Речь пойдет о той части интернета, которая намеренно скрыта от обычных пользователей и не индексируется поисковыми системами. Для доступа к ресурсам в дарквебе (dark web) требуются специальные инструменты — например, Tor или I2P. Это не единая сеть, а совокупность площадок, доступ к которым ограничен технически или организационно: через шифрование, нестандартные протоколы или закрытые сообщества.
С точки зрения содержания дарквеб также неоднороден: в нем существуют как условно нейтральные ресурсы, например файлообменники, так и площадки, связанные с откровенно незаконной деятельностью. Для нас дарквеб представляет интерес прежде всего как среда, в которой сформировалась развитая инфраструктура киберпреступности.
По уровню реализации ресурсы дарквеба ближе к форумам начала 2000-х, с архаичным интерфейсом и неформальным общением. Однако по своей функции такие площадки близки к современным B2B-маркетплейсам — с той разницей, что в качестве товаров на них фигурируют краденые данные, скомпрометированные учетные записи, сведения об уязвимостях, вредоносное ПО, услуги по организации DDoS-атак и т.д.
Экономика киберпреступности
Ключевая функция дарквеба состоит в упрощении монетизации киберпреступлений. Важным следствием появления этого рынка стали разделение труда и формирование сложных цепочек поставок.
Раньше хакерским группировкам приходилось выстраивать свою деятельность практически с нуля: самостоятельно создавать вредоносное ПО, искать подходящие цели для атак, находить покупателей на украденные данные и т.д.
Рост популярности дарквеба позволил одним киберпреступникам сосредоточиться на поиске уязвимостей и получении первичного доступа, другим — на разработке и распространении вредоносного ПО, третьим — собственно на монетизации: продаже данных, вымогательстве или проведении атак по заказу.
В результате сформировалась полноценная индустрия, в которой отдельный злоумышленник может не разрабатывать собственные инструменты, не искать уязвимости и не строить инфраструктуру — ему достаточно приобрести соответствующие услуги у тех участников рынка, которые на них специализируются. Это одновременно снижает порог входа и увеличивает масштабы атак.
Наглядный пример этой логики — модель Ransomware-as-a-Service (RaaS), ставшая отраслевым стандартом. Группировки вроде REvil и LockBit действовали по принципу франшизы: разрабатывали вредоносное ПО, поддерживали инфраструктуру переговоров с жертвами и брали комиссию — как правило, около 20–30% от суммы выкупа. Остальное доставалось «партнерам»-исполнителям, которым для старта не требовались ни технические знания, ни собственные инструменты. Именно по такой схеме в мае 2021 года был атакован Colonial Pipeline — крупнейший топливопровод восточного побережья США. Непосредственными исполнителями оказались связанные с группой DarkSide хакеры, арендовавшие готовый инструментарий. Атака парализовала поставки топлива почти на неделю; компания выплатила $4,4 млн выкупа. Впоследствии ФБР удалось вернуть часть средств, однако сам прецедент наглядно показал, как зрелая инфраструктура дарквеба позволяет проводить атаки критического масштаба силами исполнителей, не являющихся высококвалифицированными специалистами.
Ценные разведданные или иллюзия контроля?
По мере того как дарквеб стал восприниматься в качестве «рыночной площади» киберпреступности, на стороне защитников появился естественный интерес к его мониторингу. Возникла идея, что наблюдение за площадками поможет выявлять угрозы: обнаруживать утечки, отслеживать появление в продаже доступов в инфраструктуру компании и получать сигналы о готовящихся атаках.
На практике эта логика работает лишь частично. Данные с «темной стороны» действительно могут служить дополнительным источником информации — например, указывать на факт компрометации. Однако проблема в том, что эта информация изначально получена из среды, в которой отсутствуют полноценные механизмы верификации.
Как и на любом анонимном и нерегулируемом рынке, здесь высока доля шума. У участников рынка есть прямая мотивация преувеличивать ценность «товара», создавать иллюзию спроса или даже откровенно обманывать контрагентов. Объявления могут быть устаревшими, недостоверными или полностью вымышленными, рейтинги и отзывы — накрученными, активность — симулируемой.
Отдельный риск связан с тем, что функция мониторинга часто передается внешним подрядчикам. В условиях, где исходная информация не поддается независимой проверке, возникает пространство для недобросовестных практик — от интерпретации слабых сигналов как критических до искусственного формирования угроз для демонстрации ценности услуги.
Характерный пример такой ситуации описывали специалисты по реагированию на инциденты: компания получила от подрядчика срочный алерт о том, что на одном из закрытых форумов продаются доступы к ее внутренней инфраструктуре. Руководство отреагировало немедленно: была инициирована экстренная проверка, привлечены дополнительные ресурсы, приостановлены плановые работы. В ходе расследования выяснилось, что речь шла об объявлении двухлетней давности с данными, утратившими актуальность после плановой смены учетных записей. Подрядчик, по всей видимости, просто не проверил дату публикации. Прямые затраты на ложную тревогу оказались сопоставимы с квартальным бюджетом на информбезопасность. История не исключительная — она типичная.
В результате мониторинг дарквеба не дает бизнесу того уровня определенности, на который часто рассчитывают. Он может подсветить потенциальную проблему, но для ее верификации необходимо дополнительное тщательное расследование и сопоставление с внутренними данными компании.
Не верь, не бойся, не плати
Еще менее удачной выглядит идея активного взаимодействия с этим рынком — например, заказывать «проверку» инфраструктуры у хакеров, выкупать утекшие у компании данные или платить за прекращение атак.
