”外交部“公文再次在暗网泄露后,台湾成立调查小组对暗网上出售的政府文件展开调查

中国暗网动态, 暗网动态
中国台湾“外交部”表示,已主动掌握并注意到,近期网络流传疑似“外交部”的电子公文,并在暗网销售,当局正在调查“外交部”官方文件涉嫌泄露并在暗网上出售的事件。 台湾“外交部”晚间以新闻稿指出,对于疑似电子公文外流情形,除将全面检查并强化公文收发与使用管理机制外,也将持续与相关单位密切合作进行查处。 据台湾“外交部”周五发布的声明称,“外交部”部长林家龙已第一时间责成立即成立调查组,查明泄密的来源、渠道和影响范围。 台湾“外交部”并未排除泄密源于员工的可能性,并补充说,如果确认“外交部”人员参与其中,案件将提交检察官,并要求依法严办,绝不宽贷。 声明还补充说,涉嫌泄露的文件可能是伪造或篡改的,大多数文件内容日期集中于2024年,或许是在发布到暗网上之前已被伪造或更改。 声明警告不要试图转发或使用这些文件,以“避免违法和危害国家利益”。声明称,“外交部”计划全面审查电子文件管理规程,并致力加强系统安全。 去年4月“外交部”公文曾经泄露过 这是台湾“外交部”又一次发生内部文件泄露的事件,去年4月,“暗网下/AWX”曾报道,台湾“外交部”的机密文件正在暗网论坛BreachForums上销售,当时卖家宣称是”第一手资料且过去没有泄露过“,公文时间横跨2022年至2024年3月。泄露文件有4GB之多,并以泰达币(USDT)交易。 不过,台湾”外交部“当时对外声明称,”泄露文件来源可疑,并涉及境外变造、伪造等不法行为,及操弄认知作战的恶意,将与相关机关协调调查,呼吁各界应发挥识读判断能力,勿轻信有心人士刻意操弄、蓄意破坏政府,及社会互信所制造的不实讯息。“ 此次泄露的文件时间为2024年 消息显示,这回被泄露在暗网进行出售的公文集中在2024年,来源同样可疑。 民进党立委赖瑞隆表示,2024年也是台湾的大选,涉及到外交的机密以及国家安全的危机;另名同党立委也说,内部的行政管理、内部的文件,都是未来”外交部“可能要检讨的部分。

顶级暗网市场研究:列举近年来陆续消失的暗网市场

暗网纵论
尽管执法机构加大打击力度,暗网仍然是犯罪活动的温床,提供从售卖毒品及枪支弹药到交易被盗数据、黑客攻击等各种服务。暗网市场继续蓬勃发展,成为这些非法交易的中心枢纽。 2019年暗网上大约有8400个活跃网站,每天销售数千种产品和服务。2023年,暗网平均每天吸引270万用户,德国目前成为Tor用户最多的国家,多年来首次超过美国,当年勒索软件和基于加密货币的犯罪大幅增加,与2022年相比增加了近1.76亿美元。随着德国对隐私保护的关注度持续上升,这一趋势在2024年继续延续,目前德国拥有全球最多的Tor节点数量。 2025年,网络犯罪分子的活动范围遍布多个平台,这使得追踪和拦截变得更加困难。加密聊天工具Telegram补充了传统的洋葱网站,模糊了暗网网站和主流通信工具之间的界限。但随着Telegram平台的合规操作,封禁了许多群组与频道,推动更多用户回归Tor网络,暗网又变得重新活跃。 “暗网下/AWX”认为,目前主流的暗网市场主要分为两类。第一类是传统的暗网市场,这些市场是销售实体物品的犯罪活动中心。第二类是新兴的暗网论坛,这些市场是交易被盗数据的中心。 第一类传统暗网市场提供各种非法商品的一站式购物服务。这些平台出售从毒品、假身份证到武器和黑客工具等各种商品,类似于数字黑市。在这些暗网市场里,用户可以浏览和购买各种非法物品,例如,网络犯罪分子只需花费110美元即可购买余额为5000美元的信用卡的详细信息。 第二类新兴暗网论坛专门存储交易被盗数据。这些暗网网站迎合了网络犯罪分子寻求有价值数据的需求,例如信用卡号、登录凭证和个人信息。通过提供被盗数据,这些暗网网站助长了许多网络诈骗和身份盗窃行为,在互联网犯罪生态中发挥着关键作用。 以下是润色后的文字,保持了原结构,优化了语言流畅性、表达精准度和可读性,同时避免了生硬的直译感,力求更符合中文的自然表达习惯: 暗网市场如何运作 暗网市场好比地下黑市的亚马逊平台。它们是运行在Tor网络上的隐秘网站,用户可以匿名交易,通常涉及非法商品,如毒品、武器、被盗数据或黑客工具。 这些暗网市场的运作模式与普通电商平台惊人相似:卖家发布商品信息,买家下单,并通过比特币或门罗币等加密货币支付。为保障交易双方的利益,许多平台采用托管机制,只有在买家确认交易无误后,款项才会转给卖家。 他们使用假名钱包、隐私币(如门罗币)、加密货币混合器、跨链桥和非KYC平台来掩盖交易轨迹。整个过程都精心设计,确保匿名性和难以追踪。 暗网市场的历史 暗网市场的故事始于2011年上线的丝绸之路。这是首个允许用户用比特币匿名购买毒品的大型平台,引发广泛关注,直到2013年被美国联邦调查局关闭。 此后,众多模仿者如AlphaBay、Dream Market、Hansa等接连涌现又销声匿迹。一些被执法机构取缔,另一些则卷走用户资金后一夜消失。 网络犯罪分子与执法部门之间的博弈从未停歇,每个新兴暗网市场都试图比前者更精明、更安全。 人们为什么使用暗网市场 人们涉足暗网市场的动机各异。一些人为了购买在常规渠道无法获得的非法物品,如毒品或伪造证件。还有人寻求被盗数据、黑客服务,甚至禁书和政治内容。对卖家而言,这通常是为了在不被发现的情况下牟利。 此外,隐私需求也是重要原因——在存在审查或监控的国家,暗网为用户提供了更自由的交流和信息获取空间。当然,那里发生的大多数活动既不合法也不安全。 访问暗网是否违法? 不一定。在大多数国家,仅仅访问暗网或使用Tor等工具并不违法,就像使用隐私浏览器或加密聊天应用一样。然而,一旦涉及非法活动,如购买毒品或盗用信用卡信息,就触犯了法律。 一些暗网市场托管的内容不仅违法,还极其有害。因此,在深入探索前,充分了解风险至关重要。 执法机构确实在监控这些空间,匿名并不等于完全隐形。 暗网市场上常见的骗局 典型的暗网市场出售各种非法商品;数据交易则专注于泄露或被盗的数据,如凭证、数据库和身份记录。但即便在犯罪圈内,信任也如履薄冰。暗网骗局层出不穷,最常见的当属“退出骗局”——市场突然关闭,卷走所有用户资金。 一些假卖家会骗取加密货币却从不发货;还有伪装成合法交易平台的钓鱼网站,专门窃取用户登录信息。此外,恶意软件也是巨大的威胁——点击伪造链接或下载木马文件,电脑设备可能会瞬间被感染。因此,即便是经验老道的用户,也始终保持高度警惕。 暗网市场如何审查买家和卖家 一些暗网市场建立了颇为复杂的信任机制。卖家通常需缴纳押金以证明诚意,并通过累积好评建立信誉。 买家也会根据行为获得评级。部分市场仅限受邀者进入,或设置严格的注册规则,以防范诈骗者和执法人员的渗透。 然而,即便有这些机制,也远非万无一失。这里依旧是片充满风险的蛮荒之地,只是多了些“客户评价”的伪装。 近些年来消失的暗网市场 目前除了少数仍在运营的暗网市场外,许多暗网市场已经消失了。其中一些暗网市场被执法机构关闭,也有一些通过“退出骗局”、“自愿退休”等方式轻松逃脱。以下是一些曾经臭名昭著、现已不复存在的暗网市场。 Aurora Market——2021年5月选择退出骗局 White House Market——2021年10月自愿退休 ToRReZ Market——2021年12月自愿退休 Dark0de Market——2022年3月选择退出骗局 World Market——2022年3月选择退出骗局 Omicron Market——2022年7月遭开发人员入侵攻击 Cocorico Market——2022年8月选择退出骗局 Alphabay Market 2.0——2023年2月选择退出骗局 Mellow Market——2023年4月选择自愿退休 Vice City——2023年6月选择退出骗局 Kingdom Market——2023年12月遭到执法机构查封 Tor2door Market——2023年9月选择退出骗局 Genesis Market——2024年3月遭到执法机构查封 Incognito Market——2024年3月遭到执法机构查封 ASAP Market——2024年3月选择退出骗局 Fish Market——2024年10月选择退出骗局 Bohemia Market——2024年10月遭到执法机构查封 Sipulitie Market——2024年10月遭到执法机构查封

