3月底，中文暗网里较大的交易市场“暗网中文论坛”，又名“暗网中文交易市场”（简称“暗中”或者“中暗”），突然无法正常访问，当时业内均认为其卷走用户账号里的加密货币后跑路了。不过没多久，“暗网下/AWX”看到，“暗中”很快又活了过来，并且俨然一片生机勃勃，广告与商品发布也多了起来。“暗中”活过来以后，国外安全公司Group-IB称“暗中”、“长安”等中文暗网交易市场存在许多诈骗行为。 “暗中”再次复活，探访该交易市场的变化 早在去年，本站（anwangxia.com）曾经报道，“暗中”的市场交易货币已经从比特币切换为莱特币，“暗中”网站对使用莱特币（LTC）作为交易货币进行了解释： 网站已经切换为莱特币做交易货币 经过一段时间的试行, 基本确定莱特币网络的稳定运行. 莱特币作为交易货币, 有很多优点. 去中心化 非私人机构运行的区块链网络, 不会有单位或者组织, 能通过莱特币的转款交易确定发送人. 价值公认 莱特币是 2011年 从比特币网络分离出来, 已经稳定运行了13年, 继承了比特币的区块链公共账本去中心化的特性. 区块链安全 莱特币与狗狗币合并挖矿, 攻击者想通过双花交易进行攻击, 需耗费的成本介于莱特币与狗狗币的组合之上, 攻击者得不偿失. 莱特币是 2011年 从比特币网络分离出来, 已经稳定运行了13年, 继承了比特币的区块链公共账本去中心化的特性. 转账速度快 莱特币区块链是针对比特币区块的改进, 两分钟左右一个区块, 基本上10分钟就确定转账完成. 公认的最佳交易货币 全球的加密货币支付类转账中, 莱特币占比18%左右, 在全球最大跨国支付网关 Bitpay 中, 莱特币的使用率更高达40%以上. 隐私保证 莱特币的NWEB功能, 直接切断任何单位组织企图对莱特币地址的区块链查询. 为什么不采用比特币 转账速度太慢, 转账费用高. 隐私交易时, 需要对比特币进行混币, 采取几十次的交叉混合, 过程中发生的转账时间太长, 产生的费用甚至超过了该地址上比特币价值的本身. 表面上混币机构收取了大量手续费, 实际上混币的操作不仅不赚钱, 甚至赔掉了本金. 隐私保护程度不高 无法对区块链数据进行隐藏, 尤其是在比特币网络拥堵的最近几年, 无法进行足够的混币交叉. 结果导致用户的比特币, 一旦进入交易所就被监控. [现在所有的交易所数据都在司法机关的监控下], 给网站和用户带来大量的损失. 为什么不采用 USDT? 私人发行货币, 无安全保障. USDT 由泰达公司发行, 非去中心化, 泰达公司可以以任何理由冻结(票据作废, 抵押物不退还就是没收), 近两年全球被泰达公司以涉黑为由没收的USDT价值10亿以上.

在BreachForums论坛毫无征兆的突然销声匿迹后，自称为BreachForums管理员Anastasia创建了模仿BreachForums的论坛Breached[.]fi，并称该网站与已关闭的breachforums[.]st有关，但“暗网下/AWX”已经鉴定这是一个仿冒的虚假网站。这几日，有关Breached[.]fi的戏剧性故事很多。 一、Breached[.]fi似乎被黑 一个名为“krekti”的威胁行为者在一个暗网论坛上发布了一篇帖子，声称https://Breached.fi的数据泄露，泄露的数据库语句包含属于Anastasia的重要账户信息，其中包括： 电子邮件 密码哈希值和盐 IP、登录信息和用户表其他数据项 从该泄露数据看，“Anastasia”在数据库里的邮箱是”[email protected]“。 二、Breached[.]fi创建者发布的假消息 在Breached[.]fi创建时，“Anastasia”称BreachForums论坛再次被查封， 管理员被捕，导致该论坛关闭。“Anastasia”的最后一条信息称： IntelBroker和Shiny已被逮捕 预计联邦调查局将很快发表正式声明 Anastasia已“辞职”，并宣布BreachForums论坛“永远关闭” 最后一次数据库备份时间是2025年4月10日 论坛的基础设施（源码数据库）以2000美元的价格出售 才创建几天，假冒论坛的管理员就宣布出售，这骗局显得比较低端。该管理员还表示自己已退出该论坛，并考虑永久关闭BreachForums论坛。 查询Breached[.]fi这个新域名的Whois记录，发现该域名创建于2025年4月17日，注册商为immateriali[.]sm。本站（anwangxia.com）发现，假冒网站Breached[.]fi同步也在Tor网络创建了一个暗网网站：http://72qsaxh7zurdhttakrjp6trnhgwozb6oszk7rzyfl6twrfzjxzazdzqd.onion，经测试目前Breached[.]fi的明网与暗网网站都无法打开。 有人说，在经历了多年的销售被盗数据、企业漏洞和高调泄密之后，暗网上的这一著名论坛似乎即将结束。不过”暗网下/AWX“认为，尽管执法部门在打击网络犯罪生态系统方面不断取得进展，但猫鼠游戏远未结束，似乎BreachForums的戏剧将永远流传下去……

澳大利亚一家妇女儿童医院的睡眠研究患者的姓名、地址和其他敏感数据在一次勒索软件攻击后遭到泄露。 南澳卫生部首席执行官罗宾·劳伦斯（Robyn Lawrence）表示，她的部门于 4 月 17 日收到了该医疗公司的通知，该公司在 3 月底遭遇了严重的数据泄露。 南澳大利亚卫生部周四证实，数据泄露事件影响了阿德莱德妇女儿童医院的患者。 技术提供商Compumedics发送的一封信显示，网络攻击发生在3月22日，早在2018年患者数据就被访问。 南澳卫生部表示，超过2200名患者“可能受到影响”。 南澳大利亚卫生部首席执行官罗宾·劳伦斯博士表示，此次漏洞“直接影响了康柏美迪（Compumedics）公司的软件，没有证据表明南澳大利亚卫生部运营的任何信息技术系统遭到了破坏”。 她说：“在康柏美迪公司披露了首次全国性勒索软件攻击后，我们立即采取行动，暂停从我们的网络访问康柏美迪公司的软件和相关设备。” “现在，当我们得知南澳大利亚睡眠研究患者可能受到影响时，我们立即采取行动核实信息，通知患者和公众。” 康柏美迪公司（Compumedics）与南澳大利亚州卫生部（SA Health）签订了合同，提供睡眠、大脑和其他监测应用。 南澳大利亚州卫生部在一份声明中表示：“WCHN 已立即采取行动，从网络中移除 Compumedics 软件和相关设备。” Compumedics 总监戴维·劳森（David Lawson）在给患者的一封信中表示，公司在数据泄露当天努力控制数据，但“我们的一些文件可能已被窃取，并可能被发布在暗网上”。 他写道：“我们对此次事件的发生以及给您带来的影响深表歉意，感谢您的理解，我们将继续努力做出回应。” 劳伦斯博士在新闻发布会上表示，“第三方提供商的安全系统不足以防止外界访问我们患者的数据，这令人非常失望”。 据称，医院保存的医疗记录和付款详细信息未被访问，但一些“临床研究笔记”被泄露。 目前还不清楚该事件是哪一个暗网勒索软件团伙所为，“暗网下/AWX”将继续保持追踪。 影响Compumedics Limited的网络安全事件 Compumedics Limited已确认其遭受勒索软件攻击，导致其IT网络近期检测到异常活动，并因此遭受网络安全事件的袭击。 Compumedics称已采取措施控制和修复事件，并加强网络安全。受影响的数据已每日备份。虽然目前业务运营未受影响，但出于安全考虑，所有服务器均已下线。Compumedics的澳大利亚服务器正在检查并恢复中。一些 Nexus360 客户仍然处于离线状态。Nexus360 是Compumedics基于 Web 的患者数据和实验室管理系统，为睡眠和神经科诊所提供集成的硬件和软件解决方案。 Compumedics正在对该事件进行独立取证调查，以了解事件发生的原因、其对客户数据（包括患者报告）的影响，并确保自身的系统安全，以便尽快恢复正常服务。 Compumedics已向澳大利亚网络安全中心（隶属于澳大利亚信号局）提交了报告。 关于 Compumedics Limited Compumedics Limited [ASX: CMP] 是一家医疗器械公司，致力于开发、生产和商业化用于睡眠、脑部和超声波血流监测应用的诊断技术。该公司旗下拥有总部位于美国的 Neuroscan 和总部位于德国的 DWL Elektronishe GmbH。凭借这两家子公司，Compumedics 的业务范围遍布全球，覆盖美洲、澳大利亚、亚太地区、欧洲和中东地区。

美国联邦大陪审团起诉了一名伊朗公民贝鲁兹·帕萨拉德（Behrouz Parsarad），罪名包括经营现已不复存在的暗网交易市场“复仇女神市场（Nemesis Market）”，该市场在2021年至2024年期间为非法网络服务和毒品的销售提供便利。 去年3月，“暗网下/AWX”曾报道，德国警方宣布查封了名为“Nemesis Market”的非法暗网市场的基础设施并关闭了其网站，当时，Nemesis Market是暗网市场生态系统的领军人物，查封Nemesis Market是打击暗网市场的一个重要里程碑。据称，该暗网市场约有20%的卖家来自德国。 暗网市场Nemesis Market的三年运营生涯 美国司法部官员称，36岁的伊朗公民贝鲁兹·帕萨拉德从2001年3月开始创立并运营这个暗网犯罪市场，直到2024年3月在国际联合执法中被查封，美国、德国和立陶宛的执法部门合作开展了针对Nemesis Market的”黑暗狩猎行动“（Operation Dark Hunt）。 法庭文件显示，该暗网市场的运营架构仅支持加密货币支付。在运营的三年中，这个网络犯罪天堂提供非法毒品和网络犯罪服务，例如被盗的金融信息、伪造的身份证件、伪造的货币和计算机恶意软件。据美国司法部称，在巅峰时期，Nemesis Market拥有“超过15万名用户和超过1100个全球供应商账户”，促成了价值近3000万美元的毒品交易。 联邦调查局表示，该暗网市场在存续期间处理了超过40万份订单，其中超过7万份被归类为非法药物，包括甲基苯丙胺、可卡因和快克可卡因等兴奋剂。其他管制物质包括芬太尼、海洛因和羟可酮等阿片类药物，他们通过该暗网市场购买了这些物质并在政府实验室进行检测，从而确认了它们的真实性。 文件显示，Nemesis Market处理的40多万份订单中，55000 份（占总数的 13.75%）是针对甲基苯丙胺和可卡因等兴奋剂，而17000 份（4.25%）是针对海洛因和芬太尼等阿片类药物，这加剧了美国的毒品危机。 Iranian National Indicted for Operating Online Marketplace Offering Fentanyl and Money Laundering Services Nemesis Market Processed Over 400,000 Orders 🔗: https://t.co/WfW2QsnnuV pic.twitter.com/u0iKL2enrs — Criminal Division (@DOJCrimDiv) April 18, 2025 如被抓获，帕萨拉德将面临终身监禁 Nemesis Market暗网市场的创办者贝鲁兹·帕萨拉德因经营长达数年的“无边界犯罪活动中心”而被美国司法部（DoJ）起诉，针对帕萨拉德的指控包括合谋散发和分销管制物质，以及洗钱指控。。一旦罪名成立，他将面临至少10年联邦监、最高终身监禁的牢狱之灾。美国司法部审判律师盖林·伯恩斯坦和俄亥俄州北区助理检察官塞格夫·菲利普斯将负责起诉此案。 美国司法部官员表示，帕萨拉德利用暗网市场收益来促进非法毒品交易，并直接向那些试图在暗网网站上进行支付来购买商品和服务时“掩盖其来源”的人提供洗钱和加密货币混合服务。 司法部刑事司司长马修·加莱奥蒂表示：“起诉书中的指控涉及四十多万笔芬太尼、其他危险药物以及暗网上三年多来可以获取的各种违禁品的交易。” 美国联邦调查局克利夫兰分局代理特别探员查尔斯·约翰斯顿表示：“通过暗网，复仇市场是一个无国界的犯罪活动中心，它不仅助长了毒品泛滥，还引发了多种非法行为，有可能伤害我们的公民并摧毁我们的社区。” 帕萨拉德上个月被美国制裁 被指控的Nemesis Market的运营者贝鲁兹·帕萨拉德目前居住在伊朗，而美国与伊朗没有引渡条约。因此，他可能能够逃脱美国的法律制裁。 与此同时，目前尚未有其他个人因针对暗网市场Nemesis Market的执法行动而受到指控或逮捕。对于一些网络安全专家来说，这可能令人惊讶，因为帕萨拉德可能需要帮助才能运营像Nemesis Market这样规模的市场。也许联邦调查局尚未公布其他参与运营者。 今年3月份，美国财政部外国资产控制办公室（OFAC）宣布对帕萨拉德实施制裁，他从Nemesis Market平台上的每笔销售中收取了一定比例的费用。美国财政部外国资产控制办公室（OFAC）将与Nemesis Market相关的44个比特币（BTC）地址和5个门罗币（XMR）地址列入黑名单，并确认这些加密货币地址由贝鲁兹·帕萨拉德本人使用。 在美国阿片类药物滥用日益严重的背景下，2016年至2021年间，芬太尼导致的死亡人数几乎增加了两倍，近年来，美国针对暗网毒品市场加大了打击力度。 “暗网下/AWX”认为，此次起诉代表着国际合作的胜利，暗网市场的服务器被查封，涉嫌运营暗网市场的管理员被起诉，这是国际联合执法的重要成果。这表明，美国司法部与位于俄亥俄州的联邦机构正齐心协力，摧毁威胁公众健康和安全的暗网网络，并决心削弱暗网在芬太尼危机以及分销毒品和假冒商品方面的作用。

几天前，BreachForums论坛在暗网与明网均陷入瘫痪，“暗网下/AWX”已经提醒小心谣言及诈骗信息了，但未曾想到，除了谣言诈骗，还有假冒网站，一个新的所谓替代网站“breached[.]fi”突然出现，甚至威胁情报研究者都认为这是BreachForums论坛更换的新明网域名，但这个网站大概只是一个新的蜜罐。 之前“暗网下/AWX”得到的关于的消息：“目前的情况通报如下：Shiny删除了他的Telegram，但没有对任何版主说过一句话。Hollow昨天还在线，但没有理会任何信息，并更改了最后一次在线时间的设置。目前，Shiny和Hollow都应被视为Sus，直到有更多信息出现。” 事实上，之前就有网友在Telegram提醒：“Breachforums似乎暂时瘫痪了，没有替代品或新的域名。不要上当受骗或被骗入蜜罐。注意安全。”然而，无数黑产从业者对BreachForums论坛的需求是趋之若鹜的，有网友在Telegram群组大声呼唤：“我需要breachforums”。 于是一个假冒网站“breached.fi”应运而生，宣称自己就是Breachforums的新域名，新网站Owner是Anastasia，并发布了一个公告： 亲爱的社区成员：正如你们许多人所注意到的，BreachForums的基础设施突然下线了。 这是由于一个意外问题造成的，主要是因为之前负责管理基础设施的Shiny已经失联，我们无法联系到他。 鉴于此，我们决定彻底重建。我们已经准备好了一个全新的基础设施，并将使用全新、干净的源代码库。这确保了之前版本中不存在任何未知的后门或漏洞（无论有意或无意）。 安全和稳定是我们未来的首要任务。新论坛即将上线。 感谢您的耐心等待和持续支持。 看起来有点像官方声明，只不过，这是一个假冒网站。DarkWebInformer（@DarkWebInformer）在X里提醒： BreachForums的PGP无法与breached[.]fi上的金丝雀（canary ）进行验证。请自行承担使用风险。请始终遵循“信任但要验证”的方法。您可以随时使用我的PGP验证工具。 BreachForums PGP (below) cannot be verified with the canary on breached[.]fi. Use at your own risk. Always follow the Trust, but verify methodology. You can use my PGP Verification tool whenever you want. It does not send anything back to me. https://t.co/Jp3wE3c6oq —–BEGIN… https://t.co/B5GNOEHlQn pic.twitter.com/ucVbDwjP5B — Dark Web Informer – Cyber Threat Intelligence (@DarkWebInformer) April 19, 2025 对此，vxdb（@vxdb）在第一时间转发假冒网站的公告后随即删除了他的推文，并发布道歉推文：“我发表的关于Anastasia公告的帖子是在一个假冒的breakforums网站上发布的。我本该尽职尽责，确认该域名是否合法。我向您道歉，我已经删除了原帖。”

日前，Tor项目发布了Tor浏览器14.5版本，可从Tor浏览器下载页面和发行目录页面中获取。此版本标志着连接辅助功能（Connection Assist）正式登陆Android客户端，让受到严格审查的移动用户只需按下按钮即可解锁Tor。此外，该版本还为Tor浏览器的Windows客户端和Android客户端增加了三种语言：白俄罗斯语、保加利亚语和葡萄牙语。 Tor浏览器14.5版本更新的内容 新增Android连接助手 Tor致力于将尽可能多的人连接到自由开放的互联网。但是，如果Tor网络在一些国家/地区、被当地的ISP或本地网络屏蔽了，Tor浏览器提供了绕过屏蔽的网桥：一种使用各种技术（统称为可插拔传输技术）来躲避审查的中继，并一直呼吁志愿者帮忙建立更多的网桥。但是，Tor项目表示，由于各国的审查人员可能已经发现并屏蔽了某些网桥，导致适用于一个国家/地区或网络的方法可能不适用于另一个国家/地区或网络。这意味着找到一个可以解除Tor屏蔽的网桥的过程需要反复试验，并给受到严格审查的用户带来过度负担。 为了简化此过程并帮助更多用户连接到Tor，Tor项目在Tor浏览器11.5大版本中发布了适用于Linux、macOS和Windows的连接助手（Connection Assist）。这样，如果Tor浏览器无法直接连接到Tor网络，连接助手将自动为用户查找并尝试桥接。由于技术原因，连接助手的功能一直未在Tor浏览器的Android客户端实现。 在此功能在Android上推出之前，Tor项目已经进行了多年的技术努力，重构了跨平台的Tor集成。该技术现已达到一个重要的里程碑，从而实现了Android版连接助手的正式发布。 Tor项目称，从技术层面来看，这意味着Windows客户端和Android客户端现在都能在一定程度上共享后端，并且由于大量遗留和冗余代码的消除，代码库也更加精简。从人性化层面来看，不仅连接辅助功能现在可在安卓系统上使用，而且Tor浏览器用户也能享受到更稳定、更不易出错的连接体验。此外，此次重构也为未来的改进奠定了更坚实的基础，例如在安卓系统上提供线路显示功能，或者在未来可能过渡到Arti。 新增三种语言 为了让尽可能多的人都能访问Tor浏览器，通过Tor志愿者的辛勤工作和奉献，以及本地化实验室（Localization Lab）的持续支持，现在Tor浏览器的Windows客户端和Android客户端都新增了三种语言：白俄罗斯语、保加利亚语和葡萄牙语。要使用这些语言，可以按照以下步骤更改Tor浏览器的语言： 在Linux、macOS或Windows上，转到☰>设置>通用>语言和外观>语言。 在Android上，前往⋮>设置>通用>语言。 Tor项目希望更多用户成为其志愿者或者Tor翻译员，其表示这是帮助处于危险之中和受到审查的互联网用户安全访问Tor的最有效方式之一。Tor项目称，如果用户发现这些语言或其他语言中的错误，可以在Tor项目的社区门户上了解更多关于如何为Tor浏览器、文档和网站的翻译做出贡献的信息。 虽小但强大的改进 Tor项目表示，这次大版本的升级还有一些小的改进，这些小改进与重大改进一样重要，并且有助于提升Tor浏览器的长期可用性和稳定性。其开发人员投入了大量时间进行了如下修复： 继Tor浏览器13.5中对Android客户端进行类似改进后，Windows客户端的Tor日志的布局也得到了增强，以提高可读性。现在，日志也会在桌面上实时“流式传输”，因此用户无需再关闭并重新打开对话框来刷新日志。 连接辅助逻辑中的各种边缘情况已得到解决，Tor浏览器现在在诊断连接问题时使用moat（一种使用域名前置的简短非Tor连接）的调用次数也减少了。当Tor浏览器的连接设置更改（例如配置网桥）应用失败时，Windows版本的Tor浏览器还会发出警告，而不是像以前那样默默地失败。 现在，通过Android上的“退出”菜单项退出Tor浏览器可以更彻底地结束后台进程并清除最近任务。同时，他们恢复了一项旧功能：如果用户急着退出Tor浏览器，该功能会自动退出并关闭所有标签页——这在紧急情况下非常方便。 这些只是这个大版本的一些小型改进的几个例子。要查看所有更改的完整记录，请参阅Tor官方博客的更新日志。 Tails操作系统发布6.14.2小版本 就在前一天，Tor项目紧急发布了Tails操作系统的6.14.2小版本，用于修复Linux内核和Perl编程语言实现中的安全漏洞。 变更和更新 将Linux更新至6.1.133，修复了可能导致权限提升或信息泄露的多个安全漏洞。 将perl更新至5.36.0-7+deb12u2，修复了基于堆的缓冲区溢出漏洞，该漏洞可能导致拒绝服务，或可能执行任意代码。

在每日的常规访问中，“暗网下/AWX”发现，暗网中最臭名昭著的数据泄漏平台BreachForums已经无法访问。经历了多次被执法机构查封后，目前的BreachForums已经是第三版BreachForums，本站（anwangxia.com）去年曾经详细介绍了三个版本的BreachForums以及它的五位运营管理员。 这次无法访问的原因是什么？“暗网下/AWX”试图在Telegram以及X上的威胁情报专家那里寻找答案，目前获得了两个答案，此外还有一个诈骗消息。 传言一：BreachForums遭受了持续的DDoS攻击 名为“Dark Storm Team”的组织在其Telegram频道以及X上声称对BreachForums论坛（breachforums[.]st）发起了DDoS攻击，并给出了全球无法访问的证明：https://check-host.net/check-report/24feb258kb46 We visited Breach forums platform ❌https://t.co/qC8K6eGU3k 🌟https://t.co/r2O4wD4Ls3 For fun.#DARKSTORM — Dark Storm Team (@EssamGgggg) April 15, 2025 关于BreachForums论坛遭受DDoS攻击的消息不绝于耳，“暗网下/AWX”认为这种可能性也比较高，因为在明网或基于Tor的暗网网站都没有显示扣押横幅，这不符合FBI的行事风格，如果被查封，一般情况下，执法部门要么将其当作蜜罐来继续运行，要么会修改DNS指向显示扣押横幅的页面。 此外，BreachForums论坛的明网域名（breachforums[.]st）的Name Server目前指向了“ns1.ddos-guard.net”与“ns2.ddos-guard.net”，也似乎证明了其背后的技术团队正在采取措施来抵抗目前正在遭受的DDoS攻击。 传言二：BreachForums再次被查封，IntelBroker已被逮捕 Telegram频道中流传的另一个未经证实的说法称，BreachForums论坛可能已再次被执法部门关闭。其中一个群组中发布的一条消息称，BreachForums论坛中的现任管理员IntelBroker已经被逮捕。同一帖子还称，该论坛将会在一个新的域名下重新启动。 正如前面所说，访问该网站并没有显示FBI经典的“查封”页面，意味着该网站可能只是被下线，而不是被正式查封。 虽然消息来源的可信度仍不确定，但该Telegram频道宣称将很快会分享更多细节，虽然“暗网下/AWX”认为该消息不可靠，但还是让我们拭目以待。 开设第四版BreachForums论坛的谣言是典型的诈骗 另外，广泛流传的图片显示：BreachForums论坛已经被关闭，所有管理员也被逮捕；目前第四版BreachForums论坛已经重新开启，但是关闭了注册，如果需要重新注册，需要支付门罗币（XMR），支付后可以联系开设账号。 这是一个明显的诈骗消息，“暗网下/AWX”提醒广大网友注意甄别。BreachForums论坛未来会怎样，“暗网下/AWX”将持续关注。 更多暗网新闻动态，请关注“暗网下/AWX”。

瑞士网络安全威胁情报公司Prodaft正在为暗网网络犯罪论坛的用户提供一项新交易：该网络公司将付费从网络犯罪分子手中夺取账户，同时保证卖家的匿名性。 Prodaft公司正在启动的这项新计划名为“出售你的来源”（Sell your Source）的新计划，又称SYS计划，该公司声称长期购买暗网里的黑客论坛上经过验证的旧账户，目的是利用这些账户渗透到网络犯罪空间和社区，收集可能导致恶意操作和平台曝光的有价值的情报。 Prodaft目前正在从五个暗网论坛购买经过审查的账户，且愿意为高权限用户支付额外费用，其希望进入到这些暗网论坛中，以增强其威胁情报的能力。 这五个暗网里最知名的网络犯罪论坛分别是：XSS、Exploit in、RAMP4U、Verified和BreachForums。该公司尚未公布其定价清单，但表示其团队将仔细分析提供的账户，评估其价值并验证其访问权限，并将为拥有版主或管理员角色的论坛账户支付额外费用。 Prodaft公司为SYS计划创建了一个子网站（sys.prodaft.com），这个网站提供了英语及俄语的双语言版本，以希望全球拥有账号的人都能够出售自己的账号。 该公司在倡议声明中表示：“对于任何参与过这些活动并希望翻开新篇章的人来说，你无需解释你的过去或回答任何问题。没有评判，没有疑问——只是一项简单、安全的交易，对双方都有利，并帮助你告别过去的生活。” “由于这些活动通常与深网、暗网、地下论坛或非法市场等地方有关，我们希望确保我们的覆盖范围不会受到任何限制。”“这就是为什么我们决定购买特定的论坛账户，以便我们进入这些网络并了解敌对领域中发生的事情。” 该公司只接受2022年12月之前创建的账户，且这些账户过去没有参与过网络犯罪或其他不道德活动，因此需要进行一些调查来确认。此外，如果账户被列入FBI或其他执法部门的通缉名单，也不会被购买。 Prodaft表示，转账过程是匿名的，虽然 Prodaft 表示会向执法部门报告账户购买情况，但承诺不会泄露敏感信息。 卖家可以通过 TOX 或电子邮件匿名联系 Prodaft，并分享帐户审核流程的详细信息以开始。 一旦账户获得购买批准，该公司将向卖方发出报价。付款方式包括比特币、门罗币以及卖方选择的任何其他加密货币。 该公司表示，此举旨在更好地收集威胁情报。感兴趣的用户可以通过论坛向Prodaft提交请求，具体流程如下： 通过ToX聊天联系该公司，或发送电子邮件至tips[at]prodaft.com 告知其有可用的帐户。 该账户将被分析并评估其价值。审核完成后，Prodaft将向用户提供报价以及付款方式的详细信息。 如果用户接受该提议，付款将得到安全处理。 所有购买的论坛帐户都将报告给公司的执法合作伙伴以确保透明度，但卖家的身份将受到保护。 账户必须于2022年12月前注册，且不能被列入FBI或任何其他执法部门的通缉名单。账户支付方式为比特币、门罗币或其他加密货币。 什么是SYS计划 “这是一个大胆的举措还是唯一的出路？”Prodaft称，作为一家威胁情报公司，其专注于洞察网络犯罪分子的基础设施，探寻其中的模式、策略、技术和程序，从而帮助理解敌对网络，并检测和缓解潜在的网络攻击。由于这些活动通常与深网、暗网、地下论坛或非法市场等场所相关，该公司希望确保自己的覆盖范围不受到任何限制。 正因如此，该公司决定购买特定的论坛账号，以便进入这些网络，了解敌对势力的动态。或者更确切地说，他们希望利用这些账号进行人力情报（HUMINT）工作，确保尽可能深入地了解暗网。 因此SYS计划不仅仅是出售论坛账户。 该公司同时表示，如果遇到不道德或违背价值观的事情，或者想举报网络犯罪，用户也可以联系他们进行匿名举报。 改变永远不会太晚 以下是Prodaft的倡议内容： 如果在您人生的任何时候，您在暗网论坛上创建了一个不属于通常社交媒体的帐户，或者您准备放弃过去，那么这条信息就是为您准备的。 想想互联网上那些隐藏得更深的地方，那些东西不那么容易找到或访问。人们会去这些地方搜索常规谷歌搜索不到的信息。我们指的是暗网、地下论坛、隐藏的群聊，或者任何其他能激起你好奇心或让你感到兴奋的空间。也许是在2015年，你曾深入研究过那些风险过高、无法在谷歌上搜索的话题？又或许是在2020年，你曾试图在网上购买那些看起来可疑或危险的东西，比如那些声称可以治愈病毒的物质？你当时做了什么并不重要。现在重要的是，你是否想彻底告别那段生活，永远地远离它。 对于任何曾经参与过这些活动并希望翻开新篇章的人来说，你无需解释你的过去，也无需回答任何问题。重要的是，你已经准备好告别过去。这是为那些想要告别过去的人准备的。无论你是想举报你参与的网络犯罪，还是你是一个信仰和平、反对战争的人，你并不孤单。你可能直接受到冲突的影响，也可能想要支持和平努力。这里是为所有准备好放下过去行为（无论过去是什么）并彻底决裂的人准备的。 不评判，不提问——只​​需简单、安全的交易，双方都能受益，并帮助您告别旧生活。这是您告别旧生活、开启无忧生活的机会，不再被过去的重担所束缚。

自2024年初出现以来，暗网勒索软件团伙RansomHub已成功攻击了多个行业的200多名受害者，包括基础设施、信息技术、政府服务、医疗保健、农业、金融服务、制造业、运输和通信等。去年8月，RansomHub曾在暗网上发布超过4TB澳大利亚公司数据。 这个相对较新的网络犯罪集团同样以勒索软件即服务（RaaS）代理的身份运作，并在勒索组织犯罪集团中占据突出地位。在暗网勒索软件团伙LockBit和ALPHV/BlackCat相继被FBI摧毁（尽管后来又陆续恢复了）后，RansomHub成为2024年最活跃的勒索软件组织。 该团伙的暗网数据泄露网站自3月31日起一直处于非活动状态，这一事实支持了RansomHub因内部冲突而面临挫折的理论。RansomHub的暗网数据泄露网站（DLS）突然下线，引发了人们对其可能被收购的猜测。 本月初，RansomHub勒索软件团伙的勒索软件即服务行动的一些附属机构失去了对该勒索团伙聊天门户的访问权限，外界猜测该团伙似乎面临内部冲突，媒体报道称该勒索团伙显然面临“一系列内部分歧和不团结”，“未知数量的附属机构”被切断了RansomHub与受害者的沟通渠道，导致网络犯罪分子将谈判转移到其他渠道，包括其他RaaS团伙的平台。 与此同时，一些成员在暗网网络犯罪论坛RAMP上表达了他们的困惑，一个名为DragonForce的竞争勒索软件组织声称RansomHub已经与他们合作并迁移了他们的基础设施。 由于暗网相关的托管不稳定，数据泄露网站出现短时间停机的情况并不罕见，但这次停机加上据称RansomHub的内部冲突可能进一步表明该团伙的内部管理正在恶化。 暗网勒索软件团伙RansomHub的近期活动 RansomHub 的活动自 2024 年首次被发现以来就愈演愈烈 ，在目标选择方面迅速成为“大型猎物猎人”的代名词。他们主要针对大型组织，这些组织更有 可能支付赎金 以尽快恢复业务连续性， 而不是应对长时间的停机。 受害者的广泛性表明这些攻击是机会性攻击，而非针对特定行业或领域。他们对初始访问操作的了解进一步证实了这一点，这些操作通常包括利用受害者托管的面向公众的应用程序或服务，例如Citrix ADC、FortiOS、Apache ActiveMQ、Confluence Data Center、BIG-IP等。 现有情报显示，该团伙织禁止其分支机构攻击位于中国、古巴、朝鲜、罗马尼亚以及包括俄罗斯在内的独立国家联合体成员国的组织。此类标准行动程序对于位于俄罗斯的威胁行为者来说很常见，旨在降低误伤的可能性，表明该团伙与国家存在一定程度的关联，或希望降低受到当地政府实体干预的风险。 该组织的目标涵盖了广泛的垂直行业，其中最突出的目标包括Frontier Communications等电信公司以及Change Healthcare和Rite Aid等医疗机构。仅在2025年3月，该团伙就在其暗网泄密网站（ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion）上发布了超过60个新受害者的信息。 讽刺的是，RansomHub的成功和恶名，很大程度上源于其从其他勒索软件团伙（例如ALPHV/BlackCat）招募不满的附属机构。据报道，ALPHV/BlackCat去年解散时，曾对其附属机构实施了退出骗局。最值得注意的是，在ALPHV/BlackCat涉嫌以2200万美元赎金逃跑后，RansomHub招募了名为“notchy”的威胁行为者，以获取Change Healthcare数据。 RansomHub通过提供优惠的收入分成并允许赎金直接支付给关联公司来营销其关联计划，将自己定位为一个更值得信赖且对关联公司友好的RaaS集团。 尽管信息不断涌现，但我们不得不注意到其中的讽刺之处：一个通过承诺为其附属机构提供稳定和安全而声名鹊起的组织，似乎在一年之内就辜负了这些附属机构，或者背叛了它们。” DragonForce和RansomHub：新的合作关系尚不明确 一个新的暗网勒索软件团伙DragonForce突然宣布接管RansomHub的基础设施，目前尚不知道这两个团伙之间是何关系。 DragonForce运营者背后的绰号在暗网RAMP论坛上宣布了一个新的“项目”，随后又在其暗网数据泄露网站（DLS）上发布了相同的信息。DragonForce表示，该团团和正在推出新的基础设施——两个新的暗网网站由验证码保护，类似于DragonForce团伙自己的原生Tor网站的做法——但会显示RansomHub勒索软件组织的标志。 DragonForce在RAMP论坛上的帖子如下： 嗨！别担心，RansomHub很快就会上线，他们只是决定迁移到我们的基础架构！我们是值得信赖的合作伙伴。 这是‘项目’运作方式的一个很好的例子，是DragonForce勒索软件集团的新选择！ RansomHub祝您一切顺利，请考虑我们的报价！我们期待着所有加入我们的人。 在有关RansomHub勒索软件团伙的帖子回帖中，有人表示“dragonforce twink ransomhub, one owner”（DragonForce接管了RansomHub，一个所有者），DragonForce回复称“你不应该这么说，这是一种误解。” 暗网勒索软件团伙DragonForce发布新的暗网泄密网站 DragonForce在暗网宣布： DragonForce勒索软件卡特尔！- 是时候改变了 今天，我想向您介绍我们的新方向，我们将按照新的原则，以新的方式开展工作。您不再需要在我们的品牌下工作，现在您可以在久经考验的合作伙伴的支持下创建自己的品牌！我们，DragonForce勒索软件卡特尔，为您提供 “项目”，现在您可以自己创建。 我们正处于全球更新模式！请耐心等待。 DragonForce在暗网泄密网站发布消息：RansomHub在DragonForce系统上运行，在此页面您可以找到来自DF团队的最新消息。新闻包含一个PGP签名，可以用联系窗口内的DF公钥验证。保存密钥，用签名按钮复制签名后的信息，并用您的PGP工具（如OpenPGP、GnuPGP、Kleopatra或任何其他工具）进行验证。DF PGP 公钥也可在其他资源或论坛上找到。 DragonForce称“嗨，别担心，RansomHub很快就会上线，他们只是决定迁移到我们的基础设施！我们是可靠的合作伙伴。”同时，DragonForce发布了新的RansomHub泄密网站： RansomHub / Blog: http://ijbw7iiyodqzpg6ooewbgn6mv2pinoer3k5pzdecoejsw5nyoe73zvad.onion/blog RansomHub / Client: http://rnc6scfbqslz5aqxfg5hrjel5qomxsclltc6jvhahi6qwt7op5qc7iad.onion 在该暗网网站页面，DragonForce正在招募附属机构，其表示： DragonForce Ransomware 卡特尔邀请合作伙伴！最好的工具，最好的条件，最重要的是 所有合作伙伴的可靠性。在我们这里，您将获得稳定的报酬，工作起来也不会心存疑虑。 并号称提供： 所有工作流程完全自动化。 一套完整的业务管理系统。 针对每项任务的作战软件！ESXi、NAS、BSD、Win。 博客、FS（文件服务器）、管理面板、客户端面板。 无间断工作的 DragonForce Anti-DDoS 反病毒软件！ 可靠的基础设施！ 一个团队管理无限数量的品牌！ DragonForce勒索软件卡特尔，全天候监控服务器。 PETABYTE，无限存储。 免费呼叫服务、NTLM、Kerb 解密。 80% 归您所有（我们只收取 20%）。

美国联邦调查局（FBI）长期以来以渗透犯罪团伙、将其彻底摧毁而闻名。然而，随着犯罪手段的日新月异以及匿名方法的越来越难以被攻克，FBI现在寻求渗透到网络犯罪的黑暗世界，将其特工全面嵌入数字犯罪组织，甚至全身心投入来运作这些组织，作为其蜜罐来运营。 虽然之前包括“暗网下/AWX”在内的许多媒体认为暗网论坛Breachforums可能是FBI的蜜罐，但是没有证据。这次从另外一个案件中印证了FBI设置蜜罐的常规执法操作。 本站（anwangxia.com）获悉，网络安全媒体404 Media对FBI针对“ElonmuskWHM”洗钱案的执法工作进行了调查，并揭露了FBI的蜜罐手段。 通过运营蜜罐，联邦调查局得以在“ElonmuskWHM”洗钱案中逮捕了更多的毒贩、加密货币黑客等犯罪分子。然而，运营蜜罐的手段也招来了人们对政府越权的批评。 “ElonmuskWHM”是通过暗网宣传并运营的一个加密货币洗钱业务 名为“ElonmuskWHM”的暗网洗钱业务经常在已经关闭的暗网论坛“白宫市场”（White House Market，简称 WHM）上宣传，允许网络犯罪分子将通过犯罪手段获取的加密货币“套现”。“ElonmuskWHM”的客户通常是毒贩和黑客，他们会将加密货币发送给该机构，然后该机构会通过邮件将现金寄给他们。“ElonmuskWHM”会从其服务中收取20%的费用。404 Media的记者约瑟夫·考克斯（Joseph Cox）写道： 查阅了数百页法庭文件、ElonmuskWHM的在线帖子以及其他研究资料，首次揭示了FBI此次行动的轮廓。这进一步证实了这样一种观点：如果能为犯罪分子提供调查途径，FBI愿意为其提供实施犯罪计划所需的基础设施，有时甚至会持续很长时间。 通过仔细阅读这些法庭文件，考克斯了解到该业务为地下暗网的网络犯罪分子提供了不可或缺的服务。他解释道： 这项洗钱服务在犯罪圈中的实用性不容小觑。在美国，允许加密货币与法定货币交易的公司必须向政府注册成为货币转账公司。反过来，这些公司也需要依法收集用户的身份信息，就像普通银行一样。这对犯罪分子来说是一个问题，因为如果他们注册币安（Binance）或Coinbase等更合法的交易所，就需要提供身份证明（KYC）。如果收到法院命令，这些交易所会将这些信息交给当局。ElonmuskWHM提供了一种匿名替代方案，无需身份证明。 FBI通过长期调查抓获“ElonmuskWHM”背后的罪犯 FBI于2021年开始调查该服务，并聘请邮政局协助调查网络犯罪分子与运营商之间的现金交易。调查显示，“价值近9000万美元的加密货币”通过ElonmuskWHM的网络进行交易，该运营商一度吹嘘其业务收入高达3000万美元。 考克斯补充道，联邦调查局还“采取了极端且可能违宪的措施，以揭露‘ElonmuskWHM’的运营者，包括要求谷歌交出八天内观看过某个YouTube视频的所有人的身份信息”。具体而言，FBI探员通过Telegram向“ElonMuskWHM”背后的犯罪分子发送了一些观看次数较少的YouTube视频，然后要求谷歌提供观看这些视频的所有人的数据，从而锁定“ElonmuskWHM”背后的罪犯。 最终，警方找到并逮捕了这名罪犯，他是一名30岁的印度公民，名叫阿努拉格·普拉莫德·穆拉卡（Anurag Pramod Murarka）。据联邦调查局估计，穆拉卡在不到两年的时间里通过暗网洗钱总额超过2400万美元。美国司法部的一份新闻稿称，穆拉卡于今年1月被判处121个月监禁。 参与此案的美国检察官卡尔顿·S·希尔四世（Carlton S. Shier, IV）表示：“被告利用互联网为无数其他犯罪分子提供协助，帮助他们隐瞒赃款和非法毒品所得。此案凸显了网络犯罪的全球性，以及打击洗钱活动对勤勉和合作的必要性。” FBI接管并继续运营“ElonmuskWHM”以识别更多网络犯罪分子 逮捕穆拉卡后，FBI接管了该服务并花了近一年时间秘密运营暗网洗钱业务“ElonmuskWHM”。 据肯塔基州东区联邦检察官办公室公共事务专家加布里埃尔·杜吉恩（Gabrielle Dudgeon）透露，联邦调查局运营了“ElonmuskWHM”洗钱业务不到一年（约11个月），她曾与考克斯谈论过此事。考克斯查阅的法庭文件显示，该蜜罐行动显然让联邦政府得以了解其与“贩毒案件（包括佛罗里达州迈阿密的一起）、加利福尼亚州旧金山的持刀抢劫案调查以及多起计算机黑客调查（其中一些调查涉及数百万美元的犯罪收益）”之间的联系。 尽管联邦调查局成功逮捕了通过“ElonmuskWHM”进行洗钱的更多地下客户，但其手段也招致了批评，称FBI的卧底策略并不十分巧妙，而且可能不符合宪法。 美国司法部已经停止针对加密货币犯罪的积极调查 这只是政府秘密渗透网络犯罪活动以了解其结构并调查其客户的最新例证。考克斯此前曾撰写过一本关于联邦调查局（FBI）古怪的“特洛伊盾牌”行动的书，该行动中，FBI收编并运营了一家名为“ANOM”的加密电话公司，据说该公司专门向职业罪犯出售设备。ANOM使FBI能够监控90个国家/地区的约11,800台设备，为了解多达300个跨国犯罪组织的高层犯罪活动提供了窗口。 美国联邦调查局此前还入侵并渗透了一个名为“Hive”的勒索软件团伙，该团伙参与了多起破坏性的恶意软件攻击。这项行动于2023年1月宣布，使该机构能够监控该团伙的活动，收集有关其商业模式的信息，并最终识别其受害者。 但是，运营蜜罐的手段也招来了人们对政府越权的批评。“暗网下/AWX”看到，美国司法部已经宣布，计划停止针对加密货币交易所、钱包和加密货币混合器的执法行动和积极调查。尽管美国司法部声称仍将追捕犯罪分子，但这将阻止像追踪“ElonMuskWHM”这样的长期诱捕行动。