Кіберзлочинність давно перестала бути справою одинаків-ентузіастів. Сьогодні це багатомільярдна тіньова економіка з власною спеціалізацією професій, маркетплейсами в стилі Amazon, відгуками клієнтів і навіть «технічною підтримкою». За оцінкою Cybersecurity Ventures, у 2025 році збитки від кіберзлочинів у світі сягають близько 10,5 трлн доларів — це більш ніж утричі перевищує показник 2015-го. У цьому матеріалі — як працює тіньовий ринок кіберзлочинності, скільки коштують вкрадені дані українців і чому війна робить нас особливо вразливими.

Від «магазинів вкрадених карток» до екосистеми «злочин як послуга»

Ще кілька років тому тіньові ринки сприймалися здебільшого як торгові майданчики для викрадених банківських карток і піратського ПЗ. Сьогодні картина принципово інша: ринок став модульним і спеціалізованим. За даними звіту KELA «State of Cybercrime 2026», у 2025 році в підпільному обігу перебувало щонайменше 2,86 млрд скомпрометованих облікових даних — від паролів і файлів cookie до повних «логів» інфостілерів, що містять усю цифрову особистість користувача.

Дослідники Constella підрахували, що лише за 2025 рік було оброблено 51,7 млн «пакетів» інфостілерів, які походили з 24,8 млн унікальних інфікованих пристроїв. Усередині — близько 2,3 млрд викрадених паролів. А американський Internet Crime Complaint Center (IC3) при ФБР зафіксував, що сумарні втрати від кіберзлочинів у 2025 році в США перевищили 20,9 млрд доларів — на 26% більше, ніж роком раніше.

Принципова зміна — у самій бізнес-моделі. Якщо раніше один зловмисник міг сам зламувати, сам красти й сам продавати, то сьогодні ринок повністю розділений на ролі: розробники шкідливого програмного забезпечення, оператори ботнетів, «ініціатори загроз», що отримують первинний доступ до мереж, оператори програм-вимагачів, відмивачі криптовалюти. Цей підхід отримав назву Cybercrime-as-a-Service (CaaS) — кіберзлочин як послуга.

Скільки коштують ваші дані: ціни тіньового ринку у 2025–2026 роках

За даними щорічного звіту SOCRadar та аналітичних публікацій Privacy Affairs і Trustwave SpiderLabs, середні ціни на вкрадені дані у тіньовому сегменті 2025 року виглядають так:

• базові персональні дані (номер телефону, адреса, e-mail) — від 1 долара;
• номер соціального страхування США (SSN) — приблизно 1–6 доларів;
• викрадена банківська картка без CVV — близько 10 доларів;
• картка з CVV — 10–40 доларів, з високим балансом (від 5 000 доларів) — до 120 доларів;
• зламаний акаунт PayPal або Revolut — у середньому близько 100 доларів;
• верифікований акаунт Kraken із криптовалютою — понад 1 100 доларів;
• повні медичні записи — 250–310 доларів за запис;
• DDoS-атака на замовлення — від 20 доларів;
• підписка на інфостілер (malware-as-a-service) — від 15 доларів на місяць;
• кастомна фішингова сторінка — 50–2 000 доларів;
• експлойт нульового дня (zero-day) — до 150 000 доларів і вище.

Окрема й найдорожча категорія — корпоративні доступи. За даними Rapid7, у другій половині 2025 року середня ціна лоту від «ініціатора загроз» (Initial Access Broker) зросла з приблизно 2 726 доларів у 2024-му до понад 113 000 доларів. Йдеться про повний адміністративний доступ до мережі великої компанії, що дозволяє покупцеві — як правило, оператору програми-вимагача — одразу переходити до фінальної стадії атаки.

Як виглядає сучасний даркнет-маркет: рейтинги, відгуки, «чорна п’ятниця»

Сучасні тіньові ринки візуально й функціонально майже не відрізняються від легальних e-commerce-платформ. Зловмисники мають свої рейтинги продавців, відгуки покупців, систему ескроу-платежів (умовного депонування коштів до підтвердження покупки), розділи «поширені запитання», іноді — навіть live-чат із «технічною підтримкою». Періодично з’являються «акції», «купони знижок» і сезонні розпродажі — для імітації звичного клієнтського досвіду.