荷兰警方调查暗网雇佣杀手合同,至少有七起谋杀指令由暗网杀手网站下令实施

其他国家动态, 暗网动态
荷兰RTL新闻网报道称,根据英国道德黑客提供的数据,至少有七名荷兰公民成为暗网雇凶谋杀的目标,目标受害者包括教师、护士和公务员等普通民众,其中四起谋杀案件是雇佣谋杀。据了解,这些谋杀案均未发生,所有客户都被该暗网网站背后的人诈骗了。 这些谋杀命令是在2016年至2022年期间下达的,尽管目前尚未发现有任何谋杀事件发生,但荷兰警方仍将这些威胁视为严重犯罪,因为下达谋杀命令已经是一种严重的刑事犯罪,受害者实际上可能处于危险之中。RTL掌握了从暗网杀手网站获取的14份涉及荷兰的暗杀命令的数据,其中一半是具体的。 这些目标受害者与有组织犯罪没有任何关联,都是普通人,在居民区过着看似正常的生活,其中一人在小学任教,另一人在医院工作,还有一人是市政官员。有些人甚至还有年幼的孩子。当局强调,即使该网站从未打算进行真正的合同杀人,危险也是真实存在的。 在四起案件中,客户支付了1000欧元到近10000欧元不等的费用,以杀死他们的目标,并经常以极其精准的描述来描述谋杀过程。 其中一名目标名叫杰罗姆(Jerom),在得知自己被列入死亡名单后,他接受了RTL新闻网的采访。“我很害怕。我不喜欢出门,”他说。 “我要你把他活活烧死,我要他死,”下令杀害他的人写道,并补充说,他们目标的年迈母亲也住在同一栋房子里。“我不在乎他母亲的下场,我唯一希望的就是他死。” 据RTL报道,暗网上一个以Besa Mafia和Camorra Hitmen等各种名称存在的雇佣杀手市场已经存在多年,并且仍然活跃。该暗网网站声称,只需几千欧元的比特币,你就可以雇佣世界任何地方的杀手。该暗网网站实际上只是一个诈骗网站,是由接受比特币支付但不实施杀戮的诈骗分子运营的骗局。幕后黑手在没有雇佣杀手的情况下,从用户那里骗取了数千欧元。当然,被骗的客户不会报警。 这项调查由英国黑客克里斯·蒙泰罗(Chris Monteiro)促成。他于2016年入侵该网站,获取了全球数百起谋杀阴谋的数据。据RTL新闻网报道,他此后向多个国家当局提供了关键证据,导致数十名试图雇佣杀手的人被定罪。 今年4月,RTL新闻网与荷兰警方国家重案组分享了这些数据,目前多个警局正在调查雇佣者和目标受害者,警方目前正试图追踪这些订单背后的人,利用比特币交易和聊天记录来追踪身份。 离婚后试图雇佣杀手杀害前妻 在七起具体的雇凶杀人请求中,目前已有一名荷兰犯罪嫌疑人被捕并被定罪。他就是现年42岁的海牙人伊姆兰·M。2021年,他因指使他人谋杀被判处八年监禁。在经历了一场艰难的离婚后,他曾两次在暗网上下单,要求谋杀他的前妻,也就是他两个孩子的母亲。 伊姆兰·M开出了4000美元的悬赏,并预付了2000美元。他描述了前妻就诊的医院、她车的品牌和颜色,甚至她的车牌号。“这女人很容易下手,需要尽快解决掉。因此,如果能在下周末之前搞定,我愿意支付500美元的奖金。” 然后他发送了他前妻与汽车的照片,并提供了前妻的详细个人信息,包括她的工作单位和车辆登记信息。 海牙地方法院裁定嫌疑人犯有多次企图煽动谋杀罪。“嫌疑人的行为举止非常务实、冷漠且执着。” 前妻和孩子们不得不躲藏了六个月,因为他们不确定谋杀命令是否真的会执行。 “我永远不会忘记孩子们紧紧抱住我父母和姐姐的眼泪,他们害怕即将发生的一切,”前妻在庭审中说道。“我们不得不带着他们从一个藏身之处逃到另一个藏身之处,拖着行李箱四处逃窜。孩子们从未去上学,一天又一天地被带走,没有和朋友和家人告别。他们遭受的心理创伤至今仍清晰可见。” 雇佣谋杀的暗网网站 这听起来匪夷所思,难以置信,但在暗网——互联网的匿名平台——上,一个提供和订购暗杀服务的市场已经存在多年。该暗网网站曾有过各种名称,例如“Besa Mafia”、“Camorra Hitmen”和“Colombian Hitmen”,至今仍活跃。该暗网网站声称,只需几千欧元的比特币,杀手就能在世界任何地方完成暗杀任务。 这些诈骗网站的背后是一群狡猾的骗子,他们甚至不用雇佣杀手就能骗取用户数千欧元。当然,受骗的客户中没有一个人会报警。 尽管该网站是一个骗局,但暗杀命令的性质非常严重,应受到惩罚。近年来,已有数十名犯罪者因被黑客窃取的数据在九个不同的国家被定罪。 当申请人发现他们的暗杀命令尚未执行时,他们会非常生气并要求退款:“已经两周了,目标仍然活着。我要回我的比特币!”另一个人威胁说,如果他们拿不回钱,他们就会留下负面评论。 被黑客入侵的暗网网站 成功入侵该暗网网站的人是英国伦敦黑客克里斯·蒙泰罗(Chris Monteiro)。他于2016年在暗网上访问了该网站,并在过去几年中成功收集了数百起雇佣杀人案的信息。他在接受RTL新闻网采访时表示,将这些数据交给警方并不容易。通过与多家媒体合作,他最终成功协调到了英国警方、联邦调查局(FBI)等机构的参与。 据蒙特罗称,该网站背后的犯罪分子通过诈骗已经获利超过一百万欧元。一些申请人甚至支付了数万欧元来谋取谋杀。至今,该网站在暗网上仍然可以访问,尽管有人下达合同谋杀的命令,但据我们所知,这些命令从未被执行过。 荷兰警方正在调查 荷兰警方目前正在调查RTL提供的所有谋杀命令。“我们已经通知了多名受害者,目前仍在调查雇佣行凶者,”警方托马斯·阿林(Thomas Aling)表示,他称这是一起“非常不寻常的案件”。 “我们正在竭尽全力通过他们购买的比特币追踪嫌疑人,但这可能相当复杂,需要大量时间。”阿林说。“我们非常重视这些案件,因为发出这样的命令是犯罪行为。我们希望能够在不久的将来逮捕那些下令杀人的嫌疑人。” 艾米·奥尔温被杀害案件 艾米·奥尔温案证明,暗杀命令背后有危险人物。美国警方发现,来自科蒂奇格罗夫镇的那位母亲是暗杀网站的目标,并向她发出了警告。警方并不知道,这位委托人正是奥尔温的丈夫斯蒂芬。斯蒂芬随后开枪打死了她,并试图伪装成自杀。 据美国检察官办公室称,该男子因两次婚外情,且因教会工作无法离婚,故意试图杀害妻子。2018年,他因谋杀妻子被判处终身监禁。

