- Категория
- Криптовалюта
- Дата публикации
- Переключить язык
- Читати українською
Рынок даркнета: как в мире торгуют лекарствами, наркотиками, оборудованием для киберпреступлений
Аналитики компании Chainalysis изучили рынок даркнета в своем ежегодном отчете – The 2024 Crypto Crime Report. В теневом интернете преступники могут приобрести все, что угодно – запрещенные лекарства, наркотики, оборудование для хакерства, похищенные личные данные. Сколько зарабатывают даркнет-маркетплейсы, как построен их бизнес, как стражи порядка ловят преступников и получают ли жертвы финансовое возмещение - обо всем этом читайте в материале Delo.ua.
- Доходы рынка Darknet растут
- Как происходит борьба за доминирование на рынке даркнета
- Как эволюционировал даркнет последние десять лет
- Какие специализации выбирают маркетплейсы на рынке даркнета
- Как идут деньги в разных нишах даркнета
- Какой средний чек присутствует в даркнете при покупке лекарств.
- Как в даркнете работают рынки для киберпреступников
- Кейс: как полиция Нидерландов раскрыла кражи данных Genesis Market
- Как Genesis Market украл данные более 2 млн жертв
- Как голландская полиция помогла жертвам Genesis Market
- Краткие выводы о деятельности даркнет-маркетов
Доходы рынка Darknet растут
Доходность даркнета увеличилась в 2023 году: тогда мошеннические магазины получили $1,7 млрд. Рост произошел после того, как в 2022 году был закрыт известный маркетплейс Hydra .
"После этого началась война за доминирование на рынке даркнета, но пока ни один маркетплейс не сравнился с финансовым успехом Hydra", – говорят аналитики Chainalysis.
Как происходит борьба за доминирование на рынке даркнета
Согласно отчету Chainalysis, в прошлом году на рынке даркнета преуспели несколько маркетплейсов:
- Mega Darknet Market получил наибольшее количество поступлений в сумме более полумиллиарда долларов.
- Kraken Market (не путать с популярной криптобиржей Kraken) завоевал популярность среди российских рынков темных сетей.
- Blacksprut и OMG!OMG! остаются ведущими игроками в экосистеме даркнета.
"В последние годы некоторые мошеннические магазины интегрировали процессоры криптоплатежей на свои веб-сайты через API . Возможно, этот способ улучшил эффективность их работы и повысил безопасность", – говорят аналитики Chainalysis.
Для понимания: такие платежные процессоры предоставляют услуги белой метки для маркетплейсов в даркнете, а также возможности бесперебойной оплаты для клиентов этих служб. Например, показанный на инфографике UAPS предоставлял участникам даркнета такой сервис.
Как эволюционировал даркнет последние десять лет
На протяжении всей истории даркнета некие маркетплейсы играли доминирующую роль. Примерами последних лет могут служить:
- Silk Road ,
- AlphaBay ,
- Wall Street Market ,
- Hydra.
"Исторически так сложилось, что когда правоохранительные органы закрывали каждый доминирующий маркетплейс, появлялся новый лидер. Модель восстановления достаточно стабильна до закрытия Hydra Marketplace, после чего не появилось доминирующего рынка даркнета", - говорится в отчете.
Какие специализации выбирают маркетплейсы на рынке даркнета
В даркнете всегда предлагают уникальные и незаконные услуги. К примеру, здесь можно найти сервисы, тесно связанные с нелегальной торговлей наркотиками. В свое время значительную роль в создании такого бизнеса сыграл Silk Road.
Однако с годами некоторые маркетплейсы расширили каталог незаконных услуг, среди которых:
- отмывание денег,
- программы-вымогатели,
- оборудование для злонамеренных атак и т.д.
"В частности, Hydra предлагал все это и многое другое", - говорят в Chainalysis.
Сейчас маркеты даркнета в большинстве своем обслуживают определенные ниши. Согласно отчету, маркетплейсы можно поделить по типу преступления следующим образом:
- Поддержка киберпреступников. Услуги рынка Darknet, связанные с программами-вымогателями, вредоносными программами, похищением денег. Обслуживание может включать руткиты, доступ к персональной информации ( PII ) и, возможно, использование украденных средств.
- Поиск и снабжение лекарств. Маркетплейсы в даркнете могут продавать лекарства поставщикам.
- Незаконная отмывание/покупка. Переводы в даркнете организованы с целью утаивания активности в сети или приобретения незаконных продуктов.
- Обмен лекарствами в разных странах мира. Приобретение лекарств в маркетах даркнета, обслуживающего глобальную клиентскую базу.
- Наркообмен, ориентирующийся на Россию. Речь идет о покупке наркотиков в даркнете клиентами из России.
- Западный обмен наркотиками. Покупка наркотиков на рынках даркнета клиентами, как правило, из США и Западной Европы.
