多次承诺要如期公布，并且暗网网站在倒计时，时间到了怎能不公布，Scattered LAPSUS$ Hunters勒索软件团伙给大家示范了什么才能做到“既当又立”，10日至11日，该团伙磨磨唧唧地泄露了6名受害者的数据，并且同步在叫嚣与威胁。 10月10日，Scattered LAPSUS$ Hunters勒索软件团伙在Telegram发布公告，称其自动化系统将首先在美东时间晚上11点59分泄露澳洲航空有限公司的数据库。此前已有数家公司因拒绝支付费用而遭泄露——因此短暂停歇数分钟，是让澳大利亚民众有时间消化这份恐惧、创伤与愧疚：他们的政府选择守护自身虚荣与尊严，而非保护公民安全。 10月10日，该团伙继续称，实在不忍心让数千甚至更多等待泄密消息的人失望——这些消息本就迫在眉睫，于是该团伙正在重新筛选即将被曝光的企业名单。由于团队半数成员此刻正酣睡在床上，又由于几分钟前上级突然标记了某些事项，未经批准无法继续推进工作。基于此，我们决定采取最佳方案：将泄密时间稍作延后。相关企业数据仍将如期于10月11日曝光。 10月11日，该团伙终于公布了其中6家受害公司的数据： albertsons.com gap.com engieresources.com fujifilm.com qantas.com vietnamairlines.com 虽然有很多人都在问还会泄露什么，但该团伙表示他们不会再有其他泄露了。所有该泄露的都泄露了，没有其他东西可泄露，而且显然他们掌握的东西出于显而易见的原因不能泄露。 此外，该团伙称，由于洋葱网络正承受着海量流量的压力，暗网数据泄露网站现已同步开放至明网：https://shinyhunte[.]rs，“暗网下/AWX”认为该域名估计不久将会被FBI查封。 Scattered Lapsus$ Hunters称将推出公开勒索即服务项目 Scattered Lapsus$ Hunters团伙称，在下周一或下周某个时间，该团伙将推出首款专属的公开勒索即服务（EaaS）项目。运作模式类似勒索软件即服务（RaaS），但不包含锁定/加密功能。他们将为此设立专属门户，并提供参与该服务的操作指南。 该团伙表示，危机管理风险公司/顾问机构，或受害者聘请的谈判专家，通常希望确认对话对象身份，以此通过行为主体的过往记录建立信任与信誉。该计划的核心优势在于：黑客可借用该团伙的名义实施勒索，相较于匿名操作或使用毫无信誉/声誉/信任/历史背景的虚假身份，成功率将显著提升。 该团伙透露，EaaS项目的更多细节将很快公布。 Scattered Lapsus$ Hunters为其勒索攻击做总结并宣称将重点针对五个国家 Scattered Lapsus$ Hunters团伙在Telegram为持续一年的行动进行了小结。其表示，这应成为全球所有政府的警示——一旦遭遇数据泄露，赎金索求便会接踵而至。而最明智的选择是“服从我们，与我们协商解决方案”。 该团伙表示，他们不想再听什么“我们不与[恐怖分子]谈判”的废话。他们不是恐怖分子，只是在维护市场稳定——这是特朗普总统与狗狗币领袖马斯克赋予他们的使命。 该团伙特别警告澳大利亚称真心希望澳洲这次能吸取教训，称几年前其和Shanty摧毁Optus时，就给过澳大利亚多次配合的机会。该团伙要求澳大利亚政府请废除或彻底改革澳大利亚联邦警察局，称澳大利亚警方充斥着傲慢与自负，澳大利亚政府本身亦是如此，要求他们修改法律，调整政策，做出改变。 该团伙威胁称，他们将持续攻击澳大利亚直至澳大利亚重写规则，改变政府之前的决定，放下傲慢自负，未来配合谈判，与其合作。 该团伙针对全球其他政府称：“你们绝不可能阻止我们”，并表示的重点目标始终不变，那就是美国、英国、加拿大、澳大利亚、法国。该团伙警告加拿大说，你们这次没被列入打击目标，真是走运，下次就轮到你们了。 该团伙挑衅联邦调查局称FBI平庸至极，且在做无用功： 请停止浪费资源和资金去查封毫无价值的明网网站breachforums.hn，你们查封它得到了什么？说真的？一无所获。你们只是想吓跑我们吗？显然没成功。你们政府已经停摆，你们却忙着在网上追捕APT青少年。回家吧，辞职吧，退休吧，做点正事。ShinyHunters的名言：“FBI平庸至极”。没错，你们就是这般水平。 该团伙嘲笑Mandiant/GTIG技术拉跨，且一直被打脸： 你们在识别我们UNC6040行动时表现得最烂——拖了近一年才发现，那时所有数据早已泄露。对我们UNC6395行动的追踪勉强及格，但终究平庸至极，毫无价值。奥斯汀·拉森（Austin Larsen），你这个LGBTQ垃圾，滚蛋去当个同性恋吧，蠢货。最后警告Mandiant：别再主动找我们打脸了，因为当我们狠狠扇你耳光时，那滋味他妈的痛彻心扉。相信我，你绝对不想尝到那种滋味。我们能像搞垮捷豹路虎那样锁死整个谷歌云，让你们六七周进不来。别惹我们，去调查中国或Cl0p（又名Sl0p SaaR）吧。 该团伙称，那些配合他们的企业心知肚明，他们做出了正确抉择，在此致谢；至于其他那些公然决定不配合他们、拒绝保护客户权益的公司，只要他们存在，他们面临的威胁非但不会减轻，只会与日俱增。该团伙恐吓道，这次不付钱也行，但当他们卷土重来，像对待捷豹路虎那样停摆这些公司的生产线时，这些公司就只能听天由命了。 该团伙忠告Salesforce总部称： 请放下你们的傲慢与自负，我们将发起更具破坏性的行动，届时希望你们能改变主意。无论耗时多久，我们拥有无限的资金、资源、人力支持和后盾，足以永无止境地开展此类行动。 我们本可采取更恶劣手段，但选择保持简单直接。 该团伙“强烈建议并全力鼓励所有人持续攻击那些拒绝向网络攻击者支付赎金的国家（如澳大利亚），因为这种行为只会助长恶性循环”。