Các mối đe dọa từ dark web và dự đoán về thị trường dark web năm 2025

Trong kỷ nguyên số, khi Internet ngày càng trở thành một phần không thể thiếu trong cuộc sống, dark web vẫn là một vùng đất bí ẩn, đây là nơi các hoạt động bất hợp pháp như buôn bán dữ liệu cá nhân, ransomware, ma túy, vũ khí và tài liệu giả mạo diễn ra mạnh mẽ. Khi bước vào năm 2025, thị trường dark web dự báo sẽ tiếp tục phát triển với sự hỗ trợ của công nghệ trí tuệ nhân tạo (AI), tiền điện tử và các mô hình phi tập trung. Sự gia tăng của các dịch vụ tội phạm mạng sẽ đặt ra nhiều thách thức nghiêm trọng đối với an ninh mạng toàn cầu. Bài báo sẽ thông tin tới độc giả các dự đoán của Kaspersky về các mối đe dọa từ dark web và thị trường dark web năm 2025.

Vi phạm dữ liệu thông qua bên thứ ba và sự gia tăng các vụ vi phạm dữ liệu

Các tác nhân đe dọa sẽ xâm nhập vào hệ thống của nhà cung cấp và sau đó truy cập vào cơ sở hạ tầng hoặc dữ liệu của tổ chức mục tiêu. Trong một số trường hợp, các cuộc tấn công này dẫn đến vi phạm dữ liệu đáng kể. Ví dụ như trường hợp kẻ tấn công đã truy cập vào tài khoản đám mây Snowflake của Ticketmaster bằng cách xâm phạm nhà thầu bên thứ ba. Một tác nhân đe dọa nổi bật khác sử dụng chiến thuật này là IntelBroker, tác nhân này và băng nhóm có liên quan được cho là đã xâm phạm các công ty như Nokia, Ford, một số khách hàng của Cisco bao gồm Microsoft và những công ty khác thông qua bên thứ ba.

Kaspersky dự đoán số lượng các cuộc tấn công thông qua bên thứ ba dẫn đến vi phạm dữ liệu tại các mục tiêu ở điểm cuối tiếp tục tăng trong năm 2025. Các nền tảng đám mây và dịch vụ công nghệ thông tin thường lưu trữ và xử lý dữ liệu của công ty từ nhiều tổ chức, do đó, vi phạm tại một công ty có thể tạo thành mối đe dọa cho nhiều công ty khác. Điều đáng chú ý là vi phạm không nhất thiết phải ảnh hưởng đến các tài sản quan trọng để trở thành hành vi phá hoại. Không phải mọi quảng cáo vi phạm dữ liệu trên dark web đều là kết quả của một sự cố thực sự nghiêm trọng. Tội phạm mạng có thể tạo ra các quảng cáo giả mạo nhằm tạo ra tiếng vang để phá hoại danh tiếng của cả nhà cung cấp và khách hàng của họ.

Hồ sơ của diễn viên có tên IntelBroker trên một diễn đàn dark web phổ biến

Nhìn chung, các nhà nghiên cứu nhận thấy tần suất quảng cáo cơ sở dữ liệu doanh nghiệp được bán trên dark web tăng lên. Ví dụ, trên một diễn đàn phổ biến, số lượng bài đăng tương ứng từ tháng 8 – 11/2024 đã tăng 40% so với cùng kỳ năm ngoái. Trong khi một phần sự gia tăng này có thể là do việc đăng lại hoặc kết hợp các vụ rò rỉ cũ hơn, thì tội phạm mạng rõ ràng quan tâm đến việc phân phối dữ liệu bị rò rỉ, dù là dữ liệu mới, cũ hay thậm chí là dữ liệu giả. Do đó, vào năm 2025, chúng ta có thể chứng kiến không chỉ sự gia tăng các vụ tấn công và rò rỉ dữ liệu của công ty thông qua bên thứ ba, mà còn là sự gia tăng chung về các vụ vi phạm dữ liệu.