Как идут деньги в разных нишах даркнета
В разных категориях рынка даркнета маркетплейсы получают доход из разных источников. Давайте разберем происхождение прибыли подробно.
1. Доход от наркотиков поступает в основном из криптобирж. В частности, западные деньги за наркотики поступают с площадок, расположенных в США. Часто финпотоки идут через DNM Aggregator , контролирующие многочисленные разнородные рынки даркнета.
2. Поддержка киберпреступников в основном происходит на Kraken Market, DNM Aggregator и Exploit.in. Они предоставляют злоумышленникам инструменты для атак программ-вымогателей, взломов и т.д.
"Kraken Market также зафиксировал наибольшую долю переводов, потенциально отправленных с целью сокрытия средств, а также покупки нелегальных товаров. В дополнение к этой деятельности, такие маркетплейсы, как хост-поставщики , рекламируют собственные услуги вывода средств или обмена, что приводит к отмыванию десятков миллионов долларов", - отмечено в исследовании.
3. Снабжение лекарств для продавцов наркотиков в даркнете. Ключевую роль здесь играет Mega Darknet, поскольку занимает 63,4% рынка. При этом в нише продажи наркотиков для клиентов из России задействованы Kraken Market (30,9% рынка), Blacksprut и Mega Darknet. А на рынке лекарств, обслуживающих западных потребителей, лидируют ASAP Market (25%), Mega и Incognito.
Какой средний чек присутствует в даркнете при покупке лекарств.
В 2023 году даркнет-маркетплейсы, специализирующиеся на продаже лекарств для клиентов в Северной Америке и Западной Европе, продавали товары по такому среднему чеку:
- Мелкая розница. Покупки на сумму менее 100 долларов, возможно, для личного потребления.
- Большая розничная торговля. Покупки от 100 до 500 долларов предположительно для личного потребления.
- Социальное обеспечение. Покупка на сумму от 500 до 1000 долларов, что указывает на то, что клиенты могут делиться наркотиками с третьими сторонами в соцсетях.
- Потенциальный опт. Покупки на сумму свыше 1000 долларов, скорее всего, совершаются продавцами и распространителями наркотиков.
На диаграмме выше показано, что рынки ASAP и Mega Darknet лидировали в крупных розничных и оптовых сегментах соответственно.
Если присмотреться ближе к притоку ASAP Market, то он получил определенную долю дохода от всех типов закупки лекарства, получая 37,1% социального предложения, 35,7% крупной розничной торговли, 16,5% мелкой розничной торговли и 13,5% оптовой закупки.
Хотя Mega Darknet Market обычно обслуживает российскую клиентскую базу, доходы от лекарства, показанные на диаграмме выше, вероятно, поступают от клиентов из Европы. Mega явно доминировала в сфере оптовых закупок лекарства, захватив 51,9% этого сегмента.
Как в даркнете работают рынки для киберпреступников
Даркнет-маркетплейсы, оказывающие услуги киберпреступникам, также поделены на разные секторы. В частности, в 2023 году участники преступных рынков можно выделить по следующим направлениям:
- DNM Aggregator стал несомненным лидером среди мошеннических магазинов, способствующих киберпреступности.
- Exploit.in и Kraken Market продавали инструменты, которые используются для облегчения атак программ-требителей.
- Кракен Маркет получил самую большую долю украденных средств.
"Киберпреступники в даркнете в основном покупают злонамеренное программное обеспечение (ПО) и вспомогательные услуги для организации преступлений", - говорится в отчете.
Кейс: как полиция Нидерландов раскрыла кражи данных Genesis Market
В общем, маркеты в даркнете способствуют продаже похищенных данных и информации, которые киберпреступники используют для различных незаконных действий, например, мошенничества, краж и т.д. Такие услуги оказывал и Genesis Market , но он прекратил деятельность в апреле-2023. Этот маркет накрыли правоохранители в рамках операции Operation Cookie Monster , а OFAC наложил санкции.
Хотя мошеннические магазины обычно работают в даркнете, Genesis Market был доступен в обычном поиске Google. Но для создания аккаунта требовался код приглашения. Преступникам Genesis продавала разную похищенную идентификационную информацию:
- учетные данные для электронной почты,
- учетные записи в соцсетях,
- банковские счета,
- учетные записи криптосервисов
В частности, Genesis Market предлагал Impersonation-as-a-Service ( IMPaaS ), что означает надежные "онлайн-отпечатки пальцев" жертв, а не только их учетные данные для отдельных услуг.
"Пакеты IMPaaS от Genesis включали доступ к файлам cookie браузера жертв, что позволяло киберпреступникам обходить двухфакторную аутентификацию ( 2FA ) и наносить ущерб учетным записям жертв", - говорится в отчете.
Все это позволило Genesis Market заработать десятки миллионов долларов в криптовалюте, преимущественно биткоинах.
