Вышло исследование теневых ресурсов киберпреступников «Threat Zone 2025: обратная сторона»

Специалисты BI.ZONE изучили объявления на теневых ресурсах, связанных с киберпреступниками (всего более 5000 сообщений на форумах и в телеграм-каналах за 2024 и первую половину 2025 года). На конференции OFFZONE 2025 были представлены результаты исследования, а также ключевые прогнозы по развитию теневых ресурсов и связанных с ними изменений в ландшафте киберугроз России и других стран СНГ. Генеральными партнёрами конференции выступают Сбер и журнал «Хакер».

46% всех сообщений на теневых ресурсах связаны с продажами коммерческих вредоносных программ. Наибольшей популярностью пользуются стилеры (33% объявлений), а также трояны удаленного доступа и загрузчики (по 12%).

«Стилеры остаются одним из наиболее популярных классов вредоносного ПО, а это значит, что полученные с их помощью аутентификационные данные будут активно распространяться — наряду с другой конфиденциальной информацией, публикуемой в сообщениях о компрометации организаций. Поэтому компаниям необходимо при выстраивании стратегии кибербезопасности опираться на решения по управлению внешним ландшафтом киберугроз», – говорит Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

В дальнейшем будет нарастать тренд на размывание функциональности различных видов вредоносного ПО, поскольку разработчики таких программ будут стремиться предложить атакующим универсальные решения all-in-one.

С конца 2024 — начала 2025 года администрация мессенджера Telegram стала активно блокировать каналы и чаты злоумышленников. В то же время правоохранительные органы продолжают блокировать теневые форумы, с которых ранее наблюдался некоторый отток в Telegram. В связи с этим киберпреступники, с одной стороны, продолжат попытки восстановить работоспособность традиционных площадок, а с другой — будут активно искать альтернативные каналы коммуникации, которые позволят не только обмениваться информацией, но и размещать рекламу продуктов и услуг, связанных с кибератаками.

Предложения о продаже эксплоитов сейчас составляют 18% от общего числа сообщений на теневых ресурсах. В объявлениях фигурируют эксплоиты как для уязвимостей нулевого дня, так и для уже известных. Стоимость в отдельных случаях может достигать нескольких миллионов долларов, что подтверждает высокий спрос со стороны атакующих.

Ранее исследователи BI.ZONE сообщали об атаках шпионского кластера Paper Werewolf, в которых использовались уязвимости WinRAR. Одна из них на момент кампании представляла собой еще не описанную уязвимость нулевого дня. Предположительно, атакующие приобрели для нее эксплоит на одном из теневых форумов за 80 тысяч долларов.

Объявления о продаже EDR- и AV-киллеров пока составляют всего 4% от общего числа предложений вредоносного ПО, но этот сегмент будет увеличиваться. Это связано с повышением уровня киберзрелости, особенно в крупных компаниях, которые активно внедряют у себя решения класса EDR (endpoint detection and response) и XDR (extended detection and response).