Нелегальные продажи подключений к ИТ-сетям российских компаний выросли в три раза

Специалисты Bi.Zone изучили объявления на теневых ресурсах, связанных с киберпреступниками. Теневые продажи подключений к ИТ-сетям российских компаний выросли в 2,5-3 раза. Предложения о продаже доступов к ИТ-инфраструктуре российских компаний в даркнете продолжают расти, а их средняя стоимость оценивается в $500. Такие доступы чаще всего становятся «точкой входа» злоумышленников в инфраструктуру компании.

Рост продаж

На теневых ресурсах в 2025 г. выросло число предложений о продаже доступов к ИТ-инфраструктуре российских компаний, об этом CNews сообщили представители Bi.Zone. Специалисты оценивают рост в 2,5-3 раза относительно 2024 г.

По данным Bi.Zone, цена при росте предложения практически не меняется, отмечают специалисты по кибербезопасности, что говорит о постепенном перенасыщении рынка из-за частых успешных фишинговых атак на компании, ведь сотрудники и инсайдеры становятся для бизнеса главной угрозой. Средняя стоимость доступа во внутренние ИТ-системы организаций составляет $500.

Теневой доступ к ИТ-сетям — это ситуация, когда сотрудники используют в работе ИТ-системы, приложения, устройства или ИТ-сервисы без явного разрешения или контроля со стороны ИТ-отдела организации. Сотрудники часто прибегают к таким решениям, если официальные средства не отвечают их потребностям, слишком сложны или неэффективны, что приводит к самостоятельному поиску альтернатив. Это создает угрозу кибербезопасности. В 2025 г. теневые ИТ представляют угрозу безопасности для бизнеса, поэтому команды ИТ и информационной безопасности (ИБ) тратят значительные ресурсы и усилия, удваивая усилия и пытаясь полностью исключить использование теневых ИТ.

inzener-molodogo-celoveka-delaa-analizy-programmy_1.jpg

Freepik - senivpetro
Теневые продажи подключений к ИТ-сетям российских компаний выросли в три раза, а их стоимость оценивается в $500

Главными причинами распространения теневого доступа называют цифровую трансформацию, которая охватила все сферы бизнеса, рост количества облачных сервисов и переход на удаленный или гибридный формат работы. Кроме того, ИТ-отделы медленно реагируют на меняющиеся потребности сотрудников и не всегда могут своевременно предоставить им необходимые ИТ-инструменты. В результате работники отдают предпочтение эффективности работы, а не кибербезопасности.

«Первоначальные доступы в корпоративные сети, известные как Initial Access, пользуются высоким спросом в даркнете. Их цена начинается от $100–200, но может значительно увеличиваться в зависимости от размера компании, отрасли и уровня доступа», — отмечают эксперты департамента киберразведки компании F6. Они не фиксируют резкого роста числа таких предложений, однако с 2020 г. рынок доступов к корпоративным сетям по всему миру значительно вырос: если в 2019 г. было выставлено лишь 130 лотов, то в 2024 г. их число превысило 4 тыс.

Под доступами чаще всего понимаются логин и пароль от внутренней системы или иные данные для подключения. Всего специалисты Bi.Zone обнаружили более 5 тыс. опасных сообщений на форумах и в Telegram-каналах злоумышленников за 2024 г. и первую половину 2025 г., помимо продажи доступов они включают распространение вредоносного софта и т.д.

ИТ-сервис мониторинга даркнета и утечек данных Data Leakage & Breach Intelligence (DLBI) сообщает о повышении цен на доступ к ИТ-инфраструктуре крупных российских компаний, хотя рост менее выражен, чем в случае с западными компаниями. Основатель сервиса Ашот Оганесян уточняет, что большинство объявлений, особенно в Telegram-каналах, создающих видимость увеличения предложения, связаны с перепродажей доступов. В 90% случаев такие доступы используются для заражения ИТ-инфраструктуры компаний вирусами-вымогателями с последующим требованием выкупа. В оставшихся 10% случаев данные компаний похищаются и выставляются на продажу на черном рынке, добавляет он.

Исследование Bi.Zone выявляет интересный парадокс: рост числа предложений при стабильных ценах, рассказал «Коммерсанту» генеральный директор Start X и резидент бизнес-клуба «Кибердом» Сергей Волдохин. «Мы наблюдаем классическое перенасыщение рынка: аккаунтов стало так много, что продавцы вынуждены конкурировать, удерживая цены на прежнем уровне», — поясняет он. Это указывает на упрощение процесса взлома корпоративных ИТ-систем. По словам эксперта, основная проблема заключается в том, что сотрудники компаний массово предоставляют злоумышленникам доступ к рабочим системам, например, через фишинговые атаки. Сергей Волдохин также подчеркивает существование инсайдерских услуг, когда сотрудники сознательно передают злоумышленникам конфиденциальную информацию.

Теневой рынок будет расти

46% всех сообщений на теневых ресурсах связаны с продажами коммерческих вредоносных программ. Наибольшей популярностью пользуются стилеры (33% объявлений), а также трояны удаленного доступа и загрузчики (по 12%). В дальнейшем будет нарастать тренд на размывание функциональности различных видов троянов, поскольку разработчики таких программ будут стремиться предложить атакующим универсальные ИТ-решения All-in-One.

All-in-One или «все в одном» решения — это комплексные ИТ-продукты или ИТ-системы, объединяющие множество функций или компонентов для решения разнообразных задач в одном устройстве, программе или сервисе. Такие решения предлагают удобство, простоту использования и полный контроль над всеми процессами, будь то управление бронированиями туров, диагностика мобильных устройств, контроль состояния строительных конструкций или обеспечение кибербезопасности.

snimok_ekrana_2025-08-22_151555.png

Правительство Москвы
Теневой рынок будет расти

Объявления о продаже EDR- и AV-киллеров пока составляют всего 4% от общего числа предложений вредоносного программного обеспечения (ПО), но этот сегмент будет увеличиваться. Это связано с повышением уровня киберзрелости, особенно в крупных компаниях, которые активно внедряют у себя решения класса endpoint detection and response (EDR) и extended detection and response (XDR).

Продажи эксплоитов к ИТ-уязвимостям

22 августа 2025 г. на теневых ресурсах 18% всех сообщений связаны с продажей эксплоитов, включая как уязвимости нулевого дня, так и известные уязвимости. Стоимость некоторых эксплоитов достигает нескольких миллионов долларов, что свидетельствует о высоком спросе со стороны киберпреступников.

Исследователи Bi.Zone 8 августа 2025 г. сообщали об атаках шпионского кластера Paper Werewolf, в которых использовались уязвимости WinRAR, как писал CNews. Одна из них на момент кампании представляла собой еще не описанную ИТ-уязвимость нулевого дня. Предположительно, атакующие приобрели для нее эксплоит на одном из теневых форумов за $80 тыс.

Борьба с злоумышленниками

С конца 2024 — начала 2025 г. администрация мессенджера Telegram начала активно блокировать каналы и чаты, используемые злоумышленниками. Параллельно правоохранительные органы продолжают закрывать теневые форумы, что ранее в 2018 г. спровоцировало частичный переток их активности в Telegram.

В результате киберпреступники, с одной стороны, будут пытаться восстановить работу традиционных ИТ-площадок, а с другой — активно искать альтернативные каналы связи, которые позволят не только обмениваться информацией, но и продвигать продукты и услуги, связанные с кибератаками.

Антон Денисенко

