روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛  با ورود به سال میلادی جدید چشم‌انداز حوزه امنیت سایبری نیز رنگی جدید به خود می‌گیرد. در این مقاله مشخصاً قرار است پیش‌بینی‌هایی در بخش تهدیدهای وبی بازار سیاه ارائه دهیم. با ما همراه باشید.

تعداد سرویس‌هایی که برای بدافزارها (کریپتورها) فرار از آنتی‌ویروس ارائه می‌دهند افزایش خواهد یافت

ما به طور مداوم بازارهای زیرزمینی را برای ظهور «کریپتورهای» جدید، ابزارهایی که مشخصاً برای مخفی کردن کد در نمونه‌های بدافزار طراحی شده‌اند، رصد می‌کنیم. هدف اصلی این ابزارها این است که کد را توسط نرم افزارهای امنیتی غیرقابل شناسایی نشان دهند. در سال 2024، مشاهدات کارشناسی ما نشان می‌دهد که تبلیغات تجاری برای این رمزارزها واقعاً شتاب بیشتری یافته است. توسعه دهندگان Cryptor در حال معرفی تکنیک‌های جدید برای فرار از شناسایی توسط راهکارهای امنیتی هستند و این پیشرفت‌ها را در نرم‌افزارهای بدافزار خود گنجانده‌اند.

قیمت این ابزارها ثابت مانده و از 100 دلار برای اشتراک ماهانه برای رمزنگارهای موجود در انجمن‌های وب تاریک تا 20000 دلار برای اشتراک‌های خصوصی ممتاز متغیر است. در رویه توسعه و توزیع راهکارهای خصوصی پریمیوم، تغییری صورت گرفته.

حکم: پیش‌بینی درست بود

سرویس‌های بدافزاری «لودر» رو به تکامل و پیشرفت است

همانطور که انتظار می‌رفت، عرضه برای خانواده بدافزار لودر در سال 2024 دائمی بوده است. این لودرها دامنه وسیعی از قابلیت‌ها را نشان می‌دهند؛ از لودرهای به صورت عمده توزیع‌شده با قیمت‌هایی نازل گرفته تا لودرهای به شدت تخصصی که قیمتشان به هزاران دلار می‌رسد.

علاوه بر این، به نظر می‌رسد عوامل تهدید به طور فزاینده‌ای از چندین زبان برنامه‌نویسی استفاده می‌کنند. برای مثال، مولفه کلاینت بدافزار ممکن است در C++  توسعه یابد، در حالی که پنل مدیریت سمت سرور در Go پیاده سازی‌شده است.

همراه با طیف گسترده‌ای از پیشنهادات لودر، ما همچنین شاهد تقاضاهایی برای عملکرد خاصی هستیم که برای راه اندازی یک زنجیره عفونت خاص طراحی شده است.

حکم: پیش‌بینی درست بود

سرویس‌های تخلیه دارایی کریپتو روی بازارهای وب تاریک همچنان افزایش خواهد داشت

در سال 2024، ما شاهد افزایش فعالیت «تخلیه‌گرها» در بازارهای تاریک بودیم. اینها ابزارهای مخربی هستند که برای سرقت دارایی‌های رمزنگاری قربانی، مانند توکن ها یا NFT ها طراحی شده اند. تخلیه کننده‌های جدید در طول سال ظاهر و به طور فعال در پلت‌فرم های مختلف وب تاریک تبلیغ شدند. به طور کلی، تعداد رشته های منحصر به فرد در مورد تخلیه‌گرها در بازارهای زیرزمینی از 55 در سال 2022 به 129 در سال 2024 افزایش یافته است که قابل توجه است. در عین حال، این پست ها اغلب به عنوان تغییر مسیر به تلگرام عمل می کردند. در واقع در سال 2024 کانال‌های تلگرامی جولانگاه فعالیت‌های مربوط به تخلیه کریپتو بودند. توسعه‌دهندگان این تخلیه‌گرها به شدت تمرکزشان را روی کلاینت‌های بلند مدت خود گذاشتند و بیشترین فعالیت‌هایشان اکنون در کانال‌هایی است که تنها با دعوت حاصل می‌شود. از نظر عملکرد، تخلیه‌کننده‌ها تا حد زیادی ثابت مانده‌اند، با تأکید مداوم بر ترکیب پشتیبانی از دارایی‌های مرتبط با رمزنگاری جدید مانند سکه‌های در حال ظهور، توکن‌ها و NFT. سال 2024 همچنین شاهد کشف اولین تخلیه‌گر موبایل بود.

