Исследование

Переход на темную сторону: как хантят IT-специалистов в даркнете

Скачать полную версию отчета (PDF)

Даркнет — это общее название для различных ресурсов и площадок, которые объединяют людей, готовых к противозаконной работе или работе в юридически серых зонах. На теневых форумах можно встретить самые разные предложения: о нелегальной продаже и покупке украденных данных, об оказании услуг по написанию вредоносных программ и взлому различных сервисов, о поиске единомышленников для реализации атак на различные компании и многое другое.

Киберпреступному бизнесу, как и любому другому, необходимы работники. Сотрудников для участия в кибератаках и иной преступной деятельности ищут там же, где ведут бизнес, — в даркнете. Мы изучили объявления о вакансиях и поиске работы, размещенные на 155 теневых форумах с января 2020 года по июнь 2022 года, и проанализировали те из них, которые содержали информацию о продолжительной или постоянной работе.

В этом посте мы расскажем об особенностях такого трудоустройства, условиях работы, требованиях по отбору соискателей и уровне зарплат, а больше информации и анализ наиболее востребованных в даркнете IT-профессий можно найти в полной версии отчета.

Ключевые результаты

В результате анализа рынка труда в даркнете мы выяснили:

  • Больше всего объявлений было опубликовано в марте 2020 года, что вероятно связано с началом пандемии COVID-19 и последовавшими изменениями на рынке труда.
  • Основной работодатель в даркнете — команды хакеров и APT-группировки, которые ищут людей, способных заниматься разработкой вредоносного кода, его распространением, создавать и поддерживать IT-инфраструктуру и прочее.
  • Чаще других в даркнете ищут разработчиков — 61% объявлений.
  • Разработчики возглавили список самых оплачиваемых профессий среди IT-специалистов в даркнете: самая высокая заработная плата, которую мы видели в объявлении о поиске разработчика, составила 20 000 USD в месяц.
  • Медианные зарплаты, предлагаемые IT-специалистам, составили 1300–4000$.
  • Самая высокая медианная зарплата (4000 USD) — в объявлениях о поиске специалистов по реверс-инжинирингу.

Теневая биржа труда

Работодатели на теневом рынке чаще всего предлагают соискателям серые и черные схемы заработка, однако можно встретить и предложения, предусматривающие официальную, белую работу, не противоречащую законам страны. Пример: создание IT-курсов для образовательных площадок.

Работа по серым схемам уже граничит с нелегальностью, а иногда и нарушает закон. Примером серой работы может стать получение прибыли от продажи сомнительных препаратов на мошеннических сайтах.

Работа «по-черному» запрещена законом и чаще всего связана с криминалом. Против специалиста, работающего по таким схемам, могут возбудить уголовное дело и в случае поимки лишить его свободы. К черной работе относятся различные мошеннические схемы, взломы сайтов, социальных сетей или IT-инфраструктуры компаний.

Черную работу предлагают, например, хакерские группировки. Чтобы проникнуть в инфраструктуру организации, похитить конфиденциальные данные или пошифровать систему для дальнейшего шантажа, злоумышленникам нужен свой штат специалистов, владеющих определенными навыками.

Схема координации в команде атакующих

Причин поиска работы на теневых ресурсах может быть несколько. Многих на теневые ресурсы приводит ожидание легкого заработка и высокой финансовой выгоды. Однако в большинстве случаев оно расходится с реальностью. Далеко не всегда предлагаемые в даркнете оклады оказываются значительно выше тех, которые можно получить на белом рынке, к тому же заработок зависит от опыта, способностей и готовности вкладываться в работу. Тем не менее нередко бывает так, что уровень текущей официальной заработной платы не устраивает сотрудника и он покидает свое место работы в пользу теневого рынка без смены специализации. Изменения на рынке труда, сокращения рабочих мест и зарплат также побуждают к поиску работы на киберпреступных ресурсах.

