Криптовалюти, відмивання грошей та кіберпослуги в дарквебі (Частина 2)

06.03.2025 1 хвилин Автор: Cyber Witcher

Як кіберзлочинці отримують та відмивають гроші? Чому Bitcoin, Monero та криптоміксери стали основою тіньової економіки? Як працює торгівля доступами до корпоративних мереж і хто такі брокери початкового доступу (IAB)? У цій статті ми аналізуємо ключові фінансові процеси дарквеба: криптовалютні платежі, методи відмивання грошей, ринок кіберпослуг та шкідливого ПЗ. Читачі дізнаються про реальні схеми заробітку зловмисників, розцінки на експлойти, а також як формується попит на кібератаки у 2024 році.

Оплата та валюти «в тіні»

Криптовалюти, такі як Bitcoin (BTC), Monero (XMR) та інші, стали основним засобом оплати дарквебе, що пов’язано з кількома факторами. По-перше, криптовалюти забезпечують високий рівень анонімності, що є критично важливим для користувачів нелегальних ринків. Хоча транзакції з Bitcoin записуються в блокчейні (публічну базу даних, в якій видно всі переклади), користувачі можуть використовувати так звані міксери або інші монети. Наприклад, Monero та деякі інші криптовалюти спочатку розроблені так, щоб приховувати дані про транзакції, що робить їх практично відстежуваними.

Крім того, частина криптовалют децентралізована та не контролюється державами, що робить їх особливо привабливими для користувачів дарквебу. Використання криптовалют також забезпечує безпеку та зручність для міжнародних транзакцій, оскільки вони не вимагають участі банків та можуть проводитися безпосередньо між учасниками, що знижує ризик арешту та спрощує ведення справ у глобальному масштабі.

Такі особливості криптовалют відіграють у функціонуванні дарквеба. Анонімність та відсутність контролю сприяють розширенню ринків, залучають нових учасників та стимулюють їх подальше зростання. Це, у свою чергу, ускладнює роботу правоохоронних органів, оскільки анонімність транзакцій та використання міксерів роблять ідентифікацію учасників та припинення їхньої діяльності вкрай складними завданнями.

У майбутньому, якщо заходи щодо відстеження криптовалют стануть більш ефективними і почнуть становити серйозну загрозу для користувачів дарквеба, ймовірно, відбудеться адаптація та пошук нових, безпечніших методів оплати. Одним із можливих напрямів розвитку може стати використання криптовалют, таких як Monero, у більших масштабах; або поява нових криптовалют, спеціально розроблених для максимальної анонімності. Наприклад, нові цифрові валюти можуть включати вдосконалені методи шифрування та приховування інформації про транзакції.

Ще одним можливим сценарієм може стати використання технології trustless swaps. Trustless swaps — це технологія, яка дозволяє користувачам обмінювати криптовалюти або інші цифрові активи безпосередньо без необхідності залучати третю сторону, наприклад біржу або посередника. В основі цього рішення лежать смарт-контракти, які гарантують, що обмін відбудеться лише у разі виконання всіх умов угоди. Якщо умови не виконані, активи повертаються власникам.

Не можна також виключати можливість появи нових концепцій оплати, наприклад з використанням децентралізованих і зашифрованих комунікаційних мереж або впровадження платіжних систем на основі квантових технологій, які забезпечать майже абсолютний захист від відстеження.

Відмивання доходів від кіберзлочинів

Фінансово мотивовані зловмисники отримують викупи та плату за послуги в криптовалюті і, відповідно, їм необхідно переводити в готівку ці кошти. Відмивання грошей у дарквебі – це процес перетворення нелегально отриманих грошей на законні активи за допомогою різних схем та спеціалізованих сервісів, що пропонують свої послуги на тіньових платформах.

Наприклад, криптоміксери є популярним засобом у підпіллі. Суть проста: ці послуги змішують нелегально отриману криптовалюту з криптовалютою інших користувачів, створюючи численні дрібні транзакції. У результаті стає вкрай складно (іноді й неможливо) пов’язати вихідні кошти з кінцевим одержувачем. Після використання міксера злочинці часто конвертують свої активи в інші криптовалюти, що менш відслідковуються, такі як Monero. Тепер, коли гроші стали практично не відстежуваними, їх можна обмінювати у різних напрямках.

