Елена Шамшина, руководитель департамента киберразведки компании F.A.C.C.T., рассказала порталу Cyber Media о том, как устроен рынок киберпреступности, специфике рекрутинга в blackhat-проекты и развитии сервисных моделей для совершения преступлений (Malware-as-a-Service).
Cyber Media: Последние годы набирает популярность сервисная модель киберпреступности, ярчайший пример – RaaS. Как устроены подобные панели, насколько они распространены, какие сопутствующие услуги предлагают?
Елена Шамшина: Понятие RaaS расшифровывается как «Ransomware as a service», «программы-вымогатели как услуга». Это партнерская схема, в рамках которой ее владелец предоставляет вредоносную программу для шифрования компьютерных сетей (собственно, сам шифровальщик), а «партнер» в обмен на возможность использования шифровальщика обязуется выплачивать процент с выкупов, полученных в результате атак. В некоторых случаях в рамках RaaS-партнерок действительно предоставляется доступ к административной панели, где участники могут сгенерировать файлы шифровальщика с определенными параметрами, указать информацию о жертвах, добавить в панель других пользователей.
Иногда помимо шифровальщика членам группировки предоставляются дополнительные инструменты и сервисы, такие как опытные переговорщики (чтобы договариваться с жертвой о сумме выкупа), дополнительное ПО, чтобы, например, выгружать данные из сети жертвы.
В настоящее RaaS-схемы распространены достаточно широко, поскольку шифровальщики представляют собой прибыльную сферу бизнеса в области киберпреступности. Но партнерские программы различаются между собой. Кто-то ищет участников открыто, давая объявления на форуме. Кто-то более закрыт и набирает команду в приватных источниках и несильно афиширует свою деятельность.
Кстати, на большинстве русскоязычных андеграундных форумов в правилах указано, что деятельность злоумышленников, в том числе в рамках RaaS-моделей, не должна затрагивать Россию и страны СНГ. Поэтому большинство шифровальщиков, которые выявляются в России и СНГ в настоящее время, не работают по RaaS-схемам.
Помимо шифровальщиков похожую концепцию используют и для продажи других типов вредоносного программного обеспечения: в общем случае это называется MaaS – Malware-as-a-Service. Также есть такие понятия, как PhaaS – Phishing-as-a-Service, фишинг как услуга; DaaS – DDoS-as-a-service, DDoS-атака как сервис.
Cyber Media: Как киберпреступники используют опыт развития и продвижения легального бизнеса в своих проектах? Какими инструментами или техниками пользуются?
Елена Шамшина: Мелкие проекты («простое» вредоносное программное обеспечение, такое как стилеры, а также фишинговые киты) активно пиарятся в Telegram-каналах, у них красочные объявления, поэтому вероятно у них в командах могут быть дизайнеры, маркетологи, иногда SMM. Они пишут объявления на разных язык, ориентируясь на различную аудиторию.
Иногда делают акции со скидками для покупателей – зачастую, как и в легальном бизнесе, привязывая скидки к новому году или «черной пятнице».
Пример объявления в Telegram
Как и в легальном бизнесе, продавцы/поставщики в «темном Интернете» дорожат своей репутацией. Иногда в качестве рекламы они могут хвастаться статьями, описывающими их «услугу», если таковые имеются. В случае с шифровальщиками это могут быть исследования от вендоров информационной безопасности. Некоторые злоумышленники даже сами дают интервью журналистам или модераторам андеграундных форумов.
Пример – интервью с владельцем MaaS-платформы на андеграундном форуме
Cyber Media: Крупный проект, построенный по сервисной модели, требует привлечения большого количества людей – от разработчиков и техподдержки, до маркетологов и бухгалтеров. Как подобные cybercrime-проекты обеспечивают свою безопасность? Есть ли у киберпреступников своя «служба ИБ»?
Елена Шамшина: Мы не располагаем достаточной информацией, чтобы утверждать, что «служба ИБ» есть у всех крупных криминальных проектов. Возможно, у каких-то есть. Необходимо понимать, что это потребует дополнительных финансовых затрат, поэтому, по нашим предположением, базовую проверку выполняют именно те, кто нанимает людей – читают другие сообщения (если это форум), изучают репутацию пользователя. Мы предполагаем, что в крупные проекты участники могут попадать по знакомству, если ранее уже работали друг с другом.
В некоторых случаях мы видели, что при поиске партнеров злоумышленники ориентируются на пользователей со старыми регистрациями, что уже является показателем «качества» злодея и того, что это не исследователь, который хочет получить больше информации.
Пример объявления на андеграундном форуме
Также, одним из критериев «заслуживающего доверие» партнера в андеграундном мире может считаться то, что у него на депозите форума имеются денежные средства.
Сообщение пользователя андеграундного форума о депозите
И конечно, «заслуживающие доверия» злоумышленники всегда готовы работать через гарант-сервис, предоставляемый андеграундным форумом. Это третья сторона, которая стоит между «покупателем» и «поставщиком» товара/услуги, таким образом они не смогут друг друга обмануть.
