Сміливі рішення Сміливі рішення
Адаптація: шлях ветеранів Адаптація: шлях ветеранів
ТопФінанс ТопФінанс-2024
Бізнес працює Бізнес працює
Категорія
Криптовалюта
Дата публікації

Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів

У світі активно працюють даркнет-маркети. Джерело: Delo.ua
У світі активно працюють даркнет-маркети. Джерело: Delo.ua

Аналітики компанії Chainalysis проаналізували ринок даркнету у своєму щорічному звіті - The 2024 Crypto Crime Report. В тіньовому інтернеті злочинці можуть придбати усе, що завгодно, - заборонені ліки, наркотики, обладнання для хакерства, викрадені особисті дані. Скільки заробляють даркнет-маркетплейси, як побудовано їхній бізнес, як правоохоронці ловлять злочинців та чи отримують жертви фінансове відшкодування - про все це читайте в матеріалі Delo.ua.

Доходи ринку Darknet зростають

Дохідність даркнету збільшилась у 2023 році: тоді шахрайські магазини отримали $1,7 млрд. Зростання відбулось після того, як у 2022 році було закрито відомий маркетплейс Hydra

"Після цього розпочалася війна за домінування на ринку даркнету, але поки що жоден маркетплейс не зрівнявся з фінансовим успіхом Hydra", - говорять аналітики Chainalysis.

Фото 2 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Як змінювались ринки даркнету останні роки. Джерело: Chainalysis

Як відбувається боротьба за домінування на ринку даркнету

Згідно зі звітом Chainalysis, у минулому році на ринку даркнету досягли успіху декілька маркетплейсів:

  • Mega Darknet Market отримав найбільше надходжень у сумі понад півмільярда доларів. 
  • Kraken Market (не плутати з популярною криптобіржею Kraken) завоював популярність серед російських ринків темних мереж. 
  • Blacksprut і OMG!OMG! залишаються провідними гравцями в екосистемі даркнету.
Фото 3 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Які даркнет-маркети працюють в тіньовому Інтернеті. Джерело: Chainalysis

"В останні роки деякі шахрайські магазини інтегрували процесори криптоплатежів на свої веб-сайти через API. Можливо, цей спосіб покращив ефективність їх роботи та підвищив безпеку", - кажуть аналітики Chainalysis. 

Для розуміння: такі платіжні процесори надають послуги білої мітки для маркетплейсів у даркнеті, а також можливості безперебійної оплати для клієнтів цих служб. Наприклад, показаний на інфографіці UAPS надавав учасникам даркнету такий сервіс. 

Як еволюціонував даркнет останні десять років

Протягом всієї історії даркнету якійсь маркетплейси відігравали домінуючу роль. Прикладами останніх років можуть бути:

  • Silk Road,  
  • AlphaBay,  
  • Wall Street Market
  • Hydra. 

"Історично так склалося, що коли правоохоронні органи закривали кожен домінуючий маркетплейс, з’являвся новий лідер. Модель відновлення є досить стабільною до закриття Hydra Marketplace, після чого не з’явилося домінуючого ринку даркнету", - зазначено у звіті. 

Фото 4 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Які маркети були в Даркнеті лідерами у різні роки. Джерело: Chainalysis

Які спеціалізації обирають маркетплейси на ринку даркнету

Загалом в даркнеті завжди пропонують унікальні та незаконні послуги. Наприклад, тут можна знайти сервіси, що тісно пов’язані з нелегальною торгівлею наркотиками. Свого часу значну роль у створенні такого бізнесу відіграв Silk Road. 

Проте з роками деякі маркетплейси розширили каталог незаконних послуг, серед яких:

  • відмивання грошей,  
  • програми-вимагачі
  • обладнання для зловмисних атак тощо.

"Зокрема, Hydra пропонував усе це та багато іншого", - говорять у Chainalysis. 