美国司法部关闭了一个拥有12万名成员和数百万个文件的暗网儿童色情网站

暗网动态, 美国暗网动态
7月23日,美国司法部公布了“灰骷髅行动”(Operation Grayskull)的成果。这是司法部与联邦调查局(FBI)联合开展的一项卓有成效的行动,成功捣毁了四个专门发布儿童性虐待内容(CSAM)图片和视频的暗网。迄今为止,该行动已使18名罪犯被定罪,其中包括一名明尼苏达州男子,他因参与其中一个暗网活动,昨天被判处250个月监禁,并终身接受监督释放。他还被责令支付2.3万美元的赔偿金。 司法部刑事司代理助理检察长马修·加莱蒂(Matthew Galeotti)表示:“今天的声明向那些剥削和虐待儿童的人发出了明确的警告:即使在暗网上,你也找不到安全的避风港。这些罪犯以为他们可以逍遥法外,但他们错了。感谢我们检察官和执法伙伴的不懈努力,我们揭露了这些犯罪者的真面目,摧毁了他们的网站,并为无数受害者伸张了正义。” “此次行动是迄今为止针对网络儿童剥削网络最重大的打击之一,”联邦调查局局长卡什·帕特尔(Kash Patel)表示。“我们不仅摧毁了暗网上的危险平台,还将主要犯罪者绳之以法,并发出了一个强有力的信息:你不能躲在匿名的背后伤害儿童。” 威廉·斯皮尔曼(William Spearman)的住宅位于阿拉巴马州麦迪逊市的一个安静的郊区,当联邦调查局(FBI)探员于2022年11月抵达其住房门外时,他已做好应对执法机构突袭危险的准备。这份搜查令对联邦调查局至关重要,甚至由FBI局长亲自批准。当探员们用战术炸药破门而入时,斯皮尔曼拒捕并进行反抗,与探员们扭打在一起,而他手中的三把手枪相当危险,最终联邦调查局成功将斯皮尔曼戴上手铐并逮捕,这是一次高价值逮捕行动,司法部一位高级官员称其为“此类案件中最成功的起诉之一”。 斯皮尔曼绰号“老板”(Boss),被司法部列为“全球最主要的”儿童性虐待材料(CSAM)传播者之一。他是一个暗网儿童色情网站的管理员,于2022年被捕,一年后认罪,最终被判处终身监禁,这是对一个庞大的儿童虐待网络进行前所未有的打击行动的一部分。 斯皮尔曼是至少18名因领导并利用暗网分享数十万张非法性剥削儿童图像而被定罪的人之一。司法部将此次调查和起诉行动命名为“灰骷髅行动”(Operation Grayskull);该行动协助实现了上述逮捕,并关闭了四个流量巨大的暗网网站,这些网站曾用于交易和存储暴力、骇人听闻的儿童性虐待图像。 “灰骷髅行动”(Operation Grayskull)调查于2020年启动,当时执法部门发现一个涉嫌托管儿童色情内容的暗网网站流量激增。据FBI官员透露,该暗网儿童色情网站最终吸引了超过12万名成员,拥有数百万个非法文件,且单日访问量至少达10万次。 “即使对检察官来说,也很难理解这种现象的普遍程度,”司法部刑事司司长马修·加莱蒂(Matthew Galeotti)表示,“因为这种行为发生在暗网上,人们并不知情。这非常令人担忧。” 斯皮尔曼的案件与“灰骷髅行动”揭露的许多其他案件有相似之处。斯皮尔曼被指控协助管理一个拥有数千名用户和成员的暗网网站。提交给法院的量刑备忘录称,他试图拒捕并抵抗FBI而不是投降“不足为奇”。 “他办公桌上的设备中含有大量证据,证明他是网站A的主要管理员,”量刑备忘录写道,“毫不奇怪,被告的设备中还包含大量描绘儿童遭强奸和虐待的图像和视频。” 塞尔温·罗森斯坦(Selwyn Rosenstein)于2022年因运营一个发布非法淫秽图像的暗网网站被判处28年监禁。检察官表示,该平台“不仅仅是一个暗网网站,而是一个由恋童癖者和(性虐待材料)爱好者组成的庞大活跃社区。而该平台的存在部分源于被告的犯罪行为。” 根据美国司法部的调查,罗森斯坦拥有如此大量的非法淫秽图像,以至于他需要将部分内容存储在用于经营业务的服务器上。 上周,加莱蒂在华盛顿司法部总部二楼的会议室接受采访时表示,这些暗网儿童虐待网站的成员通常通过支付费用、协助管理网站或提供儿童虐待图像及材料来“获得”会员资格。 加莱蒂表示:“我们幸运地拥有专门处理此类案件的非常专业的检察官和特工。这些人对技术有更深入的理解。” 他补充说,“本案的被告,尽管他们可能非常残忍,但他们相当精明,他们利用加密技术。” “灰骷髅行动”还成功起诉了北卡罗来纳州罗利市的马修·加雷尔(Matthew Garrell),他因运营一个传播性虐待材料的暗网网站被判处20年监禁。 “加雷尔参与了一起极其复杂且技术含量极高的阴谋,其严重程度远超典型儿童性剥削犯罪,”检察官表示。他们在法庭文件中指出,加雷尔持有“掠食者手册”,其中包含“详细指示”用于对儿童进行诱骗以备未来实施虐待。 该暗网网站的领导负责宣传和分发CSAM、颁布网站规则、通过禁止或斥责违反规则的用户来执行规则、召开员工会议、招募成员担任工作人员、推荐用户晋升、编辑和删除用户帖子、表彰参与网站和为网站做出贡献的个人、记录个人成员发表的CSAM帖子、支付和维护网站服务器等。 “灰骷髅行动”共捣毁了四个专门发布儿童性虐待图片和视频的暗网网站。这些网站是暗网上最恶劣的网站之一,其中包括专门针对婴幼儿的版块,以及暴力、虐待和酷刑的描述。这些网站还提供了关于如何避免被执法部门发现的详细建议——例如,使用先进的技术。 此次对暗网网站领导者和用户的打击行动还包括对来自弗吉尼亚州、马里兰州、印第安纳州、得克萨斯州、华盛顿州、阿肯色州、密歇根州和俄克拉荷马州的犯罪分子的定罪。 “他们是拥有领导角色、规则和共同目标的数十万人的在线社区的一部分,”联邦调查局代理副局长克里斯·德尔佐托(Chris Delzotto)表示。德尔佐托透露称:“很少有人会预料到(儿童性虐待材料)会以今天这种方式渗透互联网。” 联邦调查局在揭露并关闭首个暗网网站的调查中,还导致另外三个暗网网站被关闭。联邦调查局部门主管阿比盖尔·贝卡西奥(Abbigail Beccaccio)表示:“运营其中一个网站的领导团队也运营了其他几个网站。” 美国司法部将这些暗网网站的关闭视为一项胜利,旨在遏制未来虐待行为或非法图像的制作。“这是有史以来最成功的行动之一,”加莱蒂表示。“我们摧毁了四个暗网网站,且这些暗网网站并未重新出现。” 本案是“安全童年计划”的一部分。该计划由美国司法部于2006年5月发起,是一项全国性倡议,旨在打击日益猖獗的儿童性剥削和虐待现象。“安全童年计划”由美国检察官办公室和首席执行官办公室牵头,调动联邦、州和地方资源,以更好地定位、逮捕和起诉通过互联网剥削儿童的个人,并识别和解救受害者。欲了解更多关于“安全童年计划”的信息,可以访问www.justice.gov/psc。