该团伙表示，像他们这样经年累月建立信誉的团队不会这么做，他们既非网络攻击者亦非“恐怖分子”，而只是商人，做完生意便转身离去。 最后，该团伙表示，此刻起，全球所有企业都应默认将其视为真实威胁——对你个人、对你的公司、对关键基础设施、对国际安全构成威胁，因为他们永不停歇：“2026年再会”。 澳洲航空旅客信息及餐食选择等570万条记录遭泄露 澳洲航空表示，由于云软件公司Salesforce拒绝向Scattered Lapsus$ Hunters支付赎金，其570万条客户记录在暗网上泄露。 Salesforce排除了向Scattered Lapsus$ Hunters支付赎金或进行谈判的可能性，而澳洲航空周日证实，570万客户的数据已被泄露。 澳航表示，大多数客户记录仅限于姓名、电子邮件地址和飞行常客详细信息。一小部分信息还包括公司或家庭住址、出生日期、电话号码、性别和膳食偏好。 Scattered Lapsus$ Hunters继续威胁澳大利亚与挑衅美国FBI Scattered Lapsus$ Hunters勒索软件团伙口嗨的能力很强，一直在其Telegram频道大放厥词，该团伙发布消息威胁澳大利亚称： 我定要将你们国家炸得稀巴烂。澳大利亚向来以无能和无关紧要著称。 你们所谓的“追捕”、“搜寻”和“消灭”我们，根本是痴人说梦。清醒点吧，你们政府顶多能跑去向头号盟友美国哭诉，请求协助处理那些远远超出澳大利亚政府能力范围的事务。 去你妈的！ 该团伙发布消息挑衅FBI称： 鉴于联邦调查局企图抹杀我们历史遗产的特殊情况，我们特此决定暂时放弃沉寂，即刻予以反击。此刻我们将再度消散于虚空。晚安。 Scattered Lapsus$ Hunters团伙能做出什么惊天举动与反击，“暗网下/AWX”将继续拭目以待。

今日，FBI查封了勒索软件团伙Scattered Lapsus$ Hunters使用的BreachForums域名（Breachforums.hn），正如前期“暗网下/AWX”报道，勒索组织针对Salesforce及其客户开展黑客攻击后开设了暗网泄密网站，而该域名是数据泄露网站在明网的镜像。 今年夏天，Breachforums[.]hn域名曾用于重新启动暗网数据泄露论坛Breachforums，但在一些核心运营管理员被捕后，该网站很快再次下线。根据“暗网下/AWX”之前的报道，今年6月份，法国执法部门逮捕了包括ShinyHunters、Hollow、Noct和Depressed在内的四名BreachForums成员，美国起诉了另一名BreachForums成员IntelBroker。7月份，ShinyHunters曾宣布重新启动 BreachForums，一个月后，新BreachForums论坛下线，ShinyHunters发布了一条带有PGP签名的消息，称该论坛的基础设施已被法国BL2C部门和FBI查封，并表示不会再重启。 本月初，该域名被Scattered Lapsus$ Hunters团伙转变为针对Salesforce数据泄露的网站，目的是勒索Salesforce以及受到影响的客户公司。根据“暗网下/AWX”之前的介绍，Scattered Lapsus$ Hunters团伙由与Scattered Spider、Lapsus$和ShinyHunters勒索软件团伙有关联的成员组成。 本周，Breachforums[.]hn域名已经无法访问，10月8日，该团伙在Telegram频道宣布不再运营明网域名。10月9日，Breachforums[.]hn域名被FBI接管，域名的NS服务器被切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov，目前访问该域名显示巨大的扣押横幅。 根据扣押信息，在Scattered Lapsus$ Hunters团伙开始泄露Salesforce被盗数据之前，美国和法国的执法部门合作控制了BreachForums的所有网络基础设施。 FBI在X上称，联邦调查局及其合作伙伴已查封与BreachForums相关的域名。该犯罪市场平台被ShinyHunters、Baphomet和IntelBroker等团伙用于贩卖窃取数据并实施敲诈勒索。此次行动切断了犯罪分子利用该枢纽平台牟利、招募同伙及跨行业锁定受害者的关键通道，彰显了国际执法协同行动的威慑力——必将让网络犯罪幕后黑手付出代价。 The FBI and our partners have seized domains associated with BreachForums, a major criminal marketplace used by ShinyHunters, Baphomet, and IntelBroker to traffic stolen data and facilitate extortion. This takedown removes access to a key hub used by these actors to monetize… pic.twitter.com/aiTRzFCIYU — FBI (@FBI) October 12, 2025 对此，Scattered Lapsus$ Hunters团伙在Telegram频道挑衅道，扣押一个域名不会影响其行动，FBI还需要更加努力。 Scattered Lapsus$ Hunters团伙在Telegram频道发布声明回应明网域名被扣押 10月10日，Scattered Lapsus$ Hunters团伙在Telegram频道、暗网网站以及pastebin同步发布带有PGP签名的声明，确认Breachforums[.