Зараз маркети даркнету здебільшого обслуговують певні ніші. Згідно зі звітом, маркетплейси можна поділити за типом злочину таким чином:

  • Підтримка кіберзлочинців. Послуги ринку Darknet, пов’язані з програмами-вимагачами, шкідливими програмами, викраденням грошей. Обслуговування може включати руткіти, доступ до персональної інформації (PII) і, можливо, використання вкрадених коштів. 
  • Пошук і постачання ліків. Маркетплейси в даркнеті можуть продавати ліки постачальникам. 
  • Незаконне відмивання/купівля. Перекази у даркнеті організовано з метою приховування активності в мережі або придбання незаконних продуктів. 
  • Обмін ліками в різних країнах світу. Придбання ліків в маркетах даркнету, що обслуговує глобальну клієнтську базу. 
  • Наркообмін, що орієнтується на Росію. Мова йде про купівлю наркотиків в даркнеті клієнтами з Росії. 
  • Західний обмін наркотиками. Купівля наркотиків на ринках даркнету клієнтами, як правило, із США і Західної Європи.
Фото 5 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Яку спеціалізацію мають різні маркети у Даркнеті. Джерело: Chainalysis

Як йдуть гроші в різних нішах даркнету

В різних категоріях ринку даркнету маркетплейси отримують дохід з різних джерел. Давайте розберемо походження прибутків детально. 

1. Дохід від наркотиків надходить в основному з криптобірж. Зокрема, західні гроші за наркотики надходять із майданчиків, що розташовані у США. Часто фінпотоки йдуть через DNM Aggregator, які контролюють численні різнорідні ринки даркнету.

2. Підтримка кіберзлочинців в основному відбувається на Kraken Market, DNM Aggregator і Exploit.in. Вони надають зловмисникам інструменти для здійснення атак програм-вимагачів, зломів тощо. 

"Kraken Market також зафіксував найбільшу частку переказів, потенційно надісланих з метою приховування коштів, а також купівлі нелегальних товарів. На додаток до цієї діяльності, такі маркетплейси, як хост-постачальники, рекламують власні послуги виведення коштів або обміну, що призводить до відмивання десятків мільйонів доларів", - зазначено у дослідженні. 

3. Постачання ліків для продавців наркотиків у даркнеті. Ключову роль тут грає Mega Darknet, оскільки займає 63,4% ринку. При цьому в ніші продажу наркотиків для клієнтів із Росії задіяні Kraken Market (30,9% ринку), Blacksprut і Mega Darknet. А на ринку ліків, які обслуговують західних споживачів, лідирують ASAP Market (25,%), Mega та Incognito.

Який середній чек присутній у даркнет при купівлі ліків

У 2023 році даркнет-маркетплейси, що спеціалізуються на продажу ліків для клієнтів у Північній Америці та Західній Європі, продавали товари за таким середнім чеком:

  • Дрібний роздріб. Покупки на суму менше 100 доларів, ймовірно, для особистого споживання. 
  • Велика роздрібна торгівля. Покупки від 100 до 500 доларів, імовірно, для особистого споживання. 
  • Соціальне забезпечення. Покупки на суму від 500 до 1000 доларів, що вказує на те, що клієнти можуть ділитися наркотиками з третіми сторонами в соцмережах. 
  • Потенційний опт. Покупки на суму понад 1000 доларів, швидше за все, здійснюються продавцями та розповсюджувачами наркотиків.
Фото 6 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Скільки грошей залишають клієнти у маркетах Даркнета. Джерело: Chainalysis

На діаграмі вище показано, що ринки ASAP і Mega Darknet лідирували у великих роздрібних і оптових сегментах відповідно. 

Якщо придивитися ближче до притоку ASAP Market, то він отримав певну частку доходу від усіх типів закупівлі ліків, отримуючи 37,1% соціальної пропозиції, 35,7% великої роздрібної торгівлі, 16,5% дрібної роздрібної торгівлі та 13,5% оптової закупівлі.

Хоча Mega Darknet Market зазвичай обслуговує російську клієнтську базу, доходи від ліків, показані на діаграмі вище, ймовірно, надходять від клієнтів із Європи. Mega явно домінувала у сфері оптових закупівель ліків, захопивши 51,9% цього сегмента.