暗网勒索软件团伙BlackSuit的暗网网站被执法部门查封

域名, 暗网网站, 独家报道
近期,作为一项国际执法行动的一部分,暗网勒索软件团伙BlackSuit的暗网网站已被查封。此次查封行动包括BlackSuit的谈判网站和数据泄露网站,这是根据法院授权的查封命令进行的。 目前两个暗网网站已被横幅广告取代,告知访问者美国国土安全调查局(U.S. Homeland Security Investigations)在“CheckMate行动”中查封了这些网站。此次执法行动的名称为“Operation Checkmate”,得到了多个执法合作伙伴的协助,包括美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构。罗马尼亚网络安全公司BitDefender也参与了此次行动。目前,当局尚未就此次行动及相关进展发布官方声明。 BitDefender称其专业的Draco团队自2023年5月BlackSuit出现以来,一直在研究这款勒索软件,为执法机构提供专业协助。这项工作是BitDefender与全球合作伙伴携手打击网络犯罪的持续承诺的一部分。Bitdefender已公开分享数十款免费的勒索软件解密工具,为全球企业节省了约16亿美元的赎金。 勒索软件团伙BlackSuit于2023年6月首次出现,以使用双重勒索手段和收取高额赎金而闻名,其中一些目标支付的赎金超过200万美元。过去一年,网络防御和情报团队对该组织进行了密切关注,力求了解其起源、运营和能力。 在对得克萨斯州达拉斯市发动勒索攻击后,BlackSuit团伙对品牌进行了重新定位。在此之前,该勒索软件团伙曾以“Royal”为名进行运营,时间跨度是从2022年9月至2023年6月,“Royal”最初于2022年底被确认为“Zeon”的一个分支。而在“Royal”之前,该团伙曾以“Quantum”为名运营,而“Quantum”据称是由Conti勒索软件团伙的成员创立。以“BlackSuit”为名运营期间,该勒索软件团伙在全球范围内声称攻击了超过185个目标,而在“Royal”时期则声称攻击了超过350个目标。 2022年秋,有报道开始将BlackSuit(当时以Royal的名义运营)背后的人员与Conti联系起来。Conti是一个知名勒索软件团伙,在经历了一年动荡的泄密和内部冲突后解散。Conti与BlackSuit(原Royal)之间的联系也引发了人们对BlackSuit行动地点的猜测,暗示其行动基地位于俄罗斯或乌克兰等地区。 尽管此次执法打击行动是个好消息,但研究人员指出,BlackSuit可能已更名,或其部分前成员已组建了一个新的名为“Chaos”的勒索软件团伙。思科Talos的研究人员在2025年6月24日的一篇博客文章中解释称,由于加密方法、勒索说明和攻击中使用的工具集与BlackSuit相似,他们有一定把握地认为该新团伙是由BlackSuit勒索软件团伙的成员组建的。目前,Chaos已经发动了至少十次勒索攻击,主要针对美国,该新勒索软件团伙似乎并未针对任何特定行业。 “BlackSuit基础设施的破坏标志着我们打击有组织网络犯罪的又一个重要里程碑,”参与此次行动的Bitdefender网络犯罪研究部门Draco Team的一位代表表示。“我们赞扬执法合作伙伴的协调和决心。此类行动强化了公私合作在追踪、揭露并最终瓦解暗中运作的勒索软件团体方面的关键作用。当全球专业执法力量齐心协力时,网络犯罪分子将无处遁形。” 2025年7月28日,美国联邦调查局达拉斯办事处宣布,从属于Chaos勒索软件集团成员的加密货币地址中查获了20枚比特币(目前价值约230万美元)。这些资金被追踪到一个名为“Hors”的关联方使用的比特币钱包,该关联方涉嫌对得克萨斯州北部地区及其他地区的公司发动攻击并勒索付款。美国司法部于2025年7月24日在得克萨斯州北部地区法院提起民事诉讼,寻求没收该笔资金,该资金于今年4月中旬被达拉斯联邦调查局查获。 BlackSuit的受害者 BlackSuit的主要目标行业是制造业、教育、研究、医疗保健和建筑行业等。制造业和医疗保健行业仍然是利润丰厚的目标,因为与政府和咨询业等其他行业相比,这些行业的预期利润和收入范围可能更广。BlackSuit攻击利润和预期收入更高的企业的策略,在识别零售业的潜在受害者时也同样适用。 BlackSuit的大多数受害者都是位于美国的组织,而英国、加拿大、比利时和西班牙等国家的其他组织的受害者数量则少得多。 在过去一年中,BlackSuit已造成103名受害者。自2024年11月以来,每月声称的攻击次数急剧下降。这种活动减少可能是该团伙为保持低调而采取的战略举措。攻击次数的减少也可能预示着该团伙即将迎来又一次沉寂,届时该团伙发展壮大,并以不同的名称重新命名。 BlackSuit的暗网数据泄露网站 BlackSuit的暗网数据泄露网站布局简洁,却足以满足勒索的目的。暗网网站上的帖子详细列出了被入侵的企业目标信息,并附上了最新动态和被盗数据的链接。在被查封之前,BlackSuit的暗网数据泄露网站上已有超过150篇目标相关的文章。 一些文章中还提供了所入侵目标的更多详细信息,例如公司联系人的LinkedIn页面以及被盗数据的目录列表。暗网网站上提供了一个联系页面,受害者可以通过该页面向BlackSuit请求支持,以恢复其系统和数据。请求支持的受害者必须在赎金通知中提供唯一的受害者ID或协商链接,该链接会与联系BlackSuit的说明一起包含在内。受害者还需要在请求中提供其电子邮件地址。 BlackSuit不像其他一些勒索软件团伙那样拥有社区论坛或Telegram和X等社交媒体页面。这体现了这样一种观点:谨慎运营是最大限度降低 OPSEC(运营安全)风险(例如泄露通信、代码、基础设施和员工名单)的最佳方式。 尽管BlackSuit的数据泄露网站看似简单,但其发送和接收高额赎金要求的举动,使其明显是一个拥有经验丰富的内部团队支持的威胁行为者。这种经验也帮助BlackSuit评估企业的收入,并将其作为结构化、选择性攻击受害者的流程的一部分。与许多其他勒索软件团伙相比,该团伙够在短时间内获取巨额财富。 BlackSuit被查封的暗网网址之一:http://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd[.]onion