حکم: پیش‌بینی درست بود

نقشه‌های ترافیک سیاه در بازارهای زیرزمینی به شدت محبوب خواهند شد

در سال 2024، محبوبیت نقشه‌های ترافیک سیاه در بازارهای زیرزمینی ثابت ماند. دیلرهای ترافیک سیاه با تبلیغ صفحات مخرب لندینگ از طریق آگهی‌های فریبنده عملیات‌های خود را حفظ کرده‌اند. فعالیت‌های فروش برای این سرویس‌ها در بازارهای زیرزمینی قوی و محکم مانده و تقاضا همچنان ثابت مانده و این در ادامه بر اثربخشی پلت‌فرم‌های اصلی ارائه تبلیغات برای توزیع بدافزار تأکید می‌کند. این متود همچنان انتخابی محبوب برای مجرمان سایبری خواهد بود که دنبال رسیدن به مخاطبین بیشتری هستند و این تهدیدی مداوم برای کاربران آنلاین است.

حکم: پیش‌بینی تا حدی درست بود

تکامل و پویایی بازار میکسرها و خدمات تمیز کردن بیت کوین

در سال 2024، هیچ افزایش قابل توجهی در تعداد خدمات تبلیغاتی راه حل‌های "تمیز کردن" ارزهای دیجیتال مشاهده نشد. اکثر خدمات شناخته شده و محبوب با تغییر اندکی در فضای رقابتی، حضور خود را در بازار حفظ کرده اند.

حکم: پیش بینی درست نبود

و حالا می‌رسیم به پیش‌بینی‌های سال 2025

نقض داده از طریق کنتراکتورها

هنگام سوء استفاده از روابط شرکت-پیمانکار (حملات روابط قابل اعتماد)، عوامل تهدید ابتدا به سیستم‌های تامین کننده نفوذ و سپس به زیرساخت ها یا داده های سازمان هدف دسترسی پیدا می‌کنند. در برخی موارد، این حملات منجر به نقض قابل توجه داده‌ها می شود، مانند موردی که گفته می شود مهاجمین با نقض یک پیمانکار طرف‌سوم به حساب کلود Ticketmaster's Snowflake دسترسی پیدا کرده اند. یکی دیگر از عوامل تهدید کننده برجسته ای که از این تاکتیک استفاده می کرد IntelBroker بود - طبق گزارش ها، این بازیگر و باند مرتبط با آنها شرکت هایی مانند نوکیا، فورد، تعدادی از مشتریان سیسکو از جمله مایکروسافت و دیگران را از طریق طرف‌سوم‌ها نقض کردند.

انتظار داریم در سال 2025 شاهد افزایش تعداد حملات از طریق پیمانکارانی باشیم که منجر به نقض داده‌ها در اهداف نهایی اصلی می‌شوند. پلت‌فرم‌های کلود و خدمات فناوری اطلاعات اغلب داده‌های شرکتی را از چندین سازمان ذخیره و پردازش می کنند، بنابراین نقض تنها در یک شرکت می‌تواند مشکلات دیگری را سر باز کند. بسیاری دیگر شایان ذکر است که نقض الزاماً نباید بر دارایی های حیاتی تأثیر بگذارد تا مخرب باشد. هر تبلیغات نقض داده در وب تاریک نتیجه یک رخداد واقعاً جدی نیست. برخی از «پیشنهادها» ممکن است صرفاً موادی باشند که به خوبی به بازار عرضه می‌شوند. به عنوان مثال، پایگاه‌های اطلاعاتی خاصی ممکن است داده‌های در دسترس عموم یا قبلاً فاش شده را ترکیب کرده و آن‌ها را به‌عنوان اخبار فوری ارائه کنند، یا صرفاً ادعا کنند که برای یک برند معروف نقض شده است. مجرمان سایبری با قیل و قال کردن در مورد داده‌های واقعی - و احتمالاً نامربوط - می‌توانند تبلیغات را برانگیزند، سروصدا ایجاد کنند و به اعتبار تامین‌کننده و مشتریانش آسیب برسانند.

به طور کلی، ما شاهد افزایش کلی در فراوانی تبلیغات پایگاه داده شرکتی در دارک‌وب هستیم. به عنوان مثال، در یک فروم محبوب، تعداد متناظر پست‌ها در اوت تا نوامبر 2024 در مقایسه با مدت مشابه سال گذشته 40 درصد افزایش یافته و چندین بار به اوج خود رسیده است. در حالیکه برخی از این رشد ممکن است به انتشار مجدد یا ترکیب نشت‌های قدیمی‌تر نسبت داده شود، مجرمان سایبری به وضوح علاقه‌مند به توزیع داده‌های درز شده - چه جدید، قدیمی و یا حتی جعلی- هستند. در نتیجه، در سال 2025، نه تنها شاهد افزایش هک و نشت داده‌های شرکت از طریق پیمانکاران، بلکه شاهد افزایش کلی نقض اطلاعات نیز خواهیم بود.

