Positive Technologies назвала тренды, формирующие высокоорганизованный рынок киберпреступности

Компания Positive Technologies, лидер в области результативной кибербезопасности, выяснила*, в каких направлениях развивается рынок дарквеба. В качестве главных трендов теневых площадок эксперты выделяют распространение сервисов по подписке, рост популярности услуг по модификации ВПО, формирование рынка дешевых вредоносов и создание комфортных условий для киберпреступности.

Специалисты отмечают, что дарквеб часто воспринимается как мир без правил, однако в действительности индустрия работает по принципам легального рынка. Например, высокая конкуренция стимулирует продавцов постоянно улучшать товары и услуги, выстраивать доверительные отношения с клиентами, укреплять свои бизнес-позиции. Кроме того, в дарквебе широко используются инструменты маркетинга для привлечения заказчиков: так, например, один из дарк-форумов запустил акцию в честь черной пятницы, предложив скидку 50% на все тарифные планы, в том числе повышение привилегий аккаунта. Площадки на киберпреступном рынке стремятся и защитить собственные системы от атак, например для безопасности пользовательских данных и средств они проводят программы багбаунти и внедряют гарант-сервисы**. 

В числе ключевых трендов развития рынка преступных киберуслуг аналитики выделяют распространение сервисов по подписке: эта бизнес-модель наиболее популярна в сегментах вредоносного ПО, фишинговых и DDoS-атак. Злоумышленники на определенный период приобретают подписку, в которую могут входить готовые наборы инструментов, инструкции по их использованию и услуги технической поддержки. По прогнозам экспертов, подписочная модель в скором времени может проникнуть в сегмент эксплойтов*** и в полной мере затронуть теневые форумы.

Еще один тренд связан с ВПО: использование вредоносов остается самым популярным методом атак на организации, в III квартале 2024 года на его долю пришлось 65% случаев. На теневом рынке появляются аналоги легальных сервисов для проверки файлов: результаты анализа помогают злоумышленникам делать ВПО невидимым для средств защиты. Кроме того, набирают популярность услуги по модификации вредоносов с учетом специфики атак и особенностей жертв. Эксперты также отмечают тенденцию формирования рынка дешевого ВПО, в частности шифровальщиков. Злоумышленники могут использовать такие программы в атаках на средний и малый бизнес, действуя независимо и не выплачивая проценты от выкупа владельцам или продавцам, как это часто бывает в случае с крупным ВПО. 

Новые возможности для клиентов и повышение качества предложений также помогли дарквебу перейти на новый виток развития. Так, продавцы продуктов активно вводят пробные периоды, привлекая клиентов на переполненном рынке. Некоторые поставщики создали магазин журналов**** в панели управления ВПО и запустили собственную криптовалюту. Аналитики прогнозируют, что в ближайшее время на площадках может появиться опция тайного покупателя для оценки качества услуг продавцов.

Число успешных кибератак на организации в 2024 году на 5% больше, чем в 2023. Вслед за растущим спросом на преступные киберуслуги дарквеб превращается в зрелый рынок, развиваясь одновременно в разных направлениях. С одной стороны, расширяется ряд инструментов для атак и снижается порог входа для начинающих злоумышленников, с другой — постоянно совершенствуется работа с клиентами для их удержания.

* Исследование охватывает период с 2023 года по III квартал 2024-го. Эксперты проанализировали 40 источников на русском и английском языках, в числе которых крупнейшие теневые форумы и маркетплейсы, а также телеграм-каналы различной тематики. Всего изучено более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости, доступы к корпоративным сетям и другие киберпреступные услуги.

** Гарант-сервис — это третья сторона, которая выступает посредником между покупателем и продавцом на теневых ресурсах.

*** Эксплойт — код или программа, которая использует уязвимости в программном или аппаратном обеспечении для выполнения вредоносных действий.

**** Журналы — наборы данных, которые были получены в результате взломов и могут пригодиться в дальнейших атаках.

Источник: Positive Technologies