Компания Positive Technologies, лидер в области результативной кибербезопасности, выяснила[1], в каких направлениях развивается рынок дарквеба. В качестве главных трендов теневых площадок эксперты выделяют распространение сервисов по подписке, рост популярности услуг по модификации ВПО, формирование рынка дешевых вредоносов и создание комфортных условий для киберпреступности.
Специалисты отмечают, что дарквеб часто воспринимается как мир без правил, однако в действительности индустрия работает по принципам легального рынка. Например, высокая конкуренция стимулирует продавцов постоянно улучшать товары и услуги, выстраивать доверительные отношения с клиентами, укреплять свои бизнес-позиции. Кроме того, в дарквебе широко используются инструменты маркетинга для привлечения заказчиков: так, например, один из дарк-форумов запустил акцию в честь черной пятницы, предложив скидку 50% на все тарифные планы, в том числе повышение привилегий аккаунта. Площадки на киберпреступном рынке стремятся и защитить собственные системы от атак, например для безопасности пользовательских данных и средств они проводят программы багбаунти и внедряют гарант-сервисы[2].
В числе ключевых трендов развития рынка преступных киберуслуг аналитики выделяют распространение сервисов по подписке: эта бизнес-модель наиболее популярна в сегментах вредоносного ПО, фишинговых и DDoS-атак. Злоумышленники на определенный период приобретают подписку, в которую могут входить готовые наборы инструментов, инструкции по их использованию и услуги технической поддержки. По прогнозам экспертов, подписочная модель в скором времени может проникнуть в сегмент эксплойтов[3] и в полной мере затронуть теневые форумы.
Еще один тренд связан с ВПО: использование вредоносов остается самым популярным методом атак на организации, в III квартале 2024 года на его долю пришлось 65% случаев. На теневом рынке появляются аналоги легальных сервисов для проверки файлов: результаты анализа помогают злоумышленникам делать ВПО невидимым для средств защиты. Кроме того, набирают популярность услуги по модификации вредоносов с учетом специфики атак и особенностей жертв. Эксперты также отмечают тенденцию формирования рынка дешевого ВПО, в частности шифровальщиков. Злоумышленники могут использовать такие программы в атаках на средний и малый бизнес, действуя независимо и не выплачивая проценты от выкупа владельцам или продавцам, как это часто бывает в случае с крупным ВПО.
Новые возможности для клиентов и повышение качества предложений также помогли дарквебу перейти на новый виток развития. Так, продавцы продуктов активно вводят пробные периоды, привлекая клиентов на переполненном рынке. Некоторые поставщики создали магазин журналов[4] в панели управления ВПО и запустили собственную криптовалюту. Аналитики прогнозируют, что в ближайшее время на площадках может появиться опция тайного покупателя для оценки качества услуг продавцов.
«В 2024 году мы наблюдали за тем, как злоумышленники использовали ИИ для поиска уязвимостей, создания фишинговых писем и решения многих других задач, а также применяли легальные автоматизированные инструменты, утекшие в дарквеб. Предполагаем, что в ближайшем будущем появятся новые виды сервисов, которые позволят даже начинающим киберпреступникам проводить атаки буквально в один клик по причине внедрения технологий искусственного интеллекта, — отмечает Дмитрий Стрельцов, аналитик направления аналитических исследований Positive Technologies. — Кроме того, есть вероятность, что в скором времени дарквеб выйдет на новый уровень экосистемности: злоумышленники смогут покупать все необходимые инструменты, услуги и дополнительные опции у одного поставщика».
Число успешных кибератак на организации в 2024 году на 5% больше, чем в 2023. Вслед за растущим спросом на преступные киберуслуги дарквеб превращается в зрелый рынок, развиваясь одновременно в разных направлениях. С одной стороны, расширяется ряд инструментов для атак и снижается порог входа для начинающих злоумышленников, с другой — постоянно совершенствуется работа с клиентами для их удержания.
[1] Исследование охватывает период с 2023 года по III квартал 2024-го. Эксперты проанализировали 40 источников на русском и английском языках, в числе которых крупнейшие теневые форумы и маркетплейсы, а также телеграм-каналы различной тематики. Всего изучено более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости, доступы к корпоративным сетям и другие киберпреступные услуги.
[2] Гарант-сервис — это третья сторона, которая выступает посредником между покупателем и продавцом на теневых ресурсах.
[3] Эксплойт — код или программа, которая использует уязвимости в программном или аппаратном обеспечении для выполнения вредоносных действий.
[4] Журналы — наборы данных, которые были получены в результате взломов и могут пригодиться в дальнейших атаках.