Среди других причин можно выделить отсутствие некоторых обязательных требований к соискателям, таких как наличие высшего образования, военного билета, отсутствие судимости и т. д. Основное требование, которое можно встретить в объявлениях, — чтобы кандидат достиг совершеннолетнего возраста. Вакансии на теневом рынке также интересуют фрилансеров и удаленщиков, поскольку не предполагают необходимости посещать офис и позволяют быть «цифровым кочевником» — работать из любой точки земного шара. Также кандидатов привлекает высокий уровень свободы, который предлагают в даркнете: нет ограничений по количеству отпускных дней, графику работы, внешнему виду и т. д., есть возможность самостоятельно выбирать задачи и сферу применения своих навыков.

Еще одна причина поиска работы в даркнете — неосведомленность либо недостаточно серьезное отношение к последствиям. Между тем сотрудничество с подпольными командами, и тем более киберпреступными группировками, несет серьезные риски: участников могут раскрыть и привлечь к ответственности, не говоря уже о том, что им могут попросту не заплатить за выполненную работу.

Пример объявления о поиске работы

Статистика рынка труда в даркнете

Для анализа рынка труда в даркнете с января 2020 года по июнь 2022 года мы собрали статистику по сообщениям с упоминаниями работы, опубликованным на 155 форумах в даркнете. Отбор сообщений проводился на основе разделов форумов, посвященных любой работе, не только IT-профессиям.

Всего за анализируемый период на теневых форумах было размещено порядка 200 тысяч объявлений, связанных с работой. Больше всего сообщений было опубликовано в 2020 году (41% от общего числа). Пик активности пришелся на март 2020 года, что, предположительно, может быть связано с резким сокращением уровня дохода части населения из-за пандемии.

Распределение объявлений по дате публикации (скачать)

Статистика публикации объявлений (скачать)

Особенно заметное влияние на рынок пандемия оказала в странах СНГ.

Резюме соискателя, оказавшегося в затруднительной ситуации

Так, в марте 2020 года из-за кризиса часть жителей этого региона потеряла привычный доход, ушла на вынужденные выходные или вовсе осталась без работы, что впоследствии привело к росту безработицы.

Теги из объявления, предлагающего работу во время кризиса

Некоторые соискатели, отчаявшись найти белую работу со стабильным заработком, начали искать ее на теневых форумах, что привело к резкому увеличению количества резюме в даркнете. В результате в марте 2020 года мы наблюдали самые высокие показатели среди объявлений, как от работодателей, так и от соискателей (6% объявлений).

Динамика количества публикаций в тематических разделах даркнет-форумов за период 2020–2022 гг. (скачать)

Сообщений о поиске работы значительно меньше, чем самих вакансий. Так, из всех найденных объявлений, только 17% были связаны с поиском работы. Судя по статистике, заинтересованные в работе пользователи чаще откликаются на вакансии, уже опубликованные работодателями, чем сами пишут объявления.

Согласно опубликованным на теневых форумах резюме, соискатели ищут работу в разных сферах и претендуют на должности, обязанности которых могут варьироваться, — от ведения телеграм-каналов, до компрометации инфраструктуры различных компаний. В рамках данного исследования мы рассматривали объявления, связанные непосредственно с IT-сферой. Мы проанализировали 867 объявлений, отобранных по ключевым словам, из которых 638 — это сообщения о поиске работников (вакансии), а 229 — это сообщения о поиске работы (резюме).

Наиболее востребованными в даркнете специалистами оказались разработчики — на них пришелся 61% от всех объявлений. На втором месте — специалисты по проведению атак, то есть пентестеры (16%), на третьем — дизайнеры (10%).

Распределение объявлений о работе в даркнете по специальностям (скачать)

Условия отбора

Методы отбора IT-специалистов на теневом рынке во многом совпадают с методами отбора в легитимных компаниях. Работодатели точно так же заинтересованы в высококвалифицированных кадрах и поэтому пытаются отобрать наиболее сильных кандидатов.

Условия отбора из объявлений в даркнете. Для статистики процент высчитывался от общего числа объявлений, в которых были явно указаны условия отбора (скачать)

В объявлениях нередко упоминаются тестовые задания, в том числе оплачиваемые; также можно встретить упоминания собеседований, испытательных сроков и прочих схем отбора.

