Вкрадені дані, доступи до серверів і RaaS-сервіси: як влаштований сучасний тіньовий ринок кіберзлочинності

Кіберзлочинність давно перестала бути справою одинаків-ентузіастів. Сьогодні це багатомільярдна тіньова економіка з власною спеціалізацією професій, маркетплейсами в стилі Amazon, відгуками клієнтів і навіть «технічною підтримкою». За оцінкою Cybersecurity Ventures, у 2025 році збитки від кіберзлочинів у світі сягають близько 10,5 трлн доларів — це більш ніж утричі перевищує показник 2015-го. У цьому матеріалі — як працює тіньовий ринок кіберзлочинності, скільки коштують вкрадені дані українців і чому війна робить нас особливо вразливими.

Від «магазинів вкрадених карток» до екосистеми «злочин як послуга»

Ще кілька років тому тіньові ринки сприймалися здебільшого як торгові майданчики для викрадених банківських карток і піратського ПЗ. Сьогодні картина принципово інша: ринок став модульним і спеціалізованим. За даними звіту KELA «State of Cybercrime 2026», у 2025 році в підпільному обігу перебувало щонайменше 2,86 млрд скомпрометованих облікових даних — від паролів і файлів cookie до повних «логів» інфостілерів, що містять усю цифрову особистість користувача.

Дослідники Constella підрахували, що лише за 2025 рік було оброблено 51,7 млн «пакетів» інфостілерів, які походили з 24,8 млн унікальних інфікованих пристроїв. Усередині — близько 2,3 млрд викрадених паролів. А американський Internet Crime Complaint Center (IC3) при ФБР зафіксував, що сумарні втрати від кіберзлочинів у 2025 році в США перевищили 20,9 млрд доларів — на 26% більше, ніж роком раніше.

Принципова зміна — у самій бізнес-моделі. Якщо раніше один зловмисник міг сам зламувати, сам красти й сам продавати, то сьогодні ринок повністю розділений на ролі: розробники шкідливого програмного забезпечення, оператори ботнетів, «ініціатори загроз», що отримують первинний доступ до мереж, оператори програм-вимагачів, відмивачі криптовалюти. Цей підхід отримав назву Cybercrime-as-a-Service (CaaS) — кіберзлочин як послуга.

Скільки коштують ваші дані: ціни тіньового ринку у 2025–2026 роках

За даними щорічного звіту SOCRadar та аналітичних публікацій Privacy Affairs і Trustwave SpiderLabs, середні ціни на вкрадені дані у тіньовому сегменті 2025 року виглядають так:

• базові персональні дані (номер телефону, адреса, e-mail) — від 1 долара;
• номер соціального страхування США (SSN) — приблизно 1–6 доларів;
• викрадена банківська картка без CVV — близько 10 доларів;
• картка з CVV — 10–40 доларів, з високим балансом (від 5 000 доларів) — до 120 доларів;
• зламаний акаунт PayPal або Revolut — у середньому близько 100 доларів;
• верифікований акаунт Kraken із криптовалютою — понад 1 100 доларів;
• повні медичні записи — 250–310 доларів за запис;
• DDoS-атака на замовлення — від 20 доларів;
• підписка на інфостілер (malware-as-a-service) — від 15 доларів на місяць;
• кастомна фішингова сторінка — 50–2 000 доларів;
• експлойт нульового дня (zero-day) — до 150 000 доларів і вище.

Окрема й найдорожча категорія — корпоративні доступи. За даними Rapid7, у другій половині 2025 року середня ціна лоту від «ініціатора загроз» (Initial Access Broker) зросла з приблизно 2 726 доларів у 2024-му до понад 113 000 доларів. Йдеться про повний адміністративний доступ до мережі великої компанії, що дозволяє покупцеві — як правило, оператору програми-вимагача — одразу переходити до фінальної стадії атаки.

