Вышло исследование теневых ресурсов «Threat Zone 2025: обратная сторона»

Его данные позволяют оценить, насколько инфраструктура компаний устойчива к методам и инструментам, которые открыто обсуждаются на теневых площадках и будут активно применяться в атаках в обозримой перспективе

22 августа 2025 г.

Мы изучили объявления на теневых ресурсах, связанных с киберпреступниками: всего более 5000 сообщений на форумах и в телеграм‑каналах за 2024 и первую половину 2025 года. На конференции OFFZONE 2025 были представлены результаты исследования, а также ключевые прогнозы по развитию теневых ресурсов и связанных с ними изменений в ландшафте киберугроз России и других стран СНГ.

Функциональность коммерческого ВПО будет расширяться

46% всех сообщений на теневых ресурсах связаны с продажей коммерческих вредоносных программ. Наибольшей популярностью пользуются стилеры (33% объявлений), а также трояны удаленного доступа и загрузчики (по 12%).

Стилеры остаются одним из наиболее популярных классов ВПО, а это значит, что полученные с их помощью аутентификационные данные будут активно распространяться — наряду с другой конфиденциальной информацией, публикуемой в сообщениях о компрометации организаций. Поэтому компаниям необходимо при выстраивании стратегии кибербезопасности опираться на решения по управлению внешним ландшафтом киберугроз.

Олег Скулкин

Руководитель BI.ZONE Threat Intelligence

В дальнейшем будет нарастать тренд на размывание функциональности различных видов ВПО, поскольку разработчики таких программ будут стремиться предложить атакующим универсальные решения all‑in‑one.

Теневой рынок EDR‑киллеров будет расти

Объявления о продаже EDR- и AV‑киллеров пока составляют всего 4% от общего числа предложений ВПО, но этот сегмент будет увеличиваться. Это связано с повышением уровня киберзрелости, особенно в крупных компаниях, которые активно внедряют у себя решения класса EDR (endpoint detection and response) и XDR (extended detection and response).

Злоумышленники будут искать альтернативу Telegram

С конца 2024 — начала 2025 года администрация мессенджера стала активно блокировать каналы и чаты злоумышленников. В то же время правоохранительные органы продолжают блокировать теневые форумы, с которых ранее наблюдался некоторый отток в Telegram. В связи с этим киберпреступники, с одной стороны, продолжат попытки восстановить работоспособность традиционных площадок, а с другой — будут активно искать альтернативные каналы коммуникации, которые позволят не только обмениваться информацией, но и размещать рекламу продуктов и услуг, связанных с кибератаками.

Продажи эксплоитов к уязвимостям останутся на высоком уровне

Уже сейчас предложения о продаже эксплоитов составляют 18% от общего числа сообщений на теневых ресурсах. В объявлениях фигурируют эксплоиты как для уязвимостей нулевого дня, так и для уже известных. Стоимость в отдельных случаях может достигать нескольких миллионов долларов, что подтверждает высокий спрос со стороны атакующих.

Ранее мы сообщали об атаках шпионского кластера Paper Werewolf, в которых использовались уязвимости WinRAR. Одна из них на момент кампании представляла собой еще не описанную уязвимость нулевого дня. Предположительно, атакующие приобрели для нее эксплоит на одном из теневых форумов за 80 тысяч долларов.