مهاجرت فعالیت مجرمان از تلگرام به تالارهای دارک‌وب

با وجود افزایش فعالیت‌های مجرمانه سایبری در تلگرام در سال 2024، ما انتظار داریم که جامعه سایه به انجمن‌های وب تاریک بازگردد. کانال‌های Shadow Telegram به طور فزاینده‌ای دارند ممنوع می‌شوند، همانطور که توسط ادمین‌های آنها ذکر شده است. انتظار می‌رود بازگشت یا هجوم مجرمان سایبری به انجمن‌های وب تاریک، رقابت بین این منابع را تشدید کند. برای برجسته شدن و جذب مخاطبان جدید، اپراتورهای انجمن احتمالاً شروع به معرفی ویژگی‌های جدید و بهبود شرایط برای تجارت داده می کنند. اینها ممکن است شامل خدمات سپردن خودکار، فرآیندهای حل اختلاف ساده، و اقدامات امنیتی و ناشناس ماندن بهبود یافته باشد.

افزایش عملیات‌های اجرای قانون رده بالا علیه گروه‌های جرایم سایبری

سال 2024 سال مهمی در حوزه مبارزه جهانی با جرایم سایبری بود. جهان شاهد عملیات‌های موفقیت‌آمیز زیادی بوده است - Cronos علیه LockBit، حذف BreachForums، دستگیری اعضای WWH Club، ابتکارات موفقی مانند Magnus علیه RedLine و متا دزدان، و Endgame علیه TrickBot، IcedID، و SmokeLoader و موارد دیگر. ما در کسپرسکی همچنین همواره در تلاش‌های اجرای قانون برای مبارزه با جرایم سایبری مشارکت داشتیم.

 به عنوان مثال، از اقدام هماهنگ شده توسط INTERPOL برای مختل کردن عملیات بدافزار Grandoreiro، کمک به مقابله با جرایم سایبری در طول المپیک 2024، و کمک به عملیات Synergia II، که هدف آن مختل کردن تهدیدات سایبری مانند فیشینگ هدفمند، باج افزار، و سرقت اطلاعات بود، حمایت کردیم. ما همچنین به عملیات مشترک INTERPOL و AFRIPOL برای مبارزه با جرایم سایبری در سراسر آفریقا کمک کردیم. این موارد و بسیاری موارد دیگر، هماهنگی و همکاری بین مجری قانون و سازمان های امنیت سایبری را برجسته می کند. انتظار داریم سال 2025 افزایش دستگیری ها و حذف زیرساخت‌ها و انجمن‌های گروه‌های مجرم سایبری را افزایش دهد. با این حال، در پاسخ به عملیات موفقیت آمیز سال 2024، عوامل تهدید احتمالاً تاکتیک ها را تغییر داده و به لایه های عمیق تر و ناشناس تر وب تاریک عقب نشینی خواهند کرد. همچنین انتظار می‌رود که شاهد ظهور انجمن‌های بسته و افزایش مدل های دسترسیِ فقط با دعوت باشیم.

افزایش تبلیغات خدمات سارقین و تخلیه‌گرها روی دارک‌وب

ارزهای دیجیتال سالهاست که هدف اصلی مجرمان سایبری بود‌ه‌اند. آنها کاربران رمزارز را تحت پوشش‌های مختلف به کلاهبرداری از سایت‌ها و ربات‌های تلگرام فریب می‌دهند و قابلیت سرقت رمزنگاری را به دزدهای اطلاعاتی و تروجان‌های بانکی اضافه می‌کنند. با ثبت رکورد پشت سر هم قیمت بیت‌کوین، محبوبیت تخلیه‌گرهایی که به طور خاص برای سرقت توکن های ارز دیجیتال از کیف پول قربانیان طراحی شده‌اند، احتمالاً در سال آینده ادامه خواهد داشت.

Infostealers نوع دیگری از بدافزارها هستند که اطلاعات حساس را از دستگاه‌های کاربران جمع‌آوری می‌کنند، از جمله کلیدهای خصوصی کیف پول ارزهای دیجیتال، رمزهای عبور، کوکی‌های مرورگر و داده‌های تکمیل خودکار. در سال‌های اخیر، شاهد افزایش چشمگیر نشت‌های اطلاعات ناشی از این بدافزار بوده‌ایم، و ما انتظار داریم که این روند ادامه یابد - و به نوعی تکامل یابد. به احتمال زیاد شاهد ظهور خانواده‌های جدید سارقین و افزایش فعالیت آنهایی هستیم که از قبل وجود داشته‌اند.