На андеграундных форумах широко распространен «арбитраж» – процесс, в рамках которого спорные ситуации, как правило финансового характера, решаются с помощью модераторов форума. Споры между владельцами партнерской программы шифровальщика и партнером – не редкость.
Пример «арбитража» на андеграундном форуме
В данном случае администратор форума отказал в претензии, написав развернутый ответ
Cyber Media: Насколько часто на cybercrime-рынке появляются новые услуги? С какими необычными или интересными предложениями вы сталкивались в своей практике?
Елена Шамшина: Появление новых типов услуг обычно обусловлено появлением новых технологий и трендов мире IT. К примеру, когда появляются новые социальные сети, очень быстро начинают появляться схемы мошенничеств/атак для этих новых платформ.
Распространение технологий искусственного интеллекта, которое наблюдается в последнее время, затронуло и теневой бизнес. Так, интересным новым предложением был WormGPT – проект, который позиционировался создателем как чат-бот для хакеров. Он был выпущен в июле 2023 года на андеграундных форумах, а также рекламировал себя в Telegram. Однако уже в августе 2023 автор объявил о закрытии проекта из-за повышенного негативного внимания со стороны СМИ.
Фрагмент сообщения о закрытии проекта:
«Today, the five of us, who are responsible for WormGPT, have come together and decided to put an end to the project, letting go of everything we believed in and distancing ourselves a bit from a society that opposes freedom of expression and code.
Thank you to all who believed in the project, to those who contributed to its growth, and above all, thanks to the members of Hackforums for providing us the strength to carry on its development. Regrettably, the world is not yet prepared to coexist with a tool of such vast freedom.»
Cyber Media: В даркнете существует несколько наиболее известных хакерских форумов. Один из них, BreachForums, не так давно был закрыт. Как закрытие крупных форумов сказывается на мире киберпреступности, насколько подобные меры эффективны?
Елена Шамшина: Подобные события происходят в андеграундном мире достаточно часто. BreachForums – не первый известный форум, который был закрыт, до него подобная участь постигла очень знаменитый Raidforums.
Обычно через какое-то время появляется «замена» в виде новой площадки. Так что подобная мера не ставит крест на криминальной деятельности, но действительно, злоумышленникам требуется время, чтобы наладить свой процесс заново. Также, если хакерские форумы закрываются в результате операций правоохранительных органов, это может сопровождаться арестами участников, что уже несомненно более значимая мера в борьбе с киберпреступностью.
*Скриншоты взяты из F.A.C.C.T. Threat Intelligence
Екатерина Тьюринг, кибердетектив, в интервью для Кибер Медиа рассказала, почему социальная инженерия остается ключевым инструментом мошенников, как устроены современные схемы обмана и что на самом деле происходит с безопасностью пользователей в таких сервисах, как MAX.
Эксперты представили первый аналитический отчет об уровне зрелости ИБ в 52 российских компаниях, выявивший «парадокс роста»: огромные бюджеты корпораций не гарантируют лидерства в безопасности из-за масштабов и сложности их инфраструктуры.
Олег Иевлев, декан факультета КиИБ МТУСИ, в интервью для Кибер Медиа рассказал, как выстраивается баланс между академическим качеством и требованиями индустрии, какую роль в обучении играют киберполигоны и CTF, чего сегодня ждут работодатели от выпускников и почему информационная безопасность в ближайшие годы станет базовой компетенцией для всех технических специалистов.
Защита самых важных данных в последние годы среди главных приоритетов крупного бизнеса и государственных организаций, стремящихся усилить информационную безопасность.
За последние годы рынок информационной безопасности в России прошел через масштабную трансформацию.
На фоне дефицита кадров и трансформации рынка ИТ и ИБ участие женщин в отрасли остается противоречивым: с одной стороны, их доля растет, с другой — сохраняются как профессиональные, так и внутренние барьеры, замедляющие карьерное развитие.
Роман Семенов, директор департамента мониторинга и реагирования на киберугрозы блока информационной безопасности «Ростелекома», в интервью Cyber Media рассказал, как крупнейший в России интегрированный провайдер цифровых услуг и решений строит работу центра мониторинга информационной безопасности, справляется с новыми угрозами и готовит специалистов для защиты сети.
В 2026 году киберугрозы продолжают усложняться, а требования регуляторов — ужесточаются.
Кирилл Рудик, главный архитектор по кибербезопасности Cloud X, в интервью для Cyber Media рассказал, как меняется ландшафт облачных угроз, какие риски связаны с Kubernetes и cloud-native архитектурами и какие технологии уже в ближайший год могут стать стандартом де-факто в сфере облачной безопасности.
Андрей Масалович — ведущий эксперт по конкурентной разведке, известный широкой аудитории как блогер КиберДед, Президент Консорциума «Инфорус» и создатель аналитической технологии Avalanche.