Як виглядає сучасний даркнет-маркет: рейтинги, відгуки, «чорна п’ятниця»

Сучасні тіньові ринки візуально й функціонально майже не відрізняються від легальних e-commerce-платформ. Зловмисники мають свої рейтинги продавців, відгуки покупців, систему ескроу-платежів (умовного депонування коштів до підтвердження покупки), розділи «поширені запитання», іноді — навіть live-чат із «технічною підтримкою». Періодично з’являються «акції», «купони знижок» і сезонні розпродажі — для імітації звичного клієнтського досвіду.

Оплата майже завжди відбувається у криптовалюті. Bitcoin усе ще використовується для виплат викупу за програмами-вимагачами, але для розрахунків на самих маркетплейсах злочинці все частіше переходять на Monero — через вбудовану анонімність транзакцій. За даними звіту Chainalysis «2025 Crypto Crime Report», близько 63% усього нелегального обігу криптовалют у 2025 році припадає на стейблкоїни, передусім USDT.

Russian Market та інфостілери: чому крадені облікові дані опиняються в продажу за 48 годин

Окрему й болючу для українців роль відіграє маркетплейс під назвою Russian Market. За оцінкою компанії Rapid7, у 2026 році це найбільший у світі майданчик для торгівлі «логами» інфостілерів — пакетами даних, які зловмисне ПЗ викрадає з інфікованого комп’ютера: збережені паролі браузерів, файли cookie сесій, дані автозаповнення форм, гаманці криптовалют. Російські злочинні форуми XSS та Exploit залишаються основними майданчиками для пошуку партнерів, попри періодичні правоохоронні втручання — зокрема у липні 2025 року XSS втратив адміністратора в результаті спецоперації.

Дослідження Whiteintel, опубліковане в березні 2026 року, описує типовий шлях вкрадених даних: від моменту зараження пристрою до появи облікових даних на маркеті проходить менш ніж 48 годин. У багатьох випадках — суттєво менше. Логи свіжих заражень (24–48 годин) продаються з преміальною надбавкою саме тому, що сесійні токени ще не встигли застаріти й дозволяють обійти двофакторну автентифікацію.

Згідно з звітом Verizon Data Breach Investigations Report 2025, 54% жертв атак програм-вимагачів виявили свої корпоративні облікові дані в логах інфостілерів ще до самої атаки. Тобто доступ було продано — а вже потім ним скористалися.

Найпоширеніші інфостілери, логи яких зараз можна знайти на тіньових ринках: Lumma (донедавна — лідер ринку, доки в травні 2025 року правоохоронні органи не вилучили його інфраструктуру), Acreed (швидко зайняв звільнену нішу — за оцінками Bitsight, до середини 2026 року кількість його логів зросла зі сотень у березні 2025 року до понад 118 000 у червні), а також Vidar, Stealc, Rhadamanthys, RedLine, Raccoon.

Ініціатори загроз і RaaS: як працює конвеєр сучасних атак

Ініціатори загроз (Initial Access Brokers, IABs) — це спеціалізована «професія» на тіньовому ринку. Їхня єдина задача — отримати первинний доступ до корпоративної мережі (через фішинг, експлуатацію вразливостей, перебір паролів або купівлю логів інфостілерів) і продати цей доступ далі. За даними дослідницької компанії Intel 471, у період з червня 2024 по травень 2025 року зафіксовано щонайменше 70 кореляцій між лотами IAB-брокерів і подальшими атаками програм-вимагачів. Середній час між появою оголошення про доступ і фактичною атакою — лише близько 19 днів.

Найактивніші групи програм-вимагачів, які закуповують доступи: Play, RansomHub, Everest, Medusa, Sarcoma. Ця модель «розподілу праці» отримала назву Ransomware-as-a-Service (RaaS): розробники створюють шкідливе програмне забезпечення й здають його в оренду «афілійованим партнерам», а ті, своєю чергою, купують доступ до конкретних компаній у брокерів. Прибуток ділиться у відсотках — як у звичайній партнерській програмі.

