2025 年暗网威胁和暗市预测

我们持续监控地下市场是否有新的“加密工具”出现，这些“加密工具”是专门设计用于混淆恶意软件样本中的代码的工具。这些工具的主要目的是使安全软件无法检测到代码。到 2024 年，我们的专家观察表明，这些加密者的商业广告确实获得了动力。Cryptor 开发人员正在引入新技术来逃避安全解决方案的检测，并将这些进步整合到他们的恶意软件产品中。

这些工具的定价保持不变，从每月订阅 100 美元的暗网论坛上可用的加密工具到高达 20,000 美元的高级私人订阅不等。优质私有解决方案的开发和分销已经发生转变，与公开发行相比，这种解决方案正变得越来越普遍。

结论：预测已实现✅

正如预期的那样，“loader”恶意软件家族的供应在 2024 年保持不变。这些装载机展示了广泛的功能，从价格低廉的大规模分布式装载机到根据详细规格量身定制的高度专业化装载机，价格高达数千美元。

加载器供应示例

此外，威胁行为者似乎越来越多地使用多种编程语言。例如，恶意软件的客户端组件可能是用 C++ 开发的，而服务器端管理面板是用 Go 实现的。

除了种类繁多的加载器产品外，我们还看到了对启动特定感染链的特定功能的需求。

搜索具有特定要求的 loader 的示例

结论：预测已实现 ✅

2024 年，我们观察到黑市中“流失者”的活动激增。这些是旨在窃取受害者加密资产（例如代币或 NFT）的恶意工具。全年都会出现新的 drainer，并在各种暗网平台上积极推广。总的来说，在地下市场上讨论drainer的独特主题数量从 2022 年的 55 个增加到 2024 年的 129 个，这是非常了不起的。同时，这些帖子经常作为重定向到 Telegram。

暗网上关于 drainers 的唯一线程数量

事实上，2024 年，Telegram 频道成为了与 drainer 相关活动的重要中心。

含有引导潜在合作者至 Telegram 的链接的暗网帖子

Drainer 开发人员越来越专注于为他们的长期客户提供服务，现在大多数活动都是通过仅限邀请的渠道进行的。

在功能方面，drainers 在很大程度上保持一致，继续强调整合对新的加密相关资产的支持，例如新兴硬币、代币和 NFT。2024 年还发现了第一个移动 drainer。

结论：预测已实现 ✅

2024 年，地下市场上黑色贩卖计划的受欢迎程度保持不变。黑色流量经销商通过欺骗性广告推广恶意登录页面来维持他们的运营。这些服务在地下市场的销售活动仍然强劲，需求保持稳定，进一步凸显了主流广告投放平台在恶意软件分发方面的有效性。这种方法仍然是希望接触更广泛受众的网络犯罪分子的热门选择，对在线用户构成持续威胁。

结论：部分实现

2024 年，宣传加密货币“清洗”解决方案的服务数量没有显着增加。大多数成熟和流行的服务都在市场上保持了存在，竞争格局几乎没有变化。

结论：预测未实现 ❌

名为 IntelBroker 的行为者在流行的暗网论坛上的个人资料

我们预计，到 2025 年，通过承包商发起的攻击导致主要最终目标的数据泄露数量将继续增长。云平台和 IT 服务通常会存储和处理来自多个组织的公司数据，因此仅一家公司的漏洞就可能为许多其他公司打开大门。值得注意的是，数据泄露不一定非要影响关键资产才具有破坏性。并非暗网上的每一个数据泄露广告都是真正严重事件的结果。一些 “优惠” 可能只是市场推广的材料;例如，某些数据库可能会结合公开可用或以前泄露的数据，并将其呈现为突发新闻，或者简单地声称是知名品牌的违规行为。通过围绕实际旧（可能无关紧要）的数据进行炒作，网络犯罪分子可以引发公众关注、制造嗡嗡声并损害供应商及其客户的声誉。

IntelBroker 的暗网帖子声称特斯拉数据泄露，后来经过编辑，声称是第三方电动汽车充电公司的泄露

总的来说，我们注意到暗网上企业数据库广告的频率总体上有所增加。例如，在一个热门论坛上，2024 年 8 月至 11 月的相应帖子数量与去年同期相比增长了 40%，并达到数次峰值。

尽管 2024 年 Telegram 上的网络犯罪活动激增，但我们预计影子社区将重新迁移到暗网论坛。正如其管理员所指出的那样，影子 Telegram 频道越来越多地被禁止：

来自威胁行为者宣布禁止其 Telegram 频道和帐户的消息示例

预计网络犯罪分子返回或涌入暗网论坛将加剧这些资源之间的竞争。为了脱颖而出并吸引新的受众，论坛运营商可能会开始引入新功能并改善数据交易的条件。这些可能包括自动托管服务、简化的争议解决流程以及改进的安全性和匿名措施。