Наприклад, на одному з форумів пропонують послуги з обміну криптовалюти на фіатні гроші (звичайні валюти, такі як долар чи євро) або інші криптомонети. За такого виведення коштів з’являється ще одна сторона угоди — дроп чи грошовий мул. Дропом є людина, яка бере участь у шахрайських фінансових схемах. Основна роль цих осіб полягає в перекладі або переведення в готівку незаконних коштів. Зазвичай це відбувається через особисті банківські рахунки, а винагорода мулів становить відсоток транзакцій.

У деяких випадках зловмисники можуть використовувати складні схеми перекладу криптовалюти через кілька підставних гаманців, щоб ускладнити відстеження.

І, звичайно, важливий етап — виведення коштів у легальну економіку. Злочинці можуть створювати мережі підставних компаній спеціально для переведення в готівку коштів. Ці організації використовують фіктивні контракти, якими кримінальні гроші поступово вливаються у легальний світ. На деяких форумах цій темі присвячено окремі розділи, де надаються послуги під ключ.

Ще один приклад виведення грошей – купівля нерухомості за допомогою криптовалюти. Деякі сайти пропонують широкий спектр інвестицій у нерухомість за віртуальні кошти.

Багато злочинців активно цікавляться, як вивести та легалізувати зароблені активи. Для цього вони просять пораду у досвідченіших представників тіньового бізнесу або ж самі діляться різними схемами та статтями на задану тему.

Стаття про відмивання нелегальних грошей

Ще одним цікавим способом відмивання грошей є онлайн-казино. Схема виглядає так: кіберзлочинці спочатку роблять депозити на рахунки в онлайн-казино або на біржах ставок, використовуючи нелегально отримані кошти. Ці платформи часто приймають криптовалюту, що робить процес ще простішим для зловмисників. Гроші можна вивести через одне або кілька казино, щоб розподілити кошти та уникнути підозр. Після того, як гроші проходять через онлайн-казино, злочинці виводять кошти на банківські рахунки або криптовалютні гаманці.

У деяких випадках злочинці можуть використовувати ставки з гарантованим результатом. Наприклад, вони можуть зробити ставки на всі можливі результати однієї і тієї ж події з різних облікових записів. У такому разі вони «страхують» свої кошти, знаючи, що один із їхніх акаунтів точно виграє, і потім виводять гроші, начебто це був законний виграш.

Економіка «в тіні»

Шкідливе ПЗ

Одну з ключових ролей у арсеналі зловмисників відіграє шкідливе програмне забезпечення. Так, за підсумками ІІІ кварталу 2024 року ВПО застосовувалося у 65% успішних атак на організації. Зловмисники використовують шкідливе програмне забезпечення для досягнення різних цілей, наприклад крадіжки конфіденційної інформації або шифрування файлів з метою подальшої вимоги викупу.

Розподіл типів оголошень, присвячених ВПО

Серед усіх проаналізованих оголошень, присвячених шкідливому програмному забезпеченню, більше половини (53%) відноситься до продажу. Це свідчить про те, що ринок ВПО переважно орієнтований на комерційну модель, коли розробники та групи зловмисників монетизують свої інструменти.

Запити купівлю становлять 41%, що відбиває високий попит готові рішення. Покупці часто шукають перевірені інструменти, які мають відповідати їхнім вимогам. Наприклад, RAT для Android повинен мати запис екрана в реальному часі або стилер з обов’язковою можливістю крадіжки інформації з усіх сучасних криптогаманців. Роздача шкідливих інструментів зустрічається у 1% випадків. Це може бути пов’язане зі спробами підвищити репутацію автора у спільноті.

Розподіл типів ВПО за медіанною вартістю

Розподіл повідомлень про продаж за типами ВПО демонструє перевагу певним категоріям шкідливих інструментів. Найбільша кількість оголошень (19%) пов’язана із продажем інфостилерів. Їхня популярність може бути обумовлена не найвищою ціною: вартість починається від 20$ а, медіанне значення становить 400$. При цьому зловмисник, витративши невелику суму, може отримати значно більший дохід, якщо зможе грамотно скористатися отриманою інформацією.

