【有点东西】2025年暗网威胁与黑市预测

目录

• 回顾去年的预测

• 提供恶意软件反病毒规避(加密器)的服务数量将增加
• "下载器"恶意软件服务将继续发展
• 加密资产提取服务将在暗网市场继续增长
• 黑色流量方案将在地下市场非常受欢迎
• 比特币混币器和清洗服务的演变与市场动态

• 我们对2025年的预测

• 通过供应商发生的数据泄露
• 犯罪活动从Telegram向暗网论坛迁移
• 针对网络犯罪团伙的高调执法行动将增加
• 窃取器和提取器在暗网上作为服务的推广将增加
• 勒索软件团伙的分裂
• 中东网络威胁升级：黑客主义和勒索软件活动增加

回顾去年的预测

提供恶意软件反病毒规避(加密器)的服务数量将增加

我们持续监控地下市场上新"加密器"的出现，这些工具专门用于混淆恶意软件样本中的代码。这些工具的主要目的是使代码无法被安全软件检测到。2024年，根据我们专家的观察，这些加密器的商业广告确实有所增长。加密器开发者正在引入新技术来规避安全解决方案的检测，并将这些进展整合到他们的恶意软件产品中。

这些工具的定价保持稳定，从暗网论坛上每月100美元的订阅费到高达20,000美元的高级私人订阅不等。与公开发布的产品相比，高级私人解决方案的开发和分发呈现出增长趋势。

结论：预测实现 ✅

"下载器"恶意软件服务将继续发展

正如预期的那样，2024年"下载器"恶意软件家族的供应量保持稳定。这些下载器展现出广泛的功能，从低价的大规模分发下载器到价格达到数千美元的高度专业化下载器。

此外，威胁行为者似乎越来越多地使用多种编程语言。例如，恶意软件的客户端组件可能用C++开发，而服务器端管理面板则用Go实现。

除了种类繁多的下载器产品外，我们还看到对特定功能的需求，这些功能是为了启动特定的感染链而定制的。

结论：预测实现 ✅

加密资产提取服务将在暗网市场继续增长

2024年，我们观察到暗网市场上"提取器"活动的激增。这些是旨在窃取受害者加密资产(如代币或NFT)的恶意工具。新的提取器在全年不断出现，并在各种暗网平台上积极推广。总的来说，地下市场上讨论提取器的独特帖子数量从2022年的55个增加到2024年的129个，这一增长相当显著。同时，这些帖子经常作为Telegram的重定向链接。

实际上，在2024年，Telegram频道成为了与提取器相关活动的重要枢纽。

提取器开发者越来越注重服务于长期客户，大多数活动现在都在仅限邀请的频道中进行。

在功能方面，提取器基本保持一致，继续强调支持新的加密相关资产，如新兴代币、代币和NFT。2024年还发现了第一个移动提取器(https://research.checkpoint.com/2024/wallet-scam-a-case-study-in-crypto-drainer-tactics/)。

结论：预测实现 ✅

黑色流量方案将在地下市场非常受欢迎

2024年，黑色流量方案在地下市场的受欢迎程度保持稳定。黑色流量交易商通过欺骗性广告推广恶意登陆页面来维持其运营。这些服务在地下市场的销售活动依然强劲，需求保持稳定，进一步凸显了主流广告投放平台对恶意软件分发的有效性。对于寻求覆盖更广受众的网络犯罪分子来说，这种方法仍然是一个受欢迎的选择，对在线用户构成持续威胁。

结论：部分实现

比特币混币器和清洗服务的演变与市场动态

2024年，广告加密货币"清洗"解决方案的服务数量没有明显增加。大多数知名和流行的服务在市场上保持着自己的地位，竞争格局变化不大。

结论：预测未实现 ❌

我们对2025年的预测

通过供应商发生的数据泄露

在滥用企业与外包商关系的攻击（即信任关系攻击）中，威胁行为者首先渗透供应商的系统，然后获取目标组织的基础设施或数据访问权限。在某些情况下，这些攻击会导致重大数据泄露，例如攻击者据称通过入侵第三方供应商访问Ticketmaster的Snowflake云账户的案例。另一个采用这种策略的突出威胁行为者是IntelBroker(现为知名暗网论坛 BF 拥有者) - 该行为者及其相关团伙据报道通过第三方入侵了Nokia、Ford、包括微软在内的多个思科客户等公司。

我们预计，2025年通过供应商进行的攻击导致主要最终目标数据泄露的数量将继续增长。云平台和IT服务通常存储和处理来自多个组织的企业数据，因此仅仅一家公司的数据泄露就可能为许多其他公司打开大门。值得注意的是，数据泄露不一定要影响关键资产才具有破坏性。暗网上并非每个数据泄露广告都是真实严重事件的结果。一些"产品"可能只是精心包装的材料；例如，某些数据库可能将公开可用或之前泄露的数据组合在一起，将其呈现为突发新闻，或者简单地声称是知名品牌的数据泄露。通过对实际上陈旧的 - 可能无关紧要的 - 数据制造炒作，网络犯罪分子可以引发公众关注，制造轰动，损害供应商及其客户的声誉。

总的来说，我们注意到暗网上企业数据库广告的整体频率有所增加。例如，在一个热门论坛上，2024年8月至11月期间相关帖子数量比去年同期增加了40%，并多次达到峰值。