2024 年是全球备受瞩目的网络犯罪斗争的重要一年。世界已经见证了许多成功的行动——Cronos 对抗 LockBit、关闭 BreachForums、逮捕 WWH 俱乐部成员、Magnus 对抗 RedLine 和 Meta 窃取者以及 Endgame 对抗 TrickBot、IcedID 和 SmokeLoader 等的成功举措等等。卡巴斯基还积极为打击网络犯罪的执法工作做出贡献。例如，我们支持国际刑警组织协调的行动来破坏 Grandoreiro 恶意软件操作，在 2024 年奥运会期间帮助打击网络犯罪，并为旨在打击针对性网络钓鱼、勒索软件和信息窃取程序等网络威胁的 Synergia II 行动做出了贡献。我们还协助国际刑警组织和 AFRIPOL 联合行动，打击非洲各地的网络犯罪。这些案例和许多其他案例凸显了执法部门和网络安全组织之间的协调与合作。

我们预计 2025 年将增加对知名网络犯罪集团基础设施和论坛的打击和取缔。然而，为了应对 2024 年的成功运营，威胁行为者可能会改变策略并退回到更深入、更匿名的暗网层。我们还预计会看到封闭论坛的出现和仅限邀请的访问模式的增加。

多年来，加密货币一直是网络犯罪分子的主要目标。他们以各种伪装引诱加密用户访问诈骗网站和 Telegram 机器人，并为信息窃取者和银行木马添加加密窃取功能。随着比特币的价格创下一个又一个纪录，专门用于从受害者钱包中窃取加密货币代币的 drainers 的流行可能会在未来一年持续下去。

信息窃取程序是另一种类型的恶意软件，它会从用户的设备中收集敏感信息，包括加密货币钱包的私钥、密码、浏览器 cookie 和自动填充数据。近年来，我们目睹了由这种恶意软件驱动的凭证泄露急剧增加，我们预计这种趋势将继续下去——并在某种意义上发展。最有可能的是，我们将看到新的盗贼家族的出现，以及已经存在的盗贼家族的活动增加。

窃取者和 drainer 都可能越来越多地作为暗网上的服务进行推广。恶意软件即服务 （MaaS） 或“订阅”是一种暗网商业模式，涉及租赁软件来执行网络攻击。通常，此类服务的客户提供一个个人帐户，他们可以通过该帐户控制攻击以及技术支持。它降低了潜在网络犯罪分子所需的初始专业知识门槛。

通过 MaaS 模型提供的窃取程序示例

除了暗网上以窃取者或吸取者本身为特色的出版物外，我们还看到寻找 traffers 的帖子——帮助网络犯罪分子分发和推广窃取者、吸取者或诈骗和网络钓鱼页面的人。

Traffer 搜索 drainer 的示例

搜寻 cryptoscam 的示例（不是 drainer）

明年，我们可能会看到勒索软件团伙分裂成更小的独立实体，使其更难追踪，并允许网络犯罪分子在不受察觉的情况下以更大的灵活性进行操作。卡巴斯基数字足迹情报数据显示，与 2023 年相比，2024 年专用泄漏站点 （DLS） 的数量增长了 1.5 倍。尽管有这种增长，但与上一年相比，每月的平均独立帖子数量保持不变。

勒索软件运营商还可能继续利用泄露的恶意软件源代码和构建器来创建自己的自定义版本。这种方法大大降低了新组的进入门槛，因为他们可以避免从头开始开发工具。专用泄密站点 （DLS） 也是如此：低技能网络犯罪分子可能会使用臭名昭著的团体泄露的 DLS 源代码来创建他们博客的几乎完全相同的副本——我们已经可以在暗网上看到这种情况。

LockBit 的 DLS

DarkVault 的 DLS 几乎是 LockBit 的精确复制品

根据卡巴斯基数字足迹情报 （DFI） 的数据，2024 年上半年与中东暗网活动相关的最令人担忧的网络安全威胁之一是黑客活动。由于当前的地缘政治局势，该地区的这些威胁有所增加，如果紧张局势不缓解，这种威胁可能会继续上升。

卡巴斯基 DFI 研究人员观察到该地区超过 11 起黑客行动和各种行为者。与当前的地缘政治不稳定相一致，黑客行动主义攻击已经从分布式拒绝服务 （DDoS） 和网站污损转变为数据泄露和目标组织受损等关键后果。

另一个可能在该地区保持高度活跃的威胁是勒索软件。在过去两年中，中东地区的勒索软件攻击受害者数量激增，从 2022-2023 年的平均每六个月 28 人大幅上升到 2024 年上半年的 45 人。这种趋势可能会持续到 2025 年。