Далі йдуть криптери та інструменти для обфускації, частка яких склала 17%. Пов’язано це з тим, що за невеликі гроші (ціна починається від 10$) застосування криптерів та обфускаторів дозволяє кіберзлочинцям підвищити ефективність своїх атак, мінімізуючи ризик виявлення антивірусних програм.

Трійку лідерів замикають завантажувачі з часткою 16%. Вони часто використовуються зловмисниками як початкова точка входу в систему жертви, оскільки допомагають обійти засоби захисту та доставити інші типи шкідливого ПЗ, наприклад стилери або ВПО для віддаленого керування. Так, за даними сервісу ANY.RUN, у третьому кварталі 2024 року кількість виявлень завантажувачів зросла на 49%. Ціна такого ВПО може починатися від 50$, медіанне значення становило 400$.

Частка повідомлень про продаж шкідливого програмного забезпечення для віддаленого управління (RAT), яке за підсумками перших трьох кварталів популярне у зловмисників, становить 12%. RAT приваблює кіберзлочинців через можливість прихованого та постійного контролю зараженої системи. Наприклад, для шпигунства, оскільки таке ВПЗ дозволяє зловмисникам відстежувати дії жертви, збирати конфіденційну інформацію, включаючи паролі, особисті дані або комерційну інформацію. Медіанна вартість RAT становить 1500$, а початкова ціна – від 80$.

Важливо відзначити, що вартість ВПО може сильно змінюватись. Все залежить від типу шкідливого програмного забезпечення та набору його функцій. А більшість шкідників продається за передплатою (1 тиждень – 1 місяць – 3 місяці – 1 рік).

Найбільш дорогим типом ВПО є шифрувальник. Медіанна вартість складає 7500$. А ціни можуть сягати 32 0000 $. Зумовлено це тим, що більшість оголошень про продаж стосується саме вихідного коду. В основному шифрувальники поширюються за партнерською програмою (RaaS – Ransomware-as-a-Service). А самі учасники зазвичай одержують 70–90% від викупу жертви. Щоб потрапити до партнерської програми, кандидат має заплатити 5000 $ – 1 BTC (≈107 879 $), а також мати високу репутацію на тіньових форумах. Ставши учасником угруповання, партнер отримує доступ до актуальної версії білдера, можливість звернення до технічної підтримки, а також різні мануали, присвячені отриманню початкового доступу до системи жертви та інше.

Але не всі зловмисники, особливо початківці, мають гроші в розмірі 1 BTC або репутацію в підпіллі. І тоді на сцену виходять витікання необхідних інструментів та гайдбуків.

RaaS, або Шлях від новачка до кіберзлочинця

Як було з’ясовано, мануали є важливою складовою партнерської програми банд здирників. Вони можуть містити кроки для підготовки інфраструктури, отримання початкового доступу до систем організацій або методів підвищення привілеїв. Варто зазначити, що мануали зловмисники можуть виставляти на продаж, це ще один спосіб монетизації. Наприклад, один із таких гайдів колись продавався на тіньових майданчиках за 10 000 доларів. Поширювався він від партнера LockBit. Усередині публікації були інструкції з видобутку доступів та багато іншого. Усі наведені приклади в гайдбуку були використані на реальних компаніях. Цікаво, що в одній з атакованих великих організацій пароль від корпоративного VPN складався лише з цифр, відкрили тестові облікові записи, залишені системними адміністраторами.

Без уваги не залишаться і матеріали банди шифрувальників Conti, що втекли. У 2021 році незадоволений партнер угрупування опублікував на одному з тіньових форумів керівництва та технічні мануали. Інструкції, що втекли, використовувалися для навчання учасників партнерської програми кіберзлочинного угруповання.

Як і у випадку з гайдом партнера LockBit, були докладні інструкції з переміщення всередині периметра, підвищення привілеїв в системі, відключення антивіруса, перераховувалися атаки з використанням неправильних параметрів або відомих уразливостей (PrintNightmare, EternalBlue і Zerologon), а також вказувалося, Крім того, в цьому мануалі описувався інструмент CobaltStrike і, відповідно, детальна методика його використання.

