Эксперты F6 проанализировали криминальные сделки в теневом интернете

Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, представила результаты исследования дарквеба, включающего анализ криминальных сделок по продаже доступа к корпоративным сетям, баз данных и вредоносных программ. Дешевле всего на хакерских форумах стоят учетные записи от аккаунтов — в среднем от $10 за шт. Дороже всего — доступы в партнерские программы вымогателей — до $100 000, а также 0-day — уязвимости нулевого дня — до $250 000. Наиболее востребованными у злоумышленников оказались доступы в корпоративную сеть (Initial Access) — в зависимости от компании-жертвы цены доходят до $10 000.

Теневая экосистема

В отличие от открытой части Всемирной паутины (Surface web) или недоступных краулерам поисковых систем внутренних, корпоративных ресурсов (Deep web), Dark web — это скрытый уровень, который не индексируется обычными поисковыми системами.

Основу инфраструктуры Dark web составляют сайты с доменной зоной .onion, которые доступны исключительно через сеть Tor, и используется для обеспечения анонимности, в том числе для организации криминальных форумов, маркетплейсов, C2-инфраструктуры и других сервисов. При этом значительная доля преступной активности может происходить и за пределами Dark web — в приватных группах, мессенджерах, включая Telegram.

Исследователи подчеркивают, что большинство андеграундных форумов работают в условиях строгой модерации, закрытого членства и системы гарантов, чтобы исключить случаи внутреннего мошенничества при совершении криминальных сделок. Ежедневно в дарквебе публикуются тысячи объявлений, среди которых можно встретить предложения о продаже:

• скомпрометированных баз данных (массивы корпоративных и пользовательских данных);
• скомпрометированных учетных записей;
• доступов в корпоративные сети (VPN, RDP, Active Directory и т.д.);
• банковской информации;
• логов, собранных вредоносным ПО;
• уникальных сборок малвари, эксплойтов для 0-day уязвимостей и актуальных CVE;
• фишинговых комплектов;
• DDoS-сервисов;
• мануалов по мошенническим схемам и обналу и других нелегальных услуг.

Например, стоимость базы с персональными данными — ФИО, адреса, контакты, паспортные данные, ИНН — может варьироваться от $100 до $1000, в зависимости от ее объема, актуальности и «редкости» информации. В отдельном случае злоумышленники просят до $10 000, а в исключительных случаях — даже сотни тысяч долларов за чувствительные или эксклюзивные данные. Их могут использовать для последующих каскадных атак на крупные компании.

Напомним, что большинство украденных у российских компаний баз данных злоумышленники выкладывают в публичный доступ бесплатно — для нанесения максимального ущерба компаниям и их клиентам. В 2024 году специалистами F6 Threat Intelligence было обнаружено в публичном доступе 455 не опубликованных ранее баз данных компаний из России и Беларуси (в 2023 году их было — 246). Причем было зафиксировано практически в два раза больше публикаций баз данных в Telegram, чем на тематических форумах.

Доступ как «точка входа»

Как показало проведенное исследование, особым спросом в дарквебе пользуются первоначальные доступы в корпоративные сети, так называемые Initial Access. Их стоимость начинается от $100–200, но может возрастать в разы в зависимости от масштаба организации, отрасли и уровня доступа.

В годовом аналитическом  отчете F6 «Киберугрозы в России и СНГ» говорится, что за последние 5 лет отмечается рост продаж доступов к корпоративным сетям компаний по всему миру: если в 2019 году было выставлено всего 130 лотов, то в 2024 году — более 4000. Причем нередко в рамках продажи одного лота злоумышленники предлагали набор доступов, состоящий от нескольких десятков до нескольких тысяч доступов, полученных при помощи различного вредоносного ПО.

Например, на одном из даркфорумов регулярно появляются объявления о продаже доступов в корпоративные сети в формате аукциона: злоумышленники указываю, к какой компании принадлежит инфраструктура, какие у нее масштабы, из какой она страны и каким доступом располагают (например, VPN, RDP или Active Directory-учетки).

В одном из кейсов аналитики F6 под прикрытием связались с продавцом, выставившим на теневом форуме доступ к корпоративной инфраструктуре, и идентифицировали жертву. Угроза была нейтрализована до момента продажи. Аккаунт от корпоративной системы может стоить около $10, но в некоторых случаях он открывает путь во внутреннюю инфраструктуру компании.

Именно эти доступы часто становятся «входной точкой» для операторов программ-вымогателей, действующих по модели RaaS (Ransomware-as-a-Service). Само участие в RaaS-программе может обойтись злоумышленнику в несколько тысяч долларов за подписку, а в отдельных случаях — до $100 000 за пожизненный доступ, как это предлагала одна из известных группировок вымогателей.

Все включено

С экономической точки зрения, как отмечают аналитики, эффективнее всего себя в криминальном мире показывают модели SaaS (сервисы по подписке). Например, некоторые злоумышленники предлагают доступ к платным платформам для генерации вредоносных программ: атакующим достаточно через личный кабинет собрать уникальный исполняемый файл, задать ему параметры — от имени иконки до шифрования сетевого трафика, подключить Telegram-бота для получения логов, загрузить билд и начать атаку.

Отдельный сегмент дарквеба — арсенал хакера: предлагаются вредоносные программы, исходные коды, эксплойты и базы с актуальными уязвимостями. Широко распространены инструменты для фишинга и атаки с использованием социальной инженерии — от шаблонов писем до готовых платформ, где любой желающий может «собрать» вредонос под нужные параметры. Все это — на подписке, как обычный SaaS, только для преступников.

В Telegram-каналах активно работают сервисы пробива, предоставляющие данные по запросу: от паспортных данных и телефонов до списка недвижимости и остатков на счетах. Стоимость — от пары тысяч рублей. Такие данные активно используются для целевых атак, шантажа, корпоративного шпионажа.

«Отслеживание активности в дарквебе позволяет не просто фиксировать факты уже состоявшихся утечек, но и в ряде случаев предотвращать атаки. Упоминание названия компании, домена, IP-адреса или даже имени сотрудника в андеграунде может быть первым тревожным сигналом к началу подготовки злонамеренных действий. Чем раньше такая деятельность будет замечена, тем выше шансы среагировать своевременно и устранить угрозу до начала проведения полноценной атаки», — отмечает Лада Крюкова, руководитель отдела исследования и мониторинга андеграунда департамента F6 Threat Intelligence.

В этом ключевую роль играет Threat Intelligence: системный мониторинг теневых ресурсов, выявление потенциальных угроз, анализ поведения злоумышленников и сбор актуальных индикаторов компрометации. Именно киберразведка позволяет организациям не просто реагировать на инциденты, а предотвращать их, получая информацию об упоминаниях брендов, доменов, IP-адресов, продуктов компании, а также готовящихся атаках задолго до того, как они достигнут корпоративного периметра.