网络安全组织NullSecurityX称暗网论坛DarkForums被黑,实为存在XSS漏洞

域名, 暗网网站, 独家报道
另一个买卖被盗数据的暗网论坛DarkForums存在存储型的XSS漏洞,有组织声称已经渗透了该网站,并在X上发布了消息。 7月27日,@DarkWebInformer在X上发布推文警告称,DarkForums存在活跃的跨站脚本(XSS)漏洞。请勿使用该网站,它不安全且会泄露您的IP地址!并附了一个弹框截图,展示了当前的Cookie。“暗网下/AWX”根据该截图确认暗网论坛DarkForums存在XSS跨站漏洞。 随后,网络安全组织@NullSecurityX进行了回复,称DarkForums被NullSecurityX黑了:)但开玩笑归开玩笑,该推文在随附的视频中展示了Darkforums上发现的漏洞。并称祝大家渗透愉快,同时at了@DarkWebInformer。视频中,@NullSecurityX展示了其发布含有javascript标签的html代码后触发执行,并跳转至其X页面。 对此,BreachForums的新管理员hasan回复称,这不仅仅是DarkForums的问题,而是MyBB软件本身的问题。该软件存在大量CVE漏洞,简直令人难以置信。要真正解决这个问题,唯一的方法就是禁用大多数用户喜爱的功能。 hasan把这个问题归结于该论坛使用的开源PHP程序MyBB的MyCode功能存在的漏洞,他称,看来DarkForums和其他论坛并没有认真考虑他的方法,因为他们大多迅速忽视了安全问题,尤其是使用被称之为MyBB的这个所谓的“地雷阵”软件。 hasan称这无法预防,他看到BreachForums的明网和暗网门户,或者说那个任何人都能看到的蜜罐,也存在相同的问题,而他们当然没有禁用任何功能。 hasan表示,在此之前,我更倾向于效率而非美学。因为“美学”和纯粹的愚蠢,使用MyBB的论坛都没打算修复这个漏洞。因此需要一场呼吁尽快更换MyBB软件的运动,他的新论坛已经准备好进行更改了。 MyBB如何修复这个漏洞?hasan表示应该禁用相关功能,因为MyBB将这些功能硬编码在系统中,尤其是MyCode,即使安装了插件也无法阻止,因为MyBB的设计只允许通过其后台管理控制面板禁用MyCode。 hasan还透露,入侵DarkForums的人正在以200美元的价格出售数据库——这些数据目前在Roblox平台上流通。 NullSecurityX(NullSecX)的介绍 NullSecX自称是一家网络安全公司,根据其自我介绍,在NullSecX,他们助力企业始终走在不断演变的网络威胁环境的前沿。 通过主动识别和分析新兴漏洞与攻击,NullSecX提供及时的洞察和前沿的安全解决方案。NullSecX称自己的使命很简单:帮助您在威胁发生前就预见它们——以便您能够以信心和精准度保护您的数字资产。 NullSecX的LinkedIn在招募更多人加入NullSecX,称可以共同站在网络安全创新的前沿。 NullSecX还拥有一个Youtube页面:https://www.youtube.com/@NullSecurityX DarkForums是什么网站 DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,声称可以提供任何目标的多种类型数据,以及来自全球65个国家(涵盖欧洲、亚洲、非洲、美洲、大洋洲等各大洲)的数据,均存储于此云端。 其在Telegram频道中表示,拥有⭐️军事文件数据库、⭐️完整公司数据库、⭐️文件扫描(身份证、驾驶证、护照)、⭐️消费者信息数据库、⭐️电话列表数据库、⭐️电子邮件列表数据库、⭐️外汇与加密货币数据库、⭐️赌场与游戏数据库、⭐️公民身份 & 社会保障号 & 税务识别号数据库、⭐️大型网站数据库…… 据介绍,该网络犯罪分子使用的网站可以在明网(https://darkforums[.]st)与暗网(http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion)同步访问,“暗网下/AWX”预计,FBI不会让其存在太长事件,未来也许会有国际执法机构对其的联合行动。

Tor浏览器14.5.5版本发布后,Tails发布最新6.18版本,推出WebTunnel网桥

Tor官方动态, 工具, 暗网动态
7月底,Tor浏览器与Tails操作系统相继发布最新版本,对一些功能及安全漏洞进行了更新升级。 Tor浏览器发布14.5.5版本 Tor浏览器14.5.5版本现已可从Tor浏览器下载页面以及Tor项目官方的分发目录中获取。此版本包含Firefox浏览器最新的重要安全更新。 Tor浏览器14.5.4版本以来的完整更新日志如下: 所有平台 Tor 已更新至 0.4.8.17 OpenSSL 已更新至 3.0.17 Bug tor-browser#43979:将 Tor 浏览器稳定版本重新调整至 128.13.0esr Bug tor-browser#43993:从 Firefox 141 反向移植安全修复 Bug tor-browser-build#41508:将内置 meek bridge 切换为 meek-unredacted Windows + macOS + Linux 将 Firefox 更新至 128.13.0esr 安卓 将 GeckoView 更新至 128.13.0esr 构建系统 Windows + Linux + Android 已更新至 1.23.11 Tails操作系统发布最新6.18版本 Tails操作系统本次更新的6.18版本最吸引眼球的新增加的WebTunnel网桥功能,用户现在可以使用WebTunnel网桥直接从Tails系统连接到Tor网络,从而访问暗网。 WebTunnel是一种桥接技术,据称尤其擅长规避审查,即使在obfs4网桥接被屏蔽的地方也能够正常工作。WebTunnel会将用户的网络连接伪装成普通的网络访问流量。去年3年,Tor项目正式推出新的WebTunnel桥接方式,可以模仿HTTPS流量。 要获取WebTunnel网桥,可以访问https://bridges.torproject.org/。Tails 6.18版本的其他变更和更新还有: 将Tor浏览器更新至14.5.5。 将Thunderbird更新至128.12.0。

