Что такое мониторинг даркнета и как он работает

Согласно отчёту ENISA Threat Landscape 2025, число вредоносных программ типа infostealer выросло на 30% по сравнению с предыдущим годом, что делает их одним из основных источников украденных учётных данных, попадающих на подпольные рынки. IOCTA Европола подтверждает, что торговые площадки даркнета остаются главным местом продажи скомпрометированных корпоративных доступов. Мониторинг даркнета — это процесс разведки, который выявляет, когда данные вашей организации появляются в утечках, журналах стилеров, нелегальных торговых площадках и Telegram-каналах, прежде чем они могут быть использованы.

Где на самом деле появляются украденные данные

Термин «даркнет» употребляется в широком смысле, но на практике скомпрометированные данные находятся не только на .onion-сайтах. Основные источники включают:

• Торговые площадки даркнета: .onion-сайты, где продают RDP-доступы, VPN-учётные данные и админ-панели. Initial Access Brokers (IAB) продают доступ к корпоративным сетям по ценам от 500 до 50 000 долларов в зависимости от размера организации.
• Telegram-каналы: за последние годы Telegram стал основным каналом распространения украденных данных. Группы с тысячами участников делятся журналами стилеров, утекшими базами данных и учётными данными бесплатно или по платной подписке.
• Подпольные форумы и paste-сервисы: форумы, где публикуются фрагменты баз данных, раскрытые конфигурации и пароли в открытом виде.
• Хранилища журналов стилеров: огромные коллекции данных, извлечённых вредоносным ПО типа infostealer (Redline, Raccoon, Vidar, Lumma), которые включают не только учётные данные, но и полную историю браузера, активные cookie-файлы сессий и файлы с рабочих столов жертв.

Журналы стилеров: угроза, которую игнорируют большинство организаций

Традиционные утечки данных раскрывают комбинации электронной почты и пароля. Но журналы стилеров идут гораздо дальше. Когда infostealer заражает машину, он извлекает:

• Все учётные данные браузера: не только с целевого сайта, но из каждого сервиса, где жертва сохраняла логины: корпоративная почта, VPN, админ-панели, облачные сервисы, онлайн-банкинг.
• Активные cookie-файлы сессий: позволяют получить доступ к учётным записям без пароля или 2FA. Cookie-файла сессии корпоративной админ-панели достаточно, чтобы злоумышленник вошёл напрямую.
• История браузера: раскрывает внутренние URL организации, которые никогда не появятся в публичном DNS: интранеты, серверы Jira, экземпляры Confluence, панели Jenkins, конечные точки внутренних API.
• Файлы рабочего стола: модуль FileGrabber, имеющийся во многих стилерах, забирает документы, конфигурации, .env-файлы и заметки с рабочего стола жертвы.

Это значит, что один заражённый сотрудник может раскрыть всю внутреннюю инфраструктуру организации. Поэтому мониторинг даркнета должен включать анализ журналов стилеров, а не только поиск утекших паролей.

Как мониторинг даркнета работает на практике

Эффективная платформа мониторинга объединяет несколько технологий, чтобы охватить все источники, где появляются скомпрометированные данные:

1. Непрерывное индексирование утечек: каждый раз, когда публикуется новая утечка, содержимое обрабатывается, дедуплицируется и индексируется для немедленного поиска. Intelligence Security поддерживает индекс из более чем 500 миллиардов записей из исторических и недавних утечек.
2. Сбор журналов стилеров: журналы infostealer собираются из Telegram-каналов, форумов и торговых площадок, парсятся и индексируются, что позволяет искать по домену, электронной почте или конкретному URL.
3. Мониторинг cookie-файлов сессий: cookie, извлечённые стилерами, индексируются отдельно, что позволяет организациям обнаруживать активные скомпрометированные сессии, требующие немедленной аннуляции.
4. Разведка домена: данные утечек сопоставляются с инфраструктурой домена для выявления поддоменов, корпоративных адресов электронной почты и URL, раскрытых через источники разведки.

Что делать, когда вы обнаружили раскрытые данные

Обнаружение того, что данные вашей организации появились в даркнете, — это лишь первый шаг. Что отделяет полезный мониторинг от декоративного — это процесс реагирования:

• Учётные данные в утечках: принудительно сбросить пароли пострадавших пользователей. Проверить, используются ли те же учётные данные в других внутренних сервисах.
• Активные cookie-файлы сессий: немедленно аннулировать все сессии пострадавшего пользователя. Просмотреть журналы доступа для обнаружения предыдущего несанкционированного использования.
• Журналы стилеров с историей браузера: выявить, какие внутренние системы были раскрыты в истории. Провести аудит доступа к этим системам. Заражённая машина всё ещё может быть скомпрометирована.
• Корпоративные доступы на продажу: активировать протокол реагирования на инциденты. Сменить учётные данные всех скомпрометированных сервисов. Проверить инфраструктуру на наличие закрепления злоумышленника.

Внедрение: с чего начать

• Определите ваши критичные активы: корпоративные домены, электронные адреса руководителей и ключевого персонала, торговые марки, IP инфраструктуры.
• Ищите проактивно: не ждите оповещений. Проводите периодические поиски ваших доменов на платформе, которая охватывает утечки, журналы стилеров, cookie и источники даркнета. Intelligence Security позволяет искать все эти типы данных через единый интерфейс.
• Приоритизируйте по серьёзности: не все раскрытия одинаково срочны. Активный cookie-файл сессии администратора критичен; пароль от устаревшего сервиса — информационен.
• Интегрируйте с реагированием на инциденты: результаты мониторинга должны напрямую питать ваш процесс реагирования, а не оседать в отчёте, который никто не читает.

Заключение

Мониторинг даркнета — это гораздо больше, чем простая проверка того, появляется ли ваш электронный адрес в утечке. Это процесс разведки, который должен охватывать утечки данных, журналы стилеров, cookie-файлы сессий и раскрытую инфраструктуру вашей организации. С более чем 500 миллиардами проиндексированных записей Intelligence Security предоставляет доступ к разведке утечек, журналам стилеров, cookie-файлам сессий и разведке доменов в единой платформе, позволяя обнаруживать и реагировать на угрозы до того, как они нанесут ущерб.