Доступ в вашу сеть уже у кого-то есть. И стоит недорого.
Компания F6 результаты масштабного исследования даркнета, в рамках которого были проанализированы теневые площадки, специализирующиеся на продаже доступа к корпоративным сетям, базам данных, вредоносному ПО и другим нелегальным сервисам. Самыми дешёвыми лотами оказались учётные записи пользователей — их стоимость начинается от $10. К самым дорогим относятся подписки на партнёрские программы вымогателей (до $100 000) и эксплойты для 0-day уязвимостей — до $250 000.
Наибольший интерес у злоумышленников вызывают начальные доступы в корпоративные сети (Initial Access). Их стоимость варьируется от $100 до $10 000, в зависимости от размера и отрасли компании, а также уровня полученного доступа. В одном из кейсов, проанализированных F6, продажа включала VPN, RDP и учётные записи Active Directory.
Как отмечается в отчёте, только за 2024 год в дарквебе было размещено свыше 4000 подобных лотов, тогда как в 2019 году их было всего 130. Часто в рамках одного лота продаются десятки и сотни доступов, собранных с помощью вредоносного ПО. Исследователи зафиксировали аукционы, в которых продавцы указывают отрасль, географию и подробности об инфраструктуре жертвы.
Как устроен дарквеб
Dark web представляет собой часть интернета, недоступную для традиционных поисковых систем и ориентированную на анонимность. Основу его инфраструктуры составляют сайты в зоне .onion, доступные только через Tor. Наряду с этим преступная активность активно переместилась в Telegram и другие закрытые каналы.
Большинство даркфорумов действует по правилам закрытого сообщества с системой гарантов и модерацией, чтобы исключить обман при совершении сделок. Ежедневно в дарквебе публикуются объявления о продаже:
Цены на базы с персональными данными зависят от объёма, свежести и эксклюзивности информации: от $100 до $1000, а в редких случаях — до десятков тысяч долларов. Особо ценные базы могут быть использованы для последующих атак на крупные компании.
F6 зафиксировала рост числа утечек: в 2024 году было выявлено 455 новых баз российских и белорусских компаний, размещённых в дарквебе, — почти вдвое больше, чем годом ранее. При этом большая часть публикаций происходит не на форумах, а в Telegram.
Криминальный SaaS
Как подчеркивают аналитики, одна из тенденций — превращение киберпреступности в модель «сервисов по подписке». Например, злоумышленники предлагают доступ к платформам для генерации вредоносных файлов: в личном кабинете можно собрать уникальный билд, задать параметры маскировки, шифрования и коммуникации, а также подключить Telegram-бота для получения логов.
Популярностью пользуются фишинговые инструменты и шаблоны, которые можно адаптировать под нужды конкретной атаки. В Telegram распространены сервисы пробива: пользователи могут заказывать данные по ФИО, телефону, недвижимости или остаткам на счетах. Такие данные используются для шантажа и целевых атак.
Профилактика через мониторинг
F6 подчёркивает, что наблюдение за дарквеб-активностью позволяет не только фиксировать утечки, но и предупреждать атаки. Любое упоминание названия компании, домена или даже имени сотрудника может быть ранним индикатором готовящейся угрозы. Своевременное реагирование позволяет нейтрализовать риски до того, как атака начнётся.
Подробнее:
Компания F6 результаты масштабного исследования даркнета, в рамках которого были проанализированы теневые площадки, специализирующиеся на продаже доступа к корпоративным сетям, базам данных, вредоносному ПО и другим нелегальным сервисам. Самыми дешёвыми лотами оказались учётные записи пользователей — их стоимость начинается от $10. К самым дорогим относятся подписки на партнёрские программы вымогателей (до $100 000) и эксплойты для 0-day уязвимостей — до $250 000.
Наибольший интерес у злоумышленников вызывают начальные доступы в корпоративные сети (Initial Access). Их стоимость варьируется от $100 до $10 000, в зависимости от размера и отрасли компании, а также уровня полученного доступа. В одном из кейсов, проанализированных F6, продажа включала VPN, RDP и учётные записи Active Directory.
Как отмечается в отчёте, только за 2024 год в дарквебе было размещено свыше 4000 подобных лотов, тогда как в 2019 году их было всего 130. Часто в рамках одного лота продаются десятки и сотни доступов, собранных с помощью вредоносного ПО. Исследователи зафиксировали аукционы, в которых продавцы указывают отрасль, географию и подробности об инфраструктуре жертвы.
Как устроен дарквеб
Dark web представляет собой часть интернета, недоступную для традиционных поисковых систем и ориентированную на анонимность. Основу его инфраструктуры составляют сайты в зоне .onion, доступные только через Tor. Наряду с этим преступная активность активно переместилась в Telegram и другие закрытые каналы.
Большинство даркфорумов действует по правилам закрытого сообщества с системой гарантов и модерацией, чтобы исключить обман при совершении сделок. Ежедневно в дарквебе публикуются объявления о продаже:
- скомпрометированных баз данных с персональными и корпоративными сведениями,
- учётных записей,
- доступов к инфраструктурам компаний (VPN, RDP и др.),
- банковской информации,
- логов с заражённых устройств,
- сборок вредоносного ПО, включая 0-day эксплойты и актуальные CVE,
- фишинговых комплектов и DDoS-сервисов,
- инструкций по обналичиванию и мошенничеству.
Цены на базы с персональными данными зависят от объёма, свежести и эксклюзивности информации: от $100 до $1000, а в редких случаях — до десятков тысяч долларов. Особо ценные базы могут быть использованы для последующих атак на крупные компании.
F6 зафиксировала рост числа утечек: в 2024 году было выявлено 455 новых баз российских и белорусских компаний, размещённых в дарквебе, — почти вдвое больше, чем годом ранее. При этом большая часть публикаций происходит не на форумах, а в Telegram.
Криминальный SaaS
Как подчеркивают аналитики, одна из тенденций — превращение киберпреступности в модель «сервисов по подписке». Например, злоумышленники предлагают доступ к платформам для генерации вредоносных файлов: в личном кабинете можно собрать уникальный билд, задать параметры маскировки, шифрования и коммуникации, а также подключить Telegram-бота для получения логов.
Популярностью пользуются фишинговые инструменты и шаблоны, которые можно адаптировать под нужды конкретной атаки. В Telegram распространены сервисы пробива: пользователи могут заказывать данные по ФИО, телефону, недвижимости или остаткам на счетах. Такие данные используются для шантажа и целевых атак.
Профилактика через мониторинг
F6 подчёркивает, что наблюдение за дарквеб-активностью позволяет не только фиксировать утечки, но и предупреждать атаки. Любое упоминание названия компании, домена или даже имени сотрудника может быть ранним индикатором готовящейся угрозы. Своевременное реагирование позволяет нейтрализовать риски до того, как атака начнётся.
Подробнее:
