暗網是指未被常用搜索引擎索引的網頁，在網絡犯罪分子和威脅實施者的匿名掩護下，他們可以開展活動，販賣一系列可用于破壞企業的工具和服務。

盡管大規模的打擊行動已破壞了暗網的部分運作，但憑借新技術和不斷變化的犯罪策略，暗網仍具有韌性。對于CISO官而言，思維上的最大轉變之一在于，暗網已不再只是數據泄露后的問題。

威脅實施者會根據暴露的憑據、過時的訪問點或被宣傳或出售的配置錯誤的資產來鎖定目標企業，其中許多信息價格低廉且易于獲取，從而為攻擊敞開了大門。

據SOCRadar發布的《2024年暗網報告》顯示，網絡犯罪分子僅需不到10美元，就能利用電話、地址及其他個人信息構建一個被盜身份檔案。

持續監控竊取日志、憑據泄露以及暗網動態應成為威脅情報的核心職能，而非僅在事件發生后進行偶爾的清查。“這是一個實時偵察區域，”SOCRadar的CISO官恩薩爾·塞克爾(Ensar Seker)說道。

為了幫助理解不斷變化的動態，以下是CISO官需要了解的關于被盜信息交易、新興市場、惡意工具獲取以及AI對暗網影響的相關信息。

國際警方打擊暗網行動

國際警察企業正通過聯合行動破壞多個主要平臺。澳大利亞聯邦警察(AFP)參與了由歐洲刑警企業領導的一項調查，該調查于2024年關閉了LockBit的主要平臺及其分布在美國、英國、歐洲和澳大利亞的34臺服務器。

“執法部門凍結了據稱由該勒索軟件企業擁有的200多個加密貨幣賬戶，剝奪了該企業的大量非法所得。”澳大利亞聯邦警察發言人告訴記者。

澳大利亞聯邦警察還參與了一項針對LabHost的國際警察行動，該平臺通過短信和電子郵件發送的持續網絡釣魚攻擊竊取受害者的個人身份信息(PII)。“在行動被搗毀時，LabHost擁有超過4萬個網絡釣魚域名，以及1萬多名利用其技術攻擊受害者的全球活躍網絡犯罪分子。”該發言人表示。

澳大利亞已對與ZServers非法網絡活動相關的多名個人實施了金融制裁和旅行禁令，該企業曾為入侵健康保險公司Medibank Private的網絡犯罪分子提供抗打擊托管(BPH)服務。“抗打擊托管服務提供商對執法部門的打擊行動和合作請求具有抵抗力，但并非完全免疫。”澳大利亞聯邦警察表示。

主要市場遭破壞后，新企業涌現

國際打擊行動通過破壞大型犯罪活動、清除生態系統中的主要參與者并分散用戶群體，從而破壞基礎設施并遏制網絡犯罪活動。

然而，據Kroll網絡和數據彈性部門副董事總經理愛德華·柯里(Edward Currie)稱，暗網具有極強的適應性，而老練的參與者通常會制定應急計劃，包括鏡像站點、備份以及替代論壇等。

“一些人遷移到私人論壇或其他勒索軟件企業，創建新的勒索軟件企業，或采用區塊鏈托管或間歇性訪問平臺等去中心化技術，這些技術更難追蹤和打擊，這些點對點、僅限邀請和/或擔保的網絡速度更快、成本更低，且更不易受到執法部門的干擾。”Kroll表示。

盡管如此，打擊行動通常會獲取有價值的威脅情報，這些情報對網絡安全社區有益，且無法通過其他途徑獲得。“從打擊行動中獲得的威脅情報有助于其他執法調查，但打擊行動的發生速度以及威脅實施者的演變速度將繼續超過執法部門的能力。”Kroll說道。

暗網是一個充滿活力的非法商品和服務交易市場

據BlueVoyant數字風險保護部門高級網絡威脅情報分析師馬特奧·薩洛姆(Matteo Salom)稱，除了執法行動外，暗網活動還隨著技術創新和犯罪策略的變化而變化。

勒索軟件即服務(RaaS)運營越來越注重可擴展性和專業化，并積極推廣和招募成員，這包括提供利潤豐厚的聯盟計劃以吸引技術熟練的合作伙伴，以及提供分層訪問權限，使聯盟成員能夠付費獲取高級工具、零日漏洞利用程序或訪問已入侵的網絡。

暗網正分裂成專業化社區，包括憑據市場、零日漏洞利用交易平臺、惡意軟件工具包以及入侵系統訪問權交易平臺，還有欺詐工具論壇。

初始訪問代理(IAB)日益猖獗，他們出售進入企業環境的入口點，然后由勒索軟件聯盟成員或數據勒索企業利用這些入口點進行非法獲利。勒索軟件泄露網站展示攻擊者的成功案例，公布樣本文件、威脅要泄露全部數據，以及拒絕支付贖金的受害企業的名稱和被盜數據。

“與此同時，一些參與者正在試驗基于區塊鏈的托管服務、去中心化域名系統(DNS)和點對點市場，這些服務對打擊行動和監控具有更強的抵御能力。”薩洛姆表示。

據SOCRadar的塞克爾稱，隨著信息竊取日志的增多，對VPN、SaaS平臺和企業憑據的需求也在激增。日志可直接變現，并用于網絡釣魚、權限提升和勒索軟件部署。“值得注意的是，這些日志已成為商品化產品，2至5美元即可購買一個擁有完整瀏覽器會話Cookie、多因素身份驗證(MFA)繞過選項和加密貨幣錢包訪問權限的企業賬戶。”塞克爾說道。

據P0 Labs高級副總裁伊恩·阿爾(Ian Ahl)稱，流行的惡意工具或服務還包括一次性密碼(OTP)繞過機器人(可自動通過語音或短信竊取雙因素身份驗證(2FA)代碼)、加密貨幣盜取工具包(可清空受害者的錢包)以及深度偽造服務。

私人通信日益普遍

隨著暗網活動分裂成更小、更細分的社區，網絡犯罪分子正在打造自己的身份以推銷其活動和非法工具。

據Nightwing網絡事件響應部門經理尼克·卡羅爾(Nick Carroll)稱，在AlphV/BlackCat和LockBit等主要勒索軟件參與者遭到破壞后，較小的聯盟成員已轉向RansomHub或DragonForce，或以更大勒索軟件企業的合作伙伴身份創建自己的品牌名稱，或獨立創建品牌名稱。

“威脅實施者希望將關注點引向自己的品牌名稱，以獲得更高的知名度，例如定期推出新的勒索軟件企業品牌名稱和泄露網站。”卡羅爾說道。

截至2025年，Nightwing已追蹤到僅在過去六個月內就有90多個勒索軟件和數據勒索企業活躍，其中16個企業的泄露網站僅有約90天或更短的歷史，然而，這種分散的運作方式使得追蹤變得更加困難。“對于試圖跨境追蹤和逮捕嫌疑人的執法部門而言，較小、分散的團體增加了司法管轄權的復雜性，同時也給網絡威脅情報的歸因和追蹤帶來了挑戰。”他說道。

領導層的變動使得警方監控和威脅追蹤變得困難。例如，據卡羅爾稱，2022年BreachForums取代了RaidForums，并在2024年管理員更替后重新啟動，但自那以后已多次更換管理員。“人員變動是歸因和追蹤中的一大難題，而威脅實施者往往故意為之，以避免被捕。”

分裂還推動了私人通信的發展。“許多網絡犯罪分子正遷移到加密消息平臺，如Telegram、TOX和Matrix，以及僅限邀請的論壇，減少對傳統市場的依賴。”薩洛姆補充道。

分布式拒絕服務(DDoS)攻擊租賃服務規模擴大、人氣上升

盡管DDoS攻擊租賃服務已存在多年，但其規模和人氣正在不斷增長。“許多服務提供免費試用層級，有些則提供無日限制的全面攻擊、數十種攻擊類型，甚至僅需幾千美元就能達到1太比特每秒(Tbps)的顯著輸出。”網絡安全研究員、Netscout威脅情報總監理查德·胡梅爾(Richard Hummel)表示。

這些服務的運作越來越專業化，許多平臺模仿合法電子商務網站，展示用戶評價、賣家評級和糾紛解決系統，以在非法參與者之間建立信任。

據胡梅爾稱，網絡犯罪分子還在創新發展其僵尸網絡基礎設施的方式。臭名昭著的親俄黑客企業NoName057(16)通過Project DDoSia服務提供數字貨幣支付，甚至創建了自己的加密貨幣代幣dCoin，可用于支付其他非法服務，從而將其DDoS活動游戲化。“該僵尸網絡通過Telegram上的簡化注冊流程進行分發，個人注冊后可獲得加密貨幣支付作為提供攻擊流量的回報。”

DDoS攻擊租賃服務現在正添加AI和自動化功能，使發動高度復雜的攻擊變得更加容易。例如，一些服務利用AI繞過驗證碼系統，使網站難以區分合法流量和惡意流量。“AI和自動化的強大結合使得許多傳統防御手段過時，繞過了速率限制等常規保護措施。”胡梅爾說道。

“即服務”市場蓬勃發展

勒索軟件即服務、竊取型惡意軟件即服務(SMaaS)和網絡釣魚即服務運營正蓬勃發展，并推動非法附加服務的增長，此外，還有眾多支持服務有助于降低執行這些攻擊的門檻或提高攻擊效率。據卡羅爾稱，這些服務包括為勒索軟件即服務和竊取型惡意軟件即服務提供的加密服務、下載器服務和漏洞利用工具包。

漏洞利用工具包幫助新手利用公開暴露的、未打補丁的服務，AI驅動的網絡釣魚工具包創建令人信服的網絡釣魚消息和攻擊鏈，加密器則通過打包、編碼和隱寫術等多種技術對惡意軟件進行混淆處理，使攻擊更加隱蔽且難以阻止。

在一個案例中，Rhadamanthys竊取程序開發者明確表示希望購買者對惡意軟件進行加密處理，該開發者的帖子還強調了與加密服務的合作關系。“這種小眾服務生態系統的激增使得技術不熟練的參與者也能更容易地從事網絡犯罪活動，同時通過專業化實現更復雜的攻擊。”卡羅爾說道。

GenAI使技術不熟練者更容易發動攻擊

AI有能力擴大網絡攻擊的規模和復雜性，且它正開始被融入暗網上的工具和服務中。

GenAI正被用于偽造合成身份，包括深度偽造語音、偽造憑據和AI生成的背景故事。“通過合成身份生成和深度偽造技術，身份欺詐得以增強，幫助犯罪分子繞過了解你的客戶(KYC)和生物識別檢查。”Kroll的柯里表示。

AI即服務(AIaaS)平臺提供了許多降低網絡犯罪分子發動此類攻擊門檻的功能。

非法論壇上的零交互聊天機器人可以通過惡意軟件開發指導新手，創建動態的對抗性訓練環境。“惡意軟件作者還采用AI輔助代碼合成來生成多態有效載荷，即每次編譯周期都會改變簽名的惡意二進制文件，這使得靜態檢測變得過時，”0rcus聯合創始人兼首席執行官尼科·亞當斯(Nic Adams)表示。

eSentire威脅響應部門還觀察到AI被集成到StealC管理面板中，以幫助過濾被盜日志。據eSentire高級威脅情報研究員維沙夫吉特·辛格(Vishavjit Singh)稱，還有報告稱暗網論壇或私人消息中出售“惡意GPT”產品。“WormGPT(基于開源GPT構建的聊天機器人)被宣傳為網絡釣魚和惡意軟件助手，而FraudGPT、DarkBard、WolfGPT等則被用于制作詐騙頁面和網絡釣魚活動、創建惡意軟件代碼、構建黑客工具等。”辛格說道。

與此同時，當局正與不斷變化的攻擊模式展開貓鼠游戲，努力跟上其步伐。雖然他們不會透露行動細節，但許多機構都設有專門的網絡部門，具備專業培訓、情報共享、行業合作和聯合行動能力。“澳大利亞聯邦警察正不斷開發新的創新解決方案，以確保我們有能力應對所有犯罪手法，”澳大利亞聯邦警察發言人表示。

加密貨幣主導支付領域，但也有新參與者涌現

交易主要依賴比特幣(BTC)等加密貨幣。“犯罪實體選擇這種方式是出于誤解，認為加密貨幣具有匿名性且執法部門無法追蹤。”澳大利亞聯邦警察表示。

為了保護匿名性并使執法部門難以追蹤資金流向，越來越多地采用門羅幣(XMR)和Zcash(ZEC)等注重隱私的加密貨幣。據庫里稱，2023年至2024年間，僅接受門羅幣的新暗網市場比例從略高于三分之一上升至近一半，這反映了明顯的反監控趨勢。

使用混合器和攪拌器來混淆交易軌跡的情況也在增加。Zcash等隱私幣以及利用零知識證明的新興協議因其能夠進一步掩蓋交易而受到關注。“這一轉變使得執法部門追蹤非法資金流動的能力變得復雜，迫使各機構投資于新的區塊鏈取證工具和跨鏈分析技術。”庫里說道。

許多平臺現在提供多種貨幣、托管服務和自動化洗錢工具，以及支持非法支付生態系統的利基服務。“如今，暗網支付系統模仿了合法電子商務，提供了客戶保護和糾紛解決機制。”卡羅爾說道。

這在一定程度上是對退出騙局的回應，如AlphV/BlackCat和其他市場所實施的騙局。“但很大程度上，這似乎是為了滿足犯罪威脅實施者方便地從受害者那里快速獲取付款以支持進一步行動的需求。”他補充道。

CISO官現在可以采取哪些措施?

“對于安全專業人員而言，以戰略思維關注暗網、專注于情報收集而非恐懼至關重要。”柯里表示。

在合法的情況下，訪問暗網可以為威脅分析師、隱私倡導者和安全從業者提供合法目的。

“真正的價值在于主動監控暗網，以實時識別泄露的憑據、泄露的數據和新興威脅。同樣重要的是，通過使用可信賴的瀏覽器、虛擬專用網絡(VPN)、專用設備以及禁用可能暴露身份的腳本，來維護強大的操作安全性。”柯里說道。

為了加強基礎網絡安全措施，安全團隊需要將暗網洞察納入更廣泛的威脅情報計劃，這些洞察為網絡風險提供了背景信息，并幫助安全團隊調整防御措施。“通過深入了解暗網，安全專業人員能夠更好地理解威脅實施者的行為和動機。”柯里說道。