特里尔”网络碉堡“案关于地下计算机中心作为暗网犯罪业务平台的审判,一直以其数字给人留下深刻印象。
据说有近25万起刑事犯罪通过在特拉本-特拉巴赫的一个旧地堡中的400台服务器中运行暗网服务时发生,涉及毒品、假币或网络攻击的交易价值几百万美元。而调查人员对此案进行了五年的调查,直到2019年9月数百名警察破获了这些经营者。
近一年来,八名被告一直在特里尔地区法院受审。”在德国迄今为止最大的网络犯罪审判之一”——这是国家网络犯罪中央办公室所属的科布伦茨总检察长办公室在2020年10月19日审判开始时给诉讼程序的标题。这七名男子和一名妇女被指控成立了一个犯罪组织,并协助和怂恿25万起刑事犯罪。
经过100多名证人、数千页档案、数十个审判日——有时一周两次——审判现在正慢慢接近尾声。至少是取证的问题。主要被告荷兰人的辩护律师Michael Eichin说,法庭希望在9月底结束其审批。然后,辩方将提出要求提供证据的动议。最后,将提出抗辩:八名被告每人将有两名辩护律师。该审判计划到2021年底结束。
律师Sven Collet估计,审判可能在11月中旬结束。“我预计,我们肯定会在今年年底前通过。” 他代表Calibour GmbH公司,该公司经营的数据中心被宣传为“防弹主机”(“防弹”,防止警察进入),其唯一代表是主要被告。
庞大的审判中的一个核心问题是:是否有可能证明被告协助和教唆——也就是说,他们是否知道其客户的非法阴谋?并说他们放任他们这样做?在Eichin看来,有许多迹象表明,”协助和教唆的事情可能不会发生。但是,现在仍然悬而未决的,当然是犯罪组织的形成“。即使他不认为这是合理的。
Collet 还说:“你必须为每个个案证明协助和教唆的行为。他说,这很难,因为计算机中心实际上不过是一个保险箱。”只要我们不能自己打开它,看里面的情况,我们就不知道人们在里面放了什么。他说,对于犯罪团伙的指控,人们必须看一看这可能适用于谁。“不是对每个人都是如此。”
当被问及诉讼情况时,法院不大愿意透露。新闻办公室说,“取证工作仍在进行中“。审判时间如此之长的事实是”由于审判材料的范围“。调查人员在大多数情况下都听到了。然而,这可能不是特里尔地区法院最长的一次审判。
听证会9月27日及28日继续进行,结果还没公开。新闻办公室补充说:”诉讼程序的进一步发展和持续时间将特别取决于被告人的辩护行为。被告是四名荷兰人、三名德国人和一名保加利亚人。“
Eichin律师批评说,”调查中的严重缺陷“在审判过程中一再暴露出来。例如,在对服务器的评估中。”他们声称,这些服务器上没有任何合法的东西。然后发现只有5%的数据被分析了。” 他的客户应该知道这一切是”荒谬的“。
就个人而言,他对检察院的调查”真的非常、非常片面“感到困扰。”他们真的只看有犯罪嫌疑的东西,开脱罪责的证据被完全忽略了”。他说,“狩猎的本能”很清楚,他们想完成他们已经工作了五年的方案。“但你必须想象。在某些情况下,人们已经被审前拘留了两年”。
Eichin说,最终该审判不会在特里尔进行裁决。“无论结果如何,它肯定会进入联邦最高法院。” 他说,随后可能会提出宪法申诉。“这都需要时间。然后也许在四到五年内,我们会知道它到底是怎样的。只有这样,才不会有人记得。”曼海姆的律师说。
众所周知,强大的恶意软件可以在暗网上购买并相对轻松地使用。思科Talos网络安全研究团队的一份新报告说明了开箱即用的远程访问木马恶意软件的危险程度:自2020年12月以来,一场名为“Armor Piercer”的活动一直在攻击印度政府。
Armor Piercer具有被称为APT36或Mythic Leopard的高级持续威胁(APT)组织的许多特征,据信该组织在巴基斯坦境外开展活动。特别是,该报告引用了与Mythic Leopard使用的类型“非常相似”的诱饵和策略。