Варто відзначити і білдери. За допомогою білдера зловмисники можуть кастомізувати шифрувальники, змінюючи параметри (ім’я процесу, ім’я файлу з вимогами, текст самих вимог), а також задавати список розширень файлів, що шифруються. Більш того, це програмне забезпечення дозволяє згенерувати декриптор, необхідний для розшифрування даних.

Незважаючи на те, що витоки білдерів можуть датуватися 2022 роком, вони досі використовуються кіберзлочинцями в атаках і відповідно до них виявляють інтерес у підпіллі. Наприклад, за підсумками розслідувань інцидентів найчастіше в атаках типу Cybercrime (в атаках цієї категорії, як правило, застосовуються шифрувальники, легітимне програмне забезпечення для шифрування інформації та вайпери) використовувався шифрувальник LockBit: його частка склала 37%. Важливо, що на основі подібних витоків шифрувальників можуть з’являтися нові представники індустрії RaaS.

Витоку мануалів і білдерів шифрувальників у дарквебі дуже впливають ринку кіберзлочинності. Як наслідок, подібні публікації знижують бар’єр для входу у світ кібератак і допомагають «вирощувати» всередині підпілля злочинців, що може позначитися на загальному підвищенні їхньої кваліфікації. Важливо наголосити, що цими інструментами можуть користуватися й просунуті зловмисники, атакуючи державні підприємства (їхньою метою є не фінансовий прибуток, а повне знищення даних та інфраструктури).

MalDev-ком’юніті

На перший погляд може здатися, що на тіньових ресурсах вся діяльність, пов’язана із шкідливим ПЗ, обмежується лише продажем та купівлею вже готових інструментів. Але за час існування дарквеба в ньому успішно сформувалося MalDev-спільнота (malware development). Усередині ком’юніті продовжує розвиватися набагато складніша екосистема, яка включає послуги зі створення, доопрацювання та адаптації шкідливих програм для задоволення конкретних потреб замовників. Наприклад, за додаткову плату клієнти можуть попросити досвідчених розробників змінити або покращити існуюче шкідливе програмне забезпечення.

Важливо відзначити, що MalDev-комьюніті складається не тільки з досвідчених розробників. Ця спільнота залучає і менш професійних користувачів, які хочуть вивчити основи розробки ВПЗ. Подібно до того, як у легальній сфері багато хто шукає поради щодо початку кар’єри, новачки в дарквебі також просять настанов від досвідченіших учасників. Розробники-початківці часто просять поради щодо вибору мови програмування (наприклад, Python, C++ та інші), яка буде найбільш підходящою для створення різних типів шкідливих програм.

Крім того, у підпільній спільноті активно діляться мануалами та прикладами коду, які допомагають новачкам створювати прості шкідливі інструменти, такі як завантажувачі, стилери або RAT. Публікація матеріалів є основою для навчання базовим методам розробки, а також допомагає недосвідченим користувачам розібратися у механізмах роботи шкідливих програм. Веде це до того, що кожен новий учасник може крок за кроком занурюватися в практичну розробку ВПО, навчаючись на прикладах досвідчених колег. У зв’язку з цим поступово підвищиться рівень кваліфікації у розробників шкідливого ПЗ.

Варто зазначити, що зараз у зловмисників популярні не лише популярні мови програмування (C++ тощо), а й інші – Rust та Golang (Go). Зараз на Golang створено багато різних шкідливих програм. Go широко використовується для розробки різноманітних типів такого софту: ВПО для віддаленого керування, стилери, майнери та ботнети. Однією з головних переваг ВПО на Go та Rust є його здатність з легкістю атакувати відразу кілька операційних систем, включаючи Windows, Linux та VMWare ESXi при використанні однієї й тієї ж кодової бази. Банди шифрувальників теж активно підхопили цей тренд, що колись зародився, і поступово переходили на Rust і Go. Наприклад, BlackCat, Hive, RansomHub та багато інших.

Вразливості та експлойти

Кожна вразливість у системі — своєрідні потенційні двері, через які зловмисники можуть проникнути в мережу, вивести з ладу сервіси або вкрасти важливу інформацію. Для того, щоб використовувати ці слабкі місця, розробляються експлойти.

Експлойт — це код або програма, яка використовує вразливість програмного або апаратного забезпечення для виконання шкідливих дій, таких як ініціювання атак типу «відмова в обслуговуванні» або встановлення шкідливого ПЗ.