Оплата майже завжди відбувається у криптовалюті. Bitcoin усе ще використовується для виплат викупу за програмами-вимагачами, але для розрахунків на самих маркетплейсах злочинці все частіше переходять на Monero — через вбудовану анонімність транзакцій. За даними звіту Chainalysis «2025 Crypto Crime Report», близько 63% усього нелегального обігу криптовалют у 2025 році припадає на стейблкоїни, передусім USDT.

Russian Market та інфостілери: чому крадені облікові дані опиняються в продажу за 48 годин

Окрему й болючу для українців роль відіграє маркетплейс під назвою Russian Market. За оцінкою компанії Rapid7, у 2026 році це найбільший у світі майданчик для торгівлі «логами» інфостілерів — пакетами даних, які зловмисне ПЗ викрадає з інфікованого комп’ютера: збережені паролі браузерів, файли cookie сесій, дані автозаповнення форм, гаманці криптовалют. Російські злочинні форуми XSS та Exploit залишаються основними майданчиками для пошуку партнерів, попри періодичні правоохоронні втручання — зокрема у липні 2025 року XSS втратив адміністратора в результаті спецоперації.

Дослідження Whiteintel, опубліковане в березні 2026 року, описує типовий шлях вкрадених даних: від моменту зараження пристрою до появи облікових даних на маркеті проходить менш ніж 48 годин. У багатьох випадках — суттєво менше. Логи свіжих заражень (24–48 годин) продаються з преміальною надбавкою саме тому, що сесійні токени ще не встигли застаріти й дозволяють обійти двофакторну автентифікацію.

Згідно з звітом Verizon Data Breach Investigations Report 2025, 54% жертв атак програм-вимагачів виявили свої корпоративні облікові дані в логах інфостілерів ще до самої атаки. Тобто доступ було продано — а вже потім ним скористалися.

Найпоширеніші інфостілери, логи яких зараз можна знайти на тіньових ринках: Lumma (донедавна — лідер ринку, доки в травні 2025 року правоохоронні органи не вилучили його інфраструктуру), Acreed (швидко зайняв звільнену нішу — за оцінками Bitsight, до середини 2026 року кількість його логів зросла зі сотень у березні 2025 року до понад 118 000 у червні), а також Vidar, Stealc, Rhadamanthys, RedLine, Raccoon.

Ініціатори загроз і RaaS: як працює конвеєр сучасних атак

Ініціатори загроз (Initial Access Brokers, IABs) — це спеціалізована «професія» на тіньовому ринку. Їхня єдина задача — отримати первинний доступ до корпоративної мережі (через фішинг, експлуатацію вразливостей, перебір паролів або купівлю логів інфостілерів) і продати цей доступ далі. За даними дослідницької компанії Intel 471, у період з червня 2024 по травень 2025 року зафіксовано щонайменше 70 кореляцій між лотами IAB-брокерів і подальшими атаками програм-вимагачів. Середній час між появою оголошення про доступ і фактичною атакою — лише близько 19 днів.

Найактивніші групи програм-вимагачів, які закуповують доступи: Play, RansomHub, Everest, Medusa, Sarcoma. Ця модель «розподілу праці» отримала назву Ransomware-as-a-Service (RaaS): розробники створюють шкідливе програмне забезпечення й здають його в оренду «афілійованим партнерам», а ті, своєю чергою, купують доступ до конкретних компаній у брокерів. Прибуток ділиться у відсотках — як у звичайній партнерській програмі.

Що цікаво, у березні 2026 року американський суд виніс вирок російському «ініціатору загроз» Олексію Волкову із Санкт-Петербурга — 81 місяць ув’язнення. Волков, відомий під ніком chubaka.kor, продавав доступи групам Yanluowang та іншим. Його затримали в Римі та екстрадували до США. Це один із небагатьох прецедентів, коли «архітектора» сучасних атак вдалося реально притягнути до відповідальності.