Що цікаво, у березні 2026 року американський суд виніс вирок російському «ініціатору загроз» Олексію Волкову із Санкт-Петербурга — 81 місяць ув’язнення. Волков, відомий під ніком chubaka.kor, продавав доступи групам Yanluowang та іншим. Його затримали в Римі та екстрадували до США. Це один із небагатьох прецедентів, коли «архітектора» сучасних атак вдалося реально притягнути до відповідальності.

Великі операції правоохоронців: чи вдається перемагати?

Останні роки принесли кілька гучних міжнародних операцій, які показали: тіньовий ринок не є безкарним.

• Operation Cronos (лютий 2024)— спільна операція 10 країн на чолі з Національним агентством злочинності Великої Британії (NCA), ФБР та Європолом. Інфраструктуру однієї з найвпливовіших груп програм-вимагачів LockBit було захоплено, а її лідер Дмитро Хорошев («LockBitSupp») із росії — публічно деанонімізований. Заарештовано 200 криптогаманців і 34 сервери; затримано трьох співучасників у Польщі та Україні. Уряд США оголосив винагороду в 10 млн доларів за інформацію, що приведе до арешту Хорошева.
• Operation Endgame (травень 2024)— за даними Європолу, найбільша в історії операція проти ботнетів. Вилучено понад 100 серверів, що обслуговували завантажувачі шкідливого ПЗ IcedID, Pikabot, Trickbot, Bumblebee, SmokeLoader та SystemBC. У 2025 році проведено серію подальших арештів — уже клієнтів цих сервісів, дані яких знайшли в захопленій базі.
• Захоплення BreachForums (травень 2024)— ФБР перехопило контроль над форумом, де роками публікували й продавали бази даних великих витоків. Сам форум кілька разів відроджувався, але остаточно розпався протягом 2024–2025 років. У судових документах Міністерства юстиції США згадуються 888+ викрадених датасетів і 14+ мільярдів записів, що там обертались.
• Знищення LummaC2 (травень 2025)— у скоординованій операції вилучено понад 2 300 доменів, які обслуговували найпопулярніший на той момент інфостілер. До цього на LummaC2 припадало близько 92% усіх логів на Russian Market.

Втім, фахівці з компанії Cognyte застерігають: ці успіхи не означають перемоги. Замість одного знищеного гравця з’являється кілька дрібніших. Ринок став більш фрагментованим, а отже — складнішим для моніторингу. Уже через кілька днів після кожної великої операції постачальники й покупці мігрують на запасні майданчики, як це сталося з TorZon і Nemesis після обвалу Abacus Market у середині 2025 року.

Що це означає для українців: ціна вашої цифрової особистості в умовах війни

Для України тіньовий ринок кіберзлочинності — це не абстрактна проблема. Це передовий край гібридної війни.

Згідно зі звітом ESET за Q2–Q3 2025, російська група Sandworm (пов’язана з ГРУ) продовжує систематичні атаки програм-знищувачів даних (wiper) на українські державні установи, енергетику, логістику і — що стало новою тенденцією 2025 року — на зерновий сектор як основне джерело валютних надходжень. Використовуються wipper-програми ZEROLOT і Sting.

У травні 2025 року дослідники ESET зафіксували атаку, в якій угрупування, назване InedibleOchotense, видавало себе за саму компанію ESET: українським організаціям розсилали спірфішингові листи й повідомлення в Signal із посиланнями на нібито офіційні інсталятори ESET, які насправді містили бекдор Kalambur (SUMBUR).

Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку) повідомила, що в першій половині 2025 року зафіксувала 3 018 кіберінцидентів — на 17% більше, ніж у другому півріччі 2024-го. Атаки на місцеві органи влади та військові структури зросли особливо помітно.

Окрема загроза для українських користувачів — те, що частина російськомовних маркетів буквально торгує доступом до українських сервісів, акаунтів і навіть інфраструктури. Логи інфостілерів із заражених у 2022–2025 роках українських комп’ютерів досі циркулюють у продажу. Це означає, що пароль, який ви зберегли в браузері три роки тому, теоретично все ще може бути «свіжим товаром» на тіньовому ринку.