І зловмисники, і дослідники в галузі кібербезпеки активно шукають уразливості. Перші пишуть експлойти, щоб використовувати вразливість у зловмисних цілях, а другі створюють їх як демонстрацію слабких місць у системі (PoC – Proof of concept).

Розподіл оголошень за типами у категорії «Уразливості та експлойти»

З усіх проаналізованих повідомлень, 7 із 10 оголошень присвячені продажу експлойтів. До теми «Купівля» належить майже третина повідомлень (27%), що відображає значний попит на подібні інструменти серед зловмисників.

Типи експлойтів, представлених на продаж

Інформація про вразливості та експлойти високо цінується на тіньових ринках. Так, 32% експлойтів, виставлених на продаж, належать до вразливостей нульового дня. Їхня вартість може доходити до мільйонів доларів, і часто разом із покупкою зловмисники отримують докладні інструкції щодо їх експлуатації.

Чверть оголошень (25%) присвячена вже відомим вразливості. Варто відзначити і найнебезпечніші вразливості, які часто приваблюють зловмисників – RCE та LPE. Їхня частка становить 26 і 12% відповідно.

RCE (Remote Code Execution) є вразливістю, яка дозволяє зловмиснику віддалено виконувати довільний код у системі жертви. RCE-уразливість може надати повний доступ до скомпрометованого пристрою та контроль над ним, що робить її однією з найнебезпечніших. Її часто використовують у цілеспрямованих атаках, а також для поширення програм-вимагачів та інших типів шкідливого програмного забезпечення. Наприклад, у жовтні зловмисники використовували RCE-вразливість для атаки на більш ніж 22 000 серверів CyberPanel для подальшої доставки програми-вимагача PSAUX. В результаті атаки майже всі екземпляри CyberPanel були виведені з ладу.

LPE (Local Privilege Escalation) дозволяє зловмисникам підвищити свої привілеї в системі, отримавши доступ до дій, доступних тільки адміністраторам, наприклад root-доступ. Вразливість типу LPE є великою цінністю для кіберзлочинців і є одним з етапів експлуатації. Після злому атакуючий зазвичай отримує непривілейований доступ з обмеженими можливостями. Для повного захоплення пристрою та подальшого розвитку атаки необхідний повний доступ, який надає вразливість LPE.

Доступи

Продаж доступів до корпоративних мереж компаній є досить вигідним бізнесом. У свою чергу, цим займаються окремі представники кіберпідпілля, а саме брокери первісного доступу (IAB — Initial access brokers) — зловмисники, які спеціалізуються на отриманні та продажу доступу до скомпрометованих мереж або систем організацій. IAB використовують різні методи, до них відносяться: експлуатація вразливостей у ПЗ, фішингові повідомлення з метою отримання облікових даних або для доставки та розгортання шкідливої програми або використання підбору паролів (Brute Force – зламування облікових записів за допомогою поширених або відомих паролів).

За підсумками пентестів 2023 в результаті зовнішнього тестування на проникнення 56% векторів атак, спрямованих на отримання доступу в ЛВС, містили техніку Brute Force.

Отримавши необхідні дані, брокери початкового доступу надають свої послуги угрупованням, що займаються програмами-вимагачами, або іншим зловмисникам, у тому числі угрупуванням APT. Варто зазначити, що недосвідчені зловмисники не завжди можуть довести атаку до кінця, наприклад, знайшовши вразливість за допомогою легального сканера вразливостей. Однак навіть якщо вони не в змозі закінчити, отриману інформацію (доступ) вони можуть продати досвідченішим кіберзлочинцям, які зможуть ефективно скористатися нею.

Частка повідомлень категорії «Доступ» за типом

Найбільша частка повідомлень у категорії «Доступи» відноситься до продажу – 72%, тоді як оголошення про купівлю становлять лише 14%. Переважна більшість оголошень про продаж відображає тенденцію до так званого «розподілу праці» в кіберзлочинному середовищі. Одні зловмисники спеціалізуються на видобутку доступів, у той час як інші на використанні їх в атаках. Тип «Роздача» складає 13% від усіх оголошень та містить пости про безкоштовну роздачу доступів.