根据爱尔兰警方的新闻稿，爱尔兰警方正在调查暗网上的犯罪活动，在对梅奥郡西部农村地区的两所房屋进行搜查后逮捕了两人。 周三，爱尔兰国家网络犯罪局 (GNCCB) 在对梅奥郡西部农村地区的一次重大行动中，一名男子和一名女子因涉嫌洗钱和非法使用计算机而被捕，他们已被起诉，并于10月9日出庭。 10月8日星期三上午，爱尔兰警察对该县农村地区的两处住宅进行了有计划的搜查，随后将这两人拘留，两人年龄均为30多岁。 据爱尔兰警察称，此次逮捕行动是爱尔兰国家网络犯罪局牵头的针对暗网犯罪活动的情报调查的一部分。 在调查过程中，两人因涉嫌非法使用计算机（违反 2001 年《刑事司法（盗窃和欺诈罪）法》第九条）和洗钱（违反 2010 年《刑事司法（洗钱和恐怖主义罪）法》第七条）等罪名而被捕。 在搜查过程中，爱尔兰警察缴获了大量疑似大麻药草以及大量可供警方取证的电子设备。 这对男女目前被关押在梅奥郡的一家警察局，根据1984年《刑事司法法》第4条的规定进行拘留。两人于10月9日在卡斯尔巴地方法院出庭，庭审情况暂未公布。 爱尔兰警方已确认调查仍在继续。 去年爱尔兰警方在摧毁了出售非法商品和服务的暗网市场的时候，爱尔兰国家网络犯罪局警司迈克尔·马伦曾表示： 爱尔兰国家网络犯罪局专业调查员对暗网犯罪市场活动进行了高度复杂的调查，爱尔兰始终坚定地认为，对于任何形式的犯罪​​行为而言，本司法管辖区都不是一个安全的地方，也表明爱尔兰警察部队（An Garda Síochána）决心阻止犯罪分子从中牟取经济利益，无论其利润形式如何

勒索软件团伙Scattered LAPSUS$ Hunters在发布其暗网泄密网站后，“暗网下/AWX”看到，在其Telegram频道中异常嚣张，除了日常发出包括Dell、Telstra等新的受害者外，新的消息显示其在不断威胁恐吓Salesforce及其客户，挑衅FBI，并贬低cl0p等其他勒索软件团伙。 Scattered LAPSUS$ Hunters继续恐吓Salesforce及受害客户 路透社已经报道：”LAPSUS$黑客组织成员周五在暗网发布泄露网站，列出了据称已入侵的约40家企业。目前尚不明确这些公司是否为Salesforce客户。黑客与Salesforce均拒绝透露是否正在进行赎金谈判。” 该团伙表示，上周路透社询问Salesforce是否会与其接触/谈判时，Salesforce公司最初称“拒绝置评”。对于所有询问“你们向Salesforce索要多少赎金”的媒体，该团伙表示同样不予置评。该团伙不断提醒，勒索的截止日期将于纽约时间2025年10月10日晚上11点59分结束。 Scattered LAPSUS$ Hunters团伙威胁称，请有人告知Salesforce公司：若他们立即支付针对我们DLS系统中列出的39起数据泄露事件的赎金，我们将不会继续披露Salesloft（UNC6395行动）的数据泄露事件。另外，该团伙直接发布针对Salesforce公司的消息： 别成为下一个头条新闻。贵公司SalesForce客户的完整数据库已遭泄露，避免数据公开泄露引发巨大法律、财务及声誉损失的唯一途径，是立即通过电子邮件[email protected]联系SLSH。SLSH将协调安全通信渠道，立即配合可有效限制数据暴露范围、保障数据完整性，并为我们在敏感客户记录出现在公共论坛、全国新闻及DLS系统前控制事件提供最佳机会。拒绝或拖延只会让最终的头条新闻更加不堪。请做出正确抉择。 该团伙继续表示，Salesforce公司与其私下协商最符合贵方利益，只有这样才能彻底解决此事，让生活回归正轨——这场闹剧已经持续太久。该团伙明确强调：自己拥有充足资金、资源、支持和资金保障，足以让攻击持续不断。 该团伙继续称，或许你们以为曼迪安特（Mandiant）或联邦调查局（FBI）会终结此事，但必须再次明确：这种可能性微乎其微。该团伙同时威胁受害公司： 针对Salesforce平台上39家企业客户，我们强烈建议您立即与我们接洽——距离最后期限仅剩不到3天。显然，您的SaaS服务商无意拯救您。切勿成为下一个牺牲品。 对此，Salesforce再次明确告知客户不会向黑客支付勒索费用。 Scattered LAPSUS$ Hunters嘲笑cl0p勒索软件团伙技术差劲 该团伙称cl0p勒索软件团伙的技术太差，并指出了6点： 当你不得不对企业喊“喂！是我啊！去谷歌搜搜我啊！！”时，你就该明白自己在网络安全圈外根本是个无人问津的无名小卒。 你们知道Oracle EBS是什么吗？里面存的那些数据，根本没有哪家公司会为之支付赎金。要是真有公司付钱，那我倒要惊叹自己判断失误——不过那公司绝对是蠢到家了 他们真敢勒索Oracle EBS的数据？？ 