另一方面,该报告说,此次发现的RAT木马让人觉得Armor Piercer活动可能不是一个熟练的APT攻击:“发现两个商业RAT系列,称为NetwireRAT(又名NetwireRC)和WarzoneRAT(又名Ave Maria)”是对印度政府和军队发动袭击的幕后黑手。
“与许多犯罪软件和APT攻击不同,该活动使用相对简单、直接的感染链。攻击者没有开发定制的恶意软件或基础设施管理脚本来执行他们的攻击,但使用的暗网购买的RAT并没有降低杀伤力。”Talos在其报告中说。
Talos说,可以在暗网上购买的RAT木马具有广泛的功能集,其中许多允许完全控制受感染的系统,并能够建立立足点以部署其他恶意软件,就像从GUI仪表板部署包和模块一样简单。
与现代恶意软件活动一样,Armor Piercer活动使用恶意的Microsoft Office文档进行感染。该文档带有恶意的VBA宏和脚本,一旦被毫无戒心的用户打开,它就会从远程网站下载恶意软件加载程序。安装程序的最终目标是在系统上放置一个RAT,它可以保持访问,允许进一步渗透到网络中并窃取数据。
Armor Piercer背后的攻击者使用的RAT具有广泛的功能。
NetwireRAT能够从浏览器中窃取凭证,执行任意命令,收集系统信息,修改、删除和创建文件,列举和终止进程,记录密钥,等等。
WarzoneRAT以其令人印象深刻的功能概述为例,这些功能来自暗网广告,可在上面链接的Talos报告中找到。它能够独立于.NET运行,提供对受感染计算机的60FPS远程控制,隐藏的远程桌面,UAC绕过权限提升,从受感染的计算机上传输网络摄像头,从浏览器和邮件应用程序中恢复密码,实时和离线键盘记录器,反向代理,远程文件管理等。
现成的RAT和其他恶意软件不一定是懒惰、缺乏经验或时间短的操作的标志。“现成的产品,例如商品或破解的RAT和邮件程序,使攻击者能够快速实施新的活动,同时专注于他们的关键战术:诱使受害者感染自己。”Talos说。
不知道这次特定的攻击是否可能会转移到印度以外的地方,或者世界其他地方是否正在使用类似的策略。开箱即用的恶意软件的威胁仍然存在,无论组织位于何处:它很容易获得,相对便宜,如果它足够好以蠕虫进入政府计算机系统,它很可能对你的计算机系统做同样的事情。
DeSnake回来了,并承诺这次将保持AlphaBay的正常运行。 四年多前,美国司法部宣布捣毁AlphaBay,这是历史上最大的黑暗网络市场。泰国警方在曼谷逮捕了该网站26岁的管理员亚历山大-卡泽斯(Alexandre Cazes),联邦调查局查封了AlphaBay在立陶宛的中央服务器,消灭了一个每年向40多万注册用户出售价值数亿美元的硬性毒品、黑客数据和其他违禁品的市场。联邦调查局称对该网站的破坏是一次“具有里程碑意义的行动”。
但是,这一大规模暗网交易市场摧毁计划中一个关键人物的命运从未得到解释。AlphaBay的前二号管理员、安全专家和自称的联合创始人,他的名字是DeSnake。现在,在他的市场消亡四年后,DeSnake似乎又回到了网上,并在他自己独自的领导下重新启动了AlphaBay。
DeSnake最近接受媒体采访,透露了他是如何从AlphaBay的倒闭中毫发无损地走出来的,为什么他现在又重新出现,以及他对这个复活的、曾经占主导地位的在线暗网市场有什么计划。他通过加密短信与媒体交流,这些短信来自一系列频繁变化的假名账户,此前他用DeSnake的原始PGP密钥签署了一份公开信息,证明了自己的身份,多个安全研究人员对此进行了验证。
“我回来的最大原因是要让人们记住AlphaBay的名字,而不是那个被捣毁的市场和创始人被说成是已经自杀的。”DeSnake写道。被捕一周后,Cazes在被捕一周后被发现死于泰国监狱的牢房中;与暗网社区中的许多人一样,DeSnake认为Cazes是在监狱中被谋杀的。他说,“在阅读了FBI关于Cazes被捕情况的介绍后,他被迫重建 AlphaBay,他认为这是不尊重的行为。突袭后,AlphaBay的名字被曝光了,我来这里是为了弥补这一点。”
“在这场游戏中,没有矫枉过正。” DeSnake传递的信息中弥漫着一种实际的偏执,无论是在个人层面还是在他对AlphaBay改造后的技术保护的计划中。例如,恢复的AlphaBay版本只允许用户用加密货币门罗币Monero进行买卖,Monero的设计远比比特币更难追踪,而比特币的区块链已经证明可以进行链上追踪。AlphaBay的暗网网站现在不仅可以像原来的AlphaBay一样通过Tor访问,还可以通过I2P访问,这是一个不太流行的匿名系统,DeSnake鼓励用户转而使用。他反复描述了他对Tor可能受到监视的警惕,尽管他没有提供证据。
DeSnake说,他的安全实践——无论是他在AlphaBay内应用的还是在个人层面上的——都远远超出了他的前任Cazes的安全实践,他在网上的名字是Alpha02。Cazes被抓,部分原因是通过比特币区块链分析,确认了他作为AlphaBay老板的角色,这种伎俩对于Monero来说要困难得多,甚至不可能。DeSnake认为,像这样的新保护措施将使这次AlphaBay更难从暗网中移除。“我给了Cazes许多匿名的防范方法,但他选择只使用某些东西,而他将其他方法/方式称为‘矫枉过正’。”DeSnake写道,他的英语似乎带着外国口音,偶尔会拼写错误。“在这场游戏中,没有矫枉过正。”
DeSnake将他持续的自由归功于接近极端的操作安全方案。他说他的工作计算机运行着一个“失忆”操作系统,比如Linux的以安全为中心的Tails发行版,旨在不存储任何数据。事实上,他声称根本不会在硬盘或USB驱动器上存储任何有罪的数据,无论是否加密,并拒绝进一步解释他如何实现这一明显的魔术。DeSnake还声称已经准备了一个基于USB的“终止开关”设备,旨在擦除他计算机的内存,并在电脑离开他的控制时在几秒钟内将其关闭。
为了避免在他登录AlphaBay时他的电脑被抓住的风险,DeSnake说他每次离开它时都会完全关闭它,即使是去洗手间。“在这方面最大的问题是人类的需求……我会说这是最大的不便。”DeSnake写道:“虽然你做出牺牲,一旦你习惯了,它就会变成第二天性。”
毕竟,执法部门没收了Alexandre Cazes和Ross Ulbricht的笔记本电脑——后者因经营名为丝绸之路的暗网毒品交易市场而被判无期徒刑——当时他们正在开放、运行,并登录到他们所监督的暗网网站的管理员账户。相比之下,DeSnake非常大胆地声称,即使被扣押,他的工作PC也不会牵连到他。
但所有这些技术和操作保护可能都没有简单的地理保护那么重要。DeSnake声称位于一个非引渡国家,超出了美国执法部门的范围。AlphaBay的新老板描述了他曾在前苏联生活过,而且他以前在原来AlphaBay的论坛上给用户写过俄语信息。
长期以来,一直有传言称AlphaBay与俄罗斯或俄罗斯人有某种联系。它的规则一直禁止出售从前苏联国家的受害者那里窃取的数据,这是俄罗斯黑客的共同禁令,旨在保护他们免受俄罗斯执法部门的审查。当Alexandre Cazes在暗网网站上以Alpha02绰号写作时,他有时会用俄语短语“保持安全”作为签名。但后来在泰国追踪到 Cazes时,许多人认为AlphaBay的俄罗斯指纹是为了误导调查人员。
然而,DeSnake现在声称,他和其他参与最初AlphaBay的人实际上仍然超出了西方执法部门的范围。他在谈到AlphaBay禁止出售前苏联公民被盗数据的规定时写道:”你不会在你睡觉的地方拉屎”。”我们这样做是为了其他工作人员的安全。Cazes决定接受它,作为保护自己的一种方式。”
无论如何,DeSnake 声称他“在过去的 4 年里去过几个大洲”并且“没有任何问题”,这让他相信他多年的自由不仅是因为他的位置,而且是在技术上战胜了追踪他的执法机构。当然,有可能DeSnake告诉媒体的一切本身可能都是误导,旨在帮助他进一步逃避这些机构。
虽然 DeSnake 的说法几乎没有得到证实,但他至少在暗网市场运营商中享有不寻常的长寿。安全公司 Flashpoint 表示,至少自 2013 年以来,它已经看到了 DeSnake 以同一个笔名运作的证据和描述——首先是在 Evolution 和 Tor Carder Forum 等网站上以信用卡为重点的网络犯罪分子,然后自己成为市场管理员。
DeSnake于2014年秋季首次出现在最初的AlphaBay论坛上,他是一个信用卡欺诈(也称为 “刷卡”)工具和指南的供应商,在Evolution的管理员在所谓的 “退出骗局 “中带着用户的钱潜逃后寻找一个新家。他说他很快就通过一种非正统的方法与Alpha02成为朋友:他声称他在AlphaBay上“弹出了一个shell”,入侵了该网站并获得了权限,可以在其服务器上运行自己的命令。他说,他没有利用该漏洞,而是帮助管理员修复它,并很快成为该网站的第二大管理员和安全负责人。“我负责安全和某些管理工作。”DeSnake说,“剩下的,他都负责。”
近三年后,Cazes被捕,该网站被下线,部分原因是AlphaBay创始人在其论坛上向新用户泄露了欢迎消息元数据中的个人电子邮件地址。DeSnake说他很早就通过切换网站的论坛软件修复了这个问题,这就是证据的线索。“直到今天我仍然不相信他把他的个人电子邮件放在那里。”DeSnake说。“他是一个很好的搬运工,他更了解 opsec。”
自从AlphaBay回归以来,暗网买家和供应商并没有完全蜂拥而至。重新启动几周后,它的挂牌量不到500件,而AlphaBay2017年高峰时的挂牌量超过350,000 件。这些低数字可能源于DeSnake坚持只接受门罗币、持怀疑态度的暗网用户等着看新的AlphaBay是否权威,以及源于一连串的分布式拒绝服务攻击,这些攻击使该网站自推出以来一直处于离线状态。但DeSnake认为,暗网市场通常只有在另一个受欢迎的市场关闭或被执法部门捣毁时才会涌入新用户;自从AlphaBay回来后,这两种情况都没有发生。
与此同时,DeSnake希望通过一个他称之为AlphaGuard的仍未被证实的系统来吸引用户,该系统旨在让用户提取他们的资金,即使当局再次查封运行AlphaBay基础设施的服务器。
正如DeSnake所描述的那样,AlphaGuard会在检测到AlphaBay离线时自动租用和设置新服务器。他甚至声称AlphaGuard会自动入侵其他网站并在他们的服务器上植入数据,为用户提供“提款代码”,他们可以用来保存他们存储在AlphaBay上的加密货币,以防万一。“这是一个系统,可以确保用户可以提取资金、解决纠纷,并且如果发生突袭,通常不会损失一分钱。”DeSnake 写道,“即使它同时发生在所有服务器上,它是不可阻挡的。”
“除了推出市场之外,他并没有真正展示任何东西。” 如果AlphaGuard的功能听起来还不够理想的话,DeSnake说他还处于一个长期计划的早期阶段,即实施一个完全去中心化的市场系统,本质上是对目前黑暗网络市场的Napster的BitTorrent。在这个雄心勃勃的计划中,独立运行数百或数千台服务器的开源程序员和服务器运营商将获得部分利润,以托管市场,形成一个巨大的暗网网络,没有单一的故障点。DeSnake说,AlphaBay将是该网络上托管的“品牌”之一,但任何供应商或市场都可以选择建立自己的品牌,其加密功能将使每个市场或商店处于管理员的控制之下,即使其代码在大量机器上被复制。