Начнем с того, что попытки откупиться от киберпреступников не дают гарантированного результата. Нет ничего невероятного в том, что после получения оплаты от организации атакующие решат «зайти на второй круг». Именно это произошло с Uber в 2016 году. Хакеры получили доступ к данным 57 млн пользователей и водителей. Компания выплатила $100 000 в обмен на обещание удалить похищенное и хранить произошедшее в тайне — и на год скрыла инцидент от регуляторов и пользователей. Когда утечка все же стала достоянием общественности, к прямым потерям добавились правовые последствия: расследования со стороны регуляторов в нескольких странах, штрафы и отставки. Никаких гарантий, что данные действительно были удалены, компания так и не получила. Аналогичная логика воспроизводится и в меньших масштабах: бизнес платит «за удаление» базы клиентов или внутренней переписки, не осознавая, что у продавца нет ни технической, ни экономической мотивации выполнять это обещание — данные можно продать еще раз другому покупателю.
Пожалуй, самый показательный кейс мы наблюдали в 2017 году: у HBO было украдено 1,5 ТБ данных сериала «Игра престолов», включая несколько неэфирных серий и внутреннюю документацию. HBO вступила в переписку и выплатила $250 000 в биткоинах якобы «в знак доброй воли». Серии утекли в сеть все равно.
В 2021 году CD Projekt Red (разработчики игры Cyberpunk 2077) отказались от переговоров публично и демонстративно. Хакерская группа HelloKitty выставила исходные коды игр на аукцион прямо на дарквеб-форуме. Интересна реакция рынка: несмотря на утечку, репутация компании пострадала значительно меньше, чем у тех, кто платил и все равно терял данные.
Главная проблема в том, что любая оплата становится финансированием развития дарквеба. Чем больше спрос со стороны бизнеса, тем выше стимулы у злоумышленников искать новые уязвимости, компрометировать инфраструктуру и масштабировать атаки. Попытка «купить безопасность» фактически означает прямое участие в том самом рынке, который формирует угрозы.
Типичные ошибки бизнеса
Как правило, компании совершают в этой зоне одни и те же ошибки, независимо от отрасли и размера.
Платить, чтобы «закрыть вопрос». Получив уведомление об атаке или утечке, бизнес нередко начинает переговоры: предполагается, что проблему можно решить деньгами. На практике выплата выкупа не гарантирует ни восстановления данных, ни прекращения атак, ни удаления похищенной информации. По данным исследования Cybereason 2021 года, около 80% компаний, заплативших выкуп, впоследствии подвергались повторным атакам — нередко от тех же злоумышленников, которые сохранили доступ к инфраструктуре и вернулись за следующей выплатой.
Воспринимать мониторинг как страховку. Мониторинг нередко продается как инструмент проактивной защиты, и часть компаний именно так его и воспринимает: купили сервис — значит, защищены. Проблема в том, что обнаружение данных в дарквебе — это всегда констатация уже случившегося. К моменту появления информации на продажу она, как правило, уже использована или передана дальше по цепочке. Мониторинг не предотвращает инцидент и не устраняет его причины. Он может быть полезен как один из сигналов, но не как замена реальной защите.
«Проверять периметр» через дарквеб. Часть руководителей приходит к идее заказать у хакеров аудит собственной инфраструктуры. Логика понятна: кто лучше знает уязвимости, чем те, кто ими пользуется? На практике подобные «услуги» не имеют ничего общего с легитимным испытанием на проникновение. Исполнитель анонимен, его компетенции не верифицированы, результаты не поддаются проверке. В лучшем случае компания получает бесполезный отчет. В худшем — оплачивает получение полноценного несанкционированного доступа к собственной инфраструктуре: исполнитель устанавливает закладку и продает этот доступ дальше.
Паниковать при упоминании бренда. Обнаружив название своей компании на форуме или в базе утечек, бизнес нередко реагирует несоразмерно: инициирует срочные выплаты, вступает в переговоры или отдает распоряжение «разобраться любой ценой». Между тем значительная часть подобных упоминаний — либо устаревшие данные, годами циркулирующие на рынке, либо откровенный скам, рассчитанный именно на провоцирование такой реакции. Объявление о продаже «свежей базы» компании Y — типичный способ выманить деньги у самой компании Y или у ее конкурентов. Без верификации любое действие в подобной ситуации рискует усугубить положение.
Делегировать всю тему «специалистам». Дарквеб вызывает у многих руководителей ощущение непонятной и потому пугающей среды. Это формирует запрос на готовое решение: нанять подрядчика, который «закроет вопрос». Проблема в том, что делегирование само по себе не снимает рисков — оно лишь переносит ответственность. Компания остается зависимой от качества и добросовестности подрядчика, не имея инструментов для независимой оценки результатов его работы. Именно эта асимметрия информации и создает условия для злоупотреблений.
Как поступить правильно
Данные из дарквеба могут быть полезны как дополнительный сигнал, но требуют осторожной интерпретации и обязательной проверки. Полагаться на них как на источник достоверной информации или, тем более, передавать эту функцию полностью внешним подрядчикам — рискованная стратегия. Недопустимо платить участникам черного рынка, напрямую финансируя его развитие.
Устойчивость к киберугрозам формируется внутри компании. Вместо попыток «купить безопасность» бизнесу следует инвестировать в системную защиту — процессы, архитектуру и инструменты, которые позволяют закрывать уязвимости, нейтрализовать атаки и обеспечивать непрерывную работу ключевых сервисов.
Мнение редакции может не совпадать с точкой зрения автора