Великі операції правоохоронців: чи вдається перемагати?

Останні роки принесли кілька гучних міжнародних операцій, які показали: тіньовий ринок не є безкарним.

• Operation Cronos (лютий 2024)— спільна операція 10 країн на чолі з Національним агентством злочинності Великої Британії (NCA), ФБР та Європолом. Інфраструктуру однієї з найвпливовіших груп програм-вимагачів LockBit було захоплено, а її лідер Дмитро Хорошев («LockBitSupp») із росії — публічно деанонімізований. Заарештовано 200 криптогаманців і 34 сервери; затримано трьох співучасників у Польщі та Україні. Уряд США оголосив винагороду в 10 млн доларів за інформацію, що приведе до арешту Хорошева.
• Operation Endgame (травень 2024)— за даними Європолу, найбільша в історії операція проти ботнетів. Вилучено понад 100 серверів, що обслуговували завантажувачі шкідливого ПЗ IcedID, Pikabot, Trickbot, Bumblebee, SmokeLoader та SystemBC. У 2025 році проведено серію подальших арештів — уже клієнтів цих сервісів, дані яких знайшли в захопленій базі.
• Захоплення BreachForums (травень 2024)— ФБР перехопило контроль над форумом, де роками публікували й продавали бази даних великих витоків. Сам форум кілька разів відроджувався, але остаточно розпався протягом 2024–2025 років. У судових документах Міністерства юстиції США згадуються 888+ викрадених датасетів і 14+ мільярдів записів, що там обертались.
• Знищення LummaC2 (травень 2025)— у скоординованій операції вилучено понад 2 300 доменів, які обслуговували найпопулярніший на той момент інфостілер. До цього на LummaC2 припадало близько 92% усіх логів на Russian Market.

Втім, фахівці з компанії Cognyte застерігають: ці успіхи не означають перемоги. Замість одного знищеного гравця з’являється кілька дрібніших. Ринок став більш фрагментованим, а отже — складнішим для моніторингу. Уже через кілька днів після кожної великої операції постачальники й покупці мігрують на запасні майданчики, як це сталося з TorZon і Nemesis після обвалу Abacus Market у середині 2025 року.

Що це означає для українців: ціна вашої цифрової особистості в умовах війни

Для України тіньовий ринок кіберзлочинності — це не абстрактна проблема. Це передовий край гібридної війни.

Згідно зі звітом ESET за Q2–Q3 2025, російська група Sandworm (пов’язана з ГРУ) продовжує систематичні атаки програм-знищувачів даних (wiper) на українські державні установи, енергетику, логістику і — що стало новою тенденцією 2025 року — на зерновий сектор як основне джерело валютних надходжень. Використовуються wipper-програми ZEROLOT і Sting.

У травні 2025 року дослідники ESET зафіксували атаку, в якій угрупування, назване InedibleOchotense, видавало себе за саму компанію ESET: українським організаціям розсилали спірфішингові листи й повідомлення в Signal із посиланнями на нібито офіційні інсталятори ESET, які насправді містили бекдор Kalambur (SUMBUR).

Державна служба спеціального зв’язку та захисту інформації України (Держспецзв’язку) повідомила, що в першій половині 2025 року зафіксувала 3 018 кіберінцидентів — на 17% більше, ніж у другому півріччі 2024-го. Атаки на місцеві органи влади та військові структури зросли особливо помітно.

Окрема загроза для українських користувачів — те, що частина російськомовних маркетів буквально торгує доступом до українських сервісів, акаунтів і навіть інфраструктури. Логи інфостілерів із заражених у 2022–2025 роках українських комп’ютерів досі циркулюють у продажу. Це означає, що пароль, який ви зберегли в браузері три роки тому, теоретично все ще може бути «свіжим товаром» на тіньовому ринку.

ШІ як новий інструмент: фішинг і дипфейки на потоці

Окрема тривожна тенденція 2025–2026 років — масштабне впровадження генеративного ШІ в арсенал кіберзлочинців. За даними IBM Threat Intelligence Index, кількість шкідливого ПЗ, доставленого через фішингові листи, у 2025 році зросла на 84% порівняно з попереднім роком — значною мірою завдяки автоматизованій генерації переконливих текстів.

