Представленные в исследовании данные позволяют оценить, насколько корпоративная инфраструктура способна противостоять методам и инструментам, которые открыто обсуждаются на теневых ресурсах и, как ожидается, будут активно использоваться в атаках в ближайшем будущем.
Эксперты BI.ZONE проанализировали публикации на теневых сайтах, связанных с киберпреступной деятельностью (всего более 5000 сообщений на форумах и в Telegram-каналах за 2024 год и первые шесть месяцев 2025 года). На конференции OFFZONE 2025 были представлены как результаты анализа, так и ключевые прогнозы относительно развития теневых площадок и трансформации киберугроз в России и других странах СНГ.
Расширение функционала коммерческого ВПО
46% всех выявленных сообщений на теневых ресурсах касаются предложений продажи коммерческих вредоносных программ. Наибольшую долю среди них занимают стилеры (33% объявлений), далее идут трояны для удалённого доступа и загрузчики (по 12% соответственно).
По словам Олега Скулкина, руководителя BI.ZONE Threat Intelligence, стилеры продолжают оставаться одним из наиболее востребованных классов вредоносного ПО. Это означает, что учётные данные, добытые такими инструментами, будут активно распространяться вместе с иной конфиденциальной информацией, которая публикуется в сообщениях о взломах организаций. В связи с этим компаниям при формировании стратегии киберзащиты необходимо ориентироваться на решения, позволяющие управлять внешним ландшафтом киберугроз.
В дальнейшем будет усиливаться тенденция к объединению функций различных типов вредоносных программ, так как их разработчики стремятся предложить атакующим универсальные решения формата all-in-one.
Рост сегмента EDR-киллеров на теневом рынке
Объявления о продаже EDR- и AV-киллеров пока составляют лишь 4% от всех предложений ВПО, однако прогнозируется рост этого направления. Это обусловлено повышением уровня киберзрелости, в частности в крупных организациях, которые активно внедряют решения классов EDR (endpoint detection and response) и XDR (extended detection and response).
Киберпреступники будут искать замену Telegram
С конца 2024 — начала 2025 годов администрация мессенджера активизировала блокировку каналов и чатов, связанных с противоправной деятельностью. Параллельно правоохранительные органы продолжают ограничивать работу теневых форумов, откуда ранее часть аудитории уходила в Telegram. В этих условиях злоумышленники, с одной стороны, будут стремиться восстановить работоспособность традиционных площадок, а с другой — активно искать новые коммуникационные каналы, позволяющие не только обмениваться сведениями, но и размещать рекламу продуктов и сервисов, связанных с кибератаками.
Продажи эксплоитов сохранят высокий уровень
На данный момент объявления о продаже эксплоитов составляют 18% всех сообщений на теневых ресурсах. Среди них встречаются как инструменты для эксплуатации уязвимостей нулевого дня, так и для уже известных уязвимостей. В отдельных случаях цена может достигать нескольких миллионов долларов, что подтверждает значительный спрос со стороны атакующих.
Пример с Paper Werewolf
Ранее специалисты BI.ZONE сообщали о кибератаках шпионской группировки Paper Werewolf, в которых применялись уязвимости в WinRAR. Одна из них на тот момент являлась нераскрытой уязвимостью нулевого дня. По предположению исследователей, эксплоит для неё был куплен на одном из теневых форумов за 80 тысяч долларов.