Як в даркнеті працюють ринки для кіберзлочинців

Даркнет-маркетплейси, що надають послуги кіберзлочинцям, також поділені на різні сектори. Зокрема, у 2023 році учасники злочинних ринків можна виділити за такими напрямами:

  • DNM Aggregator став безсумнівним лідером серед шахрайських магазинів, які сприяють кіберзлочинності. 
  • Exploit.in і Kraken Market продавали інструменти, які використовуються для полегшення атак програм-вимагачів.  
  • Кракен Маркет отримав найбільшу частку вкрадених коштів. 

"Кіберзлочинці в даркнеті в основному купують зловмисне програмне забезпечення (ПЗ) та допоміжні послуги для організації злочинів", - зазначено у звіті.

Фото 7 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Які маркети продають товари для хакерів. Джерело: Chainalysis

Кейс: як поліція Нідерландів розкрила крадіжки даних Genesis Market

Загалом маркети у даркнеті сприяють продажу викрадених даних та інформації, що кіберзлочинці використовують для різних незаконних дій, наприклад, шахрайства, крадіжок та ін. Такі послуги надавав й Genesis Market, але він припинив діяльність у квітні-2023. Цей маркет накрили правоохоронці в рамках операції Operation Cookie Monster, а OFAC наклав санкції.

Хоча шахрайські магазини зазвичай працюють у даркнеті, Genesis Market був доступний у звичайному пошуку Google. Але для створення облікового запису потрібен був код запрошення. Злочинцям Genesis продавала різну викрадену ідентифікаційну інформацію:

  • облікові дані для електронної пошти, 
  • облікові записи у соцмережах,  
  • банківські рахунки, 
  • облікові записи криптосервісів. 

Зокрема, Genesis Market пропонував Impersonation-as-a-Service (IMPaaS), що означає надійні "онлайн-відбитки пальців" жертв, а не лише їхні облікові дані для окремих послуг.

"Пакети IMPaaS від Genesis включали доступ до файлів cookie браузера жертв, що дозволяло кіберзлочинцям обходити двофакторну автентифікацію (2FA) і завдавати шкоди обліковим записам жертв", - зазначено у звіті. 

Все це дозволило Genesis Market заробити десятки мільйонів доларів у криптовалюті, переважно біткоїнах.

Як Genesis Market вкрав дані понад 2 млн жертв 

У 2019 році ФБР розпочало розслідування щодо Genesis Market і залучило інші правоохоронні організації по всьому світу. У рамках розслідування поліція Нідерландів взяла на себе ініціативу щодо запобігання кіберзлочинності. Деталі цієї справи аналітикам Chainalysis розповів Рубен ван Велл, головний інспектор відділу боротьби з кіберзлочинністю в Нацполіції Нідерландів.  

"Щоб отримати контроль над комп’ютерами жертв, Genesis Market використовував шкідливе програмне забезпечення. Таким чином, кіберзлочинці ініціювали віддалений доступ до заражених пристроїв", - говориться у звіті. 

Пакет зловмисного ПЗ включав прихований плагін для браузера на основі Chromium. Він схожий на плагін Google Drive. Це допомагало збирати облікові дані, що зберігаються у браузерах жертв.

Фото 8 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
Тут ховалось зловмисне програмне забезпечення. Джерело: Chainalysis

Отримавши дані, Genesis продавав онлайн-сліди жертв, які називав "ботами". Кожен бот представляв скомпрометований комп’ютер або пристрій, а також облікові дані, пов’язані з його власником. Загалом Genesis Market продав 1,6 млн ботів. 

На веб-сайті Genesis кіберзлочинці могли прочесати сотні тисяч ботів у надійному інтерфейсі користувача (UI). Вони фільтрували результати за такими критеріями, як країна або пошук облікових даних, прив’язаних до певного домену. 

