Торговые площадки в даркнете: Подпольная экономика

[1cocaine]

Современные тенденции определяют три направления:

Журналы активности злоумышленников обогнали традиционные данные кредитных карт по стратегической ценности, благодаря своей способности обходить двухфакторную аутентификацию путем перехвата сессии. Подпольная экономика функционирует как интегрированная цепочка поставок, от заражения вредоносным ПО и кражи учетных данных до размещения объявлений на торговых площадках и развертывания программ-вымогателей, при этом темные торговые площадки служат центральными витринами, где украденные данные монетизируются в больших масштабах. И китайская темная сеть остается значительным и недостаточно контролируемым вектором угроз, с платформами, которые существенно отличаются от западных аналогов как по операционной модели, так и по направленности продукта.

Теневая экономика продолжает демонстрировать значительную устойчивость. Рынки, которые захватываются или разрушаются, быстро восстанавливаются или заменяются новыми, следуя циклу, который не показывает признаков замедления. В этом отчете представлены шесть наиболее значимых активных рынков и контекст более широкой экосистемы, которая их поддерживает.

Подземная экосистема​

Как всё началось​

Подпольные рынки впервые получили известность благодаря Silk Road в 2011 году, первой торговой площадке в даркнете, работающей в сети Tor. Хотя Silk Road в основном занимался продажей наркотиков, он продемонстрировал, что анонимная торговая площадка может функционировать в больших масштабах. После его закрытия в 2013 году рынки продолжали появляться и закрываться в непрерывном цикле. Финансовые стимулы значительны: Empire Market способствовал незаконным продажам на сумму более 430 миллионов долларов в период с 2018 по 2020 год, прежде чем его операторы были осуждены в июне 2024 года (Иммиграционная и таможенная служба США, 2024). Однако действия правоохранительных органов против отдельных платформ не нарушили более широкую экосистему. За каждым закрытием следует миграция пользователей, появление новых платформ и восстановление рыночной среды в течение нескольких недель.

Как они работают​

Большинство торговых площадок доступны через браузер Tor по .onionдоменам, хотя некоторые также работают в открытом интернете через постоянно обновляемые зеркальные URL-адреса. Модели регистрации варьируются от простых форм ввода имени пользователя и пароля до обязательных депозитов или пригласительных кодов, и эти барьеры доступа являются преднамеренным дизайнерским решением, формирующим пользовательскую базу каждой торговой площадки. Все транзакции проводятся в криптовалюте (Bitcoin, Monero, Litecoin или USDT), а платформы поддерживают доверие между покупателем и продавцом с помощью систем депонирования и механизмов разрешения споров. Подпольные форумы, особенно в русскоязычном киберпреступном сообществе, функционируют как социальная инфраструктура, окружающая эти торговые площадки. Именно на этих форумах формируется репутация торговой площадки, обсуждается надежность платформы, и пользователи координируют переход на другую платформу в случае сбоя в ее работе.

Что торгуется​

Журналы активности вредоносных программ, занимающихся кражей информации, стали самым ценным товаром в теневой экономике. Они представляют собой данные, собранные с зараженных компьютеров вредоносными программами (например, RedLine, RaccoonStealer, Vidar, LummaC2). Один журнал может содержать информацию о десятках учетных записей, включая корпоративные учетные данные и сессионные cookie, позволяющие обходить двухфакторную аутентификацию. Цены варьируются от 0,20 до более чем 300 долларов, при этом ценообразование зависит от актуальности данных и ценности содержащихся в них учетных данных.

Украденные финансовые данные остаются одной из основных категорий мошеннических схем: номера кредитных карт (CVV), дампы магнитных полос, используемые для клонирования физических карт, и Fullz — полные профили личности, позволяющие совершать мошеннические действия, начиная от открытия банковских счетов и заканчивая подачей заявок на кредиты. Цены варьируются от менее 1 доллара за базовые CVV до 200 долларов и более за премиальные дампы.

Доступ к корпоративной сети представляет собой самую дорогую категорию товаров, представленных на торговых площадках в даркнете, и ту, которая обладает наибольшим потенциалом для нанесения ущерба организации. Эти предложения, продаваемые брокерами первоначального доступа (IAB), обеспечивают прямой доступ к скомпрометированным организациям, как правило, через RDP (удаленное управление рабочим столом), VPN (доступ к виртуальной частной сети) или SSH (доступ к серверу командной строки). Цены варьируются от сотен до десятков тысяч долларов в зависимости от размера и сектора целевой организации, отражая потенциальный ущерб в дальнейшем: одно предложение доступа может служить точкой входа для развертывания программ-вымогателей, утечки данных или шпионажа. Эти предложения часто появляются на торговых площадках за несколько дней или недель до фактической атаки на целевую организацию.