澳大利亚、瑞士的多家企业机构遭受网络攻击,数据被泄露至暗网

其他国家动态, 暗网动态
近期,“暗网下/AWX”梳理发现,澳大利亚、瑞士的多家企业机构遭受网络攻击,数据被泄露至暗网。澳大利亚人工受精巨头Genea已致函患者,告知他们敏感的医疗信息已被发布在暗网上。澳大利亚证券投资委员会起诉Fortnum,原因是黑客涉嫌窃取数千名投资者的数据并将其公开出售。Radix的数据泄露是瑞士此类基金会遭遇的最大规模数据泄露事件之一。 Genea确认暗网上存在敏感的患者健康信息 7月22日,澳大利亚第三大体外受精(IVF)提供商Genea的患者被告知,他们的敏感信息(包括病史)已被发布在暗网上。 五个多月前,澳大利亚广播公司 (ABC) 披露网络犯罪分子已将这家为全国数万人提供服务的生育诊所作为网络攻击目标。 Genea首席执行官Tim Yeoh在过去几天发给受影响患者的电子邮件中证实,公司已经结束了对2月份网络攻击的调查:“我们不会通知您有关新事件的信息”。 “Genea已完成的调查已证实,您的个人信息已被窃取并发布在暗网上。” 邮件称,这些数据包括患者的全名、地址、电话号码、出生日期、医疗保险卡号、医疗诊断以及“与您从Genea或其他医疗服务提供商处获得的服务和/或医疗治疗相关的临床信息”。 Genea的一位前患者表示,这封邮件似乎淡化了数据泄露的严重后果与影响危害。这位不愿透露姓名的患者在2022年至2024年期间在该医疗机构花费了数万美元进行了多轮IVF,但均未成功。 该电子邮件声称,这些信息是在“暗网的一部分,即互联网的隐藏部分”中发现的,并且“在互联网上不易搜索或访问”。 电子邮件中写道:“我们理解这个消息可能会让您担心,对于由此给您带来的任何困扰,我们深表歉意。” Gene没有确认有多少患者受到此次攻击的影响、声称对此负责的网络犯罪集团的名称,也不会确认是否支付了全部或部分赎金。该公司也不会提供调查人员针对此次泄密事件的报告副本。 财富管理公司Fortnum的9000多名客户数据被泄露至暗网 7月23日,澳大利亚证券投资委员会(ASIC)向新南威尔士州最高法院提起诉讼,声称金融咨询公司Fortnum Private Wealth Limited遭受网络攻击后,超过9000名客户的个人信息被泄露。据称,此次攻击涉及超过200 GB的敏感数据被盗并被公开到网上。 ASIC的法庭文件详细说明了Fortnum如何涉嫌在2021年4月至2023年5月期间让自己及其财务顾问网络容易受到网络犯罪分子的攻击。监管机构表示,这家总部位于悉尼的财富管理公司没有采取适当的保障措施,即使在此期间其授权代表遭遇多起网络事件。 澳大利亚证券投资委员会主席乔·隆戈(Joe Longo)在一份声明中表示:“Fortnum未能充分管理网络安全风险,导致公司、其代表及其客户面临不可接受的网络攻击风险。” 据称,Fortnum的多名授权代表遭受了网络攻击。除了导致数千条客户记录泄露的重大数据泄露事件外,事件还包括电子邮件账户被盗,网络钓鱼攻击,以及黑客从顾问的电子邮件地址发送欺诈性信息。 法庭文件显示,攻击者获取了敏感的客户信息,包括身份证明文件、税号、银行账户信息和信用卡信息,而这些信息正是网络犯罪分子进行身份盗窃和欺诈的目标数据类型。 ASIC的诉讼指控Fortnum违反了《公司法》的多项规定,未能“高效、诚实和公平地”提供金融服务,且未维护足够的风险管理系统。监管机构声称,该公司没有具备网络安全专业知识的员工,并且在制定政策时也未聘请合格的网络安全顾问。 这是近几个月来又一起类似的案件。3月份,澳大利亚证券投资委员会(ASIC)曾起诉FIIG Securities,称其涉嫌网络安全漏洞导致大规模数据泄露,385 GB的敏感客户数据最终流入暗网。 瑞士健康基金会Radix的数据在暗网上泄露 上个月底,Radix基金会遭受网络攻击后,被禁止进入赌场的人员的姓名和债务等敏感个人数据被发布在暗网上。 7月26日,据瑞士公共广播公司SRF报道,攻击发生后不久,1.3 TB的敏感数据被发布到暗网上。这将是瑞士此类基金会遭遇的最大规模数据泄露事件之一。 除了被赌场禁入的玩家信息(无论是否自愿)外,还可以查看另外1300人的信息。大部分内容来自Radix基金会赌博成瘾和其他行为成瘾中心的数据库。 Radix是一家致力于健康推广的非营利组织。瑞士联邦食品药品监督管理局(FCOS)在接受采访时强调,采取必要的组织和技术措施以及告知客户至关重要。 该基金会表示:“与赌场客人的心理社会护理过程相关的敏感信息以这种方式在暗网上被获取,这一事实在各方面都是悲剧和不可接受的。” Radix联系了所有能联系到的人,并与苏黎世数据保护机构和警方合作采取了必要措施。