Вакансия, предполагающая отбор кандидатов с помощью тестового задания

Так, в одном из объявлений приводилась подробная схема отбора потенциальных сотрудников. Соискатель работы должен был пройти несколько этапов проверки, в том числе тестовые задания, связанные с шифрованием исполняемых вредоносных файлов и обходом средств защиты, и испытательный срок.

Пример схемы отбора потенциальных работников

Из особенностей найма сотрудников в даркнет-пространстве можно выделить требования об отсутствии зависимостей, в том числе алкогольной и наркотической.

Вакансия с требованиями об отсутствии вредных привычек

Условия труда

Работодатели даркнета пытаются заинтересовать кандидатов, в частности предлагая им выгодные условия труда. В основном среди преимуществ работы явно указывают удаленную работу (45%), полную занятость (34%) и гибкий график (33%). При этом стоит отметить, что в случае даркнета удаленная работа — это скорее необходимость, а не выгодное предложение, поскольку в киберпреступном мире важную роль играет анонимность. Также среди условий труда встречаются оплачиваемые отпуска, больничные и даже дружный коллектив.

Условия труда из объявлений в даркнете. Для статистики процент высчитывался от общего числа объявлений, в которых были явно указаны условия труда (скачать)

Самые комфортные условия, в том числе возможности карьерного роста и поощрительные бонусные планы, предлагают киберпреступные группировки, заинтересованные в наиболее квалифицированных работниках.

Условия труда из вакансии в даркнете

Такие группировки могут также оценивать производительность сотрудников, как это делали Conti. По результатам оценки работник может получить премию либо финансовый штраф из-за неэффективности работы. Более того, у некоторых подпольных «организаций» существуют целые реферальные программы для сотрудников, которые предоставляют бонусы тем, кто смог успешно привлечь других к работе.

Как и на белом рынке, работодатели предлагают разные виды занятости: полная, неполная занятость, стажировки, сотрудничество, партнерство или прием в команду.

Объявление о работе с прохождением стажировки

Основное отличие даркнета от белого рынка труда — отсутствие оформления по трудовому кодексу. При этом в даркнете все же встречаются объявления, связанные с наймом сотрудников на официальную работу. Например, мы обнаружили несколько объявлений о поиске программиста в известный российский банк, в условиях которых упоминалось официальное трудоустройство и ДМС.

Найденное в даркнете объявление об официальном трудоустройстве

Заработные платы

Мы проанализировали более 160 IT-вакансий, в которых явно указывались размеры компенсаций[1]. При рассмотрении полученной статистики стоит понимать, что в объявлениях в даркнете чаще всего называют приблизительный оклад. Многие работодатели пишут либо диапазоны зарплат, либо их начальные уровни.

Объявление с указанием примерной оплаты труда

Со временем зарплата может вырасти в зависимости от приложенных усилий, вклада в работу, профессионального роста и в целом от того, насколько развился «бизнес». В объявлениях зарплаты, как правило, указываются в долларах, однако на практике работу часто оплачивают в криптовалюте.

На диаграмме ниже представлена информация о минимальных и максимальных зарплатах для отдельных IT-специальностей.

Диапазоны заработных плат IT-специалистов из объявлений в даркнете (скачать)

На момент исследования самой высокооплачиваемой профессией являлись разработчики, максимальный оклад которых мог достигать 20 000 USD. Однако им же предлагали и самую маленькую стартовую зарплату, которая составляла всего 200 USD.

Помимо разработчиков выделились также реверс-инженеры, у которых наблюдалась самая высокая медианная оплата труда — 4000 USD.

Специальность Медианная заработная плата
Специалисты по проведению атак 2500 USD
Разработчики 2000 USD
Реверс-инженеры 4000 USD
Аналитики 1750 USD
Администраторы 1500 USD
Тестировщики 1500 USD
Дизайнеры 1300 USD

Медианы заработных плат IT-специалистов в даркнете

Также в даркнете встречаются вакансии, обещающие специалистам оклад намного выше приведенных цифр, но достигаться он будет, как правило, за счет различных бонусов и процентов, пришедших от удачно реализованных проектов вроде получения прибыли путем шантажа скомпрометированной организации.