Рынок как цепочка поставок​

Эти продукты перемещаются по цепочке поставок, в которой теневые рынки выступают в качестве центральных площадок. Информационные злоумышленники заражают машины, полученные журналы выставляются на продажу на этих площадках, а покупатели извлекают корпоративный доступ либо для прямой эксплуатации, либо для перепродажи аффилированным лицам, занимающимся программами-вымогателями. На каждом этапе стоимость возрастает. Было замечено, что злоумышленники целенаправленно ищут на площадках журналы, содержащие доступ к конфиденциальным корпоративным средам, покупая недорогие журналы, которые в конечном итоге могут принести шестизначные суммы выкупа. Telegram служит дополнительным каналом распространения, где несколько площадок объявляют о новых поступлениях, но сами площадки остаются ядром транзакций, где украденные данные монетизируются в больших масштабах.

Одной из заметных стратегий роста в этой экосистеме является масштабная раздача данных, впервые осуществленная BidenCash, торговой площадкой кредитных карт, которая работала с 2022 года до ее закрытия правительством США в июне 2025 года (Прокуратура Восточного округа Вирджинии, 2025). BidenCash бесплатно распространила более 12 миллионов украденных кредитных карт в рамках многочисленных акций, создав одну из крупнейших пользовательских баз в теневой экономике. Эта стратегия впоследствии была перенята новыми участниками рынка, и траектория развития BidenCash (быстрый рост, широкий охват и последующее закрытие правоохранительными органами) представляет собой характерную модель жизненного цикла для агрессивных подпольных торговых площадок.

Крупнейшие теневые рынки​

Признанные гиганты​

BriansClub​

В 2019 году платформа BriansClub была взломана неизвестным злоумышленником, который похитил 26 миллионов украденных данных кредитных карт и передал их KrebsOnSecurity. Последующий анализ, проведенный Flashpoint, показал, что более 14 миллионов из этих данных были действительными (Krebs, B. (2019)). После инцидента платформа продолжила работу и расширение.

Эта устойчивость является определяющей характеристикой платформы. Работающая с 2014 года, BriansClub является самой долго работающей площадкой для продажи кредитных карт в теневой экономике, за время своего существования на ней было зарегистрировано более 400 миллионов карт, а выручка превысила 126 миллионов долларов. Когда платформа столкнулась со значительными сбоями в работе после санкций США против её платежной инфраструктуры (Кребс, Б. (2024)), она стала самой обсуждаемой темой на теневых форумах на протяжении нескольких недель. Пользователи продолжали запрашивать новости и рабочие домены спустя месяцы после сбоя, и когда платформа в конечном итоге была восстановлена, уровень удержания пользователей подтвердил её прочное положение в экосистеме. Прибыльность её модели с тех пор привела к появлению множества клонов, пытающихся воспроизвести её работу.

Товары, предлагаемые в BriansClub.

Примечательной особенностью BriansClub является отсутствие официального присутствия на каких-либо подпольных форумах, что отличает его практически от всех других крупных торговых площадок. Его репутация была построена исключительно на сарафанном радио и более чем десятилетнем стабильном предоставлении услуг. Дампы (данные магнитной полосы, используемые для клонирования физических карт) стоят от 1 до более 200 долларов, при этом для оптовых покупок доступна вкладка «Оптовая продажа». Данные CVV (номер карты, срок действия и защитный код) указаны по цене от 1 до 150 долларов, а Fullz (полные профили личности, включая имя, адрес и номер социального страхования) стоят от 14,95 до 59,95 долларов. Торговая площадка также регулярно проводила лотереи с джекпотами, предлагая скидки и рыночные кредиты для стимулирования дальнейшего участия, хотя с августа 2024 года лотереи не проводились, что может указывать на снижение активности администраторов. Происхождение данных, хранящихся на BriansClub, остается невыясненным, поскольку платформа не позволяет пользователям продавать их, а методы их получения не разглашаются.

​

Восходящие претенденты​

B1ack Stash​

B1ack Stash переняла стратегию роста, впервые примененную BidenCash (конфискованной в июне 2025 года) (Управление прокурора США, 2025), используя масштабные раздачи данных для повышения доверия и привлечения пользователей. Запущенная в апреле 2024 года, платформа немедленно бесплатно предоставила более 1 миллиона украденных записей кредитных карт, напрямую воспроизводя подход, который превратил BidenCash в один из крупнейших подпольных рынков. В апреле 2025 года B1ack Stash активизировала свою рекламную деятельность, раздав более 4 миллионов карт, продемонстрировав как значительные возможности по сбору данных, так и намерение занять доминирующее положение на рынке.