Как Genesis Market украл данные более 2 млн жертв
В 2019 году ФБР начало расследование по Genesis Market и привлекло другие правоохранительные организации по всему миру. В рамках расследования полиция Нидерландов взяла на себя инициативу по предотвращению киберпреступности. Детали этого дела аналитикам Chainalysis рассказал Рубен ван Велл, главный инспектор отдела по борьбе с киберпреступностью в Нацполиции Нидерландов.
"Чтобы получить контроль над компьютерами жертв, Genesis Market использовал вредоносное ПО. Таким образом, киберпреступники инициировали удаленный доступ к зараженным устройствам", - говорится в отчете.
Пакет злонамеренного ПО включал скрытый плагин для браузера на основе Chromium . Он похож на плагин Google Drive. Это помогало собирать учетные данные, хранящиеся в браузерах жертв.
Получив данные, Genesis продавал онлайн-следы жертв, которые называл "ботами". Каждый бот представлял скомпрометированный компьютер или устройство, а также учетные данные, относящиеся к его владельцу. В общей сложности Genesis Market продал 1,6 млн ботов.
На сайте Genesis киберпреступники могли прочесать сотни тысяч ботов в надежном пользовательском интерфейсе (UI). Они фильтровали результаты по таким критериям, как страна или поиск учетных данных, связанных с определенным доменом.
"Пользователь мог посмотреть в интерфейсе, сколько логинов и какие учетные записи содержит каждый бот. Чем больше предоставлено логинов, тем дороже бот, особенно если он содержит учетные данные банковского или криптографического счета", - говорят в Chainalysis.
Также преступники могли видеть, когда устройство жертвы было заражено злонамеренным ПО, когда оно в последний раз обновлялось. А еще Genesis предоставлял клиентам собственную Википедию о том, как использовать украденные учетные данные жертвы.
Стоит отметить, что Genesis Market создал для своих клиентов опасную инновацию – плагин для браузера Genesium. Это злонамеренное ПО следовало за изменениями паролей или за новыми учетными записями жертвы. После этого оно обновляло браузер Genesium со свежей информацией. Также вредоносное ПО собирало файлы cookie браузера, что помогало преступникам имитировать сеансы на компьютерах жертв.
"Это сделало Genesis Market чрезвычайно опасным, поскольку у них было много учетных данных и они могли выдать себя за жертву в Интернете. В частности, мы видели очистку банковских счетов и криптокшельков", - говорит Ван Велл.
В одном из ужасающих случаев мужчина потерял всю свою пенсию - $80 тыс. Используя его данные, киберпреступники совершали разнообразные онлайн-мошенничества в течение шести месяцев. В частности, они открывали банковские счета на его имя, присылали его почту по адресам, где могли бы ее получить.
Как голландская полиция помогла жертвам Genesis Market
Ван Велл отметил: хотя домены и серверы Genesis Market были конфискованы, а антивирусные программы обновлены, киберпреступники уже восстановили подобные незаконные службы.
Чтобы помочь жертвам Genesis Market и предотвратить будущие преступления, нидерландская полиция создала инструмент Check your hack, позволяющий людям узнать, были ли их учетные данные похищены или проданы в этом мошенническом магазине.
"Инструмент доступен и сегодня, поэтому заинтересованным сторонам достаточно ввести свой электронный адрес, чтобы разместить запрос. Если адрес входит в один из наборов данных о киберпреступности, лицо получит электронное письмо с персональными инструкциями относительно того, как очистить свой компьютер и снова сделать его безопасным", - обращают внимание авторы Chainalysis.
За первые сутки после запуска Check your hack услугой воспользовались 2 млн человек. В общей сложности этот инструмент уже использовали 5 млн человек, а более 13 тыс. пострадавших получили уведомления о заражении компьютеров и соответствующих инструкциях по обеззараживанию ПК.
"Что касается финансовых возмещений, некоторые банки и страховые компании предоставили выплаты и будут включать эти средства в качестве восстановления ущерба в исках против киберпреступников Genesis Market", - говорится в отчете.
Какая же участь постигла основателей Genesis Market? Находившиеся в Нидерландах трое киберпреступников были осуждены и получили тюремные сроки, которые считаются суровыми для этой юрисдикции. Один получил 24 месяца, второй – четыре года.
"Третий осужденный киберпреступник – крупнейший голландский пользователь и десятый пользователь в мире – получил четыре года лишения свободы", - отметили в Chainalysis.
Краткие выводы о деятельности даркнет-маркетов
В 2023 году экосистема даркнета показала признаки восстановления, но она еще не вернулась к доходам, которые были до закрытия Hydra Marketplace в 2022 году. Пока ни один другой рынок даркнета не взял на себя роль Hydra как единственного магазина для незаконных продуктов и услуг.
Также следует отметить, что хотя в 2023 году произошло громкое закрытие Genesis Market, других санкций по экосистеме даркнета или крупных ликвидаций рынка больше не было.