ШІ як новий інструмент: фішинг і дипфейки на потоці

Окрема тривожна тенденція 2025–2026 років — масштабне впровадження генеративного ШІ в арсенал кіберзлочинців. За даними IBM Threat Intelligence Index, кількість шкідливого ПЗ, доставленого через фішингові листи, у 2025 році зросла на 84% порівняно з попереднім роком — значною мірою завдяки автоматизованій генерації переконливих текстів.

Зловмисники використовують ШІ для створення фішингових листів без характерних граматичних помилок, для адаптації повідомлень під конкретну жертву (так званий spear-phishing), для генерації дипфейкових голосових і відео-повідомлень. Окремий бізнес-сегмент на тіньовому ринку — «комплекти дипфейк-особистостей» для фінансового шахрайства й обходу процедур верифікації.

Як захиститися: базовий мінімум для пересічного користувача

Хороша новина: попри ускладнення тіньового ринку, базова гігієна цифрової безпеки залишається ефективною проти переважної більшості атак. Ось мінімум, який варто дотримуватися.

• Використовуйте менеджер паролів і унікальні складні паролі для кожного сервісу. Якщо одне зі сховищ зливається — постраждає лише один акаунт, а не вся ваша цифрова особистість.
• Увімкніть багатофакторну автентифікацію всюди, де це можливо. Бажано — через застосунок-автентифікатор або апаратний ключ, а не через SMS.
• Переходьте на ключі доступу (passkeys) там, де це підтримується. Вони стійкі до фішингу й крадіжки облікових даних інфостілерами.
• Регулярно оновлюйте операційну систему й програмне забезпечення. Більшість успішних атак експлуатує вразливості, для яких уже існують патчі.
• Встановіть надійне антивірусне рішення. Для українських користувачів окрема рекомендація: НЕ використовуйте антивіруси російського походження (Kaspersky, Dr.Web), оскільки вони є джерелом ризиків як для приватності, так і для національної безпеки. Серед перевірених альтернатив — ESET (Словаччина, має офіційне представництво в Україні).
• Не зберігайте чутливі паролі (банкінг, корпоративна пошта, криптогаманці) у браузері. Саме ці дані — основна ціль інфостілерів.
• Будьте критичними до листів і повідомлень із посиланнями, навіть якщо вони здаються офіційними. Російські угрупування періодично видають себе за відомі компанії, включно з Microsoft та Google.
• Регулярно перевіряйте свої e-mail-адреси на сервісах Have I Been Pwned, щоб дізнаватися про потрапляння ваших облікових даних у відомі витоки.
• Не намагайтеся «зайти на даркнет із цікавості». Це не цікава екскурсія, а потенційно небезпечне середовище з шкідливим ПЗ, шахрайськими сторінками й наглядом правоохоронних органів — що погано закінчується для випадкових туристів.

Висновок: чому інформованість важлива більше, ніж будь-коли

Тіньовий ринок кіберзлочинності за останнє десятиріччя пройшов шлях від примітивних форумів до повноцінної підпільної ІТ-індустрії з власною спеціалізацією, фінансовими потоками й корпоративною культурою. Він став дорожчим, складнішим, географічно розмазаним — і водночас доступнішим для входу: підписку на інфостілер сьогодні може купити навіть підліток за 15 доларів.

Боротьба з цією індустрією потребує спільних зусиль урядів, правоохоронців, виробників технологій безпеки й кожного користувача окремо. Великі операції на кшталт Cronos та Endgame показують, що це можливо. Але водночас вони ж демонструють: ринок надзвичайно адаптивний, і кожна знищена платформа замінюється кількома меншими.

Для України, яка перебуває в стані повномасштабної війни, ставка особливо висока: наші персональні й корпоративні дані — це не просто товар на тіньовому ринку, а потенційний інструмент у руках ворога. Тому елементарні правила цифрової гігієни сьогодні — це не параноя, а внесок у безпеку країни.