这帮人显然不懂如何通过t3://协议跳板，更别说利用WebLogic管理服务器渗透到IDM/SSO这类关键网络了，笑死 估计cl0p这些年损失了不少人手，缺乏执行大规模黑客攻击所需的能力、资源、人员和技术，所以他们大概是这么想的： “直接从Oracle EBS抓取能拿到的数据就行，懒得进一步跳转了——毕竟我们实在搞不定老旧的RHEL 2.x-3.x内核（Oracle常挂原版RHEL），搞不好直接让服务器变砖😂” 你们太差劲了，拜拜 该团伙继续嘲笑，别提cl0p的勒索软件了，简直烂透了。那不过是个基于标准C++的文件加密器，混用RSA和Salsa20算法，唯一创新就是加了个killmsexchange开关防止数据库损坏。代码写得一塌糊涂，到处留下取证痕迹，全球所有杀毒厂商都已经破解分析过了哈哈哈。 该团伙称cl0p维护的不过是个基础Windows加密器，难怪这么无足轻重。当公司不付钱时，就知道用破烂的蹩脚英语邮件轰炸对方。并继续谩骂cl0p道： 你们就是勒索软件界的电话推销员。永远达不到我们的高度，永远无关紧要。你们简直就是勒索软件界的印度骚扰电话推销员。 cl0p，你们的“Oracle EBS”根本不算黑客攻击，纯粹是配置失误——你们只是滥用默认密码重置机制，祈祷企业懒得处理。自2020年以来你的整个操作模式如出一辙：找个文件传输方案（Accellion、MOVEit、Cleo等），利用0day漏洞，像乞讨的吉普赛人一样给公司发邮件勒索赎金，然后在谷歌上搜索你们团伙——创新何在？转型何在？你还在维护那个基础的C++加密器，所有杀毒厂商早就破解了。你们自制的破工具就暴露了粗鄙本性：引以为傲的LEMURLOOT网页shell竟用硬编码密码认证，笑死；你们的勒索软件在每个文件里留下Clop^_-标记，活像智障黑鬼在涂鸦上签名。你们害怕俄罗斯人，所以代码里直接写了不执行俄语系统包的逻辑。你们根本不是什么不可触碰的黑客艺术家，不过是明目张胆的经济犯罪分子，所有人都看穿了（所以才让你们这种无名小卒来冒用我们的泄密成果）。继续你们的垃圾邮件轰炸吧，我们会在网络里干正事——我们一个人的价值抵得上你们所有人。祝你们愉快啊，废物！ Scattered LAPSUS$ Hunters宣称将会制造恐怖的2026年 该团伙表示，其不再运营明网域名，所有服务将迁移至洋葱网络。 该团伙嘲讽联邦调查局因政府停摆而消极怠工，称“本案的主办警官们八成正溜到哪儿鬼混去了”。此外其还散步威胁言论： 2026年将是可怕的一年。最可怕的一年。我们最擅长制造可怕的年份。真的，最擅长。没人能像我们这样把年份搞得如此可怕。千真万确。千真万确。人们都这么说：你们制造的年份太可怕了！而我们确实如此！没错。你们会亲眼见证。我们将让它变得无人能及的可怕。 接着该团伙在频道中呼吁大家卖空SALESFORCE股票，并计划在纽约时间10日晚上11点59分整，开始泄露未付款的公司的数据。目前看，无论Salesforce公司还是受害企业均不会支付赎金，该团伙是否会如期泄露全部数据，让我们拭目以待。 FBI将如何打击这个勒索软件团伙，“暗网下/AWX”将继续关注。

“Scattered LAPSUS$ Hunters”是一个新的暗网勒索软件团伙，由三大勒索软件团伙Scattered Spider、Lapsus$和ShinyHunters合并而成，近期，该团伙推出了基于Tor的暗网数据泄露网站，其中包含42家受害公司。推出该暗网网站目的是迫使受害者向其付费，以避免被盗数据被公开发布。 该勒索软件团伙宣称已攻破Salesforce系统，通过针对Salesforce的供应链攻击窃取了其客户的约10亿条记录。该团伙指控Salesforce缺乏双重认证及OAuth防护机制，称逾百个实例遭入侵，并威胁将实施数据泄露、提起诉讼及披露技术细节。 目前其暗网泄密网站（http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid[.]onion）发布了42家公司，包括保险巨头安联人寿、墨西哥航空、开云集团、法国航空、谷歌、思科、Stellantis、澳洲航空、汽车巨头Stellantis、信用机构TransUnion以及员工管理平台Workday等，这些公司均因受到针对存在漏洞的Salesforce实例的攻击而被影响。 FedEx – 1.1TB Aeroméxico – 172.95GB Qantas Airways – 153GB UPS – 91.34GB HMH – 88GB Vietnam Airlines – 63.62GB Toyota Motor Corporation – 64GB Stellantis – 59GB Air France & KLM – 51GB Republic Services – 42GB Adidas – 37GB Disney/Hulu – 36GB Canvas by Instructure – 35GB Instacart – 32GB McDonald’s – 28GB TripleA – 23GB TransUnion – 22GB Home Depot – 19.