"Користувач міг подивитися в інтерфейсі, скільки логінів і які облікові записи містить кожен бот. Чим більше надано логінів, тим дорожчий бот, особливо якщо він містить облікові дані банківського чи криптографічного рахунку", - кажуть у Chainalysis. 

Також злочинці могли бачити, коли пристрій жертви було заражено зловмисним ПЗ, коли воно востаннє оновлювалося. А ще Genesis надавав клієнтам власну "Вікіпедію" про те, як використовувати вкрадені облікові дані жертви.

Фото 9 — Ринок даркнету: як у світі торгують ліками, наркотиками, обладнанням для кіберзлочинів
У Даркнеті злочинці могли отримати будь-яку інформацію. Джерело: Chainalysis

Варто зазначити, що Genesis Market створив для своїх клієнтів підступну інновацію – плагін для браузера Genesium. Це зловмисне ПЗ слідкувало за змінами паролів або за новими обліковими записами жертви. Після цього воно оновлювало браузер Genesium зі свіжою інформацією. Також зловмисне програмне забезпечення збирало файли cookie браузера, що допомагало злочинцям імітувати сеанси на комп’ютерах жертв. 

"Це зробило Genesis Market надзвичайно небезпечним, оскільки вони мали багато облікових даних та могли  видати себе за жертву в Інтернеті. Зокрема, ми бачили очищення банківських рахунків і криптогаманців", - каже Ван Велл. 

В одному з жахливих випадків чоловік втратив всю свою пенсію - $80 тис. Використовуючи його дані, кіберзлочинці вчиняли різноманітні онлайн-шахрайства протягом шести місяців. Зокрема, вони відкривали банківські рахунки на його ім’я, надсилали його пошту на адреси, де могли б її отримати.

Як голландська поліція допомогла жертвам Genesis Market

Ван Велл зазначив: хоча домени та сервери Genesis Market було конфісковано, а антивірусні програми оновлено, кіберзлочинці вже відновили подібні незаконні служби.

Щоб допомогти жертвам Genesis Market і запобігти майбутнім злочинам, нідерландська поліція створила інструмент Check your hack, який дозволяє людям дізнатися, чи були їхні облікові дані викрадені або продані в цьому шахрайському магазині.

"Інструмент доступний й сьогодні, тож зацікавленим сторонам достатньо ввести свою електронну адресу, щоб розмістити запит. Якщо адреса входить до одного з наборів даних про кіберзлочинність, особа отримає електронний лист із персональними інструкціями щодо того, як очистити свій комп’ютер і знову зробити його безпечним", - звертають увагу автори Chainalysis.

За першу добу після запуску Check your hack послугою скористалися 2 млн людей. Загалом цей інструмент вже використали 5 млн осіб, а понад 13 тис. постраждалих отримали сповіщення про зараження комп’ютерів і відповідні інструкції задля обеззараження ПК.

"Що стосується фінансових відшкодувань, деякі банки та страхові компанії надали виплати та включатимуть ці кошти як відновлення збитків у позовах проти кіберзлочинців Genesis Market", - говориться у звіті.

Яка ж доля спіткала засновників Genesis Market? Троє кіберзлочинців, що знаходились у Нідерландах, були засуджені та отримали тюремні терміни, які вважаються суворими для цієї юрисдикції. Один отримав 24 місяці, другий – чотири роки. 

"Третій засуджений кіберзлочинець - найбільший голландський користувач і десятий користувач у світі - отримав чотири роки позбавлення волі", - зазначили у Chainalysis.

Короткі висновки щодо діяльності даркнет-маркетів 

У 2023 році екосистема даркнету показала ознаки відновлення, але вона ще не повернулася до доходів, які були до закриття Hydra Marketplace у 2022 році. Наразі жоден інший ринок даркнету не взяв на себе роль Hydra як єдиного магазину для незаконних продуктів і послуг. 

Також треба зазначити, що хоча у 2023 році відбулось гучне закриття Genesis Market, інших санкцій щодо екосистеми даркнету чи великих ліквідацій ринку більше не було.