- Специальный корреспондент
F6 зафиксировала бурный рост криминального SaaS.
Компания F6 результаты масштабного исследования даркнета, в рамках которого были проанализированы теневые площадки, специализирующиеся на продаже доступа к корпоративным сетям, базам данных, вредоносному ПО и другим нелегальным сервисам. Самыми дешёвыми лотами оказались учётные записи пользователей — их стоимость начинается от $10. К самым дорогим относятся подписки на партнёрские программы вымогателей (до $100 000) и эксплойты для 0-day уязвимостей — до $250 000.
Наибольший интерес у злоумышленников вызывают начальные доступы в корпоративные сети (Initial Access). Их стоимость варьируется от $100 до $10 000, в зависимости от размера и отрасли компании, а также уровня полученного доступа. В одном из кейсов, проанализированных F6, продажа включала VPN, RDP и учётные записи Active Directory.
Как отмечается в отчёте, только за 2024 год в дарквебе было размещено свыше 4000 подобных лотов, тогда как в 2019 году их было всего 130. Часто в рамках одного лота продаются десятки и сотни доступов, собранных с помощью вредоносного ПО. Исследователи зафиксировали аукционы, в которых продавцы указывают отрасль, географию и подробности об инфраструктуре жертвы.
Как устроен дарквеб
Dark web представляет собой часть интернета, недоступную для традиционных поисковых систем и ориентированную на анонимность. Основу его инфраструктуры составляют сайты в зоне .onion, доступные только через Tor. Наряду с этим преступная активность активно переместилась в Telegram и другие закрытые каналы.
Большинство даркфорумов действует по правилам закрытого сообщества с системой гарантов и модерацией, чтобы исключить обман при совершении сделок. Ежедневно в дарквебе публикуются объявления о продаже:
Цены на базы с персональными данными зависят от объёма, свежести и эксклюзивности информации: от $100 до $1000, а в редких случаях — до десятков тысяч долларов. Особо ценные базы могут быть использованы для последующих атак на крупные компании.
F6 зафиксировала рост числа утечек: в 2024 году было выявлено 455 новых баз российских и белорусских компаний, размещённых в дарквебе, — почти вдвое больше, чем годом ранее. При этом большая часть публикаций происходит не на форумах, а в Telegram.
Криминальный SaaS
Как подчеркивают аналитики, одна из тенденций — превращение киберпреступности в модель «сервисов по подписке». Например, злоумышленники предлагают доступ к платформам для генерации вредоносных файлов: в личном кабинете можно собрать уникальный билд, задать параметры маскировки, шифрования и коммуникации, а также подключить Telegram-бота для получения логов.
Популярностью пользуются фишинговые инструменты и шаблоны, которые можно адаптировать под нужды конкретной атаки. В Telegram распространены сервисы пробива: пользователи могут заказывать данные по ФИО, телефону, недвижимости или остаткам на счетах. Такие данные используются для шантажа и целевых атак.
Профилактика через мониторинг
F6 подчёркивает, что наблюдение за дарквеб-активностью позволяет не только фиксировать утечки, но и предупреждать атаки. Любое упоминание названия компании, домена или даже имени сотрудника может быть ранним индикатором готовящейся угрозы. Своевременное реагирование позволяет нейтрализовать риски до того, как атака начнётся.
Компания F6 результаты масштабного исследования даркнета, в рамках которого были проанализированы теневые площадки, специализирующиеся на продаже доступа к корпоративным сетям, базам данных, вредоносному ПО и другим нелегальным сервисам. Самыми дешёвыми лотами оказались учётные записи пользователей — их стоимость начинается от $10. К самым дорогим относятся подписки на партнёрские программы вымогателей (до $100 000) и эксплойты для 0-day уязвимостей — до $250 000.
Наибольший интерес у злоумышленников вызывают начальные доступы в корпоративные сети (Initial Access). Их стоимость варьируется от $100 до $10 000, в зависимости от размера и отрасли компании, а также уровня полученного доступа. В одном из кейсов, проанализированных F6, продажа включала VPN, RDP и учётные записи Active Directory.
Как отмечается в отчёте, только за 2024 год в дарквебе было размещено свыше 4000 подобных лотов, тогда как в 2019 году их было всего 130. Часто в рамках одного лота продаются десятки и сотни доступов, собранных с помощью вредоносного ПО. Исследователи зафиксировали аукционы, в которых продавцы указывают отрасль, географию и подробности об инфраструктуре жертвы.
Как устроен дарквеб
Dark web представляет собой часть интернета, недоступную для традиционных поисковых систем и ориентированную на анонимность. Основу его инфраструктуры составляют сайты в зоне .onion, доступные только через Tor. Наряду с этим преступная активность активно переместилась в Telegram и другие закрытые каналы.
Большинство даркфорумов действует по правилам закрытого сообщества с системой гарантов и модерацией, чтобы исключить обман при совершении сделок. Ежедневно в дарквебе публикуются объявления о продаже:
-
скомпрометированных баз данных с персональными и корпоративными сведениями, -
учётных записей, -
доступов к инфраструктурам компаний (VPN, RDP и др.), -
банковской информации, -
логов с заражённых устройств, -
сборок вредоносного ПО, включая 0-day эксплойты и актуальные CVE, -
фишинговых комплектов и DDoS-сервисов, -
инструкций по обналичиванию и мошенничеству.
Цены на базы с персональными данными зависят от объёма, свежести и эксклюзивности информации: от $100 до $1000, а в редких случаях — до десятков тысяч долларов. Особо ценные базы могут быть использованы для последующих атак на крупные компании.
F6 зафиксировала рост числа утечек: в 2024 году было выявлено 455 новых баз российских и белорусских компаний, размещённых в дарквебе, — почти вдвое больше, чем годом ранее. При этом большая часть публикаций происходит не на форумах, а в Telegram.
Криминальный SaaS
Как подчеркивают аналитики, одна из тенденций — превращение киберпреступности в модель «сервисов по подписке». Например, злоумышленники предлагают доступ к платформам для генерации вредоносных файлов: в личном кабинете можно собрать уникальный билд, задать параметры маскировки, шифрования и коммуникации, а также подключить Telegram-бота для получения логов.
Популярностью пользуются фишинговые инструменты и шаблоны, которые можно адаптировать под нужды конкретной атаки. В Telegram распространены сервисы пробива: пользователи могут заказывать данные по ФИО, телефону, недвижимости или остаткам на счетах. Такие данные используются для шантажа и целевых атак.
Профилактика через мониторинг
F6 подчёркивает, что наблюдение за дарквеб-активностью позволяет не только фиксировать утечки, но и предупреждать атаки. Любое упоминание названия компании, домена или даже имени сотрудника может быть ранним индикатором готовящейся угрозы. Своевременное реагирование позволяет нейтрализовать риски до того, как атака начнётся.
