Продажи инструментов на базе ИИ ускоряются на подпольных рынках программ-вымогателей, что снижает порог вхождения для новых участников этого процесса.
Анализ каналов в Telegram, 20 форумов в даркнете и пяти подпольных рынков, проведенный поставщиком платформы по борьбе с программами-вымогателями Halcyon, показал, что количество сообщений об утилитах на базе ИИ выросло до 1486 в феврале 2026 года по сравнению с всего 38 в декабре 2025 года.
Инструменты ИИ, выставленные на продажу, делятся на четыре категории:
- Вредоносные большие языковые модели (LLM): Иногда их называют «темными LLM», эти инструменты лишены защитных механизмов и правил, присутствующих в легитимных больших языковых моделях (LLM). «WormGPT» является лидером рынка в этой категории инструментов ИИ, ориентированных на киберпреступность, но только как бренд, используемый несколькими операторами, некоторые из которых являются откровенным мошенничеством, собирающим платежи без предоставления каких-либо услуг.
- Мошенничество с использованием ИИ для подделки личности: Инструменты в этой категории включают дипфейки с голосом и видео, созданные с помощью ИИ, которые используются для обмана систем распознавания по селфи и других мер безопасности «знай своего клиента» (KYC), а также в других мошеннических целях. Те же инструменты могут использоваться и в рамках мошенничества с компрометацией деловой переписки (BEC).
- Вредоносное ПО и инфраструктура атак, дополненные ИИ: Инфраструктура, управляемая ИИ, используется для более эффективной агрегации, обработки и эксфильтрации украденных данных.
- Взломанные и украденные сервисы ИИ: Взломанные учетные записи ИИ составляют самую большую категорию предлагаемых услуг и являются самыми дешевыми.
По оценкам Halcyon, с 2023 года количество атак программ-вымогателей выросло на 20% с повышенным вниманием к малым предприятиям, на которые теперь приходится 80% атак.
Во время основного доклада на Infosecurity Europe Синтия Кайзер, старший вице-президент Центра исследований программ-вымогателей Halcyon, сообщила делегатам, что крупнейшие операторы программ-вымогателей — такие как Akira — все чаще используют те же бизнес-модели, что и легитимные поставщики, продавая услуги и инфраструктуру своим клиентам и аффилированным лицам. Главное отличие состоит в том, что предлагаемые товары — это эксплойты и украденные учетные данные, а не легитимные товары, продаваемые на законных рынках.
Группы программ-вымогателей регулярно продают через несколько каналов, тем самым создавая резервирование на случай отключения любого из каналов. Их услуги часто предлагаются с многоуровневым ценообразованием и обычно доступны по модели freemium, популяризированной легитимными веб-сервисами. Каналы на базе ботов в Telegram автоматизируют процессы продаж и маркетинга, в то время как киберпреступники применяют утилиты на базе ИИ для предоставления клиентской поддержки.
«Современным операторам программ-вымогателей не нужно создавать свои операции с нуля», — сказала Кайзер, бывший заместитель помощника директора Отдела кибербезопасности ФБР, добавив, что требуемый уровень навыков от потенциальных киберпреступников снизился.
Честь среди воров
Все это может показаться впечатляющим, но Кайзер отметила, что операционная безопасность (OpSec) преступников слабее, чем кажется.
«На криминальных рынках ИИ существует проблема воровства, [потому что] хакеры атакуют друг друга», — сказала Кайзер.
Например, учетные данные из одного экземпляра WormGPT были украдены конкурирующими киберпреступниками и опубликованы на том же форуме, где изначально продавался доступ к вредоносной утилите на базе ИИ.
Несмотря на такие сбои, более широкое использование инструментов ИИ является признаком того, что подпольная сцена программ-вымогателей профессионализировалась, в том числе благодаря упрощению проведения множества атак в масштабе.
Загребают деньги
Согласно отдельному исследованию Rapid7, программы-вымогатели становятся все более прибыльными: рост составил 39% между 1 кварталом 2025 года и 1 кварталом 2026 года.
Группа программ-вымогателей Qilin заработала, по оценкам, 193 миллиона долларов США между июлем 2025 года и мартом 2026 года. А The Gentleman, которая идет сразу за Qilin как крупнейшая группа программ-вымогателей, заработала, по оценкам Rapid7, 52 миллиона долларов США между июлем 2025 года и мартом 2026 года.
Анализ Rapid7 основан на средних суммах выкупа и коэффициентах выплат от CoveWare, фирмы по реагированию на инциденты с программами-вымогателями и кибервымогательством.
Том Лэнгфорд, технический директор по EMEA в Rapid7, заявил, что экосистема программ-вымогателей превратилась в зрелый подпольный рынок, где доступ, инструментарий и полные услуги по атакам теперь коммерчески доступны практически любому.
Лэнгфорд добавил, что социальная инженерия на основе ИИ, в основном для создания более убедительных фишинговых приманок, широко используется.
Рынки предлагают меню a la carte, где киберпреступники могут заказывать услуги по первичному доступу, эксфильтрации или переговорам с жертвами, по словам Лэнгфорда, который добавил, что многие, если не все, ключевые игроки на сцене программ-вымогателей «говорят по-русски».
Меры противодействия
Действия правоохранительных органов по пресечению деятельности ограничивают рост операций с программами-вымогателями, но предприятия также должны играть свою роль в защите, советует Halcyon.
Предприятиям следует сосредоточиться на таких мерах, как блокирование первоначального доступа, обнаружение бокового перемещения и пресечение эксфильтрации и шифрования. Компании также могут повысить устойчивость с помощью учений в формате tabletop exercises, заключила Кайзер.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John Leyden