Зловмисники використовують ШІ для створення фішингових листів без характерних граматичних помилок, для адаптації повідомлень під конкретну жертву (так званий spear-phishing), для генерації дипфейкових голосових і відео-повідомлень. Окремий бізнес-сегмент на тіньовому ринку — «комплекти дипфейк-особистостей» для фінансового шахрайства й обходу процедур верифікації.

Як захиститися: базовий мінімум для пересічного користувача

Хороша новина: попри ускладнення тіньового ринку, базова гігієна цифрової безпеки залишається ефективною проти переважної більшості атак. Ось мінімум, який варто дотримуватися.

• Використовуйте менеджер паролів і унікальні складні паролі для кожного сервісу. Якщо одне зі сховищ зливається — постраждає лише один акаунт, а не вся ваша цифрова особистість.
• Увімкніть багатофакторну автентифікацію всюди, де це можливо. Бажано — через застосунок-автентифікатор або апаратний ключ, а не через SMS.
• Переходьте на ключі доступу (passkeys) там, де це підтримується. Вони стійкі до фішингу й крадіжки облікових даних інфостілерами.
• Регулярно оновлюйте операційну систему й програмне забезпечення. Більшість успішних атак експлуатує вразливості, для яких уже існують патчі.
• Встановіть надійне антивірусне рішення. Для українських користувачів окрема рекомендація: НЕ використовуйте антивіруси російського походження (Kaspersky, Dr.Web), оскільки вони є джерелом ризиків як для приватності, так і для національної безпеки. Серед перевірених альтернатив — ESET (Словаччина, має офіційне представництво в Україні).
• Не зберігайте чутливі паролі (банкінг, корпоративна пошта, криптогаманці) у браузері. Саме ці дані — основна ціль інфостілерів.
• Будьте критичними до листів і повідомлень із посиланнями, навіть якщо вони здаються офіційними. Російські угрупування періодично видають себе за відомі компанії, включно з Microsoft та Google.
• Регулярно перевіряйте свої e-mail-адреси на сервісах Have I Been Pwned, щоб дізнаватися про потрапляння ваших облікових даних у відомі витоки.
• Не намагайтеся «зайти на даркнет із цікавості». Це не цікава екскурсія, а потенційно небезпечне середовище з шкідливим ПЗ, шахрайськими сторінками й наглядом правоохоронних органів — що погано закінчується для випадкових туристів.

Висновок: чому інформованість важлива більше, ніж будь-коли

Тіньовий ринок кіберзлочинності за останнє десятиріччя пройшов шлях від примітивних форумів до повноцінної підпільної ІТ-індустрії з власною спеціалізацією, фінансовими потоками й корпоративною культурою. Він став дорожчим, складнішим, географічно розмазаним — і водночас доступнішим для входу: підписку на інфостілер сьогодні може купити навіть підліток за 15 доларів.

Боротьба з цією індустрією потребує спільних зусиль урядів, правоохоронців, виробників технологій безпеки й кожного користувача окремо. Великі операції на кшталт Cronos та Endgame показують, що це можливо. Але водночас вони ж демонструють: ринок надзвичайно адаптивний, і кожна знищена платформа замінюється кількома меншими.

Для України, яка перебуває в стані повномасштабної війни, ставка особливо висока: наші персональні й корпоративні дані — це не просто товар на тіньовому ринку, а потенційний інструмент у руках ворога. Тому елементарні правила цифрової гігієни сьогодні — це не параноя, а внесок у безпеку країни.

Ця стаття Вкрадені дані, доступи до серверів і RaaS-сервіси: як влаштований сучасний тіньовий ринок кіберзлочинності раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Дитина хоче прискорити Roblox, розблокувати функцію чи встановити мод, який використовують друзі. Шукає в Google або YouTube, знаходить відео “NEW Roblox FPS Booster 2025 – FREE”, переходить за Discord-посиланням, завантажує ZIP-файл і запускає RobloxExecutor.exe. Гра запускається. Нічого підозрілого. Але у фоновому режимі щойно сталося щось набагато серйозніше.