Однако рост платформы сопровождался серьезными проблемами с доверием. Администратор столкнулся с многочисленными обвинениями в мошеннической деятельности на различных форумах и в ответ публично выступил против недовольных клиентов. Эти открытые споры породили задокументированные проблемы с доверием на многочисленных подпольных форумах.

Первое серьезное вмешательство правоохранительных органов в отношении этой торговой площадки произошло в сентябре 2025 года, когда прокуратура Манхэттена конфисковала 12 доменов, связанных с B1ack Stash, за торговлю более чем миллионом украденных карт (Прокуратура Манхэттена, 2025). Вскоре после этого платформа появилась на новых зеркалах, что соответствует наблюдаемой устойчивости других торговых площадок после аналогичных мер по пресечению нарушений. Дальнейшая работа платформы зависит как от постоянного давления со стороны правоохранительных органов, так и от сохраняющегося дефицита доверия в подпольном сообществе.

Рынок STYX​

В отличие от рекламного подхода B1ack Stash, STYX Market развивался без бесплатных раздач (массового распространения украденных записей в качестве рекламной стратегии), официальных форумных аккаунтов или агрессивного маркетинга с момента своего запуска в 2023 году. Платформа сформировала свою пользовательскую базу исключительно за счет доступности продуктов и репутации сообщества, получив положительные оценки от многочисленных изданий, занимающихся исследованиями в области кибербезопасности, за последний год.

Платформа поддерживает высокий темп работы: новые товары размещаются практически ежедневно, а раздел новостей обновляется несколько раз в месяц. Каталог разнообразен: стоимость списков перекупщиков варьируется от 0,20 до более чем 300 долларов, пакеты баз данных предлагаются по цене до 1700 долларов, а премиальный закрытый раздел предоставляет доступ к эксклюзивным данным за 500 долларов на всю жизнь или 300 долларов плюс 25 долларов в месяц. Продавцы обязаны проходить проверку перед размещением товаров — это мера контроля качества, которая отличает STYX от торговых площадок с открытой регистрацией продавцов.

Устойчивый рост платформы без проведения рекламных кампаний произошел на рынке перепродажи логов, где покупатели все чаще отдают приоритет качеству и эксклюзивности данных, а не цене.

Торговая площадка Exodus​

Exodus Marketplace — самый новый участник рынка, представленный в этом отчете, чья репутация подвергается серьезной критике на подпольных форумах. С момента начала своей рекламной деятельности на крупных русскоязычных подпольных форумах в октябре 2024 года платформа нарастила свою пользовательскую базу, первоначально путем распространения бесплатных пригласительных кодов, а затем и с помощью платной модели доступа, требующей внесения депозита (увеличенного с 20 до 30 долларов) для доступа к спискам объявлений.

Проблемы с репутацией платформы выходят за рамки типичных проблем с качеством данных. Многие пользователи сообщали о неработающих или низкокачественных логах на различных форумах. Кроме того, объявление о вакансии системного администратора, опубликованное в марте 2024 года, впоследствии было признано несколькими пользователями предназначенным для сбора личной информации, а не для заполнения законной вакансии. Эти инциденты породили устойчивый скептицизм в подпольном сообществе относительно оперативных намерений администратора.

Конкретные функции, рекламируемые официальным аккаунтом Exodus Marketplace на Exploit.

Несмотря на эти опасения, платформа продолжает развивать свою инфраструктуру. В июне 2025 года Exodus запустила собственный специализированный форум, где администратор может блокировать обсуждения, а личные сообщения между пользователями отключаются, обеспечивая полную прозрачность всех коммуникаций. Влияние этой модели прозрачности на доверие пользователей еще не установлено, и дальнейшая судьба платформы остается под вопросом.

Китайский аутсайдер​

DeepMix​

DeepMix представляет собой принципиально иную модель по сравнению с западными торговыми площадками, описанными в этом отчете. Будучи доминирующей платформой в китайскоязычном даркнете, она работает на основе числовых идентификаторов, публичных коммуникаций и обязательной оплаты за публикацию или комментирование. Это одна из старейших подпольных торговых площадок в мире, работающая непрерывно более 12 лет в условиях, когда большинство платформ закрываются в течение нескольких лет.

Первоначально запущенная в 2013 году как «Китайский даркнет-форум», платформа начинала как сообщество для обсуждения вопросов конфиденциальности среди китайскоязычных пользователей. К 2015–2016 годам, в ответ на спрос на транзакции с использованием криптовалют, она была реструктурирована в полноценную торговую площадку. В 2019 году продолжительная DDoS-атака вывела платформу из строя на несколько недель. Вместо прекращения работы она возобновила деятельность с усиленной защитой, укрепив свою репутацию операционной устойчивости.

