность заразить вредоносное ПО или получить конфиденциальные данные, как только он окажется в сети. Подтверждённый доступ по RDP становится более востребованным при целевых атаках, когда злоумышленник уже идентифицировал компанию, с которой связаны учётные данные. Стоимость подтверждённого доступа по RDP может варьироваться от 150 до 400 долларов США в зависимости от уровня безопасности и стоимости целевой сети.
- Данные кредитной карты и финансовая информация: Платёжная информация всегда имеет большую ценность в зависимости от типа карты, лимитов и банка. Карты, прошедшие проверку в режиме реального времени, специально разработаны для мошеннических сетей и обычно продаются по высокой цене, иногда достигающей 45 долларов за карту на рынках даркнета. Достоверность и актуальность данных влияют на колебания цен в этой категории.
Рыночные силы диктуют цены, которые зависят от дефицита, новизны и удобства использования. Взлом крупной корпорации или финансового учреждения может привести к резкому изменению спроса, которое резко подстегнёт цены, обусловленные кратковременными всплесками спроса. И наоборот, чрезмерное предложение любого типа данных создаёт невыгодное положение и снижает его ценность. Эти изменения цен основаны на элементарной экономической концепции спроса и предложения в рамках теневой экономики.
Знание тенденций предложений даркнета необходимо не только для академических целей. Оно позволяет специалистам по кибербезопасности получать доступ к полезной информации. Каждый продукт и услуга, предлагаемые на этих форумах, дадут представление о том, на чём сосредотачиваются усилия злоумышленников и какие типы атак ожидаются в скором времени. Например, рост числа предложений IAB с угрозами в адрес медицинских учреждений может быть предвестником эпидемии программ-вымогателей в этой сфере. Анализ торговых площадок даркнета на предмет украденных корпоративных учётных данных или новых MaaS-решений позволит организациям выявлять угрозы на ранних этапах и нейтрализовывать их до того, как ими смогут воспользоваться злоумышленники.
Предложение автоматизированных инструментов и ботов для парсинга данных продолжит расти. Этот постоянный рост приведёт к увеличению частоты крупных утечек данных из репозиториев и увеличению объёма необработанных данных для рынка. Рынок перейдёт от прямых продаж данных к предложениям услуг по доступу, например, к фишинговым наборам и ботнетам, что указывает на переход к моделям «киберпреступность как услуга», предоставляющим преступникам готовые решения. Эти тенденции свидетельствуют о том, что рынок превращается в структуры организованной преступности, дифференцированный по продуктам и услугам, а не по эпизодическим хакерским атакам. Сообщества даркнета теперь используют сложные структуры управления, рейтинги репутации и функции обслуживания клиентов, что ещё больше усугубляет промышленный характер современной киберпреступности.
Мониторинг даркнета — это не разовая акция, а непрерывный процесс, который повышает ситуационную осведомлённость и помогает сократить разрыв между инновациями злоумышленников и мерами защиты. Держа руку на пульсе незаконных торговых площадок, организации могут предвидеть угрозы, повышать устойчивость и, в конечном итоге, защищать свои цифровые активы от попадания в заголовки новостей завтра. Службы безопасности могут использовать эту информацию для корректировки мер защиты, устранения уязвимостей и обучения сотрудников новым видам противодействия фишинговому мошенничеству.