Стоит сказать, что не все вакансии вошли в статистику по заработным платам, так как среди них были подозрительные, а порой и вовсе мошеннические предложения работы.

Так, в одном из доступных в даркнете объявлений о поиске пентестера сайтов обещали платить вплоть до 100 000 долларов в месяц. Интересно то, что в описании вакансии говорится о «белой работе».

Объявление с вакансией на темном форуме, предлагающее завышенный оклад

Помимо стандартного месячного и иных видов оклада (почасового, ежедневного, еженедельного) существуют также и другие способы оплаты труда, которые либо сами по себе являются основными, либо добавляются к основному. В частности, встречается проектная работа со сдельной заработной платой, выплачиваемой по факту выполнения работы. Это может быть оплата за взломанный сайт или разработанную фишинговую страницу.

В качестве дополнительной оплаты труда работодатели нередко обещают к фиксированному окладу различные проценты, зависящие от результата работы. К примеру, пентестеру обещают оклад 10 000 USD в месяц, а также процент от прибыли за скомпрометированные сети различных организаций, полученной в результате продажи доступов, конфиденциальных данных, шантажа и с помощью других способов монетизации взлома.

Пример вакансии с окладом и процентами за работу

Нередко специалисту могут предложить работать только на процентном окладе. Кроме того, иногда попадаются вакансии, в которых не предусмотрено никакой оплаты труда. Работодатели либо предлагают работать за идею, либо обещают возможность получения процентов или прибыли в будущем.

Пример вакансии с отсутствием оплаты труда

Выводы

Даркнет — это многофункциональная площадка, которая используется не только для проведения сделок между злоумышленниками и распространения противозаконной информации, но и для найма участников в те или иные команды и группировки.

Из данных, приведенных в этом отчете, видно, что спрос на IT-специалистов на киберкриминальных ресурсах довольно высок. При этом часто новые участники нанимаются как сотрудники с фиксированным окладом. Также интересно отметить, что для привлечения новых работников киберпреступные сообщества используют те же способы, что и легитимные организации, а сами объявления часто похожи на те, что публикуются на обычных рекрутинговых площадках.

Также, судя по проанализированным объявлениям, достаточно много людей готовы заниматься нелегальной или полулегальной деятельностью, несмотря на связанные с этим риски. В частности, многие начинают активно искать возможность дополнительного заработка на теневом рынке в кризисных ситуациях. Так, в марте 2020 года во время коронавирусной пандемии на теневых ресурсах резко возросло количество объявлений о поиске работы.

Хотя можно было ожидать, что заработки в даркнете выше, чем в легитимных компаниях, мы не выявили значительной разницы в медианном уровне зарплат IT-специалистов в киберкриминальной среде и на легальном рынке труда. Самыми востребованными специалистами оказались разработчики (с их поиском связан 61% всех объявлений). Это косвенно может говорить о том, что кибератаки усложняются. Так, большую востребованность разработчиков можно объяснить необходимостью настраивать и разрабатывать новые, более сложные инструменты.

Стоит отметить, что риски работы на темном рынке все еще превышают выгоды. Отсутствие оформления по трудовому кодексу снимает с работодателей всю ответственность. Соискателя могут обмануть с зарплатой, подставить или вовлечь в мошенническую схему. Ну и конечно, не стоит забывать про уголовную ответственность, суды и лишение свободы за деятельность, противоречащую законодательству. Особенно высоки риски при работе с группировками, так как деанонимизация их участников — приоритетная задача для команд, занимающихся расследованием киберпреступлений. Поэтому рано или поздно группу могут раскрыть, а ее членам будет грозить тюремное заключение.


[1] Зарплаты, указанные в рублях, переводились в доллары по курсу, действительному на начало исследования, — 75 рублей за доллар.

Переход на темную сторону: как хантят IT-специалистов в даркнете

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике