澳大利亚一家妇女儿童医院的睡眠研究患者的姓名、地址和其他敏感数据在一次勒索软件攻击后遭到泄露。
南澳卫生部首席执行官罗宾·劳伦斯(Robyn Lawrence)表示,她的部门于 4 月 17 日收到了该医疗公司的通知,该公司在 3 月底遭遇了严重的数据泄露。
南澳大利亚卫生部周四证实,数据泄露事件影响了阿德莱德妇女儿童医院的患者。
技术提供商Compumedics发送的一封信显示,网络攻击发生在3月22日,早在2018年患者数据就被访问。
南澳卫生部表示,超过2200名患者“可能受到影响”。
南澳大利亚卫生部首席执行官罗宾·劳伦斯博士表示,此次漏洞“直接影响了康柏美迪(Compumedics)公司的软件,没有证据表明南澳大利亚卫生部运营的任何信息技术系统遭到了破坏”。
她说:“在康柏美迪公司披露了首次全国性勒索软件攻击后,我们立即采取行动,暂停从我们的网络访问康柏美迪公司的软件和相关设备。”
“现在,当我们得知南澳大利亚睡眠研究患者可能受到影响时,我们立即采取行动核实信息,通知患者和公众。”
康柏美迪公司(Compumedics)与南澳大利亚州卫生部(SA Health)签订了合同,提供睡眠、大脑和其他监测应用。
南澳大利亚州卫生部在一份声明中表示:“WCHN 已立即采取行动,从网络中移除 Compumedics 软件和相关设备。”
Compumedics 总监戴维·劳森(David Lawson)在给患者的一封信中表示,公司在数据泄露当天努力控制数据,但“我们的一些文件可能已被窃取,并可能被发布在暗网上”。
他写道:“我们对此次事件的发生以及给您带来的影响深表歉意,感谢您的理解,我们将继续努力做出回应。”
劳伦斯博士在新闻发布会上表示,“第三方提供商的安全系统不足以防止外界访问我们患者的数据,这令人非常失望”。
据称,医院保存的医疗记录和付款详细信息未被访问,但一些“临床研究笔记”被泄露。
目前还不清楚该事件是哪一个暗网勒索软件团伙所为,“暗网下/AWX”将继续保持追踪。
影响Compumedics Limited的网络安全事件 Compumedics Limited已确认其遭受勒索软件攻击,导致其IT网络近期检测到异常活动,并因此遭受网络安全事件的袭击。
Compumedics称已采取措施控制和修复事件,并加强网络安全。受影响的数据已每日备份。虽然目前业务运营未受影响,但出于安全考虑,所有服务器均已下线。Compumedics的澳大利亚服务器正在检查并恢复中。一些 Nexus360 客户仍然处于离线状态。Nexus360 是Compumedics基于 Web 的患者数据和实验室管理系统,为睡眠和神经科诊所提供集成的硬件和软件解决方案。
Compumedics正在对该事件进行独立取证调查,以了解事件发生的原因、其对客户数据(包括患者报告)的影响,并确保自身的系统安全,以便尽快恢复正常服务。
Compumedics已向澳大利亚网络安全中心(隶属于澳大利亚信号局)提交了报告。
关于 Compumedics Limited Compumedics Limited [ASX: CMP] 是一家医疗器械公司,致力于开发、生产和商业化用于睡眠、脑部和超声波血流监测应用的诊断技术。该公司旗下拥有总部位于美国的 Neuroscan 和总部位于德国的 DWL Elektronishe GmbH。凭借这两家子公司,Compumedics 的业务范围遍布全球,覆盖美洲、澳大利亚、亚太地区、欧洲和中东地区。
瑞士网络安全威胁情报公司Prodaft正在为暗网网络犯罪论坛的用户提供一项新交易:该网络公司将付费从网络犯罪分子手中夺取账户,同时保证卖家的匿名性。
Prodaft公司正在启动的这项新计划名为“出售你的来源”(Sell your Source)的新计划,又称SYS计划,该公司声称长期购买暗网里的黑客论坛上经过验证的旧账户,目的是利用这些账户渗透到网络犯罪空间和社区,收集可能导致恶意操作和平台曝光的有价值的情报。
Prodaft目前正在从五个暗网论坛购买经过审查的账户,且愿意为高权限用户支付额外费用,其希望进入到这些暗网论坛中,以增强其威胁情报的能力。
这五个暗网里最知名的网络犯罪论坛分别是:XSS、Exploit in、RAMP4U、Verified和BreachForums。该公司尚未公布其定价清单,但表示其团队将仔细分析提供的账户,评估其价值并验证其访问权限,并将为拥有版主或管理员角色的论坛账户支付额外费用。
Prodaft公司为SYS计划创建了一个子网站(sys.prodaft.com),这个网站提供了英语及俄语的双语言版本,以希望全球拥有账号的人都能够出售自己的账号。
该公司在倡议声明中表示:“对于任何参与过这些活动并希望翻开新篇章的人来说,你无需解释你的过去或回答任何问题。没有评判,没有疑问——只是一项简单、安全的交易,对双方都有利,并帮助你告别过去的生活。”
“由于这些活动通常与深网、暗网、地下论坛或非法市场等地方有关,我们希望确保我们的覆盖范围不会受到任何限制。”“这就是为什么我们决定购买特定的论坛账户,以便我们进入这些网络并了解敌对领域中发生的事情。”
该公司只接受2022年12月之前创建的账户,且这些账户过去没有参与过网络犯罪或其他不道德活动,因此需要进行一些调查来确认。此外,如果账户被列入FBI或其他执法部门的通缉名单,也不会被购买。
Prodaft表示,转账过程是匿名的,虽然 Prodaft 表示会向执法部门报告账户购买情况,但承诺不会泄露敏感信息。
卖家可以通过 TOX 或电子邮件匿名联系 Prodaft,并分享帐户审核流程的详细信息以开始。
一旦账户获得购买批准,该公司将向卖方发出报价。付款方式包括比特币、门罗币以及卖方选择的任何其他加密货币。
该公司表示,此举旨在更好地收集威胁情报。感兴趣的用户可以通过论坛向Prodaft提交请求,具体流程如下:
通过ToX聊天联系该公司,或发送电子邮件至tips[at]prodaft.com 告知其有可用的帐户。 该账户将被分析并评估其价值。审核完成后,Prodaft将向用户提供报价以及付款方式的详细信息。 如果用户接受该提议,付款将得到安全处理。 所有购买的论坛帐户都将报告给公司的执法合作伙伴以确保透明度,但卖家的身份将受到保护。 账户必须于2022年12月前注册,且不能被列入FBI或任何其他执法部门的通缉名单。账户支付方式为比特币、门罗币或其他加密货币。 什么是SYS计划 “这是一个大胆的举措还是唯一的出路?”Prodaft称,作为一家威胁情报公司,其专注于洞察网络犯罪分子的基础设施,探寻其中的模式、策略、技术和程序,从而帮助理解敌对网络,并检测和缓解潜在的网络攻击。由于这些活动通常与深网、暗网、地下论坛或非法市场等场所相关,该公司希望确保自己的覆盖范围不受到任何限制。
正因如此,该公司决定购买特定的论坛账号,以便进入这些网络,了解敌对势力的动态。或者更确切地说,他们希望利用这些账号进行人力情报(HUMINT)工作,确保尽可能深入地了解暗网。
因此SYS计划不仅仅是出售论坛账户。
该公司同时表示,如果遇到不道德或违背价值观的事情,或者想举报网络犯罪,用户也可以联系他们进行匿名举报。
改变永远不会太晚 以下是Prodaft的倡议内容:
如果在您人生的任何时候,您在暗网论坛上创建了一个不属于通常社交媒体的帐户,或者您准备放弃过去,那么这条信息就是为您准备的。
想想互联网上那些隐藏得更深的地方,那些东西不那么容易找到或访问。人们会去这些地方搜索常规谷歌搜索不到的信息。我们指的是暗网、地下论坛、隐藏的群聊,或者任何其他能激起你好奇心或让你感到兴奋的空间。也许是在2015年,你曾深入研究过那些风险过高、无法在谷歌上搜索的话题?又或许是在2020年,你曾试图在网上购买那些看起来可疑或危险的东西,比如那些声称可以治愈病毒的物质?你当时做了什么并不重要。现在重要的是,你是否想彻底告别那段生活,永远地远离它。
对于任何曾经参与过这些活动并希望翻开新篇章的人来说,你无需解释你的过去,也无需回答任何问题。重要的是,你已经准备好告别过去。这是为那些想要告别过去的人准备的。无论你是想举报你参与的网络犯罪,还是你是一个信仰和平、反对战争的人,你并不孤单。你可能直接受到冲突的影响,也可能想要支持和平努力。这里是为所有准备好放下过去行为(无论过去是什么)并彻底决裂的人准备的。
不评判,不提问——只需简单、安全的交易,双方都能受益,并帮助您告别旧生活。这是您告别旧生活、开启无忧生活的机会,不再被过去的重担所束缚。
“暗网下/AWX”获悉,近日欧洲刑警组织(EUROPOL)宣布捣毁了一个大型的多发性CSAM(儿童性虐待材料)暗网网站,该网站在暗网上被称为“Kidflix”,类似于知名的流媒体服务“Netflix”,被认为是世界上最大的恋童癖平台之一。
在欧洲刑警组织的支持下,此次行动由德国巴伐利亚州刑事警察局(Bayerisches Landeskriminalamt)和巴伐利亚州网络犯罪起诉中央办公室(ZCB)牵头,全球有超过35个国家参与了此次行动的联合执法。
“Kidflix”因其CSAM网站的“独特”功能而声名狼藉,该网站由一名网络犯罪分子于2021年创建的,他从中获利颇丰,很快成为恋童癖者中最受欢迎的平台之一。该网站使用流传输,允许用户根据视频质量进行过滤,观看性虐待儿童的直播,并在购买前预览视频。此外,在暗网网站上活跃、分享内容、制作独特内容等的个人可以获得“Kidflix代币”,从而可以免费获得其他CSAM资料。此外,该暗网网站在活跃期间上传和分享了91,000个独特视频,平均每小时约有3.5个独一无二的新CSAM视频上传进来,网站上共有6288小时(262天)的CSAM视频。
欧洲刑警组织的新闻稿称:“与其他此类已知平台不同,Kidflix不仅使用户能够下载CSAM,还可以流传输视频文件。用户使用加密货币付款,随后将其转换为代币。通过上传CSAM,验证视频标题和描述以及将类别分配给视频,犯罪者可以获得代币,然后将其用于查看内容。每个视频都上传了多个版本——低、中和高质量——允许犯罪分子预览内容并支付费用以解锁更高质量的版本。”
2022年4月至2025年3月期间,全球共有180万用户登录该平台。2025年3月11日,被德国和荷兰当局查封的时候,该暗网网站的服务器里存储有约72,000多部CSAM视频,其中许多视频此前执法部门都不掌握。
通过此次行动,全球有近1400名嫌疑人被确认。到目前为止,其中79人因分享和传播儿童性虐待材料(CSAM)而被捕。一些被捕者不仅上传和观看视频,还虐待儿童。调查仍在进行中。欧洲刑警组织表示,他们将继续与其他国家的执法机构合作,追究在“Kidflix”上犯下罪行的每个人的责任。
此次行动被称为“流行动”(Operation Stream),是欧洲刑警组织专家打击儿童性剥削行动中规模最大的一次行动,也是该执法机构近年来支持的最大案件之一。
调查期间,欧洲刑警组织欧洲网络犯罪中心(EC3)的分析师通过分析数千段视频,为各国当局提供了强有力的行动支持。欧洲刑警组织的专家还对所有可用数据进行了交叉核对,并向相关国家提供了证据,以促进调查。
鉴于案件规模,欧洲刑警组织在调查和行动日期间协调信息交流的作用对案件的成功至关重要。召集合作伙伴进行跨境合作和联合行动是欧洲刑警组织的主要优先事项之一,旨在加强打击各种形式的严重国际和有组织犯罪、网络犯罪和恐怖主义。
此次行动已经取得的成果 针对该暗网网站的调查于2022年开始,打击行动从2025年3月10日开始到3月23日结束。到目前为止,已取得以下成果:
已确认1393名嫌疑人 逮捕79名犯罪嫌疑人 查获3000多件电子设备 39名儿童受到保护 已经确定的嫌疑人中有63人来自英国,其中30人已经被捕 本站(anwangxia.com)从英国媒体针对该事件的报道中得知,此次行动调查确定的全球近1400名嫌疑人中,包括63名来自英国的嫌疑人;因分享和传播儿童性虐待材料而被捕的79人中,有30人来自英国。
北爱尔兰警察局现已证实,3名英国嫌疑人来自北爱尔兰,目前已逮捕2人,并搜查了3处房产。3月19日,警方在科莱雷恩逮捕了一名26岁的男子,并从他家中缴获了2台设备。同一天,警方还逮捕了一名34岁的邓唐纳德男子,并从他家中缴获了5台设备。3月20日,警方又搜查了一名40岁的德里男子的家,并缴获了6台设备。目前,这3人均已被释放,等待进一步调查。
北爱尔兰警察局发言人表示:“由于这是一项正在进行的现场调查,北爱尔兰警察局目前无法发表进一步的评论。”除了北爱尔兰警察局外,还有其他27个警察部门获得了有关该暗网网站潜在用户的情报。
欧洲各级官员称将严惩此类针对儿童的犯罪 NCA高级经理Neil Keeping表示:“感谢我们在德国和欧洲刑警组织的执法合作伙伴,一个包含数万个儿童性虐待视频的危险网站已被关闭。NCA情报人员迅速采取行动,确定了该网站的英国用户,并向全国各地的部队提供了一套情报,以便警方逮捕嫌疑人并保护儿童的安全。从全球到地方采取这种应对措施对于我们保护儿童免遭性虐待和寻找此类内容的犯罪分子的侵害至关重要。我们将继续与国际执法伙伴合作,摧毁纯粹为了满足犯罪分子性需求而在暗网上运营的在线平台,并确保儿童免受虐待。”
欧洲刑警组织执行主任凯瑟琳·德博勒表示:“数字化推动了网络儿童性剥削的快速发展,为犯罪者提供了一个无国界的平台,让他们可以联系和引诱受害者,以及制作、存储和交换儿童性虐待材料。有些人试图将此归结为技术或网络问题——但事实并非如此。这些犯罪背后有真正的受害者,这些受害者是儿童。作为一个社会,我们必须采取行动保护我们的孩子。”
欧盟内政和移民事务专员马格努斯·布伦纳表示:“摧毁这个犯罪网络表明了欧洲刑警组织等欧盟机构提供的附加价值。这正是欧盟委员会提出加强欧洲安全战略的原因。犯罪分子跨境活动,因此我们也必须支持调查人员这样做。”
从网上到线下,欧盟正在优先开展工作 儿童性剥削(CSE)是最近发布的欧盟严重有组织犯罪威胁评估报告(EU-SOCTA)中确定的欧盟内部安全的主要威胁之一。数字化维度引发了在线CSE的快速发展,为犯罪者提供了一个无边界平台来联系和诱骗受害者,以及创建、存储和交换CSAM。这一趋势将在未来几年继续增长。
然而,网络世界并非匿名。“流行动”中确定的大多数嫌疑人都与欧洲刑警组织数据库中的记录相匹配,这证明大多数从事儿童性剥削的罪犯都是惯犯,执法部门并非不知道。
儿童性剥削是一个重大威胁,因此也是欧盟打击严重有组织犯罪的优先事项之一。自2017年以来,欧洲刑警组织一直在开展“制止虐待儿童——追踪物品”倡议,鼓励公民识别物品以帮助警方拯救受虐儿童。
应欧盟成员国和其他合作伙伴的要求,欧洲刑警组织每年两次举办受害者识别工作组,这是一项将执法部门聚集在一起以开展本地调查并识别受害者的举措。德国和澳大利亚的儿童从该项目中受益,并获得了保护。
参与国家 1.阿尔巴尼亚:阿尔巴尼亚国家警察、刑事警察局网络犯罪调查局和特别行动部队局 (Policia e Shtetit, Drejtoria për Hetimin e Krimeve Kibernetike, Drejtoria e Forcës së Posaçme Operacionale) 2.澳大利亚:澳大利亚联邦警察 (AFP) 3.奥地利:刑事情报局(Bundeskcriminalamt) 4.比利时:比利时联邦警察 (Federale Politie / Police Fédérale) 5.保加利亚:网络犯罪总局 – 内政部打击有组织犯罪总局 (Дирекция “Киберпрестъпност” – Главна дирекция “Борба с организираната престъпност”, Министерство на вътрешните работи) 6.
43岁的卢卡斯·雷蒙德·宾汉姆(Lucas Raymond Bingham)在澳大利亚维多利亚县法院承认犯有商业贩卖LSD、贩卖大麻产品以及持有迷幻蘑菇、安定药和氯胺酮的罪行。
根据警方在法庭上提交的摘要,宾汉姆被指控通过暗网贩卖毒品,用户名为“Utopia”(乌托邦),并与警方在邮件中查获的309件LSD和大麻包裹有关。这位个体纹身艺术家使用“Utopia”的匿名昵称,在暗网市场Abacus Market上宣传销售LSD标签和大麻衍生物。
据检察官称,2021年至2023年间,“Utopia”通过暗网市场Abacus Market销售了1186批毒品,总额达163,198美元。交易以加密货币支付,包裹贴有虚假卖家详细信息的标签,并使用WIKR、Threema和Telegram等加密应用程序联系来避免被发现。
据信,“Utopia”为昵称的账号正在另外25个暗网市场上积极销售。根据“Utopia”在暗网市场上的简介页面,“外部反馈”部分有超过20000笔交易(好评率为94.8%)。
作为其贩毒业务的一部分,宾汉姆将包裹邮寄到克兰本北区、贝里克区、丹德农南区、卡鲁姆唐斯区和弗兰克斯顿区等地区的邮箱,再通过Dingley Village、Fountain Gate、Eden Rise Village、Karingal Hub、The Downs 和 Thompson Parkway 购物中心的街边邮箱寄出,发送给澳大利亚各地的买家。
2022年11月至2023年9月期间,警方截获了362个“乌托邦”包裹,缴获了约2.34公斤大麻、552块含有四氢大麻酚的饼干和1870片LSD药片。
在2023年的秘密诱捕行动中,警方在Abacus Market暗网市场上联系昵称为“Utopia”的毒品供应商,提供2616美元比特币,并购买了10次LSD和大麻产品。
2023年10月,在对宾汉姆住所的突袭中,警方缴获了一个来自美国纽约的包裹,其中装有藏在两本漫画书中的3000片LSD药片。
同时缴获的还有共重436克的大麻袋、超过6500片LSD药片、302块THC饼干、84包THC软糖、40克丁烷蜂蜜油以及迷幻蘑菇、氯胺酮和地西泮。据称,这些软糖、饼干、树脂和其他LSD药片是从厨房冰箱和洗衣房冷冻柜中查获的。
警方还发现12,500美元现金、三部手机、一辆五十铃皮卡、一把双刃匕首和两枚猎枪子弹。警方表示,在其中一间卧室内,警方查获了一个装有大麻的容器、45 个热封的大麻袋以及大量邮包和信封。
2023年10月20日,在保释听证会上,警方表示,宾汉姆部分承认在暗网交易市场运营供应商账户‘“Utopia”,并向警方提供了访问代码。为了支持宾汉姆的保释申请,他的母亲提供了高达100万美元的担保——即她和她丈夫的房子。当时他的保释条件包括50万美元的保证金、每周向警方报到三次、上交护照、不访问暗网并且只使用一部手机。
3月19日,法官贾斯汀·刘易斯(Justin Lewis)在宣判时表示,宾汉姆辩称,他的纹身生意在疫情期间崩溃后,他在暗网贩毒是为了资助他的吸毒习惯。
但法官指出,此次复杂的网上行动“远不止于此”。刘易斯法官表示,宾汉姆矫正前景良好,从未被拘留过,也没有相关的犯罪前科。
宾汉姆被指控走私迷幻药、持有毒品以及涉嫌清洗犯罪所得。他被判入狱4年零10个月,其中不得假释期至少为2年零10个月。
塔塔汽车旗下的子公司塔塔科技在今年早些时候遭遇了一次重大网络攻击,影响了该公司的网络并迫使其暂停部分服务,并导致1.4 TB的敏感数据在暗网上曝光。
随后,一个名为Hunters International的新勒索软件团伙公布了据称从这家总部位于浦那的公司窃取的数据,泄露了大量机密信息,包括员工记录、公司文件和客户合同。这一事件凸显了针对跨国公司的复杂网络犯罪组织所构成的威胁日益升级。
一名声称看到该团伙暗网泄密网站上发布的数据的人士称,这些数据包括现任和前任员工的个人信息以及一些机密信息,如采购订单和与印度和美国客户签订的一些合同。
泄露的数据总计约1.4TB,包括超过730,000 个文档,如 Excel电子表格、PDF文件和PowerPoint演示文稿。泄露的信息包括现任和前任员工的复杂详细信息、采购订单以及与印度和美国客户签订的协议。泄露数据的数量之巨和敏感性引起了人们对该公司及其利益相关者可能产生的影响的警惕。然而,目前尚不清楚Hunters International团伙共享的数据是否与最近的勒索软件攻击有关。
塔塔科技最初承认在2025年1月发生了一起影响某些IT资产的勒索软件事件。当时,该公司保证客户服务仍能全面运行且不受影响。然而,Hunters International最近的数据泄露事件使人们对此次泄露的严重程度以及最初遏制措施的有效性产生了怀疑。尽管多次要求发表评论,但塔塔科技对最新进展保持沉默,留下了许多未解答的问题。
塔塔科技公司在向印度证券交易所提交的文件中表示,正在进行调查,“并咨询专家以评估根本原因并在必要时采取补救措施”。
Hunters International是一个相对较新的勒索软件即服务团伙,于2023年底出现,采用勒索软件即服务模式,将其基础设施出租给关联黑客,以换取部分赎金。安全研究人员将该团伙与臭名昭著的Hive勒索软件团伙联系起来,后者于2023年被执法机构基本瓦解。值得注意的是,Hive此前曾在2022年针对塔塔集团的另一家子公司塔塔电力发起攻击,在赎金谈判失败后泄露了被盗数据。攻击模式的相似性表明,Hunters International可能正在利用Hive网络和资源的残余权限。
Hunters International团伙所采用的策略反映了勒索软件团体实施双重勒索计划的日益增长的趋势。在这种情况下,攻击者不仅加密受害者的数据,还威胁要公开发布敏感信息,除非他们的要求得到满足。这种策略给企业带来了额外的压力,因为数据泄露可能造成严重的声誉损害和法律后果。
塔塔科技成立于1989年,是塔塔汽车公司的汽车部门,专注于汽车设计、航空工程和研发,年收入达6亿美元,业务遍及印度、亚太地区、欧洲和北美的18个地区。
塔塔科技遭受的攻击凸显了全球企业面临的威胁形势日益严峻。勒索软件攻击的频率和复杂性不断上升,网络犯罪分子瞄准了汽车、航空航天和工业制造等各个行业的组织。此类攻击对财务和运营的影响可能是毁灭性的,这凸显了采取强有力的网络安全措施的迫切需要。
针对此事件,网络安全专家建议企业采取多管齐下的方法来增强防御能力。这包括定期进行漏洞评估、及时进行补丁管理以及部署高级威胁检测和响应解决方案。员工培训计划也至关重要,因为人为错误往往是网络攻击的切入点。此外,维护加密的离线备份可以在数据被勒索软件加密时促进快速恢复。
截图显示了犯罪嫌疑人运营的暗网平台之一的界面,敏感内容已被打码。 一名54岁的德国公民因涉嫌通过暗网制作和传播儿童色情内容而在泰国被捕, 这名嫌疑人名叫斯特芬(Steffen)。
在泰国与美国执法部门在对包含非法内容的暗网网站进行长达数月的国际调查后,3月5日,斯特芬在泰国春武里府邦拉蒙区一栋公寓内被捕。逮捕消息是在泰国中央调查局(CIB)总部的新闻发布会上宣布的。
3月11日,国土安全部专员Aaron Macelus与泰国皇家警察科技犯罪打击部门(TCSD)警察少将Athip Pongsiwapai一起出席新闻发布会,美国驻泰国大使馆国土安全调查专员Aaron Mercelus也一同出席了发布会。 泰国科技犯罪打击部门(TCSD)负责人、少将 Athip Pongsivapai表示,泰国警方和美国国土安全调查局(HSI)联合逮捕了一名德国公民,该男子运营多个传播儿童性虐待材料的暗网。
据TCSD副督察Jirayu Wongwiwat中尉称,此次逮捕是根据美国国土安全部的情报进行的,情报显示斯特芬在暗网上贩卖儿童色情内容。当局指控这些网站包含非法内容,包括隐藏的摄像头镜头和露骨视频,调查始于2024年12月。
随后的调查发现了斯特芬,他是一名退休程序员,已移居泰国并建立了两个暗网网站,其中包含5000多个视频,主要涉及未成年人。
经过长达数月的国际调查,嫌疑人斯特芬于3月5日在春武里府被捕。在突袭中,警方查获了计算机服务器、笔记本电脑、手机、存储设备、银行账户、信用卡、SIM卡和其他证据,共计36件。其中存储设备经过取证检查发现了超过140,000份包含非法材料的文件。
这些网站采用订阅模式,要求使用加密货币付款,最低入会费为10美元,以比特币或门罗币支付。用户需要使用加密货币购买会员资格,观看和下载视频时会扣除积分。
调查人员发现,嫌疑人平台上有大约10,000名会员。收到加密货币付款后,对这些交易的调查显示,斯特芬采用了复杂的洗钱计划,在多个数字钱包之间转移资金,然后将加密货币兑换成泰铢供个人使用。当局估计他从这些操作中获得的收入约为100,000美元。
在周二的新闻发布会上,警方提供了这名德国男子经营的一家肮脏网站的模糊图像。这个名为“Lolita Land”的暗网儿童色情网站,包含色情文件和视频,大多与恋童癖有关。该网站是两个包含5000多个非法视频的网站之一。这位德国退休程序员亲自建立了这些网站。
在审讯过程中,斯特芬承认利用他的编程专业知识,使用Tor控制面板和WampServer软件创建和管理网站。调查人员还发现,他通过暗网以每月16.95美元(约合572泰铢)的价格出售间谍软件,这些软件可以捕获电话对话、按键、通知、位置数据并访问受感染设备上的文件。
泰国儿童保护局局长Pol Col Supoj Phumyaem表示,斯特芬承认经营两个网站,拥有10000多名会员和5000个色情视频,主要涉及儿童性剥削。他承认利用在德国工作时获得的编程技能来建立和管理这些网站。
官员们周二透露,美国无意在美国本土起诉这名德国人。因此,他将根据《2007年计算机犯罪法》和其他规定在泰国接受指控。
犯罪嫌疑人面临多项指控,包括持有和传播儿童性虐待材料、制作和交易淫秽材料、通过计算机系统进口和传播此类内容以及输入可供公众访问的非法计算机数据。
官员解释称,斯特芬的签证也过期了,由于罪行是在泰国犯下的,因此将在泰国受到起诉。法院判决后,斯特芬必须在泰国服刑。一旦被起诉并服完随后判处的监禁刑期,他将被遣返回德国。此后,他将被永久列入黑名单,不得进入泰国,因为这对泰国的安全构成了严重威胁。
暗网勒索软件团伙Termite公布了澳大利亚领先的IVF和生育服务提供商之一Genea的高度机密患者信息样本,此前该公司遭受网络攻击,系统被迫关闭数天。Termite于周三在暗网数据泄露网站上发布了截图。
Termite声称拥有Genea服务器的700GB数据,其中包括跨度6年的个人信息。
NSB网络主管Evan Vougdis表示,此类样本数据帖子通常是一种验证其主张的策略,并向受害者施加压力,让其遵从赎金要求。
“这是勒索软件团伙通常会看到的画面……他们只是通过展示一些样本照片来证明并验证他们关于数据泄露的说法。” 他说。
“勒索软件团体发布[公司信息]但不一定同时发布所有数据的情况并不少见。”
Genea于周三在其网站上发布了更新的声明内容,称其已获得新南威尔士州最高法院的临时禁令,以防止“威胁行为者和/或任何接收被盗数据集的第三方访问、使用、传播或发布受影响的数据”。
目前这些信息仍然存在于暗网上,Genea尚未向患者发送电子邮件告知他们个人信息已被公开发布。
沃格迪斯表示,虽然禁令可能会阻止普通澳大利亚人访问数据,但勒索软件团伙不太可能遵守新南威尔士州最高法院的命令。
Genea正在全力处置此次事件 Genea在其声明中表示:“我们正在进行的调查已确定,2月26日,从我们的系统中窃取的数据似乎已被威胁行为者对外发布。”
“我们理解这一事态发展可能会让我们的患者担忧,对此我们深表歉意。”
Genea表示,联系方式、医保卡号、病史、检测结果和药物等敏感信息可能在数据泄露中遭到泄露,该公司“正在努力了解究竟哪些数据已被泄露”。
法庭命令显示,自1月31日起,涉嫌发动攻击的黑客在被发现之前已在Genea网络中潜伏了两周多,并于2月14日从Genea的系统中提取了940.7 GB的数据。
该公司最初于2月21日星期五通知患者疑似数据泄露,但直到下周一才透露攻击的严重程度。患者并未被告知他们的哪些个人信息被窃取了(如果有的话)。
但在发给客户的电子邮件中,Genea的首席执行官Tim Yeoh透露,被访问的患者管理系统中的信息包括全名和出生日期、电子邮件、地址、电话号码、医疗保险卡号、私人健康保险详情、病史、诊断和治疗、药物和处方、测试结果、医生的证明和紧急联系人。
Yeoh表示,目前没有证据表明信用卡信息或银行账户号码等财务信息遭到泄露,但调查仍在进行中。
Genea在北领地以外的所有州和地区都设有生育诊所。它提供基因检测、卵子和精子冷冻、生育测试和包括IVF在内的治疗。
Genea在其网站上的一份声明中表示:“我们获得这项禁令是我们致力于保护患者、员工和合作伙伴信息的一部分,我们将针对这一事件采取一切合理措施,保护受影响的数据和最脆弱的人群。”
“我们正在与国家网络安全办公室、澳大利亚网络安全中心和其他政府部门会面,讨论这一事件。”
2022年(有数据可查的最新年份),澳大利亚每17个新生儿中就有1个使用了辅助生殖技术。总共进行了108,913个ART治疗周期。
Termite团伙是一个比较新的勒索软件团伙 声称对此次攻击负责的勒索软件团伙Termite相对较新,但他们却是去年多次重大供应链网络攻击的幕后黑手,当前其暗网泄密网站上共发布了16个受害者信息。
网络技术公司博通在去年11月发布的一份备忘录中称,Termite团伙针对了多个国家和行业,包括法国、加拿大、德国、阿曼和美国。这些行业包括政府机构、教育、残疾人支持服务、石油和天然气、水处理和汽车制造业。
博通表示,该勒索软件团伙的作案手法尚不清楚,但勒索软件会加密目标文件,并将受害者引导至暗网网站,商讨如何支付赎金。
目前该勒索软件团伙尚未公开发布赎金请求或威胁进一步泄露Genea数据。
多名患者对此表示担心 Genea因与受影响的患者缺乏沟通而受到批评,这些患者花了数天时间才与当地诊所取得联系以进行紧急医疗咨询。
周一,该公司致信患者警告称,他们的调查显示,个人医疗信息可能已被攻击者访问和窃取。
一位不愿透露姓名的患者称,她感到非常震惊和害怕。
“被盗的信息非常私密且敏感。我觉得我的人身安全可能受到威胁。我对Genea非常生气,” 她说。
“接受生育治疗的人很容易受到伤害,尤其是受到负面心理健康影响。Genea知道这一点,但没有提供任何额外的心理健康护理或资源来帮助他们的患者度过网络攻击。这是疏忽。”
Genea的前病人丽贝卡(Rebecca)表示,她担心自己的身份被盗。
“我对此非常担心。这不是我第一次遭遇数据泄露。几年前,Optus的数据泄露事件也曾让我深受其害,”她说道。
这位来自墨尔本的41岁女子表示,她已经收到了Genea发来的两封电子邮件,但想要了解更多有关泄密程度的信息。
“你给他们提供的病史非常详尽。他们不仅会考虑你和你的伴侣,还会考虑父母和兄弟姐妹的生育能力。”
Genea敦促客户保持警惕 Genea发言人在一份声明中表示,公司正在努力准确了解已发布的数据。
“我们正在紧急调查已发布数据的性质和范围。对于这一最新进展可能引起的任何担忧,我们向患者表示歉意。”
该发言人表示,Genea已获得禁令,禁止进一步传播受影响的数据,并为受事件影响的人们提供支持。
“我们还向澳大利亚信息专员办公室通报了此事的最新进展。”
Genea 表示正在进行进一步调查。
建议Genea患者对身份盗窃或欺诈保持警惕,并对可疑的电子邮件、短信或电话,或任何可能来自他们不认识的人或组织联系您的尝试保持警惕。
Genea患者可以拨打 1800 595 160 联系 [email protected] 和政府的 IDCare 计划。
澳大利亚国家网络安全协调员米歇尔·麦吉尼斯表示,她对最新事态发展深感担忧。
“我正在协调澳大利亚政府对影响Genea的网络事件的整个响应。作为这项工作的一部分,我直接与Genea会面,以帮助他们充分利用澳大利亚政府的资源来应对这一事件,”她在一份声明中说道。
“任何人都不应该从暗网获取被盗的敏感信息或个人信息——不要去寻找数据。这只会助长网络犯罪分子的商业模式。”
根据欧洲刑警组织的公告,FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站,逮捕4名嫌疑人。
现在,访问勒索软件团伙8Base的暗网泄密网站,会看到一条扣押横幅,上面写着:“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托,查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。
通过此次行动,执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心,两周前,臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕,去年8月,FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。
4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道,此次逮捕行动在泰国普吉岛进行,目标是疑似是Phobos勒索软件团伙成员,该恶意软件家族与8Base的运营有关。
周一,四名勒索软件团伙的头目(两男两女)在四个不同地点被捕,这些头目均为俄罗斯公民,他们涉嫌部署Phobos勒索软件变种8Base,向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布,但泰国网络犯罪调查局称,瑞士和美国当局已向他们发出了逮捕令。
泰国警方表示,警方在普吉岛的四个地点进行了突袭,并补充说,嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道,警方还收到了国际刑警组织的逮捕令,这四人被指控对17家瑞士公司进行了网络攻击,并使用加密货币混合服务清洗勒索来的资金。
据称,当局已缴获40多件证据,包括手机、笔记本电脑和数字钱包。与此同时,与犯罪网络相关的27台服务器被关闭。
8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动,最初规模较小,表明其处于发展阶段。到2023年初,该团伙以目前的形式出现,并迅速发展其策略。2023年5月,8Base采用了多重勒索模式,加密数据并威胁除非支付赎金,否则泄露数据。他们还推出了暗网泄密网站,用一个基于Tor网络的受害者博客来发布被盗数据。
到2023年中期,该团伙的活动急剧增加,针对各个行业的团伙,成为主要的双重勒索行为者。据称,该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外,该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。
分析师认为,8Base使用的是Phobos勒索软件的修改版本,该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中,VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。
该团伙的影响是全球性的,美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠,特别是在赎金记录和暗网基础设施方面。
此前,针对Phobos勒索软件,警方已逮捕了一系列影响深远的嫌疑人:
2024年6月,Phobos的一名俄罗斯籍管理员(Evgenii Ptitsyn)在韩国被捕,并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉,这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月,该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年,Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕,这进一步削弱了该勒索软件背后的网络。 Phobos:一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现,是一种长期存在的网络犯罪工具,经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同,Phobos依赖于对中小型企业进行大规模攻击,而这些企业通常缺乏网络安全防御来保护自己。
它的勒索软件即服务(RaaS)模式让一系列犯罪分子(从个人分支机构到8Base等结构化犯罪集团)都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动,从而进一步助长了其广泛使用。
8Base利用Phobos的基础设施开发了自己的勒索软件变种,利用其加密和交付机制来定制攻击,以达到最大效果。该组织在双重勒索策略方面尤其激进,不仅加密受害者的数据,还威胁要公布被盗信息,除非支付赎金。
欧洲刑警组织的协调作用 由于执法工作横跨多个大洲,欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来,欧洲刑警组织的欧洲网络犯罪中心(EC3)一直为调查提供支持,并:
汇集平行调查的情报,确保针对Phobos和8Base的执法机构能够汇总他们的调查结果,并有效协调逮捕行动。 组织了37场行动会议和技术冲刺,以获得关键调查线索。 提供分析、加密追踪和取证专业知识来,为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组(J-CAT)内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息,使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议,协助跨境司法合作,并对所有相关当局的未决请求提供支持。
这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持,涉及14个国家的执法机构。目前,已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局(NCA)、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos,而另一些国家则针对8Base,有几个国家同时参与了这两个行动。
欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用,使当局能够通过协调行动,击落两个勒索软件网络的关键参与者。
以下部门参与了调查:
比利时:联邦警察(Federale Politie / Police Fédérale) 捷克:捷克共和国警察(Policie České republiky) 法国:巴黎网络犯罪小组 (Brigade de lutte contre la cybercriminalité de Paris – BL2C)、巴黎法院 – 国家打击有组织犯罪司法管辖区 (Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO) 德国:巴伐利亚州刑事警察局 (Bayerisches Landescriminalamt – LKA Bayern)、巴伐利亚网络犯罪起诉中央办公室 (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) 日本:警察厅(警察庁) 波兰:中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 罗马尼亚:罗马尼亚警察 (Polişia Română) 新加坡:新加坡警察部队网络犯罪指挥部 西班牙:国民警卫队 瑞典:瑞典警察局(Polisen) 瑞士:瑞士总检察长办公室 (OAG)、联邦警察局 (fedpol) 泰国:网络犯罪调查局(CCIB) 英国:国家犯罪局(NCA) 美国:美国司法部(US DOJ)、联邦调查局(FBI – 巴尔的摩外地办事处)、美国国防部网络犯罪中心(DC3)
芬兰海关在周五的新闻稿中表示,数人因涉嫌维护暗网毒品交易市场“Sipulitie Market”或参与该网站的客户服务和管理而被拘留。Sipulitie市场匿名贩卖麻醉品、毒品和其他药品以及兴奋剂。
芬兰海关(当地称为Tulli)与瑞典警方、欧洲刑警组织和芬兰各警察部门进行了广泛合作。在初步调查期间,数人因涉嫌维护该网站或参与该网站的客户服务和审核而被拘留。
“Sipulitie Market”,芬兰语意为“Onion Road”,是一个芬兰语暗网交易市场,自2023年初推出以来,一直在暗网社区掀起波澜。这个暗网市场主要面向芬兰语用户,以其强大的安全措施和友好的用户界面脱颖而出,深受芬兰语人群喜爱。去年10月,”暗网下/AWX“曾独家报道,“Sipultie Market”已被国际联合执法行动关闭。
据报道,初步调查仍在进行中,今年春天,该案件将被移交至西芬兰检察区考虑起诉。该刑事案件将在北卡累利阿地区法院审理。
芬兰当局去年查封暗网市场“Sipulitie Market” 2024年9月,芬兰海关关闭了自2023年以来一直在加密Tor网络上运行的Sipulitie暗网市场的网络服务器,并查封了服务器内容。该暗网交易市场用于匿名贩卖麻醉品、麻醉药品、药物和兴奋剂。
2024年秋,芬兰海关与瑞典警方合作查封了Sipulitie暗网市场的服务器并获取了服务器上存储的信息,包括源代码、数据库以及日志等。据分析,Sipulitie网站拥有超过17000个注册用户账户,其中150多个是供应商账户。
最新的调查发现了Sipulitie市场背后的犯罪嫌疑人 在海关查获的材料中,调查人员发现了该暗网市场用户之间发送的消息、支付交易详情、用户联系方式以及购买和销售数据。海关已确定了这些用户账户背后的几名嫌疑人,并已针对这些人展开毒品犯罪的初步调查。
在被扣押之前,该暗网市场的管理员公开表示Sipulitie的营业额为130万欧元,这与海关在初步调查中确定的数字相符。调查过程中,警方共追查到近一百万欧元的犯罪所得。其中一些已被扣押,一些则作为担保品被没收。
“海关网络犯罪调查员在调查此案时表现非常出色。我们能够有效干预并发现通过互联网匿名交易非法商品和物质的情况,”芬兰海关执法局局长汉努·辛科宁(Hannu Sinkkonen)表示。
一名居住在芬兰东部的男子被怀疑是Sipulitie暗网市场的管理员。该男子涉嫌三项严重毒品犯罪,涉及维护毒品网站。
在对嫌疑人的房屋搜查中,调查人员从嫌疑人身上查获了IT设备和加密货币材料等物品,以及价值约15万欧元的加密货币作为犯罪所得。为了保证安全,已要求没收嫌疑人价值超过50万欧元的资产。
“Sipulitie Market”的管理员招募在暗网市场上运营的卖家来帮助他进行客户服务并为他们的工作提供报酬。海关已经确定了这些人的身份。首先,他们招募了两名来自新地区(Uusimaa)的男子。在该暗网市场被关闭前几天,来自新地区和中芬兰的3人工作小组开始提供客户服务。该工作小组由2名男子和其中1名男子的母亲组成。
暗网上已不存在芬兰语的暗网市场 芬兰海关怀疑“Sipulitie Market”的管理员还管理着Sipulimarket和Tsätti销售网站,两者都是销售非法物质和毒品的暗网市场,“暗网下/AWX”前期报道,Sipulimarket是“Sipulitie Market”的前身。海关于2024年9月在关闭Sipulitie的同时也关闭了Tsätti网站。
Sipulimarket于2020年被海关关闭。Sipulitie被关闭后,在加密的Tor网络上不再有芬兰语的暗网毒品交易市场运营。
曾经风靡芬兰的Sipulitie市场的用户体验非常棒 “Sipulitie Market”暗网市场曾使用过的暗网V3域名是:
http://sipulifrfvh2zqzvivpubhafag722y4xf54l7fggsvai726ivz3y7gad.onion
由于界面直观,浏览Sipulitie市场非常轻松。该暗网市场上架的商品按类别组织有序,浏览和购买非常顺畅。此外,该暗网市场还强调购买流程和安全实践的透明度,从而增强用户信任。
该暗网市场的供应商可以选择接受XMR、BTC支付。供应商以EUR/USD/GBP/SEK法定货币设定产品价格,当用户下订单时,价格将根据当前XMR或BTC汇率转换为XMR或BTC。
最为重要的是,该暗网市场设计了强大的网站安全功能,Sipulitie市场通过多项措施优先考虑用户安全:
强制性双因素身份验证(2FA):对于供应商来说是必需的,对于买家来说是建议的。 PGP加密:确保买家和供应商之间的保密通信。 托管系统:资金将被保留直至买家确认收到货物,从而降低欺诈风险。
波兰政府一名高级官员周二指责俄罗斯试图在暗网上招募波兰人,以影响波兰总统竞选活动。欧盟和北约成员国此前曾警告俄罗斯干预五月中旬选举的危险,但莫斯科一再否认干涉外国选举。
俄罗斯在暗网中高价招募波兰公民 波兰副总理克日什托夫·加夫科夫斯基(Krzysztof Gawkowski)表示,俄罗斯正在寻找愿意在波兰国内影响总统竞选活动的波兰公民,并向他们提供3000-4000欧元(3130-4170美元)来传播包含虚假信息的内容。
加夫科夫斯基表示,招募是通过暗网进行的,暗网是互联网的一部分,只能使用专门的网络浏览器才能访问。他说,波兰自今年年初以来一直在观察此类企图。
加夫科夫斯基对路透社表示:“这些资金来自俄罗斯情报部门格鲁乌(GRU)和俄罗斯联邦安全局(FSB),他们在这里寻找此类内容的赞助人。”格鲁乌和联邦安全局指的是俄罗斯的军事情报部门和联邦安全局。
华沙此前曾警告俄罗斯干预五月中旬选举的危险,但莫斯科一再否认干预外国选举。莫斯科没有立即对加夫科夫斯基的言论发表评论。
波兰称俄罗斯长期对波兰及欧洲各国发动网络战 波兰本月表示,已发现一个俄罗斯组织,该组织的任务是通过虚假信息影响波兰选举并煽动不稳定。
本月初,加夫科夫斯基表示,俄罗斯有一个专门针对波兰的网络部队,没有一个欧盟国家比波兰遭受到俄罗斯的网络攻击更多,2024年1月至10月期间,波兰遭受了超过80000次网络攻击。
华沙表示,华沙是乌克兰抵御俄罗斯入侵的物资供应中心,因此成为俄罗斯及其盟友白俄罗斯间谍以及破坏活动的目标。明斯克和莫斯科否认了有关他们策划破坏活动的指控。
加夫科夫斯基强调,波兰已拨出大量资金用于对抗俄罗斯的网络战,并建立了一个新的特别协调中心,并表示波兰已采取必要措施保护其网络空间。
格鲁吉亚是前苏联加盟共和国,现已独立,因俄罗斯操纵其政治而面临政治危机和社会动荡。去年12月,同为北约和欧盟成员国的罗马尼亚在被指控俄罗斯干预后取消了总统选举,莫斯科否认了这一指控。
波兰推出选举保护计划 加夫科夫斯基周二在华沙的新闻发布会上介绍了“选举保护伞”计划,该计划旨在保护即将举行的总统选举免受外国影响,保护网络空间并打击虚假信息。
他说:“这项名为‘选举伞’的选举保护计划是为了响应国家今天站在民主和宪法秩序一边的事实,旨在保护宪法和选举进程。”
加夫科夫斯基宣布将拨款400万兹罗提用于安全选举网站(bezpiecznewybory.pl),并将额外财政资源用于培训和实施向选举委员会提供信息的程序。
他补充说,该计划将于2月2日开始实施,并将与内部安全局(ABW)的活动相结合。
加夫科夫斯基还表示,该计划将包括免费的域名网络安全扫描和提供有关密码泄露的信息。
“我们将寻求让所有在波兰运营的社交媒体平台都参与到反击虚假信息的行动中来。这意味着在线活动将受到监控,以防止外国干涉,”加夫科夫斯基表示。