Більшість оголошень (62%) перебувають у низькому ціновому діапазоні, вартість яких не перевищує тисячі доларів. Зазвичай на вартість доступу впливає прибуток компанії, тому є й дорогі пропозиції (7%): ціни, зазначені в таких оголошеннях, можуть сягати кількох десятків тисяч доларів. Зазначимо, що такі доступи, як правило, продаються до фінансових установ, промислових підприємств та компаній у сфері послуг.

Оголошення про продаж доступу до компанії

На тіньових ресурсах продаються доступи різного типу. Третина об’яв містить пропозиції з підключенням за протоколами VPN або RDP. Популярними є доступи з можливістю підключення за допомогою оболонки Shell і програм віддаленого доступу, таких як AnyDesk, Citrix. Їхня частка склала 11 і 10% відповідно.

З усіх проаналізованих оголошень 20% належить до сфери торгівлі. Слідом йдуть сфера послуг (17%) та промисловість (16%).

Частка повідомлень про продаж доступів по галузях

Послуги

Дарквеб — це великий ринок для продажу шкідливого ПЗ, експлойтів і доступів до систем, а й простір, у якому надаються окремі послуги. Крім того, для реалізації атак зловмисники вдаються до послуг сторонніх осіб, наприклад, для налаштування серверів або розробки фішингових сторінок. Інтерес викликають і послуги, що надають інфраструктуру. Це можуть бути виділені сервери, VPN або проксі, які важливі для атак.

Майже третина оголошень (29%) належить до категорії «Кардинг» та містить такі дані, як номер картки, рік та місяць закінчення її дії, CVV-код, дані власника, номер телефону, адресу та електронну пошту. Зловмисники використовують цю інформацію для покупок різних товарів або переведення в готівку грошей. Іншими словами, кардинг часто стає першим ступенем для новачків у світі кіберзлочинів завдяки його відносній простоті.

Далі йде «Перенаправлення трафіку та інстали» (завантажувальний трафік), що становить 16% від загальної кількості повідомлень. Такі послуги забезпечують перехід користувачів на певний ресурс, наприклад, фішинговий сайт або сайт із ВПО. Працює це так: користувачі клацають на рекламу та переходять на підготовлений фішинговий ресурс, де їм пропонується встановити шкідливу програму під виглядом легального та безпечного ПЗ.

Для успішної реалізації атак кіберзлочинцям потрібна надійна інфраструктура. Частка таких повідомлень становила 5%. Вони рекламують широкий спектр послуг: від хостингу та проксі-серверів до VPS та VPN чи виділених серверів (dedicated servers).

VPN (Virtual private network – віртуальна приватна мережа) необхідний для забезпечення безпечних та анонімних з’єднань. У разі використання VPN трафік зловмисника шифрується, а його дані та місцезнаходження залишаються прихованими. Ціна на VPN-сервіси починається від 4$ на місяць. Але тут зловмисники поділяються на переваги. Одні використовують легальні комерційні продукти, інші орендують у підпіллі, а треті створюють свій інструмент. Крім того, для скритності та анонімності кіберзлочинці активно використовують проксі-сервери, які допомагають приховати реальну IP-адресу, але, на відміну від VPN, трафік користувача не шифрується.

Важливим компонентом для кібератак є виділені сервери. Вартість оренди починається від 100$ на місяць, і, як правило, такі сервери використовують для створення командних центрів або хостингу.

Оголошення про продаж виділених серверів

Так, для фішингового сайту, крім хостингу, ще потрібне доменне ім’я. Воно дозволяє додати трохи легітимності для шкідливого ресурсу. А ціни за таку послугу починаються від 2$, хоча остаточна вартість залежить від доменної зони. Крім того, в комплекті або як додаткова послуга може йти сертифікат SSL ⁴ , який підвищує рівень довіри до сайту.

SSL-сертифікат (Secure Sockets Layer) – цифровий сертифікат, який зашифровує дані, що передаються між користувачем та сайтом. У браузері такий ресурс відображається зі значком замка поруч із адресою, використовується протокол HTTPS замість HTTP.