DeSnake自从他最早在AlphaBay论坛上发帖以来就一直在讨论这个去中心化项目,他承认这还需要几年的时间。但他认为这是一种让AlphaBay在未来执法行动中无懈可击的方式,并可以补偿暗网用户在原始AlphaBay服务器被查封时损失的数百万美元。“说到赚钱,这是对AlphaBay未来的投资。”DeSnake 写道。“说到意识形态,我认为这很清楚。原因是为了让AlphaBay名声大噪……这是我们对暗网领域所发生的事情进行补偿的方式。”
但是,密切关注暗网市场的Flashpoint分析师伊恩-格雷(Ian Gray)说,DeSnake描述的所有防御魔法——无论是AlphaGuard还是去中心化项目——在很大程度上仍是未经证实的言论。例如,去中心化计划将需要大量开发商和网络运营商的集体支持,以支持可能被视为本质上非法的项目。Gray指出,DeSnake没有为该系统或AlphaGuard发布任何代码,并质疑为什么他会在AlphaBay被关闭四年后重新启动,而他的去中心化梦想没有任何实际进展。“除了推出市场之外,他并没有真正展示任何东西,”格雷说。“我不信任 DeSnake,而且我认为整个社区都普遍不信任。”
格雷指出了主要是俄罗斯网络犯罪论坛XSS上的一个帖子,其中许多评论者对DeSnake的回归表示怀疑,有些人暗示他正受到执法部门的控制。“哈哈,DeSnake现在要交多少诚实的同志才能离开惩戒室?” 一位评论者用俄语问道。另一位写道:“这是假的,99.9% 肯定,联邦调查局又开始了。”
一位不愿透露姓名的参与最初AlphaBay调查的美国前执法官员也表示怀疑。“如果我是这个网站的供应商或用户,我会非常担心它被设置为出境骗局或某种类型的蜜罐行动。”这位前官员说,并指出他们不知道任何正在进行的可能针对该网站的执法行动。
卡内基梅隆大学(Carnegie Mellon University)专注于暗网的计算机科学家尼古拉斯-克里斯廷(Nicolas Christin)对照他自己的信息档案中发现的副本,验证了DeSnake的PGP密钥。但他说,那把钥匙可能在执法机构的控制之下,DeSnake本人也可能成为执法合作者。毕竟,在AlphaBay2017 年下线的同时,荷兰警方接管并控制了当时第二大暗网市场Hansa。“这不太可能,”克里斯汀在谈到 DeSnake受到损害的理论时说,“但并非不可能。”
DeSnake反驳说,如果执法部门找到他并推出新的AlphaBay作为蜜罐,他们就会简单地重复使用原始AlphaBay的代码。相反,他说,他从头开始重写。他指出,与仅接受比特币的网站相比,该网站的仅限门罗币的限制将使其在诱捕毫无戒心的暗网买家方面的效果要差得多。
他在暗网市场论坛Dread上给用户的一封邮件中写道:“说了这么多,你自己决定是否与我们一起乘风破浪,走向巅峰。如果你决定不这样做,我可以理解,但随着时间的推移,你将被证明我们是最初的 AB,我们从未在任何形式或形式上‘妥协’过。”
俄罗斯联邦安全局(FSB)公共关系中心周五告诉塔斯社,俄罗斯联邦安全局已经摧毁了一条用于在暗网上供应和销售合成药物的庞大管道,在四个地区拘留了一个贩毒团伙的五名成员。
FSB指出:“联邦安全局已经清理了通过暗网交易市场供应和销售特别大规模合成毒品的最大渠道之一。”
一个全国性犯罪团伙的五名成员在莫斯科、罗斯托夫、阿斯特拉罕和克拉斯诺达尔地区被捕。“被捕者中包括毒品生产和分销渠道背后的策划者,以及协调来自土耳其的非法活动组织者,其负责协调土耳其境内毒品贸易的毒品生产和分销。”FSB说。
要知道,此类任务具有相当的技术复杂性,“暗网”是一个不受政府控制的网络空间。最受欢迎的暗网技术——Tor 网络——最初是由美国情报机构之一为其自己的特工开发的,爱德华·斯诺登(Edward Snowden)在他的回忆录中写道。
