在網路犯罪的世界裡,俄羅斯網路犯罪地下市場早已是全球最精密、最有影響力的生態系之一。這裡不僅有高度專業化的駭客、先進的攻擊工具,還有嚴密的合作文化,讓網路犯罪不斷推陳出新,影響範圍遍及全球。全球網路犯罪生態正經歷一場重大變革。其中,俄羅斯網路犯罪地下市場與中文網路犯罪圈的合作日益緊密,這不僅擴大了威脅範圍,也使攻擊手法更加多元、隱蔽。
俄羅斯網路犯罪地下市場的演變:從勒索病毒到心理戰的全面滲透
俄烏衝突等地緣政治事件,改變了駭客集團的攻擊目標與運作方式。以往駭客會刻意避開俄羅斯地區,但現在這些地區也成為攻擊目標。此外,網路犯罪已不再侷限於單一地區,跨國合作讓駭客能更靈活地規避執法,並擴大攻擊目標範圍。俄羅斯網路犯罪與中文網路犯罪論壇上,雙方開始交換漏洞資訊、攻擊工具、目標名單等資源,甚至共同策劃攻擊行動。
俄羅斯網路犯罪地下市場為何難以瓦解?文化與技術的雙重支撐
俄羅斯網路犯罪地下市場之所以難以根除,與其背後的文化、教育背景密不可分。這些駭客多數來自數理與工程教育扎實的背景,技術能力不容小覷。再加上地下論壇普遍採用嚴格的聲望制度與成員驗證機制,使其形成一個有「行規」、有「社會信用」的封閉社群。
由於地下市場對執法機關的滲透相當戒慎恐懼,因此新人若對其文化沒有足夠的熟悉度,通常會被拒絕。這樣的謹慎作法,甚至也延伸到論壇安全方面,它們會設置一些跟文化有關的 CAPTCHA 真人驗證來過濾非土生土長的參與者。
從技術供應到服務交付,這個市場分工細緻、效率極高。管理者、工具開發者、詐騙執行者、洗錢者各司其職,建立起如同合法產業的「供應鏈體系」。新進人員若未通過文化認證或技術測試,很難立足其中。
威脅不斷升級:從勒索病毒到假身分詐騙
地下市場的產品與手法也持續進化。最為人熟知的勒索病毒攻擊已從單純加密檔案,演變為「雙重勒索」(Double Extortion)——駭客在鎖檔前先竊取機密資料,若受害者不付款,就威脅將資料公開販售。這種資料外洩又催生出假身分詐騙與深偽(deepfake)攻擊,攻擊者能以 AI 工具自動生成身分、語音或影像進行進一步詐騙。
Web3 詐騙:自動化詐騙腳本與獵物分類文化
新興的 Web3 領域同樣未能倖免。俄羅斯語地下市場中,已有專為加密貨幣投資者設計的詐騙腳本,攻擊者會假冒專案方在 Telegram 或 Discord 上誘導用戶進行資金轉帳。此外,詐騙者會以動物分類(如「長毛象」)來標記特定類型的受害者族群,並建立針對性誘騙流程,展現出令人咋舌的系統性與效率。
實體犯罪與心理戰服務商品化
更令人憂心的是,該地下市場已開始結合實體犯罪與精神攻擊。所謂的「暴力即服務」(Violence-as-a-Service)模式,讓駭客與犯罪集團合作,提供 SIM 卡封鎖、恐嚇電話、甚至人身威脅等「離線打擊」服務。
精神操作(Psychological Operations, PsyOps)也開始商品化。部分駭客團體會提供假新聞製作、社群輿論操控與名譽摧毀等服務,直接針對企業高管或公眾人物,擴大攻擊效應與心理壓力。
延伸閱讀:
連「洗腦」都能外包?網路犯罪的黑暗新商機
地緣政治效應與「潛規則」的瓦解
俄烏戰爭與區域衝突加劇,也正逐步改變地下市場的行為規則。過去俄羅斯文地下論壇存在「不攻擊母國」的潛規則,但這項默契正在瓦解。越來越多攻擊針對俄羅斯與烏克蘭本地企業,並開放招聘相關語言背景的攻擊者,顯示其已不再「只對外作戰」。
俄羅斯與中文網路犯罪圈越走越近