9月底，“暗网下/AWX”看到，名为“globalmonero”的成员在暗网Dread发布主题宣布，新的暗网门罗币点对点交易平台Global Monero功能全面上线，正式开放注册，诚邀新老交易者加入。 globalmonero表示，自去年五月LocalMonero关闭以来，其一直在开发全新的无需KYC认证的点对点XMR交易平台，如今终于准备好向公众发布首个版本，欢迎暗网用户前来体验，并称也可通过明网访问Global Monero，期待能够听到门罗币社区的反馈！:-) globalmonero宣布了新门罗币交易平台Global Monero的特色： 无KYC认证 无JS脚本 隐藏服务 开放注册 交易者无需邮箱注册 在公告中宣称，如果用户已经在类似平台（AgoraDesk、Paxful、LocalCoinSwap）建立交易信誉，可以告知，其将为此类用户导入信誉记录！ Global Monero兼具点对点交易以及交易仲裁平台双重功能，与LocalMonero类似，发件方需先将XMR存入网站托管账户，以便工作人员处理交易过程中可能出现的纠纷。网站最终将对完成交易收取1%手续费，但是开放测试期（截至11月1日）免收平台费用！ globalmonero提醒用户注意，因为这是该网站的首次测试版发布，可能存在各种问题，用户如果有任何疑问或遇到网站问题，可以反馈，也可通过私信联系官方！:-)对于关键问题，其还提供⚠️漏洞悬赏⚠️，即可以给予赏金。 对于需要提供服务支持、漏洞报告或功能建议的用户，Global Monero官方提供了一个邮箱：service@globalmonero[dot]co globalmonero在帖子的回复中发布了带有PGP签名的网站信息，以验证自己的Global Monero网站管理员身份。 —-BEGIN PGP SIGNED MESSAGE—– Hash: SHA512 http://globalxmrdr4zospiujlhkanhkpl5zouwynfmduaq5qhfcxnshi4ksyd.onion/pgp.txt Signed with the Global Monero Service Key. Post /post/1355724096b97b01e8bb is authentic. —–BEGIN PGP SIGNATURE—– iQITBAEBCgB9FiEE60eNiEY0SaME8SXdXJgNEMTMQwoFAmjZV6FfFIAAAAAALgAo aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldEVC NDc4RDg4NDYzNDQ5QTMwNEYxMjVERDVDOTgwRDEwQzRDQzQzMEEACgkQXJgNEMTM QwpOKgwA1T0lvaLmTNLQaWTGtuwJPCC8Ao2Oatzv8CWKELkRmZMODtNhHQvLZ1R/ zFlLcjxG8kEy7Rh18twhKxq18R6G0z4qmtYnxUJHXX+CfEjAV4i8X8iLtwQUqpUL KbcTUmCYq+QMqpAbMmiYS7yN3B36mVmvQWCGxSu8+5Uiaoz3JlCNWsUeVNj7vv/s yf3ViWZ3zrNgbf0A+LobXbEnsOLQ5tDYjcTkFKC7gRX+Bn0T+yHOrOpHvnSYndpX 1t3Sr6dG/Gk60EHhGous0oaAm78Gwqp6LL7/4SIEfRIIvS1ZN1AR7sxBBRQtGXba 33GoDoSUB70h+U0y4oLmR1VSIBIrLORI3Pb41per3TA6dB5X5vgHXS5kpYzBQcA0 XmMeFGBJ+KdFlTLgwwDyQbvGshpCvMO/+TY2cG7RLhzaAdKOVIdgIEZnKunFXSQy eKuBzWrUgM+5qcGhk+0dKnLyMDZweuc2yGYdg2MglH4arQRrh6L5ljHw/refxHF4 /AWeKu/Q =DVlR —–END PGP SIGNATURE—– Global Monero的明网地址是：http://globalmonero[.]co Global Monero的暗网地址是：http://globalxmrdr4zospiujlhkanhkpl5zouwynfmduaq5qhfcxnshi4ksyd[.]onion “暗网下/AWX”认为，暗网中的此类平台非常多，由于缺乏信誉度与公信力，使用此类平台需要格外谨慎，此类暗网网站是否靠谱请自行核实。与暗网交易市场一样，用户极有可能遭遇退出骗局，门罗币被网站运营者倾吞。 此外，尽管此类平台提供了匿名性，请勿用于犯罪用途，否则天网恢恢、疏而不漏，人在做，天在看，执法机构在抓捕！ 更多暗网新闻动态，请关注“暗网下/AWX”。

在2024年遭受执法部门的打击并在2025年遭遇包括聊天记录、管理系统截图等内部数据的泄露后，LockBit勒索软件团伙已经销声匿迹许久，上个月，LockBit在一个暗网论坛上宣布推出了LockBit 5.0，并宣称其加密速度和规避策略均有所提升，新的版本具有增强的功能和改进的勒索软件面板。尽管LockBit曾是勒索软件界的领头羊，但过去一年中受害者数量大幅下降，与Akira和Qilin等竞争对手相比，目前仅有约60名受害者。 暗网勒索软件团伙LockBit的LockBit 5.0网站：lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.]onion 近期，趋势科技发布的一项新研究，证实了LockBit勒索软件团伙针对Windows、Linux和VMware ESXi系统部署了名为LockBit 5.0的新变种，这表明该团伙正在持续采取跨平台策略，攻击包括虚拟化环境在内的整个企业网络。新的Windows变种使用DLL反射技术加载有效载荷，并采用ETW修补等反分析技术。