早些时候,联邦机构挫败了一个地下实验室的活动,该实验室每月在莫斯科地区生产超过500公斤的毒品。查获非法贩运的甲氧麻黄酮60余公斤、液体麻醉品6000升、前体1500公斤、化学试剂22000公斤。FSB表示:“调查当局正在提出指控并已立案,被拘留者已被还押。”
今年夏天,俄罗斯联邦安全局与联邦海关总署、国防部和国民警卫队一起开展了里海之星2021行动。此次行动的目的是切断通过里海盆地各国走私毒品、武器和弹药的渠道。在行动过程中,有200多人被捕。
由DarkLeaks泄露的Chainalysis演示文稿显示,Chainalysis宣传其使用附属的区块链浏览器作为收集IP信息的手段以协助警方调查。DarkLeaks是一个暗网网站,只能通过Tor等匿名浏览器访问,CoinDesk已验证了该文件的真实性。
根据泄露文件,最大的区块链追踪公司Chainalysis拥有并运营walletexplorer.com。与其他区块浏览器一样,该服务允许任何人查看公共加密货币钱包地址的历史记录。文件称,Chainalysis认为,恶意攻击人员会使用其网站来检查交易,而不必担心在加密货币交易所“留下足迹”。
据称来自意大利执法部门的介绍,指出该公司使用WalletExplorer.com收集有关访问该网站的加密货币用户的有用IP信息:
“使用此数据集,我们能够向执法部门提供与相关加密货币地址相关的IP数据的有意义的线索。还可以对任何已知的IP地址进行反向查询,以确定其他BTC地址。它还可以收集数据来自尚未通过区块链的数据表单地址——即作为绑架或危及生命调查的一部分提供的BTC地址——如果嫌疑人检查他们的地址。”
目前尚无演示日期,也没有创建材料的时间。最初的泄漏涉及据称从意大利金融管理局的Nucleo Speciale Frodi Tecnologiche的暗网团队获得的文件缓存。
泄露的材料表明,该演示文稿是对Berlusconi Market进行调查的一个组成部分。贝卢斯科尼市场是一个暗网市场,意大利当局在2019年将其取缔。
Chainalysis引用了2020年6月的一个案例,其中walletexplorer.com截获了勒索软件嫌疑人的IP地址——在他们涉嫌通过加密货币交易所火币的场外交易 (OTC) 平台存入资金数小时后。
文件还显示,Chainalysis认为它可以追踪门罗币 (XMR) 中的交易,许多人认为门罗币是具有最强隐私防御的加密货币。
“在Chainalysis与执法部门合作处理的案件中,我们能够在大约65%的涉及门罗币(monero)的案件中提供可用的线索。”文件说。
Chainalysis拒绝发表评论或确认其真实性。
虽然Chainalysis没有做广告,但该网站本身在其开发商Aleš Janda和分析公司之间建立了联系,这家分析公司长期以来一直在加密社区的某些方面引发争议。据LinkedIn称,Janda于2015年加入Chainalysis,担任开发人员和研究员,WalletExplorer.com底部发布的一条说明为区块链分析服务做广告。
The Wayback Machine存档的快照表明,提及Chainalysis的文本早在2016年1月就已上线。
Janda在该公司的工作在探索者的信息页面上也有讨论:“自2016年以来,名称数据库没有更新(除了一些非常罕见的情况),所以现在已经很长时间了。原因是我在空闲时间创建了WalletExplorer及其数据库。然后我加入了Chainalysis.com,基本上是这样相同的产品(但更先进),我因发现名称而获得报酬。虽然我为此付费,但我不能公开披露名称。如果您想要具有更新名称的数据,请询问Chainalysis。”