虽然这种增长的一部分可能归因于旧泄露数据的重新发布或组合，但网络犯罪分子显然对分发泄露数据很感兴趣 - 无论是新的、旧的还是虚假的。因此，在2025年，我们可能不仅会看到通过供应商进行的公司数据黑客攻击和泄露增加，还会看到数据泄露的整体增长。

犯罪活动从Telegram向暗网论坛迁移

尽管2024年Telegram上的网络犯罪活动出现激增，但我们预计黑产社区将回归暗网论坛。暗网Telegram频道越来越多地被封禁，正如其管理员所注意到的：

预计网络犯罪分子回归或涌入暗网论坛的趋势将加剧这些资源之间的竞争。为了脱颖而出并吸引新的受众，论坛运营者可能会开始引入新功能并改善数据交易条件。这些可能包括自动托管服务、简化的争议解决流程以及改进的安全和匿名措施。

针对网络犯罪团伙的高调执法行动将增加

2024年是全球高调打击网络犯罪的重要一年。世界见证了许多成功的行动 - 针对LockBit的Cronos行动、BreachForums的取缔、WWH Club成员的逮捕、针对RedLine和Meta窃取器的成功行动Magnus、以及针对TrickBot、IcedID和SmokeLoader的Endgame行动等。我们卡巴斯基也积极参与执法部门打击网络犯罪的努力。例如，我们支持了由国际刑警组织协调的打击Grandoreiro恶意软件行动，帮助打击2024年奥运会期间的网络犯罪，并为Synergia II行动做出贡献，该行动旨在打击定向钓鱼、勒索软件和信息窃取器等网络威胁。我们还协助了国际刑警组织和非洲刑警组织的联合行动，在非洲打击网络犯罪。这些以及许多其他案例凸显了执法机构和网络安全组织之间的协调与合作。

我们预计2025年将会有更多针对高调网络犯罪团伙基础设施和论坛的逮捕和取缔行动。然而，为了应对2024年的成功行动，威胁行为者可能会转变策略，退居到暗网更深、更匿名的层面。我们还预计会看到封闭论坛的出现和仅限邀请访问模式的增加。

窃取器和提取器在暗网上作为服务的推广将增加

多年来，加密货币一直是网络犯罪分子的主要目标。他们以各种借口将加密货币用户引诱到诈骗网站和Telegram机器人，并在信息窃取器和银行木马中添加加密货币窃取功能。随着比特币价格不断创下新高，专门设计用于从受害者钱包中窃取加密货币代币的提取器的普及度可能会在来年持续存在。

信息窃取器是另一类从用户设备收集敏感信息的恶意软件，包括加密货币钱包的私钥、密码、浏览器cookie和自动填充数据。近年来，我们见证了由这类恶意软件驱动的凭证泄露剧增，我们预计这一趋势将继续 - 并在某种程度上发展演变。最有可能的是，我们将看到新的窃取器家族出现，以及现有窃取器活动的增加。

窃取器和提取器很可能会在暗网上越来越多地作为服务进行推广。恶意软件即服务(MaaS) - 或"订阅"- 是一种暗网商业模式，涉及租用软件来进行网络攻击。通常，此类服务的客户会获得一个个人账户，通过该账户可以控制攻击，并获得技术支持。这降低了潜在网络犯罪分子所需的初始专业知识门槛。

除了在暗网上发布窃取器或提取器本身的帖子外，我们还看到寻找传播者的帖子 - 这些人帮助网络犯罪分子分发和推广窃取器、提取器或诈骗和钓鱼页面。

勒索软件团伙的分裂

明年，我们可能会看到勒索软件团伙分裂成更小的独立实体，这使得它们更难被追踪，同时允许网络犯罪分子在保持低调的同时以更大的灵活性运作。卡巴斯基数字足迹情报数据显示，2024年专门泄露网站(DLS)的数量比2023年增长了1.5倍。尽管有这种增长，每月独特帖子的平均数量与去年相比保持不变。

勒索软件运营者也可能继续利用泄露的恶意软件源代码和构建器来创建自己的定制版本。这种方法显著降低了新团伙的进入门槛，因为他们可以避免从头开发工具。专门泄露网站(DLS)也是如此：技能较低的网络犯罪分子可能会使用泄露的知名团伙DLS源代码来创建几乎完全相同的博客副本 - 这是我们已经可以在暗网上看到的情况。

)

中东网络威胁升级：黑客主义和勒索软件活动增加

根据卡巴斯基数字足迹情报(DFI)，2024年上半年中东地区与暗网活动相关的最令人担忧的网络安全威胁之一是黑客主义者的活动。由于当前的地缘政治局势，该地区这些威胁有所增加，如果紧张局势得不到缓解，可能会继续上升。

卡巴斯基DFI研究人员在该地区观察到超过11个黑客主义运动和各种行为者。随着当前地缘政治不稳定性，黑客主义攻击已经从分布式拒绝服务(DDoS)和网站篡改转向数据泄露和目标组织被攻破等严重后果。

另一个可能在该地区保持高度活跃的威胁是勒索软件。在过去两年中，中东地区勒索软件攻击受害者的数量出现激增，从2022-2023年每六个月平均28个显著增加到2024年上半年的45个。这一趋势很可能会持续到2025年。