LockBit 5.0在所有平台上都实施了行为改进，包括随机化的16个字符文件扩展名和感染后日志清理程序。 由于过去的执法行动、源代码泄露以及新勒索软件团伙的崛起，LockBit的复兴面临挑战。业界对竞争对手提供的利润分享模式和高级功能的回应，给LockBit的复兴带来了障碍。在不断变化的威胁和监管审查中，LockBit力求重拾昔日的领先地位，网络安全领域仍需保持警惕。 LockBit is down again —XOXO from Prague LockBit's 5.0 panel just got wrecked lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.onion]#LockBit #Ransomware pic.twitter.com/mTZDlbXwJM — xoxofromprague (@xoxofromprague) September 11, 2025 LockBit勒索软件的演变历史 LockBit勒索软件团伙作为一个高产的勒索软件即服务（RaaS）团伙，自2019年问世以来其LockBit勒索软件已历经多次版本迭代。尽管执法部门曾发起重大打击行动（2024年初的克罗诺斯行动）查获其服务器并泄露解密密钥，该团伙仍以LockBit 5.0版本卷土重来。最新版本被该团伙定位为“强势回归”，宣称具备更快的加密速度、更强的规避能力以及全面升级的联盟计划。 LockBit于2019年首次以ABCD勒索软件之名出现，其名称源于加密文件后缀“.abcd”。早期版本功能较为基础，仅专注于快速加密本地文件，尚未采用如今的高级战术。 2021年，LockBit 2.0实现了重大突破。该版本引入专为数据窃取设计的工具StealBit，使攻击者能大规模窃取敏感数据。同时新增通过SMB和PsExec实现的自动化传播功能，使附属攻击者能在企业网络中快速扩散。同期该团伙将攻击目标扩展至Linux和VMware ESXi系统，标志着其转向大型企业猎杀的战略转型。 2022年推出的LockBit 3.0将创新推向新高度。该团伙率先推出漏洞悬赏计划，公开邀请黑客协助改进其恶意软件及暗网网站。其采用间歇性加密技术加速攻击进程——仅对大文件进行分块加密，即可彻底破坏文件功能。此版本使LockBit稳居全球最活跃勒索软件团伙之首，当年报告的勒索事件中逾40%由其制造。2022年末泄露的构建工具包，让研究人员以及竞争对手能够一窥LockBit已具备的高度定制化能力。 到2024年底，LockBit通过推出LockBit 4.0回应执法压力。该版本几乎是完全重写，采用.NET Core开发，具备模块化架构和增强的隐蔽性。打印机垃圾邮件等高噪音功能被移除，取而代之的是API解钩、混淆技术和更隐蔽的执行机制。加密速度达到新高度，能在数分钟内瘫痪大型网络。附属成员获得更多灵活性：支持定制勒索信函，并兼容Linux及VMware ESXi环境。 如今，在经历全球性打击行动与内部泄密后，该勒索软件团伙正试图通过LockBit 5.0全面复苏，并纪念该团伙成立六周年。新版延续模块化设计，引入更强效的现代EDR规避机制，并推出改良版附属激励计划以重建网络。最终打造出比历代版本更快、更具韧性且适应性更强的勒索软件变种。 新推出的LockBit 5.0比以往要危险的多 趋势科技研究显示，新推出的LockBit 5.0勒索软件变种，比以前的版本“危险得多”，并且正在野外部署。研究人员已经发现了一个Windows二进制文件，该网络安全公司在一篇博客中证实了LockBit 5.0的Linux和VMware ESXi变体的存在。 研究人员指出，Windows、Linux和VMware ESXi变体的存在证实了LockBit持续的跨平台策略。这使得攻击者能够同时攻击整个企业网络，从工作站到托管数据库和虚拟化平台的关键服务器。这些变体为附属机构提供了更详细的部署选项和设置。 除了简单地更新加密器之外，此版本还整合了工具、反分析和操作员工效学，使攻击者能够在同一攻击活动中同时攻击Windows、Linux和VMware ESXi。其结果是一条完善的杀伤链：更隐蔽的入侵、更快的加密前防御抑制，以及可延长停机时间的虚拟机管理程序级影响。 对于虚拟化关键工作负载的企业而言，LockBit 5.0勒索软件模型的风险更高；防御者必须将虚拟机管理程序视为Tier-0级别，并假设其爆炸半径远远超出单个端点。 LockBit 5.0勒索软件并非彻底重写，而是对成熟代码库的积极演进，优先考虑规避攻击和速度。其跨平台设计使攻击者无需切换技术，即可在不同操作系统之间顺利切换，而随机扩展、日志篡改和区域设置检查等常见行为则使检测工程更加复杂。 至关重要的是，ESXi加密器以虚拟机数据存储为目标，将一台受感染的主机转化为数十个加密服务。结合加密前的终止服务和Windows上的遥测致盲技术，LockBit 5.0最大限度地缩短了响应者的时间窗口，并削弱了常见的遏制模式，例如网络结构内快照和同网络备份。 此外，LockBit 5.0版本包含重大技术改进，包括删除感染标记、加快加密速度和增强规避能力。趋势科技的研究人员警告称，尽管执法部门在2024年初对LockBit基础设施进行了打击行动，但该团伙通过“积极改进”其策略、技术和程序（TTP），展现出了韧性和保持领先于竞争对手的能力。

