SOCRadar: Отчёт о тёмном вебе 2025 — анализ киберпреступной активности
Компания SOCRadar опубликовала обширный ежегодный отчёт о состоянии киберпреступной деятельности в тёмном вебе за 2025 год. Отчёт содержит детальную статистику форумов, маркетплейсов, операций програм
О компании SOCRadar
SOCRadar — компания, специализирующаяся на мониторинге угроз и анализе подпольного интернета. Штаб-квартира находится в Турции, но компания работает с клиентами по всему миру, включая государственные органы, финансовые учреждения и крупные корпорации.
Компания известна своими детальными исследованиями преступной экосистемы и ежегодными отчётами, которые широко цитируются в СМИ и исследовательских публикациях.
Ключевые статистические данные за 2025 год
| Метрика | 2024 | 2025 | Изменение |
|---|---|---|---|
| Объём рынка украденных данных | $8.2 млрд | $10.5 млрд | +28% |
| Выплаты по программам-вымогателям | $850 млн | $1.2 млрд | +41% |
| Продажа скомпрометированных аккаунтов | $2.1 млрд | $2.8 млрд | +33% |
| Активные форумы подпольного интернета | 420 | 510 | +21% |
| Активные маркетплейсы | 85 | 120 | +41% |
Структура преступной экосистемы
Форумы подпольного интернета
Форумы являются центрами информационного обмена между преступниками. На них обсуждаются методы атак, продаются услуги и строятся коалиции для совместных операций. По данным SOCRadar, основные форумы по-прежнему базируются в России и Восточной Европе, но растёт число форумов, работающих на других языках, включая китайский и испанский.
Маркетплейсы
Маркетплейсы функционируют как подпольные интернет-магазины, где продаются украденные данные, инструменты для атак, услуги взлома и другие криминальные товары. За 2025 год произошёл рост числа специализированных маркетплейсов, например, маркетплейсы, специализирующиеся исключительно на продаже доступов к корпоративным сетям.
Программы-вымогатели (Ransomware)
Группы вымогателей организуют свои структуры как бизнесы, предоставляя «услуги» зашифрованного взлома. Большинство крупных групп поддерживают сайты утечек в тёмном вебе, где публикуют скомпрометированные данные жертв, отказавшихся платить выкуп.
География преступной активности
По данным SOCRadar, географическое распределение преступной активности следующее:
| Регион | % активности | Основные виды преступлений |
|---|---|---|
| Восточная Европа и Россия | 38% | Программы-вымогатели, вредоносы, взлом данных |
| Китай и Юго-Восточная Азия | 22% | Фишинг, фальшивые документы, финансовое мошенничество |
| Латинская Америка | 18% | Торговля наркотиками, работорговля, отмывание денег |
| Африка и Ближний Восток | 14% | Финансовое мошенничество, кибер-наёмные убийцы |
| Западная Европа и Северная Америка | 8% | Интеллектуальная собственность, корпоративный шпионаж |
Топ-группы программ-вымогателей 2025
LockBit 4.0
Активность: 380+ успешных операций в 2025 году. Средний выкуп: $1.8 млн. Методология: Эксплуатация предварительно скомпрометированных учётных записей и уязвимостей VPN-сервисов.
BlackCat (ALPHV)
Активность: 290+ операций. Средний выкуп: $2.3 млн. Инновация: Использование зашифрованных каналов связи и системы автоматизированного управления инцидентами.
Cl0p (Clop)
Активность: 185+ операций. Средний выкуп: $1.5 млн. Специализация: Предприятия в финансовом секторе и здравоохранении.
«Киберпреступная экосистема в 2025 году продемонстрировала беспрецедентный уровень организации и профессионализма. Группы вымогателей функционируют как полноценные предприятия с отделами по связям с общественностью, юридическими службами и даже страховыми скидками» — SOCRadar Threat Intelligence Report 2025
Каналы коммуникации преступников
SOCRadar отметила растущий тренд миграции преступной коммуникации в зашифрованные каналы, в частности в мессенджеры Signal, Telegram и специализированные платформы.
- Telegram: 45% преступных структур используют Telegram для повседневной коммуникации, особенно для вербовки новых членов и обсуждения тактик
- Discord: Растущее число группировок используют закрытые серверы Discord для координации операций
- Зашифрованные чаты: Крупные группы используют самошифруемые приватные чаты с функциями автоудаления сообщений
- Брокерские сервисы: Появились посредничество-сервисы, которые координируют переговоры между жертвами и преступниками без прямого контакта
Продажа украденных данных
Рынок украденных данных в 2025 году достиг рекордного объёма в $10.5 млрд. Наиболее дорогостоящей информацией остаются корпоративные доступы к сетям предприятий, которые могут стоить от $100 до $500K в зависимости от размера организации.
| Тип украденных данных | Объём рынка | Средняя цена за запись |
|---|---|---|
| Корпоративные доступы (с правами администратора) | $3.2 млрд | $150-$500K |
| Базы кредитных карт | $2.1 млрд | $5-$50 |
| Деловые контакты и адреса электронной почты | $1.8 млрд | $0.1-$5 |
| Паспортные данные и персональные документы | $1.5 млрд | $20-$200 |
| Социальные сети, аккаунты электронной почты | $1.9 млрд | $1-$25 |
Применение отчёта для OSINT-аналитики
Отчёт SOCRadar имеет большую ценность для специалистов OSINT по ряду причин:
Планирование исследований
Статистика в отчёте помогает определить приоритеты исследований и сосредоточить внимание на наиболее активных и опасных группировках преступников.
Выявление новых преступников
Каждый год в подпольной экосистеме появляются новые персоналии, группировки и форумы. Отчёт помогает отследить эти изменения и определить потенциальные угрозы.
Верификация источников
Данные SOCRadar могут использоваться для проверки информации о преступной деятельности, найденной в других источниках, и определения её надёжности.
Прогнозирование угроз
Тренды в отчёте помогают прогнозировать будущую деятельность преступников и подготовиться к новым типам атак.
Выводы и рекомендации
Отчёт SOCRadar 2025 демонстрирует, что подпольная экосистема продолжает расти и профессионализироваться. Объём финансовых потерь от киберпреступлений приближается к $12.4 млрд в год, что делает область OSINT-анализа критически важной для защиты организаций.
Для специалистов в области безопасности это означает необходимость постоянного мониторинга источников угроз и адаптации защитных механизмов в соответствии с эволюционирующей тактикой преступников.
Читайте также по теме «OSINT-аналитика»:
Освойте анализ подпольного интернета
Курс по методологии исследования тёмного веба, идентификации преступных групп и сбору разведданных для защиты организации.
Начать обучение