俄语网络犯罪论坛XSS.is的一名管理员在乌克兰被逮捕,XSS.is域名被查封

域名, 暗网网站, 独家报道
根据欧洲刑警组织的消息,经过法国警方和巴黎检察官领导的长期调查,与乌克兰同行和欧洲刑警组织密切合作,逮捕了世界上最具影响力的俄语网络犯罪平台之一暗网论坛XSS.is的其中一名主要管理员。 该暗网论坛拥有超过5万名注册用户,是被盗数据、黑客工具和非法服务的主要交易市场,也是俄罗斯三大顶级暗网论坛之一。长期以来,它一直是一些最活跃、最危险的网络犯罪网络的中心平台,用于协调、宣传和招募人员。 此次逮捕于7月22日在乌克兰基辅进行,是一系列协调执法行动的一部分,旨在收集证据和摧毁犯罪基础设施。 犯罪嫌疑人通过网络犯罪赚取数百万美元 该论坛的管理员不仅是一名技术操作员,而且据信在犯罪活动中扮演了核心角色。他作为值得信赖的第三方,仲裁犯罪分子之间的纠纷,并保障交易的安全。据信他还运营着thesecure.biz的jabber服务器,这是一款专为地下网络犯罪分子需求而设计的私人消息服务。 据估计,嫌疑人通过这些服务赚取了超过700万欧元(820万美元)的广告费和手续费。调查人员认为,他活跃于网络犯罪生态系统近20年,多年来与多个主要威胁行为者保持着密切联系。 法国警方持续数年的广泛调查 该调查由法国警方于2021年7月2日启动,2024年9月,案件在乌克兰进入行动阶段,法国警方调查人员被部署到当地,并得到欧洲刑警组织通过建立虚拟指挥所的支持。 经过为期四年的调查,本周又采取了另一项行动,在乌克兰基辅逮捕了主要嫌疑人。 作为调查的一部分,法国警方截获了Jabber服务器(thesecure.biz)上的录音,该服务器附属于XSS.is论坛,以方便网络犯罪分子之间的匿名交流。 欧洲刑警组织提供了协调支持 欧洲刑警组织在整个调查过程中提供了必要的行动和分析支持,促进了法国警方和乌克兰当局之间的信息交流和协调。 欧洲刑警组织还协助绘制了网络犯罪基础设施图谱,并将嫌疑人与其他主要威胁行为者联系起来。这种协作方式确保了快速、有针对性的响应,摧毁了犯罪平台,并阻止了通过该论坛进行的非法活动。 在本周基辅的执法行动中,欧洲刑警组织部署了一个移动办公室,以支持法国和乌克兰团队进行现场协调和证据收集。缴获的数据将进行分析,以支持欧洲及其他地区正在进行的调查。 IOCTA 2025报告强调了被盗数据市场的威胁 此次行动与欧洲刑警组织《2025年互联网有组织犯罪威胁评估》(IOCTA)的结果一致,该评估强调,蓬勃发展的被盗数据黑市是网络犯罪经济的关键驱动因素。 像XSS.is这样的平台使得被盗数据、黑客工具和非法服务的交易和货币化成为可能,从而助长了各种犯罪活动——从勒索软件和欺诈到身份盗窃和敲诈勒索。 IOCTA揭示了此类暗网市场如何通过提供访问、匿名和信任机制来支持网络犯罪分子的运作。 以下部门参与了调查: 法国:巴黎检察官(Parquet de Paris – JUNALCO)、法国警察 – 巴黎警察局(Police française – Préfecture de Police de Paris – Brigade de lutte contre la cybercriminalité) 乌克兰:乌克兰总检察长办公室(Офіс Генерального Прокурора України)、乌克兰安全局 – 网络犯罪部门(Служба безпеки України – Кібердепартамент) 犯罪社区引起轰动,但影响有限 根据X用户@3xp0rtblog的推文,XSS.is论坛社区正在积极讨论这一情况。 不过,版主似乎正在删除所有讨论管理员LARVA-27的内容。版主LARVA-466(Rehub)在 Telegram 聊天中证实了这一点。这样做的目的是压制任何可能将局势变成有新闻价值事件的叙述,并在此过程中“钓”西方人。 不过,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。 因此目前看来,执法行动逮捕了XSS[.]is的一名管理员,并扣押了XSS[.]is域名,但并没有捣毁其包括服务器在内的基础设施,似乎XSS[.]is并没有被打倒,其在俄罗斯的庇护下依然活着,没有俄罗斯执法机构的配合,也很难完全被摧毁,西方执法机构仍需努力。