9月29日，哈萨克斯坦金融监督局（AFM）宣布关闭RAKS加密货币交易所。该平台深度参与了暗网贩毒和网络诈骗的洗钱活动。该平台运营了三年多，是该地区影子经济的核心组成部分。 本次打击预示着加密货币世界的阴暗角落遭受重创。RAKS是一个复杂的洗钱中心，为超过2.24亿美元的犯罪收益提供便利，这些收益主要来自独联体（CIS）地区的网络诈骗和贩毒。RAKS的倒闭标志着全球打击利用数字资产的金融犯罪的斗争进入关键时刻，其运营于2025年9月29日至30日突然停止。 哈萨克斯坦指控其通过暗网市场洗钱2.24亿美元，当局冻结了67个钱包，其中近1000万美元与非法资金流动有关。RAKS没有合法的合作伙伴，据称只与20个主要暗网市场有联系。 AFM成立于2021年1月，直接向哈萨克斯坦总统汇报，其职责包括防止洗钱和恐怖主义融资，以及调查经济和金融犯罪。在打击加密货币非法流通方面，该机构的工作重点包括三个方面：打击非法挖矿、非法加密货币交易以及非法数字资产交易。 今年4月，该机构报告称，已捣毁24个金融金字塔，并冻结了金字塔组织者以加密货币形式持有的犯罪收益。AFM总共成功阻止了价值420万美元的欺诈性加密货币。 RAKS交易所与暗网市场的合作被揭秘 调查显示，RAKS交易所与20个最大的暗网市场合作，用户超过500万。该平台为哈萨克斯坦、俄罗斯、乌克兰和摩尔多瓦的200多个贩毒团伙洗钱。当局估计，该平台处理的交易总额超过2.24亿美元。 AFM专家分析了4000多个加密钱包，识别出与犯罪收益相关的钱包，并将该平台与2.24亿美元的非法资金流动联系起来。最终，67个与RAKS相关的地址被冻结，共计970万USDT的资产被冻结。 🚫✴️🇰🇿 Kazakhstan just shut down the notorious crypto service Raks Exchange. This platform was a favorite in the criminal underworld, partnering with 20 major Darknet markets with over 5M users 😈. Authorities claim it’s “financial monitoring” — others call it digital… — Solix Trading (@Solix_Trade) September 29, 2025 哈萨克斯坦当局并未透露与RAKS合作的暗网市场的名称。然而，暗网生态系统背景表明，在Hydra被执法机构摧毁以后，一些知名的俄语平台填补了Hydra的空白，例如Mega、Blacksprut、Solaris、Kraken和OMG!OMG!。 早在执法打击行动之前，“暗网下/AWX”已经注意到该加密服务正在关闭的明显迹象，社交媒体账户被删除，客户支持被暂停，暗网论坛上出现了大量关于未履行财务义务的投诉。威胁情报专家现在将这些视为其灭亡的早期预警。 与受监管平台不同，RAKS从未披露过所有者、许可证或审计信息。也没有任何证据表明其与合法公司存在合作关系。相反，据报道，它的“附属机构”是依赖它进行洗钱和流动性的暗网市场。 该案件凸显了一个旧模式：影子加密货币交易所看似稳定，但却是非法市场的渠道。一旦暴露，它们就会在一夜之间消失，导致用户无法获得资金，监管机构也忙于追踪资金流动。 加密货币在暗网的时代可能已经结束 官员们表示，这些措施对贩毒基础设施造成了严重打击，扰乱了供应链，并降低了人们对非法平台的信任。RAKS的关闭预计将对该地区的暗网市场运营产生重大影响。 当局正在继续努力查明RAKS背后的组织者。AFM强调，打击利用数字货币洗钱仍然是重中之重。此前，当局宣布计划在哈萨克斯坦设立数字资产基金，进一步加强监管。 今年以来，执法部门已多次采取行动，关闭暗网加密货币市场。今年6月，美国司法部与欧洲刑警组织合作，关闭了最大的门罗币暗网市场之一Archetyp Market。此外，执法机构在币安的帮助下，关闭了暗网上最大的芬太尼市场之一Incognito Market。

近日，超过15个活跃的知名暗网勒索软件团伙集体宣布“退休”，他们在暗网网络犯罪论坛BreachForums上发帖表示，将停止运营，终止攻击行动，并利用手中的赎金“享受生活”。与此同时，该声明还提到了已被拘留的成员，他们向自2024年4月以来被各国执法部门逮捕的8名成员表示“悼念与歉意”，誓言将对当局进行报复，并努力争取释放他们。 这些勒索软件团伙通过暗网发布声明称，其“行动目的”已达成——即“揭露全球不安全的数字基础设施与系统”，而非单纯勒索。部分团伙甚至试图将自身行为描述为“促进信息安全研究”，虽然此类说法在业界引发广泛质疑。 据悉，包括Lapsus$、Scattered Spider、IntelBroker、ShinyHunters、TOXIQUEROOT等在内的15个以上的暗网勒索软件团伙确认参与此次“退出”，其中不乏曾攻击谷歌、美国航空、英国航空、开云集团、捷豹路虎、米高梅度假村和玛莎百货等知名企业的团伙。 “金色降落伞”和悄无声息的退出 这些勒索软件团伙坚称，担心他们消失是多余的，并表示：“如果你们担心我们，别担心……我们会用我们积累的数百万美元享受我们的‘金色降落伞’。其他人会继续研究和改进你们日常生活中使用的系统。我们会保持沉默。” 他们将退出描述为“享受金色降落伞”的机会，他们称现在将转为“沉默”，并表示“沉默现在将成为我们的力量”，一些成员计划靠积累的钱退休，而其他一些成员据称计划专注于安全研究，而不是攻击。 该声明语气强硬，指出仍被拘留的成员不会被遗忘，特别是对2024年4月被法国当局逮捕的4人表示慰问，称其为“牺牲者”。这些团伙誓言将努力争取释放这些成员，并暗示将对执法部门进行报复。 尽管“宣布退休”看似高调退出，但“暗网下/AWX”认为，这更像是一场策略性公关秀。Black Duck高级员工顾问Nivedita Murthy表示：“各组织应该对这些声明持保留态度。其中一些团体可能决定退出并享受他们的收益，但这并不能阻止模仿团体崛起并取代他们。” 一位匿名安全专家指出：“FBI并不会因为一句‘退休’声明就放弃全球追捕，后续逮捕行动仍将持续。” 此外，“暗网下/AWX”综合多个信源分析，此举可能是团伙内部重组、洗白或更换身份的前兆，未来不排除继续以相同名称或全新品牌继续开展攻击。“退休”声明长期以来一直是行动重置的幌子。黑客通过放弃旧名，躲避起诉，并以新面目重新出现。The Register和其他观察人士警告称，数十亿美元的损失使得黑客不太可能轻易消失。最好的情况是，这项声明标志着黑客行动的暂停。最坏的情况是，它掩盖了黑客为更复杂的攻击活动所做的准备。 