Цей “мод” зовсім не мод. Це infostealer malware — шкідлива програма для крадіжки облікових даних. За лічені секунди зловмисник отримує всі збережені паролі браузера, session cookies та токени автентифікації — Gmail, Discord, Steam, Microsoft. Можливо, корпоративний VPN, можливо Okta, Slack чи GitHub.

Інфекція відбувається у вашій вітальні. Витік даних — у вашій компанії. І ні ви, ні ваша дитина не помітите нічого, поки не буде занадто пізно.

Геймери — основний вектор інфікування

Згідно з дослідженнями threat intelligence, геймери стали одним з найбільших і найнадійніших джерел інфекцій infostealer malware. Один з недавніх аналізів показав, що понад 40% інфекцій інфостілерами походять від ігрових файлів, включаючи чіти, моди, зламані ігри та “оптимізатори продуктивності”.

З точки зору атакувальника, геймери — ідеальні цілі. Більшість з них — діти чи підлітки, які постійно завантажують сторонні файли, вимикають антивірус “щоб моди працювали”, довіряють Discord-посиланням і GitHub-репозиторіям, шукають обхідні шляхи та чіти, і запускають випадкові виконувані файли без вагань. Найголовніше — їх навчили виконувати ненадійний код. Така поведінка — саме те, що потрібно операторам інфостілерів.

Як працює інфікування через Roblox-мод

Типова інфекція інфостілером через Roblox виглядає так.

Дитина шукає:

• “Roblox FPS unlocker”
• “Roblox executor free”
• “Roblox script injector”

Потрапляє на:

• YouTube-відео
• Discord-сервер
• GitHub-репозиторій
• Google Drive посилання

Завантажує файл: RobloxMod.zip з install.exe всередині. Запускає install.exe. Насправді виконується не мод, а Lumma, RedLine, Vidar або Raccoon — одні з найпоширеніших інфостілерів на планеті.

Жодних експлойтів. Жодних вразливостей. Жодного хакінгу. Просто психологічна маніпуляція користувачем (дитиною), який двічі клацнув файл.

Що насправді робить інфостілер

Після запуску сучасний інфостілер миттєво починає збирати дані ідентифікації з системи:

• Збережені паролі браузера
• Session cookies
• Дані автозаповнення
• OAuth-токени
• Discord-токени
• VPN-креденшали
• Криптогаманці
• Хмарні логіни
• SSH-ключі
• FTP-креденшали

Звідки: Chrome, Edge, Firefox, Brave, Outlook і поштові клієнти, менеджери паролів, VPN-клієнти, інструменти розробника.

Весь цей процес займає секунди. Дані упаковуються у так званий “stealer log” — структурований архів, що представляє повний цифровий знімок ідентичності людини. Цей log завантажується у Telegram-канали, даркнет-маркетплейси та злочинні SaaS-панелі, де його продають, перепродують та індексують.

Чому це стає корпоративною загрозою

Ось частина, яку більшість людей упускає. Ноутбук вашої дитини — це не просто ігровий пристрій. Крім того, геймери — не єдині цілі. Атакувальники заражають все безкоштовне в мережі:

• Піратське програмне забезпечення
• Фейкові AI-інструменти
• Розширення для браузерів
• Фейкові інсталятори легітимного ПЗ
• Crypto та web3 інструменти
• Шкідливі документи та вкладення email
• Контент для дорослих
• Фейкові системні утиліти

Якщо ви завантажили щось із наведеного вище і виконуєте будь-яку з цих дій — перевіряєте робочу пошту, заходите в Slack, логінитесь в Okta, підключаєтесь до VPN, підтверджуєте MFA-запити, відкриваєте GitHub чи внутрішні дашборди — інфостілери не дбають про те, хто клацнув файл. Їх цікавлять облікові дані на машині.