Модель безопасности основана на радикальной прозрачности и преднамеренном ограничении доступа. Пользователям присваивается числовой идентификатор, создание собственных имен пользователей запрещено. Требуется три отдельных пароля: для входа, транзакций и восстановления. Все общение с продавцами происходит через публичные комментарии, что гарантирует видимость каждой транзакции и спора для всего сообщества. Платформа использует Litecoin со встроенной функцией смешивания криптовалют для обеспечения конфиденциальности транзакций, работая исключительно через Tor по 11 каналам сети Onion.

Категории товаров отражают особенности китайской киберпреступной экосистемы. Доминирующей категорией являются виртуальные ресурсы: инструменты для взлома, приложения для азартных игр и инструменты для разработчиков. Физические товары встречаются редко из-за рисков отслеживания, связанных с доставкой. Основная ценность сосредоточена в категории данных: украденные персональные данные, утечки баз данных, данные финансовых учреждений и данные WeChat — категория товаров, специфичная для китайского рынка и не имеющая прямых аналогов на западных платформах. В отличие от западных рынков даркнета, где наркотики часто составляют основную категорию, на китайских платформах доминируют утечки данных и виртуальные товары — это различие обусловлено «Великой китайской стеной» и масштабами цифровой экономики Китая.

Позиции платформы на рынке были поставлены под сомнение в 2022 году, когда был запущен конкурент под названием Chang'an, быстро набравший популярность. Возникший спор выявил присущую теневой экономике хрупкость доверия. Каждая сторона обвиняла другую в мошенничестве: новичок утверждал, что пользователи с давних аккаунтов были вынуждены менять свои имена и платить чрезмерные комиссии, в то время как устоявшаяся платформа заявляла, что ее конкурент скомпрометировал пароли от учетных записей пользователей. К апрелю 2023 года многие пользователи сообщили о невозможности доступа к своим средствам или счетам. Ни одна из сторон не предоставила подтверждающих доказательств, но взаимные обвинения привели к заметному подрыву доверия на обеих платформах.

В условиях усиления контроля со стороны ФБР, Европола и других смежных ведомств на западных рынках, платформы на китайском языке представляют собой растущий пробел в охвате информации об угрозах. Обладая 12-летним опытом работы и уникальной моделью безопасности, этот рынок является приоритетным для мониторинга, особенно для организаций, работающих в Азиатско-Тихоокеанском регионе.

Заключение​

Экосистема площадок в даркнете продолжает демонстрировать высокую степень устойчивости к операциям правоохранительных органов. Рассмотренные в этом отчете случаи, включая восстановление BriansClub после его закрытия в 2024 году, быстрое повторное появление B1ack Stash после конфискации домена и трехлетний период работы BidenCash до его конфискации в июне 2025 года, подтверждают, что сбои в работе отдельных платформ не приводят к сбоям в работе базовой экономики. Переход на альтернативные платформы происходит быстро, и операционная модель сохраняется независимо от того, какие конкретные торговые площадки активны в данный момент.

Наблюдается значительный сдвиг в товарном ландшафте. Журналы кражи данных вытеснили традиционные данные кредитных карт, став самой ценной категорией товаров, благодаря своей способности обходить современные механизмы аутентификации путем перехвата сессии. Торговые площадки, демонстрирующие наиболее устойчивый рост, в частности STYX и RussianMarket, построены вокруг этой категории товаров. Одновременно с этим, масштабные раздачи данных стали эффективной стратегией выхода на рынок, что продемонстрировали BidenCash и B1ack Stash.

Инфраструктура доверия остается критически важным фактором долговечности торговой площадки. Системы депонирования средств, публичное разрешение споров, проверка продавцов и механизмы лояльности — все это способствует поддержанию вовлеченности покупателей. Когда эти механизмы дают сбой, как это наблюдалось в споре между DeepMix и ее конкурентом, вызванное этим снижение доверия распространяется за пределы непосредственно участвующих платформ. Подпольные форумы продолжают функционировать как основной уровень доверия и координации, и положение торговой площадки в этих сообществах часто определяет ее жизнеспособность в большей степени, чем собственные возможности платформы.

В мониторинге платформ даркнета, распространенных на китайском языке, сохраняется существенный пробел. DeepMix работает уже более 12 лет по принципиально иной модели, однако получает значительно меньше аналитического внимания, чем его западные аналоги. По мере усиления давления правоохранительных органов на англоязычные и русскоязычные рынки этот пробел в охвате, как ожидается, будет увеличиваться. Подпольная экономика функционирует как интегрированная цепочка поставок, от первоначального заражения вредоносным ПО и кражи учетных данных до развертывания программ-вымогателей, и обнаружение на любом этапе этой цепочки может сорвать атаки до того, как они достигнут своей конечной цели.