هم سارقین و هم تخلیه‌گرها احتمالاً به طور فزاینده ای به عنوان خدمات در وب تاریک تبلیغ می شوند. Malware-as-a-Service  (MaaS)– یا «اشتراک» – یک مدل کسب و کار وب تاریک است که شامل اجاره نرم افزار برای انجام حملات سایبری می‌شود. به طور معمول، به مشتریان چنین خدماتی یک حساب شخصی ارائه می‌شود که از طریق آن می‌توانند حمله و همچنین پشتیبانی فنی را کنترل کنند. این امر آستانه اولیه تخصص مورد نیاز مجرمان سایبری را کاهش می‌دهد. افزون بر نشرها روی دارک‌وب که خود سارقین و تخلیه‌گرها در آن دخیلند، همچنین پست‌هایی را شاهدیم که دنبال ترافر هستند؛ کسانی که کمک می‌کنند مجرمان سایبری سارقین، تخلیه‌گرها یا صفحات فیشینگ و اسکم خود را توزیع و تبلیغ کنند.

تکه تکه شدن گروه‌های باج افزار

سال آینده، ممکن است شاهد تکه تکه شدن گروه‌های باج‌افزار به نهادهای مستقل کوچک‌تر باشیم که ردیابی آن‌ها را دشوارتر می‌کند و به مجرمان سایبری اجازه می‌دهد با انعطاف‌پذیری بیشتری در حالی که در بطن دارند عمل کنند. داده‌های هوش ردپای دیجیتال کسپرسکی نشان می‌دهد که در سال 2024 تعداد سایت‌های نشت اختصاصی  DLS) ) نسبت به سال 2023 1.5 برابر افزایش یافته است. با وجود این رشد، میانگین تعداد پست‌های منحصر به فرد در هر ماه نسبت به سال قبل ثابت مانده است. اپراتورهای باج افزار همچنین احتمالاً به استفاده از کدهای منبع بدافزار فاش شده و سازندگان برای ایجاد نسخه‌های سفارشی شده خود ادامه می دهند. این رویکرد به طور قابل توجهی مانع ورود گروه‌های جدید را کاهش می دهد، زیرا آنها می‌توانند از توسعه ابزارها از ابتدا جلوگیری کنند. همین امر در مورد سایت‌های نشت اختصاصی (DLS)  نیز صدق می‌کند: مجرمان سایبری کم مهارت احتمالاً از کدهای منبع افشاشده DLS گروه‌های بدنام برای ایجاد نسخه‌های تقریباً دقیق از وبلاگ‌های خود استفاده می‌کنند – چیزی که قبلاً می‌توانیم شاهد وقوع آن در وب تاریک باشیم.

تشدید تهدیدات سایبری در خاورمیانه: افزایش هک‌تیویسم و ​​باج‌افزار

بر اساس اطلاعات Kaspersky Digital Footprint Intelligence (DFI)، یکی از نگران‌کننده‌ترین تهدیدات امنیت سایبری مرتبط با فعالیت وب تاریک در خاورمیانه در نیمه اول سال 2024، فعالیت هکریست‌ها بود. منطقه با توجه به وضعیت ژئوپلیتیک کنونی شاهد افزایش این تهدیدات بوده است که در صورت عدم کاهش تنش‌ها، احتمالاً افزایش خواهد یافت. محققین Kaspersky DFI بیش از 11 جنبش هکتیویست و بازیگران مختلف را در سراسر منطقه مشاهده کردند. در راستای بی‌ثباتی ژئوپلیتیک کنونی، حملات هکریستی در حال حاضر از انکار سرویس توزیع شده ( DDoS)  و تخریب وبسایت به نتایج مهمی مانند نشت داده‌ها و به خطر افتادن سازمان‌های هدف تغییر می‌کند. تهدید دیگری که احتمالاً در منطقه به شدت فعال خواهد بود، باج‌افزار است. طی دو سال گذشته، خاورمیانه شاهد افزایش در تعداد قربانیان حملات باج‌افزار بوده است که از میانگین 28 نفر در هر شش ماه در سال‌های 2022-2023 به 45 نفر در نیمه اول سال 2024 افزایش چشمگیری داشته است. این روند احتمالاً در 2025 هم ادامه خواهد داشت.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.