Ví dụ về kẻ đánh cắp được cung cấp thông qua mô hình MaaS

Sự dịch chuyển hoạt động tội phạm từ Telegram sang diễn đàn dark web

Mặc dù hoạt động tội phạm mạng trên Telegram tăng đột biến vào năm 2024, Kaspersky dự đoán các hoạt động này sẽ quay trở lại diễn đàn dark web với lý do các kênh Shadow Telegram đang ngày càng bị cấm nhiều hơn. Sự trở lại hoặc sự gia tăng của tội phạm mạng trên các diễn đàn dark web dự kiến sẽ làm tăng cường sự cạnh tranh giữa các nguồn tài nguyên này. Để nổi bật và thu hút đối tượng mới, các nhà điều hành diễn đàn có thể sẽ bắt đầu giới thiệu các tính năng mới và cải thiện các điều kiện giao dịch dữ liệu. Những điều này có thể bao gồm các dịch vụ ký quỹ tự động, quy trình giải quyết tranh chấp hợp lý hóa, các biện pháp bảo mật và ẩn danh được cải thiện.

Tăng cường các hoạt động thực thi pháp luật cấp cao chống lại các nhóm tội phạm mạng

Năm 2024 là một năm quan trọng trong cuộc chiến chống tội phạm mạng trên toàn cầu. Thế giới đã chứng kiến nhiều hoạt động thành công như: Cronos chống lại LockBit, đánh sập BreachForums, bắt giữ các thành viên Câu lạc bộ WWH,... Kaspersky đã tích cực đóng góp vào các nỗ lực thực thi pháp luật để chống lại tội phạm mạng như: phối hợp với INTERPOL nhằm phá vỡ hoạt động phần mềm độc hại Grandoreiro, giúp chống lại tội phạm mạng trong Thế vận hội Olympic 2024 và đóng góp cho Chiến dịch Synergia II nhằm mục đích phá vỡ các mối đe dọa mạng như lừa đảo có chủ đích, phần mềm tống tiền và đánh cắp thông tin. Những trường hợp này đã làm nổi bật sự phối hợp và hợp tác giữa các tổ chức thực thi pháp luật và an ninh mạng.

Năm 2025 sẽ chứng kiến sự gia tăng các vụ bắt giữ và phá hủy các cơ sở hạ tầng, diễn đàn của các nhóm tội phạm mạng cấp cao. Tuy nhiên, để ứng phó, các tác nhân đe dọa có thể sẽ thay đổi chiến thuật và rút lui vào các lớp ẩn danh hơn, sâu hơn của dark web. Kaspersky cũng dự đoán sẽ thấy sự xuất hiện của nhiều diễn đàn đóng và sự gia tăng các mô hình truy cập chỉ dành cho người được mời.

Gia tăng quảng bá dịch vụ cắp cắp thông tin và lừa đảo trên Dark web nhắm vào tiền điện tử

Tiền điện tử đã là mục tiêu chính của tội phạm mạng trong nhiều năm. Chúng dụ dỗ người dùng tiền điện tử đến các trang web lừa đảo và bot Telegram dưới nhiều hình thức khác nhau, đồng thời thêm chức năng đánh cắp tiền điện tử vào các chương trình đánh cắp thông tin và Trojan ngân hàng. Với việc giá Bitcoin liên tục lập kỷ lục, sự phổ biến của các chương trình rút tiền được thiết kế riêng để đánh cắp tiền điện tử từ ví của nạn nhân có khả năng sẽ tiếp tục tăng trong năm tới.

Infostealers là một loại phần mềm độc hại khác thu thập thông tin nhạy cảm từ thiết bị của người dùng, bao gồm khóa riêng cho ví tiền điện tử, mật khẩu, cookie trình duyệt và dữ liệu tự động điền. Trong những năm gần đây, Kaspersky đã chứng kiến sự gia tăng đáng kể các vụ rò rỉ thông tin xác thực do phần mềm độc hại này gây ra và các nhà nghiên cứu dự đoán xu hướng này sẽ tiếp tục phát triển. Rất có thể, chúng ta sẽ thấy sự xuất hiện của các nhóm tội phạm mới, cùng với sự gia tăng hoạt động của những nhóm đã tồn tại.