被举报滥用后,BreachForums新域名已无法访问

暗网网站, 独家报道
6月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁后,在管理员hasan的努力下,新的BreachForums克隆版breached[.]ws上线继续运营。BreachForums的新管理员hasan近期依旧活跃,他在X上讲诉了自己的心路历程,并为新的BreachForums寻找投资者。 与此同时,执法机构正在努力,除了X(Twitter)外,hasan的Telegram、Snapchat、Instagram均被禁用;BreachForums的新域名也被服务商暂停解析,网站目前无法正常访问。 hasan讲诉了自己的心路历程 hasan在X上称想花一点时间谈谈我还没有谈及的事情,主要解释了自己为什么要做这些事情。随着执法部门的打击,BreachForums的域名已被查封,篡夺者到处都在尽其所能地践踏它的遗产,BreachForums面临着严重衰落,而他所做的是不希望这个社区面临这种情况。 hasan称自己这样做并不是为了钱,也不是为了权力,更不是为了给互联网人士留下深刻印象。hasan表示,一年前,他完全退出了他参与的另一个社区,直到后来加入了一个感兴趣的社区小组,在那里他遇到了IntelBroker,并在IntelBroker的帮助下完成了自己的项目(detrace[.]org),这让他非常感动,因为IntelBroker为他的项目提供了全部资金。正因为如此,hasan说自己才愿意为IntelBroker的遗产和IntelBroker认为的朋友圈服务,尽管所有人可能会误会自己是一个邪恶的人,试图将IntelBroker的所有权力据为己有。 hasan称自己不是最好的领导者,不是最好的破坏者,也不是最好的叩问者,或者别人可能想看的任何资格。hasan说自己只是来为社区服务,并计划为BreachForums做很多事情,他相信这些事情可以改变这些论坛的安全处理方式。另外hasan称尽管他已经在这个论坛上花了很多钱,但当他对目前的运行情况感到满意的时候,他还是会将其付诸投票,社区可以自己选择它想要寻找的领导者或领导者团体,如果不是他的话,他会辞职并交出所有的权力。 hasan表示自己对BreachForums社区怀有最大的敬意、忠诚和热爱,大家需要在困难时期团结在一起,这样BreachForums才能战胜所有敌人,最终回到它的黄金时代。 hasan为新的BreachForums寻找投资者 7月20日,hasan在X发布推文称,BreachForums正在为论坛寻找潜在投资者,最好所有费用都不要由他承担,他在推文中先表示感谢。一旦找到投资人,他将删除此推文。 此外,hasan还在寻找另外的投资人,投资一个域名净值在15000美元左右的电子邮件服务。 BreachForums的新域名被服务商暂停解析 因为被执法机构投诉滥用,BreachForums的新域名被域名注册商Epik暂停解析。hasan称其团队试图拯救这个域名,但最终以失败告终,接下来他们将会把域名转移到另一家注册商。 hasan向执法部门挑衅道:“世界上的绿帽子们,只要我还活着,你们就别想呼吸。”并表示,在接下来的两三天内,他还将添加一些其他域名。 Epik反馈的具体的投诉内容: 尊敬的Epik滥用团队, 我写信是正式报告域名breached.ws,该域名目前通过您的nameservers注册,并且据称被用于非法和不法活动。该域名被用作论坛,广为人知为“Breachd”或“Breachd Forums”,该论坛广泛用于托管和分发被盗数据,促成未经授权访问受损系统,并推广其他形式的网络犯罪。该论坛作为一个市场和沟通平台,供网络罪犯使用,论坛中有大量公开宣传非法服务和内容的帖子,包括但不限于: 出售被盗的个人和财务数据(PII、银行信息、密码) 从受损网站中泄露的数据库 漏洞利用和恶意软件分发 黑客服务招聘 breached.ws的持续运营明显违反了您的《可接受使用政策》,并很可能违反了多项有关网络安全、数据隐私和犯罪法规的法律。我恳请Epik调查此域名,并尽快采取适当行动,暂停或终止对该注册人的服务。 如果您需要任何进一步的信息或支持性证据,我很乐意提供。 感谢您对此紧急事项的关注。 我们很感激您在这件事上的理解和合作。 此致