Послуги зі злому ресурсів мають великий попит у дарквебі, оголошення про них становлять значну частину повідомлень — 49%. Найчастіше це пов’язано не з гучними атаками на організації, як прийнято думати, а з більш простими завданнями: доступом до особистих даних, зломом акаунтів у соціальних мережах та месенджерах, пошуком уразливостей на сайтах чи компрометацією корпоративних пошт. Зазначимо, що замовниками таких послуг можуть бути не тільки шахраї або приватні особи, але й компанії, які прагнуть отримати перевагу, наприклад, доступ до конфіденційної інформації конкурентів. Ціни за компрометацію особистого поштового облікового запису можуть починатися від 100$, а за злом корпоративної поштової скриньки доведеться заплатити вже 200$.

Крім того, ціна може змінюватись в залежності від ймовірності успішності атаки. Так, на одному з тіньових форумів пропонувалася послуга зі злому телеграм-акаунту за 7000 і 9000 рублів з ймовірністю успіху 50 і 70% відповідно.

Зростання попиту на злом хешей

Запит на злом хешу стає дедалі популярнішим на тіньових форумах. Наприклад, наприкінці 2023 року він досяг рекордного рівня, а потім знизився на 29% у першому кварталі 2024-го. Незважаючи на це, до третього кварталу 2024 кількість запитів знову різко зросла, встановивши новий максимум. Хеш використовується для ряду завдань: перевірки цілісності даних під час передачі або захисту файлів. Однак для користувачів найпоширеніша форма хешування – зберігання пароля. Наприклад, коли ви створюєте обліковий запис на сайті та вводите пароль, ресурс не зберігає його у відкритому вигляді. Натомість він перетворює пароль на унікальний набір символів. Навіть якщо зловмисник украде базу даних, він отримає не самі паролі, а лише ці хеші.

Зростання попиту такі послуги пов’язані з кількома чинниками. Користувачі використовують слабкі та передбачувані паролі. Так, дослідники NordPass підготували антирейтинг паролів. Вони проаналізували базу даних обсягом 2,5 ТБ, одержану з відкритих джерел. До рейтингу увійшли такі паролі, як «123456» або „password“, що означає одне – полегшення процесу злому хешу.

Не варто забувати і про криптовалюти. Зі зростанням інтересу кіберзлочинців до них, зловмисники все частіше звертають увагу на хеші, зламування яких може призвести до крадіжки коштів з криптогаманців.

Криптовалюти використовують хеші для підтвердження транзакцій та захисту доступу до гаманців, що робить їх привабливою метою для зловмисників. Попит пов’язаний зі збільшенням кількості витоків конфіденційних даних. Більше половини успішних атак на організації у 2023 та 2024 роках призвели до витоків. Наприклад, якщо зловмисник зможе зламати хеш і дізнатися про відкритий пароль, який використовується для доступу до критично важливих систем усередині компанії, він отримає доступ до конфіденційних даних і ресурсів. Вартість послуги починається від 10$.

Висновок

Тіньова економіка кіберзлочинності продовжує еволюціонувати, використовуючи криптовалюти та децентралізовані фінансові механізми для забезпечення анонімності та масштабування незаконної діяльності. Bitcoin і Monero стали основними засобами оплати в дарквебі, а криптоміксери, дропи та офшорні компанії відіграють ключову роль у відмиванні грошей, отриманих незаконним шляхом.

Попит на доступи до корпоративних мереж, експлойти та злом акаунтів залишається високим, що свідчить про зростаючу професіоналізацію кіберзлочинних груп. Ринок кіберпослуг розширюється – зловмисники не лише купують готові інструменти, а й замовляють унікальні розробки, використовуючи підпільні програмістські спільноти.

Конкуренція між злочинними угрупованнями призводить до нових схем обману, витоків даних і навіть атак одне на одного. При цьому витоки інструментів, білдерів та технічних гайдів знижують бар’єр для входу у світ кіберзлочинності, дозволяючи новачкам швидко набиратись досвіду.

Тіньовий ринок продовжує розвиватися, пристосовуючись до змін у законодавстві та технологіях. Ймовірно, у найближчі роки ми побачимо нові криптовалютні рішення для підвищення анонімності платежів, подальший розвиток RaaS-моделі (Ransomware-as-a-Service) та ще більш складні механізми відмивання коштів.

Попереду – заключна частина.