פושעי סייבר משתמשים ברשת האינטרנט האפלה בשוק שירותי ברוקרים לגישה ראשונית לקורבנותיהם. על פי דו"ח חדש של Rapid7 (חברת אבטחת מידע), שירותי ברוקרים לגישה ראשונית הינו שוק פורח ברשת האינטרנט האפלה, אשר נותן בידי פושעי סייבר אפשרויות לרכוש מגוון דרכים להשגת גישה ראשונית לקורבנותיהם. מעל שליש (39%) ממכירות השירותים הללו המספקים לפושעי סייבר גישה לרשתות מחשוב שכבר נפרצו, מקובצות בטווח המחירים של 500-1000 דולר. מחיר הבסיס הממוצע של מכירה בכל שלושת פורומי פשעי הסייבר שנותחו על ידי Rapid7, היה קצת מעל 2700 דולר. החוקרים ניתחו שלושה אתרים בולטים על פני תקופה של שישה חודשים, מ-1 ביולי עד 31 בדצמבר 2024: Exploit, XSS ו- BreachForums.
הברוקרים בשווקי רשת האינטרנט האפלה תועדו משתמשים בהכנסות הארגון הקורבן כדי לסייע בהצדקת המחיר שהם דורשים. כשלושה רבעים (71.4%) מהברוקרים הציעו מגוון אפשרויות עם כל מכירה, כגון בחירה של יותר מנקודת כניסה אחת לארגון שנפרץ, או בכמעט 10% מהמקרים – חבילה הכוללת מספר וקטורי גישה ראשוניים ו/או הרשאות. 17.5% הנותרים מהברוקרים הציעו רק צורת גישה אחת ללא הרשאות.
החוקרים טוענים שהממצאים מראים כי שירותי ברוקר הגישה הראשוניים הפכו גם זולים וגם קלים להשגה עבור פושעי סייבר בכל רמת מיומנות: "העבודה הקשה טופלה על ידי ברוקר הגישה הראשונית – כל מה שהקונה מוכן לעשות הוא לשלם כמה מאות דולרים כדי לקבל גישה מיידית לעסק שכבר נפרץ", כתבו החוקרים בדו"ח. דו"ח Rapid7 מצא שחשבונות שנפרצו היו וקטור הגישה הראשוני הנפוץ ביותר שהוצע בחבילות. חשבונות VPN הובילו את הדרך והופיעו ב- 23.5% מהמכירות בכל שלושת הפורומים. אחריהם נמצאים חשבונות משתמשי דומיין (19.9%), פרוטוקול שולחן עבודה מרוחק (16.7%) וחשבונות מנהל דומיין (5.5%). חשבונות VPN שנרכשו מברוקר גישה ראשונית הינם דרך יעילה להימנע מגילוי ברשתות מחשוב, מכיוון שהם מצוידים באישורים תקפים המאפשרים להם להשתלב עם תעבורת ה- VPN השגרתית: "שילובים של VPN, RDP וחשבונות משתמשי דומיין/מנהל יכולים לאפשר חקירת רשת המחשוב של הקורבן, תנועה רוחבית והסלמה נוספת להפעלת כופרה וגניבת נתונים", ציינו החוקרים.
אחד מפורומי פשעי הסייבר שנותחו – BreachForums, היה נתון למספר פעולות אכיפת חוק בשנים האחרונות, כולל הסרה מהרשת ומעצרים של אנשים שלכאורה היו מעורבים בניהול האתר. זה כלל את מעצרו של קונור בריאן פיצפטריק, המכונה גם 'Pompompurin, על ידי ה- FBI במרץ 2023. פיצפטריק נחשד כמנהל הראשי של הפלטפורמה שהפסיקה זמנית את פעילותה, אך חזרה לפעילות, כביכול עם צוות ניהולי חדש. ב- 25 ביוני 2025, האשימה ארה"ב אזרח בריטי – קאי ווסט, בעבירות הקשורות למעורבותו לכאורה בהפעלת הפלטפורמה. בסביבות ה- 15 באפריל, ירד אתר BreachForums מהרשת והיו ספקולציות רבות סביב האירוע שיכל להיות הגורם להסרתו מהרשת. האתר לא צץ מחדש רשמית עד ה- 25 ביולי, כאשר פרסם מנהל האתר הודעה מתריסה בה הכריז "עסקים כרגיל". הכותב הפורה ביותר ב- BreachForums בתקופה של ששת החודשים שנבדקו, היה IntelBroker – שם העט בו השתמש ווסט. חשבון זה היווה 19.05% מכלל המכירות במהלך התקופה.