Tội phạm mạng có khả năng được quảng bá ngày càng nhiều như các dịch vụ trên dark web. Malware-as-a-Service (MaaS) hay “subscription” là một mô hình kinh doanh dark web liên quan đến việc cho thuê phần mềm để thực hiện các cuộc tấn công mạng. Thông thường, khách hàng của các dịch vụ như vậy được cung cấp một tài khoản cá nhân để họ có thể kiểm soát cuộc tấn công, cũng như hỗ trợ kỹ thuật. Nó làm giảm ngưỡng chuyên môn ban đầu mà những kẻ muốn trở thành tội phạm mạng cần có. Ngoài ra, các bài đăng trên dark web còn có nội dung tìm kiếm nhân sự giúp tội phạm mạng phân phối và quảng bá các trang ăn cắp và lừa đảo trực tuyến.

Phân mảng các nhóm ransomware

Năm 2025, có thể các nhóm ransomware sẽ phân mảnh thành các thực thể độc lập nhỏ hơn, khiến chúng khó theo dõi hơn và cho phép tội phạm mạng hoạt động linh hoạt hơn trong khi vẫn ẩn mình. Dữ liệu của Kaspersky cho thấy vào năm 2024, số lượng trang web rỏ rỉ chuyên dụng (Dedicated Leak Sites - DLS) tăng 1,5 lần so với năm 2023. Bất chấp sự tăng trưởng này, số lượng bài đăng trung bình mỗi tháng vẫn giữ nguyên so với năm trước.

Những kẻ điều hành phần mềm tống tiền cũng có khả năng tiếp tục tận dụng mã nguồn phần mềm độc hại bị rò rỉ để tạo ra các phiên bản tùy chỉnh của riêng chúng. Cách tiếp cận này làm giảm đáng kể rào cản gia nhập đối với các nhóm mới, vì chúng có thể tránh được việc phát triển các công cụ từ đầu. Tương tự như vậy đối với các DLS, tội phạm mạng có kỹ năng thấp có khả năng sẽ sử dụng mã nguồn DLS bị rò rỉ của các nhóm khét tiếng để tạo ra các bản sao gần như chính xác của chúng, đây là điều mà chúng ta có thể thấy đang xảy ra trên dark web.

Các mối đe dọa mạng gia tăng ở Trung đông: Chủ nghĩa hacktivism và ransomware đang gia tăng

Theo Kaspersky, một trong những mối đe dọa an ninh mạng đáng lo ngại nhất liên quan đến hoạt động dark web ở Trung Đông trong nửa đầu năm 2024 là hoạt động của các tin tặc. Khu vực này đã chứng kiến sự gia tăng các mối đe dọa này do tình hình địa chính trị hiện tại, có khả năng sẽ tiếp tục gia tăng nếu căng thẳng không giảm bớt.

Các nhà nghiên cứu của Kaspersky đã quan sát hơn 11 phong trào hacktivist và nhiều tác nhân khác nhau trên khắp khu vực. Với tình hình bất ổn địa chính trị hiện tại, các cuộc tấn công của tin tặc đã chuyển từ tấn công từ chối dịch vụ phân tán (DDoS) và phá hoại trang web sang các cuộc tấn công nghiêm trọng như rò rỉ dữ liệu và xâm phạm các tổ chức mục tiêu.

Một mối đe dọa khác có khả năng vẫn hoạt động mạnh mẽ trong khu vực là ransomware. Trong hai năm qua, Trung Đông đã chứng kiến sự gia tăng đột biến về số lượng nạn nhân bị tấn công ransomware, tăng đáng kể từ mức trung bình 28 nạn nhân mỗi sáu tháng trong năm 2022-2023 lên 45 nạn nhân trong nửa đầu năm 2024. Xu hướng này có khả năng sẽ tiếp tục đến năm 2025.