通过对俄罗斯和中国黑客地下网络罪犯的调查，我们可以看到，这两个社区在利益和经营方式上存在明显差异。

过去一年，“记录未来”的研究人员监测了各种市场的活动，其中包括用于处理非法内容或从事非法活动所用工具的活动。

他们主要关注的是中国和俄罗斯的社区，并且发现这两个社区的成员很少在地下论坛上混在一起，他们的动机也各不相同。

俄罗斯地下市场

与许多人的想法相反，大多数俄罗斯网络犯罪社区仍然可以通过clearnet访问。他们的论坛在Tor网络中设置服务器作为备份，在网络崩溃时可以使用它，这使得用户不需要VPN也能使用论坛。

管理员采用了很多方式来保持其论坛的正常运行，而基于区块链的DNS就是其中之一。

在封闭式论坛 – 完全私人社区中，当你展示了证明非法服务的材料，或者论坛现有的成员为你提供担保时，你就可以访问论坛。但是这个访问通道很快就会被禁止，以避免暴露给其他人。

根据记录未来的报告，俄罗斯网络犯罪分子聚集的论坛组织得非常好，成员们只对开展业务感兴趣。

他们正在谨慎的保护他们的资源（比如恶意软件源代码），并且他们往往采用赚钱的商务策略来运营论坛。

记录未来解释说：

在地下的恶意程序，如银行木马和装载器，往往以“构建”的形式出售给大众，这类似于个人软件的许可证。

通常的做法是，恶意软件的作者可以完全控制源代码。这不仅保证了最大程度的货币化，也保护了财产免受衍生品或类似恶意软件的竞争。

在这些论坛上兜售的非法内容和服务的类型与以往一样，但都是适应了现代的。

报告称，

勒索软件、加载程序、特洛伊木马程序、漏洞利用工具包、安装程序、垃圾邮件机器人、网络流量、伪造文件、钱骡、银行账户和信用卡等都存在并被占用。

但是，有些事情发生了变化。例如，现在可以通过自动化服务获得大量被盗的数据。其中，加工商可以订购他们想要的信用卡和借记卡信息，而无需与其他用户交互。

托管服务是非法服务的支柱，因此提供匿名且不在执法管辖范围内的基础设施（即防弹和快速通道托管）非常受欢迎。运营十多年的供应商的价格仅为每月100美元。

中国地下市场

中国兜售恶意软件和非法服务的小贩与俄罗斯人形成了鲜明对比。首先，由于中国的防火长城(Great Firewall of China)对网络流量施加了限制，他们无法获得同等水平的工具和信息。

同时也由于语言障碍，将中国的地下社区与世界其他地区隔离开来，这为低技能黑客创造了更多的本地市场。更高级的黑客可以在Tor网络托管的网站上访问更好的工具，但访问它们需要“跳跃”长城防火墙，这是很少人具备的技能。

与俄罗斯社区的核心区别在于，中国黑客鼓励社会化和友情。他们互相帮助，并经常分享他们为同行评审目的而制作的工具的源代码，并交换有关如何改进它的建议。

由于政府的规定，地下论坛的成员在开展业务时面临更多的挑战。对加密货币的禁令给了他们更少的支付选择，而其他支付选择可能不会隐藏他们的身份。

支付宝和银行转账是论坛公布的普遍接受的支付方式，而俄罗斯人则在一段时间内转向Monero和比特币，刺激了兑换服务的出现，使交易所成为法定货币。

报告称，

中国论坛通常也不像俄罗斯同行那样分散，反而更注重社区，不是以商业为重点。

至于销售内容，中国人有不同的品味和兴趣。分布式拒绝服务（DDoS）工具和远程访问特洛伊木马的需求量很大，防病毒规避技术和渗透测试实用程序也是如此。还有编程和黑客教程也有很大的市场需求。

数据泄露的程序也仅仅在华人社区内传播，很可能是因为语言障碍或者国内技术和服务的不同，这对于局外人来说更难以理解。

中国论坛上常见的另一种产品是虚拟专用网络服务。

由于政府要求VPN运营商获得中国官员的许可，使得这些提供VPN服务的广告在地下论坛上不断增加。研究人员注意到，这项禁令在今年3月生效后，底下论坛的相关活动迅速增加。

俄罗斯人和中国黑客都有共同的非法活动欲望，但出于不同的原因和目的。前者的兴趣在于赚钱，而后者主要是为了扩大他们的知识和交换政府禁止的产品。