Так Roblox-мод (або будь-яке шкідливе ПЗ) може вкрасти корпоративні SSO-креденшели, паролі Active Directory, session cookies, які обходять MFA, та доступ до внутрішніх SaaS-платформ. І тепер вашу компанію скомпрометовано — не через вразливість, а через розважальне завантаження.

Торгівля вашою ідентичністю в андеграунді

На кіберзлочинних маркетплейсах зловмисники можуть придбати все — від сирих stealer logs до покрокових інструкцій і навіть повністю керовані “Stealer-as-a-Service” пропозиції. В андеграунді можна знайти оголошення, які пропонують доступ до Exodus stealer за $500 на місяць або $2000 за пожиттєвий доступ.

Типова структура logs включає IP-адреси, домени, кредитні картки, а також single sign-on (SSO), cookies, токени, паролі тощо. Інфостілери фактично перетворили ідентичність на товар першої необхідності в ланцюгу кіберзлочинності.

Це не “дитяча проблема” — це проблема ідентичності. Небезпека інфостілерів не в самому malware, а в тому, що саме вони крадуть.

Як захиститися від інфостілерів

Захист від цієї загрози вимагає комплексного підходу на кількох рівнях.

Для батьків і домашніх користувачів:

Проведіть відверту розмову з дітьми про те, чому не можна завантажувати файли з незнайомих джерел — пояснюючи реальні наслідки, а не просто забороняючи. Налаштуйте окремі облікові записи користувачів на комп’ютері без прав адміністратора для дітей. Використовуйте різні пристрої для роботи та розваг — якщо це неможливо, створіть окремі профілі браузера. Регулярно перевіряйте історію завантажень та встановлених програм.

Технічні заходи захисту:

Вимкніть функцію збереження паролів у браузерах — використовуйте натомість окремі менеджери паролів з master-паролем. Увімкніть двофакторну автентифікацію для всіх критичних сервісів, особливо робочих. Використовуйте апаратні ключі безпеки (наприклад, YubiKey або Titan Security Key) для найважливіших акаунтів — вони захищають навіть від викрадених session cookies. Регулярно очищайте збережені cookies та сесії у браузері. Налаштуйте обмеження на виконання файлів з тимчасових папок через групові політики або спеціалізоване ПЗ.

Для компаній та організацій:

Впровадьте чітку політику використання особистих пристроїв для роботи (BYOD) з обов’язковою ізоляцією робочих даних. Використовуйте системи управління мобільними пристроями (MDM) для контролю та моніторингу. Обмежте тривалість дії session tokens та вимагайте повторної автентифікації для критичних операцій. Моніторте підозрілі логіни — входи з нових пристроїв, незвичних локацій чи у нетиповий час. Проводьте регулярне навчання співробітників розпізнаванню загроз, включаючи приклади з реального життя.

Що робити, якщо підозрюєте інфікування:

Негайно змініть всі паролі з іншого, гарантовано чистого пристрою. Завершіть всі активні сесії в критичних сервісах через налаштування безпеки. Перевірте систему антивірусом та спеціалізованими засобами виявлення malware. Повідомте IT-відділ компанії, якщо на пристрої є доступ до корпоративних ресурсів — навіть якщо не впевнені в інфікуванні. Розгляньте можливість повного перевстановлення системи для критично важливих машин.

Висновок

Інфостілери перетворили дитячі ігри на ворота до корпоративних мереж. Єдиний клік на “безкоштовний мод для Roblox” може відкрити зловмисникам доступ до внутрішніх систем компанії, конфіденційних даних клієнтів та критичної інфраструктури.

Проблема не в технологіях — проблема в поведінці. Поки діти (і дорослі) продовжуватимуть завантажувати та запускати невідомі файли, інфостілери залишатимуться однією з найефективніших кіберзагроз. Захист починається не з антивірусів та фаєрволів, а з культури кібербезпеки, яку потрібно виховувати вдома, підтримувати на робочому місці та практикувати щодня.

У світі, де ідентичність стала товаром, найкраща інвестиція — це освіта та свідомість.

Ця стаття Інфостілери в Roblox: як ігровий мод викрадає корпоративні дані раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим