尽管大规模的打击行动已破坏了暗网的部分运作，但凭借新技术和不断变化的犯罪策略，暗网仍具有韧性。对于CISO官而言，思维上的最大转变之一在于，暗网已不再只是数据泄露后的问题。

威胁实施者会根据暴露的凭据、过时的访问点或被宣传或出售的配置错误的资产来锁定目标企业，其中许多信息价格低廉且易于获取，从而为攻击敞开了大门。

据SOCRadar发布的《2024年暗网报告》显示，网络犯罪分子仅需不到10美元，就能利用电话、地址及其他个人信息构建一个被盗身份档案。

持续监控窃取日志、凭据泄露以及暗网动态应成为威胁情报的核心职能，而非仅在事件发生后进行偶尔的清查。“这是一个实时侦察区域，”SOCRadar的CISO官恩萨尔·塞克尔(Ensar Seker)说道。

为了帮助理解不断变化的动态，以下是CISO官需要了解的关于被盗信息交易、新兴市场、恶意工具获取以及AI对暗网影响的相关信息。

国际警方打击暗网行动

国际警察企业正通过联合行动破坏多个主要平台。澳大利亚联邦警察(AFP)参与了由欧洲刑警企业领导的一项调查，该调查于2024年关闭了LockBit的主要平台及其分布在美国、英国、欧洲和澳大利亚的34台服务器。

“执法部门冻结了据称由该勒索软件企业拥有的200多个加密货币账户，剥夺了该企业的大量非法所得。”澳大利亚联邦警察发言人告诉记者。

澳大利亚联邦警察还参与了一项针对LabHost的国际警察行动，该平台通过短信和电子邮件发送的持续网络钓鱼攻击窃取受害者的个人身份信息(PII)。“在行动被捣毁时，LabHost拥有超过4万个网络钓鱼域名，以及1万多名利用其技术攻击受害者的全球活跃网络犯罪分子。”该发言人表示。

澳大利亚已对与ZServers非法网络活动相关的多名个人实施了金融制裁和旅行禁令，该企业曾为入侵健康保险公司Medibank Private的网络犯罪分子提供抗打击托管(BPH)服务。“抗打击托管服务提供商对执法部门的打击行动和合作请求具有抵抗力，但并非完全免疫。”澳大利亚联邦警察表示。

主要市场遭破坏后，新企业涌现

国际打击行动通过破坏大型犯罪活动、清除生态系统中的主要参与者并分散用户群体，从而破坏基础设施并遏制网络犯罪活动。

然而，据Kroll网络和数据弹性部门副董事总经理爱德华·柯里(Edward Currie)称，暗网具有极强的适应性，而老练的参与者通常会制定应急计划，包括镜像站点、备份以及替代论坛等。

“一些人迁移到私人论坛或其他勒索软件企业，创建新的勒索软件企业，或采用区块链托管或间歇性访问平台等去中心化技术，这些技术更难追踪和打击，这些点对点、仅限邀请和/或担保的网络速度更快、成本更低，且更不易受到执法部门的干扰。”Kroll表示。

尽管如此，打击行动通常会获取有价值的威胁情报，这些情报对网络安全社区有益，且无法通过其他途径获得。“从打击行动中获得的威胁情报有助于其他执法调查，但打击行动的发生速度以及威胁实施者的演变速度将继续超过执法部门的能力。”Kroll说道。

暗网是一个充满活力的非法商品和服务交易市场

据BlueVoyant数字风险保护部门高级网络威胁情报分析师马特奥·萨洛姆(Matteo Salom)称，除了执法行动外，暗网活动还随着技术创新和犯罪策略的变化而变化。

勒索软件即服务(RaaS)运营越来越注重可扩展性和专业化，并积极推广和招募成员，这包括提供利润丰厚的联盟计划以吸引技术熟练的合作伙伴，以及提供分层访问权限，使联盟成员能够付费获取高级工具、零日漏洞利用程序或访问已入侵的网络。

暗网正分裂成专业化社区，包括凭据市场、零日漏洞利用交易平台、恶意软件工具包以及入侵系统访问权交易平台，还有欺诈工具论坛。

初始访问代理(IAB)日益猖獗，他们出售进入企业环境的入口点，然后由勒索软件联盟成员或数据勒索企业利用这些入口点进行非法获利。勒索软件泄露网站展示攻击者的成功案例，公布样本文件、威胁要泄露全部数据，以及拒绝支付赎金的受害企业的名称和被盗数据。

“与此同时，一些参与者正在试验基于区块链的托管服务、去中心化域名系统(DNS)和点对点市场，这些服务对打击行动和监控具有更强的抵御能力。”萨洛姆表示。

据SOCRadar的塞克尔称，随着信息窃取日志的增多，对VPN、SaaS平台和企业凭据的需求也在激增。日志可直接变现，并用于网络钓鱼、权限提升和勒索软件部署。“值得注意的是，这些日志已成为商品化产品，2至5美元即可购买一个拥有完整浏览器会话Cookie、多因素身份验证(MFA)绕过选项和加密货币钱包访问权限的企业账户。”塞克尔说道。

据P0 Labs高级副总裁伊恩·阿尔(Ian Ahl)称，流行的恶意工具或服务还包括一次性密码(OTP)绕过机器人(可自动通过语音或短信窃取双因素身份验证(2FA)代码)、加密货币盗取工具包(可清空受害者的钱包)以及深度伪造服务。

私人通信日益普遍

随着暗网活动分裂成更小、更细分的社区，网络犯罪分子正在打造自己的身份以推销其活动和非法工具。

据Nightwing网络事件响应部门经理尼克·卡罗尔(Nick Carroll)称，在AlphV/BlackCat和LockBit等主要勒索软件参与者遭到破坏后，较小的联盟成员已转向RansomHub或DragonForce，或以更大勒索软件企业的合作伙伴身份创建自己的品牌名称，或独立创建品牌名称。

“威胁实施者希望将关注点引向自己的品牌名称，以获得更高的知名度，例如定期推出新的勒索软件企业品牌名称和泄露网站。”卡罗尔说道。

截至2025年，Nightwing已追踪到仅在过去六个月内就有90多个勒索软件和数据勒索企业活跃，其中16个企业的泄露网站仅有约90天或更短的历史，然而，这种分散的运作方式使得追踪变得更加困难。“对于试图跨境追踪和逮捕嫌疑人的执法部门而言，较小、分散的团体增加了司法管辖权的复杂性，同时也给网络威胁情报的归因和追踪带来了挑战。”他说道。

领导层的变动使得警方监控和威胁追踪变得困难。例如，据卡罗尔称，2022年BreachForums取代了RaidForums，并在2024年管理员更替后重新启动，但自那以后已多次更换管理员。“人员变动是归因和追踪中的一大难题，而威胁实施者往往故意为之，以避免被捕。”

分裂还推动了私人通信的发展。“许多网络犯罪分子正迁移到加密消息平台，如Telegram、TOX和Matrix，以及仅限邀请的论坛，减少对传统基于Tor的市场的依赖。”萨洛姆补充道。

分布式拒绝服务(DDoS)攻击租赁服务规模扩大、人气上升

尽管DDoS攻击租赁服务已存在多年，但其规模和人气正在不断增长。“许多服务提供免费试用层级，有些则提供无日限制的全面攻击、数十种攻击类型，甚至仅需几千美元就能达到1太比特每秒(Tbps)的显著输出。”网络安全研究员、Netscout威胁情报总监理查德·胡梅尔(Richard Hummel)表示。

这些服务的运作越来越专业化，许多平台模仿合法电子商务网站，展示用户评价、卖家评级和纠纷解决系统，以在非法参与者之间建立信任。

据胡梅尔称，网络犯罪分子还在创新发展其僵尸网络基础设施的方式。臭名昭著的亲俄黑客企业NoName057(16)通过Project DDoSia服务提供数字货币支付，甚至创建了自己的加密货币代币dCoin，可用于支付其他非法服务，从而将其DDoS活动游戏化。“该僵尸网络通过Telegram上的简化注册流程进行分发，个人注册后可获得加密货币支付作为提供攻击流量的回报。”

DDoS攻击租赁服务现在正添加AI和自动化功能，使发动高度复杂的攻击变得更加容易。例如，一些服务利用AI绕过验证码系统，使网站难以区分合法流量和恶意流量。“AI和自动化的强大结合使得许多传统防御手段过时，绕过了速率限制等常规保护措施。”胡梅尔说道。

“即服务”市场蓬勃发展

勒索软件即服务、窃取型恶意软件即服务(SMaaS)和网络钓鱼即服务运营正蓬勃发展，并推动非法附加服务的增长，此外，还有众多支持服务有助于降低执行这些攻击的门槛或提高攻击效率。据卡罗尔称，这些服务包括为勒索软件即服务和窃取型恶意软件即服务提供的加密服务、下载器服务和漏洞利用工具包。

漏洞利用工具包帮助新手利用公开暴露的、未打补丁的服务，AI驱动的网络钓鱼工具包创建令人信服的网络钓鱼消息和攻击链，加密器则通过打包、编码和隐写术等多种技术对恶意软件进行混淆处理，使攻击更加隐蔽且难以阻止。

