Невидимая империя: как устроен двухмиллиардный рынок киберпреступности

Эксперты Positive Technologies проанализировали состояние рынка киберпреступности за период с начала 2023 года по третий квартал 2024 года. В ходе работы исследователи изучили более 40 крупнейших теневых площадок, включая форумы, маркетплейсы и телеграм-каналы на разных языках. Всего было проанализировано свыше 20 тысяч сообщений о вредоносном программном обеспечении, уязвимостях, эксплойтах и различных киберпреступных услугах.

Анализ показал, что 53% всех объявлений о вредоносном ПО относятся к его продаже, 41% составляют запросы на покупку, и лишь 1% приходится на бесплатную раздачу инструментов. Самым распространённым типом вредоносного ПО в даркнете стал инфостилер с долей в 19% от общего числа предложений. За ним следуют криптеры и инструменты для обфускации — 17%, загрузчики — 16%, а также ВПО для удалённого управления (RAT) — 12%.

По данным Chainalysis, в 2023 году нелегальные площадки в даркнете увеличили свои доходы почти до 2 миллиардов долларов, что на 25% превышает показатели 2022 года. Компания TRM Labs отмечает, что только три крупнейших русскоязычных даркнет-маркета обработали транзакции на сумму 1,4 миллиарда долларов, тогда как все западные площадки — лишь на 100 миллионов.

Исследование выявило чёткую ценовую сегментацию рынка вредоносного ПО. Самым дорогим продуктом остаются программы-шифровальщики с медианной стоимостью 7500 долларов, при этом цены на отдельные экземпляры достигают 320 тысяч долларов. Стоимость инфостилеров начинается от 20 долларов с медианным значением 400 долларов, загрузчиков — от 50 долларов с медианой также 400 долларов. RAT-программы предлагаются от 80 долларов с медианной стоимостью 1500 долларов.

В сегменте киберпреступных услуг 29% объявлений относятся к кардингу, 16% — к перенаправлению трафика и установке вредоносного ПО, 5% — к предоставлению инфраструктуры. Услуги VPN начинаются от 4 долларов в месяц, аренда выделенных серверов — от 100 долларов в месяц. Доменные имена для фишинговых сайтов предлагаются от 2 долларов.

Треть всех предлагаемых к продаже эксплойтов относится к уязвимостям нулевого дня, их стоимость может достигать нескольких миллионов долларов. На RCE-уязвимости приходится 26% предложений, на LPE — 12%. При этом 62% всех продаваемых доступов к корпоративным сетям оцениваются до 1000 долларов.

В сегменте торговли доступами к корпоративным сетям 72% объявлений относятся к продаже, 14% — к покупке, и 13% составляют бесплатные раздачи. Наибольшая доля доступов — 20% — приходится на сферу услуг, 17% — на торговлю, и 16% — на промышленность. Треть всех предложений включает доступ через VPN или RDP, 11% — через Shell, 10% — через программы удалённого доступа.

На теневых форумах активно развивается система подписок и дополнительных услуг. Стоимость базового повышения привилегий начинается от 10 долларов в месяц, а продвинутые подписки с возможностью сбора данных достигают 2000 долларов в год. Размещение рекламы на форумах стоит от 50 долларов в месяц. Проверка файлов на антивирусную детекцию обходится в 0,1 доллара за единицу. Если злоумышленнику требуется проверять большое количество файлов регулярно, то для этого предлагается ежемесячная подписка от 25$.

По данным Coveware, во втором квартале 2024 года средняя сумма выкупа при атаках шифровальщиков выросла на 2,4% по сравнению с первым кварталом и составила 391015 долларов. При этом медианная сумма выкупа снизилась на 32% — до 170000 долларов. Анализ стоимости типовой кибератаки показал, что минимальные затраты на необходимый инструментарий и услуги начинаются от 20 тысяч долларов, а потенциальная прибыль может достигать 150 тысяч долларов после выплаты комиссий.

Эксперты прогнозируют дальнейшее развитие сервисной модели в киберпреступности. По их оценкам, в ближайшем будущем могут появиться новые автоматизированные сервисы, позволяющие проводить кибератаки практически в один клик благодаря внедрению искусственного интеллекта. Ожидается также развитие модели EaaS (Exploit-as-a-Service), которая позволит злоумышленникам арендовать эксплойты вместо их покупки.

Аналитики предупреждают о растущем интересе киберпреступников к инструментам на базе искусственного интеллекта. На теневых ресурсах уже появилось вредоносное ПО с алгоритмами машинного обучения, способное к самораспространению по сети и самокопированию на внешние носители. Кроме того, злоумышленники активно внедряют технологию оптического распознавания символов (OCR) для кражи данных.

Особое внимание эксперты уделяют росту спроса на EV-сертификаты среди киберпреступников. Эти сертификаты позволяют обходить средства защиты Windows и снижать вероятность обнаружения вредоносного ПО антивирусными программами. По прогнозам, спрос на такие сертификаты продолжит расти.

Для защиты от современных киберугроз специалисты рекомендуют организациям использовать комплексный подход. В частности, советуют применять межсетевые экраны уровня приложений, технологии песочницы для анализа подозрительных файлов, а также системы SIEM для сбора и анализа событий безопасности.

Эксперты подчёркивают важность внедрения XDR-решений для обнаружения продвинутых атак и оперативного реагирования на угрозы. Рекомендуется также развивать процессы управления уязвимостями и использовать решения NTA для поведенческого анализа сетевого трафика. Отдельно отмечается необходимость налаживания процессов Threat Intelligence для своевременного обнаружения новых угроз.