俄烏衝突等地緣政治事件,改變了駭客集團的攻擊目標與運作方式。以往駭客會刻意避開俄羅斯地區,但現在這些地區也成為攻擊目標。此外,網路犯罪已不再侷限於單一地區,跨國合作讓駭客能更靈活地規避執法,並擴大攻擊目標範圍。俄羅斯網路犯罪與中文網路犯罪論壇上,雙方開始交換漏洞資訊、攻擊工具、目標名單等資源,甚至共同策劃攻擊行動。
隨著全球制裁與地緣政治緊張加劇,俄羅斯網路犯罪集團需要新的金流管道與技術資源。而中國駭客則擁有強大的技術基礎與市場資源,雙方合作能互補優勢,形成更強大的技術與資源互補犯罪聯盟:
- 俄羅斯駭客擅長勒索病毒、網路釣魚、帳號暴力破解等手法。
- 中國駭客則在惡意軟體開發、電子郵件詐騙、Web3攻擊等領域表現突出。
- 合作後,攻擊手法更加多樣化,威脅範圍也從單一國家擴大到全球。
此外,西方制裁與加密貨幣普及使駭客能繞過傳統金融系統,進一步降低執法風險與成本,使得整體地下活動更加活躍。
對企業的啟示:從戰術防禦走向戰略性資安布局
面對這樣高度系統化且持續進化的威脅,企業若僅以傳統的技術防護思維應對,將難以有效預防攻擊。資安防護必須轉向更高層次的策略規劃,建議導入「資安曝險管理(Cyber Risk Exposure Management, CREM)」架構,從攻擊者視角出發,全面盤點可被利用的弱點與資產暴露風險。
此外,企業應高度重視情資驅動的防禦模型,透過威脅情報掌握地下市場的動態與趨勢,提早布建應對機制。
結語
在網路犯罪的世界裡,俄羅斯網路犯罪地下市場早已是全球最精密、最有影響力的生態系之一。這裡不僅有高度專業化的駭客、先進的攻擊工具,還有嚴密的合作文化,讓網路犯罪不斷推陳出新,影響範圍遍及全球。唯有正視這些結構化、專業化且與地緣政治密切相關的網路犯罪趨勢,企業與政府才能真正建立起具韌性的資安防禦體系。
俄羅斯文網路犯罪地下市場依然是當今全球網路犯罪版圖當中最精密、強韌、且最有影響力的生態系。該地下市場 (以及參與的分子) 有幾個明顯特徵,例如:使用進階工具和技巧、專門針對各種線上和實體服務的論壇和市集,以及一種根深蒂固的祕密合作文化。多年來,這裡一直是網路犯罪的創新先驅,總是率先開發一些其他駭客隨後將起而效尤的新式攻擊。
即使在經歷了新技術與網路犯罪商業模式的不斷演變,以及地緣政治所帶來的變化,該地下市場依然深深左右著全球資安威脅情勢的發展,並且將活動範圍拓展至先前未曾涉略的領域 (如電信基礎架構與 IoT 裝置)。此外,其金流與後勤營運因制裁而被迫改變,更加突顯出這個地下市場強大的適應能力和韌性。
然而這樣的發展卻為企業、政府機關以及個人帶來了重大的風險,突顯風險與情報導向防禦策略的重要性。企業必須採取一套「資安曝險管理」(Cyber Risk Exposure Management,簡稱 CREM) 框架,優先掌握有關敵人的深度洞察,才能有效防範這些威脅。
完整的威脅情報,並適時地預測威脅情勢的變化,是預先掌握新興風險的重要關鍵。強大的風險與威脅情報導向方法需要的不單只有戰術上的認知,還要對敵人不斷演變的手法及整個網路犯罪生態系有策略性的理解。資安人員必須認知一點:有效的網路資安不能只是被動回應,而是要採取一套長期的情報導向策略來持續因應最新威脅。趨勢科技憑藉著數十年的深入研究,針對俄羅斯文網路犯罪地下市場提出了無人能及的深入洞察,為企業機構提供必要的情報來主動對抗持續演變的威脅。
原文參考:The Ever-Evolving Threat of the Russian-Speaking Cybercriminal Underground