在一个案例中，Rhadamanthys窃取程序开发者明确表示希望购买者对恶意软件进行加密处理，该开发者的帖子还强调了与加密服务的合作关系。“这种小众服务生态系统的激增使得技术不熟练的参与者也能更容易地从事网络犯罪活动，同时通过专业化实现更复杂的攻击。”卡罗尔说道。

GenAI使技术不熟练者更容易发动攻击

AI有能力扩大网络攻击的规模和复杂性，且它正开始被融入暗网上的工具和服务中。

GenAI正被用于伪造合成身份，包括深度伪造语音、伪造凭据和AI生成的背景故事。“通过合成身份生成和深度伪造技术，身份欺诈得以增强，帮助犯罪分子绕过了解你的客户(KYC)和生物识别检查。”Kroll的柯里表示。

AI即服务(AIaaS)平台提供了许多降低网络犯罪分子发动此类攻击门槛的功能。

非法论坛上的零交互聊天机器人可以通过恶意软件开发指导新手，创建动态的对抗性训练环境。“恶意软件作者还采用AI辅助代码合成来生成多态有效载荷，即每次编译周期都会改变签名的恶意二进制文件，这使得静态检测变得过时，”0rcus联合创始人兼首席执行官尼科·亚当斯(Nic Adams)表示。

eSentire威胁响应部门还观察到AI被集成到StealC管理面板中，以帮助过滤被盗日志。据eSentire高级威胁情报研究员维沙夫吉特·辛格(Vishavjit Singh)称，还有报告称暗网论坛或私人消息中出售“恶意GPT”产品。“WormGPT(基于开源GPT构建的聊天机器人)被宣传为网络钓鱼和恶意软件助手，而FraudGPT、DarkBard、WolfGPT等则被用于制作诈骗页面和网络钓鱼活动、创建恶意软件代码、构建黑客工具等。”辛格说道。

与此同时，当局正与不断变化的攻击模式展开猫鼠游戏，努力跟上其步伐。虽然他们不会透露行动细节，但许多机构都设有专门的网络部门，具备专业培训、情报共享、行业合作和联合行动能力。“澳大利亚联邦警察正不断开发新的创新解决方案，以确保我们有能力应对所有犯罪手法，”澳大利亚联邦警察发言人表示。

加密货币主导支付领域，但也有新参与者涌现

交易主要依赖比特币(BTC)等加密货币。“犯罪实体选择这种方式是出于误解，认为加密货币具有匿名性且执法部门无法追踪。”澳大利亚联邦警察表示。

为了保护匿名性并使执法部门难以追踪资金流向，越来越多地采用门罗币(XMR)和Zcash(ZEC)等注重隐私的加密货币。据库里称，2023年至2024年间，仅接受门罗币的新暗网市场比例从略高于三分之一上升至近一半，这反映了明显的反监控趋势。

使用混合器和搅拌器来混淆交易轨迹的情况也在增加。Zcash等隐私币以及利用零知识证明的新兴协议因其能够进一步掩盖交易而受到关注。“这一转变使得执法部门追踪非法资金流动的能力变得复杂，迫使各机构投资于新的区块链取证工具和跨链分析技术。”库里说道。

许多平台现在提供多种货币、托管服务和自动化洗钱工具，以及支持非法支付生态系统的利基服务。“如今，暗网支付系统模仿了合法电子商务，提供了客户保护和纠纷解决机制。”卡罗尔说道。

这在一定程度上是对退出骗局的回应，如AlphV/BlackCat和其他市场所实施的骗局。“但很大程度上，这似乎是为了满足犯罪威胁实施者方便地从受害者那里快速获取付款以支持进一步行动的需求。”他补充道。

CISO官现在可以采取哪些措施?

“对于安全专业人员而言，以战略思维关注暗网、专注于情报收集而非恐惧至关重要。”柯里表示。

在合法的情况下，访问暗网可以为威胁分析师、隐私倡导者和安全从业者提供合法目的。

“真正的价值在于主动监控暗网，以实时识别泄露的凭据、泄露的数据和新兴威胁。同样重要的是，通过使用可信赖的Tor浏览器、虚拟专用网络(VPN)、专用设备以及禁用可能暴露身份的脚本，来维护强大的操作安全性。”柯里说道。

为了加强基础网络安全措施，安全团队需要将暗网洞察纳入更广泛的威胁情报计划，这些洞察为网络风险提供了背景信息，并帮助安全团队调整防御措施。“通过深入了解暗网，安全专业人员能够更好地理解威胁实施者的行为和动机。”柯里说道。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。