Согласно исследованию "Threat Zone 2025: обратная сторона" от ООО "БИЗон", разделение труда все чаще наблюдается в современных киберугрозах. Кибератаки, по словам авторов исследования, все чаще представляют собой цепочку действий, требующих узкой специализации. Так, одни "специалисты" добывают первоначальный доступ, другие - разрабатывают инструменты для хакеров, а третьи - шифруют данные и занимаются "финальной монетизацией".

https://www.comnews.ru/content/240622/2025-08-11/2025-w33/1008/khakerov-shpionov-i-vymogateley-stalo-bolshe-khaktivistov-menshe

"В этой системе важной фигурой выступает брокер первоначального доступа (initial access broker, IAB). Это злоумышленник или группа, которые специализируются на проникновении во внутренние сети организаций и перепродаже доступа другим участникам киберпреступной экосистемы. Брокеры не занимаются вымогательством или шифрованием, их задача - собрать активы: взломанные VPN, RDP, уязвимые веб-панели, доступы к корпоративным почтовым системам и т.д.", - говорится в исследовании.

Его авторы отметили, что злоумышленники регулярно публикуют предложения о продаже доступа к корпоративным сетям на форумах в даркнете и в большинстве случаев речь (70% объявлений) идет о привилегированном доступе.

"Хотя основной спрос приходится на организации из Западной Европы и Северной Америки, активно предлагают и доступы к компаниям из России и стран СНГ. Примечательно, что на фоне роста количества хактивистских атак в России стали чаще бесплатно распространять доступы к корпоративным сетям в теневых чатах и на форумах", - гласит исследование.

https://www.comnews.ru/content/240694/2025-08-14/2025-w33/1008/volki-okhote-khakery-scaly-wolf-atakovali-rossiyskuyu-promyshlennost

Исследователи Bi.Zone выделили четыре крупнейшие группы хакерских предложений. В них вошли учетные данные для подключений к корпоративной VPN (цена начинается от $500), Remote Desktop Protocol - доступ к удаленному рабочему столу сотрудника или сервера (от $1000), различные учетные записи для входа в корпоративные системы (от $10 за базовые аккаунты) и Outlook web access - доступ к корпоративной почте через веб-интерфейс (от $100).

На ценообразование влияет несколько факторов. Среди них размеры и доходы компании-жертвы (чем больше организация, тем дороже), сфера ее деятельности (доступ к финансовым, промышленным и ИТ-компаниям ценится выше), уровень привилегии доступа, эксклюзивность (гарантии уникальности доступа от продавца) и др. Исследование содержит несколько примеров "предложений" по продаже доступа, один из них - доступ к веб-сервису компании из сферы недвижимости за $750 и доступ к инфраструктуре филиала нефтегазовой компании за $20 тыс. Последнее предложение также содержит информацию о доходе филиала и головной компании.

"Доступ предоставляется в формате C2 (Command and Control). Это свидетельствует об уже состоявшемся проникновении в инфраструктуру. Кроме того, злоумышленники заявляют о возможности подключения через RDP, SSH или VPN. Указание крупной суммы сделки ($20 тыс.) и упоминание масштаба компании (доход в миллиардах долларов) - типичная практика для подобных предложений. В этом случае цена определяется не уровнем доступа как таковым, а потенциальной ценностью инфраструктуры для заинтересованных сторон", - говорится в исследовании.

https://www.comnews.ru/content/240568/2025-08-07/2025-w32/1007/aeroflot-ne-uspel-ustranit-vse-posledstviya-khakerskoy-ataki

По словам руководителя Bi.Zone Brand Protection Дмитрия Кирюшкина, компания наблюдает разделение труда в даркнете. Он отметил, что значительный рост количества брокеров первоначального доступа стал заметным после пандемии, так как многие организации начали использовать сервисы для удаленного доступа.

"Расширился вектор атак. Мы довольно часто обнаруживаем брокеров первоначального доступа. Чаще всего в фокусе злоумышленников находятся международные организации, а не компании из России и других стран СНГ. Кроме того, прослеживается тренд на "безвозмездные" хактивистские атаки. Группировки нередко сливают доступы в Telegram просто ради резонанса", - сказал он.

Дмитрий Кирюшкин отметил, что чаще всего злоумышленники распространяют конфиденциальные данные на теневых форумах, а хактивисты обычно выбирают Telegram. Это позволяет охватить как можно больше аудитории.

"Подобные объявления как от брокеров, так и от самих "владельцев" данных нам попадаются довольно часто в чатах "для своих", которые находятся у нас на мониторинге. Мы делим такие объявления на два типа: первый и самый распространенный - продажа доступов, полученных в результате проведенной атаки, второй, который мы встречаем все чаще и чаще, - продажа доступов работниками/подрядчиками компании", - рассказал руководитель направления специальных сервисов Solar JSOC группы компаний "Солар" Роман Долгий.

https://www.comnews.ru/content/240773/2025-08-19/2025-w34/1007/solar-poglotil-90-ooo-soft-plyus-dva-zakhoda

По его словам, тренд на разделение труда в кибератаках существовал всегда. Спрос рождает предложение - всегда будут люди, заинтересованные в приобретении доступа в системы и готовые базы данных, всегда будут люди, их предлагающие и продающие вредоносное программное обеспечение. Он отметил, что, по аналитике Google TAG, более 60% эксплойтов являются заказной разработкой.

"Продаваемые доступы могут быть получены не только в результате действий хакеров. Кто-то продает уже отработанные данные после полностью успешной атаки, кто-то занимается только получением первичного доступа, так как нет времени/компетенций/желания - и готовности рисковать - заниматься развитием атаки, кто-то вообще продает собственные данные. В любом случае, это крайне небезопасная история для продавца. Какие бы деньги ни были получены - проведя грамотное расследование, всегда можно установить причастных к атаке/продаже доступов, даже если в самой атаке продавец участия не принимал. У аксес-брокеров, как и у всех хакеров, есть популярное мнение: не работать по целям в стране проживания и все будет хорошо. Но как показывает практика, даже проведение атак на территориально крайне отдаленную страну не страхует от попадания в тюрьму", - заключил Роман Долгий.

https://www.comnews.ru/content/240502/2025-08-04/2025-w32/1002/ataka-aeroflot-edinichnyy-sluchay-ili-cepochka-kiberatak-krupnye-rossiyskie-kompanii