无法判断如此多的勒索软件团伙突然“退出”的原因 虽然勒索软件团伙假装退休并在其他地方重组并不罕见，但如此多的团伙选择在同一时间和地点宣布告别，却颇为奇怪。这些公告至少看起来是真实的，因为它们是由这些团伙运营的官方Breachforums账户发布的，然后再转发到他们控制的Telegram账户上。 宣布退出的小型勒索软件团伙包括Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Yukari和Clown。IntelBroker是名单上较知名的勒索软件团伙之一，据信该团伙除了自行发起网络攻击外，还运营着BreachForums。目前尚不清楚此次所谓的退出是否会对BreachForums的未来发展产生影响。这些看似奇怪的小型勒索软件团伙可能与Scattered Spider有关，据报道，Scattered Spider的团伙结构更加灵活，允许其他团伙的黑客随时发动特定攻击。安全研究人员还指出，大多数这些勒索软件团伙都是在 8 月份才开始相互联系并与 Scattered Spider 互动，而这距他们宣布退出仅过去了几周。 进一步佐证“假退休”理论的是，警方对“ShinyHunters”和“Scattered Spider”成员的八次突袭和逮捕，只抓获了低级到中级的参与者，例如SIM卡交换计划中的“钱骡”和“走狗”。据信，这两个团伙的高层领导目前都尚未被抓获。 然而，“暗网下/AWX”认为，勒索软件团伙之所以采取这一伎俩，大概是出于对执法部门关注的恐惧和恐慌。Scattered Spider凭借其于5月份发起的社会工程攻击活动，成为今年最臭名昭著的黑客组织。该组织首先针对英国的大型零售商，随后蔓延至财富500强保险公司和澳大利亚航空公司Qantas等目标。据信 ShinyHunters也在开展针对本地SalesForce安装的平行攻击活动，但最近几周越来越多的证据表明，这两个团伙已经合作了一段时间。据报道，Scattered Spider刚刚有另外两名成员被逮捕，他们都是英国青少年，涉嫌参与2024年对伦敦交通局 (TfL) 的黑客攻击。 但无论目前的恐慌程度如何，黑客几乎肯定会组建或加入新的勒索软件团伙，卷土重来；至少历史经验表明会如此。所谓的“金色降落伞”和数百万美元的回报很可能只是个幌子，让人们误以为他们的退出是合法的，其意图只是在几周或几个月后以全新的品牌卷土重来。 对未来的担忧：警惕“退而不休”陷阱 勒索软件仍是全球网络安全的主要威胁。虽然此次“集体告别”令人瞩目，但安全专家提醒各大机构不要放松警惕。“退出”声明可能为障眼法，掩盖新一轮更隐蔽的行动。 专家预计，未来勒索攻击可能会以不同的名义进行，尤其是考虑到这些组织承认获取的巨额利润。预谋网络攻击的可能性仍然存在，这又增加了一层不确定性。 Bugcrowd创始人凯西·埃利斯（Casey Ellis）表示：“最好将此声明视为公关噱头，而不是真正的告别。”从历史上看，网络犯罪分子很少会像传统意义上那样退休。相反，他们会重塑形象、重组组织，或转向新的策略和行动，否则就会被抓获。 iCOUNTER情报行动合伙人戴夫·泰森（Dave Tyson）赞同埃利斯的观点，他说：“这绝不是退休，这只是犯罪正常生命周期的一部分。群体为了特定的目的聚集在一起，组成单位来执行他们的计划，并退出可定义的身份，以降低对集体或单位的关注。” 因此，这15个勒索软件团伙的沉默应该被理解为一种伪装。一些成员无疑会转向邻近领域，例如漏洞利用开发或灰色市场“安全研究”。其他成员则会加入新的行动，带着多年攻击中积累的经验、策略和资金。网络犯罪行业不会消失；它会变异，而且每次变异往往比上一次更具韧性。 目前，各国执法部门尚未对这波声明做出公开回应。网络安全机构建议企业继续强化基础设施防护，提升应急响应能力，以应对未来可能出现的新变种或模仿攻击。

巴基斯坦正努力应对多起大规模数据泄露事件造成的严重后果，该事件导致数以万计的公民个人信息泄露在暗网，其中包括联邦部长和高级官员，目前当局已启动联邦级调查。 根据联邦内政部长赛义德·穆赫辛·纳克维的命令，国家网络犯罪调查局的特别小组已受命调查此事。根据内政部发布的新闻稿，该小组将对数据泄露事件进行全面评估，找出责任人，并通过法律行动追究责任。 据报道，包括身份证复印件、通话记录、SIM卡所有权信息和国际旅行信息在内的敏感个人数据正以极低的价格在暗网上出售。此类泄露不仅侵犯了个人隐私，也对国家安全和国家机构的信誉构成了严重威胁。 数十个暗网网站正在出售敏感数据，包括手机位置信息、通话记录和海外旅行记录。据报道，手机位置数据的售价为500巴基斯坦卢比（1.76美元），详细通话记录的售价为2000巴基斯坦卢比（7美元），旅行记录的售价为5000巴基斯坦卢比（17.55美元）。 周五，在议会大厦举行的由参议员帕尔瓦沙·汗主持的委员会会议上，信息技术部官员表示，数据保护法案草案的起草工作正在进行中，目前正在与利益相关方进行磋商。 巴基斯坦电信管理局（PTA）主席、退役少将哈菲兹·乌尔·雷曼（Hafeez ur Rehman）在参议院IT委员会会议上透露，近30万名朝觐申请人的个人信息已被泄露，并在暗网上传播。 该数据泄露事件于2022年首次发现，涉及电信公司通常持有的敏感SIM卡数据。雷曼透露，自2022年以来，甚至他自己的SIM卡数据也出现在暗网上，这凸显了网络安全漏洞的严重性。 会议期间，参议员阿夫南努拉·汗声称，巴基斯坦正面临外部压力——尽管他没有点名具体国家——以避免颁布严格的数据保护法，从而阻碍国家网络安全工作。 该委员会还批评巴基斯坦电信管理局（PTA）在全国范围内的移动服务质量不佳，称其经常出现掉线和信号弱的情况。雷曼将这些问题归因于需要通过频谱拍卖来改善基础设施。 此事的披露加剧了巴基斯坦对数字隐私的担忧，立法者敦促加快立法，以保护公民数据免受日益严重的网络威胁。 情报官员警告称，网络犯罪分子可能会利用这些数据以低成本、高效的方式对个人进行攻击。当局敦促公民更改密码、启用双因素身份验证、检查其国民身份证下注册的SIM卡，并向警方举报可疑活动。