然而,该网站的内容并未提及其作为Chainalysis服务的一部分的用途,更不用说其对警方执法调查的所谓贡献。
Chainalysis是主要区块链分析公司中最大的一家,政府客户求助于Chainalysis来帮助追踪节点。美国财政部的外国资产控制办公室 (OFAC) 就是这样的合作伙伴之一:它在2021年初申请许可,以利用Chainalysis的“Rumker”技术来制裁加密货币参与者。美国财政部宣布对一家位于俄罗斯的加密货币交易所进行制裁,将Chainalysis帮助识别的钱包地址列入黑名单。
完整泄露的文档地址:
大型跨国公司奥林巴斯(Olympus)9月11日在一份简短声明中表示,该公司“目前正在调查影响其欧洲、中东和非洲计算机网络的潜在网络安全事件”。
“在检测到可疑活动后,我们立即组织了一个包括取证专家在内的专业响应团队,我们目前正在以最高优先级解决这个问题。作为调查的一部分,我们已暂停受影响系统中的数据传输,并已通知相关外部合作伙伴。”声明说。
被感染计算机上留下的赎金说明声称来自BlackMatter勒索软件组织。“您的网络已加密,目前无法运行,”它写道。“如果您付费,我们将为您提供解密程序。”赎金说明还包括一个只能通过Tor浏览器访问的暗网网址,已知BlackMatter使用该网站与受害者进行通信。
Emsisoft的勒索软件专家和威胁分析师BrettCallow称,勒索信中的网站与BlackMatter组织有关。
BlackMatter是一个勒索软件团伙,它被认为是现已退役的DarkSide、LockBit 2.0和REvil勒索软件团伙的继任者。但SophosLabs的分析表明,虽然DarkMatter和DarkSide勒索软件之间存在相似之处,但代码并不相同。
自该团伙于6月出现以来,Emsisoft已记录了40多起归因于BlackMatter的勒索软件攻击,但受害者总数可能要高得多。
BlackMatter等勒索软件团伙通常会先从公司网络中窃取数据,然后再对其进行加密,然后威胁如果不支付用于解密文件的赎金,就会在线发布文件。另有一个与BlackMatter相关的暗网网站,用来宣传其受害者并兜售被盗数据,但目前该网站还没有奥林巴斯的数据条目。
奥林巴斯是一家跨国公司,在全球拥有31,600多名员工,为医疗和生命科学行业生产光学和数字复印技术。它在过去以模拟和数码相机的先驱而闻名,但在1月份出售了其陷入困境的相机部门。
奥林巴斯公司在9月14日更新声明称:
我们可以确认,2021年9月8日发生的事件是恶意软件攻击未遂,影响了我们在EMEA(欧洲、中东和非洲)的部分销售和制造网络。我们立即暂停了这些区域的数据传输,并通知了相关外部各方。我们向所有客户和合作伙伴保证,我们的日常业务运作正常,确保为患者提供不间断的服务。
我们已将事件报告给相关政府部门。我们将继续采取一切必要措施,以安全的方式为我们的客户和业务合作伙伴提供服务。
根据迄今为止的调查结果,没有发现我们的数据丢失、未经授权使用或披露的证据。也没有证据表明网络安全事件影响了EMEA地区以外的任何系统。
保护我们的客户和合作伙伴并保持他们对我们的信任是重中之重。我们非常重视数据的安全和保障,并将继续采取措施加强我们的IT安全。
对于由此事件造成的任何不便,我们深表歉意。
据报道,黑客在暗网上以1000美元的价格购买了一名联合国员工被盗的项目管理软件Umoja的用户名和密码,并在今年4月至8月期间收集了有价值的信息。
彭博社周末披露的一份报告显示,攻击者的目标不是破坏系统或索要赎金,而是收集有关政府和人道主义工作的重要信息。联合国秘书长发言人Stéphane Dujarric证实了这一报道,并表示袭击发生在4月份。
Dujarric在联合国网站上发布的一份声明中说:“在我们收到彭博社文章中提到的公司通知之前,就已经发现了这次攻击,而且已经采取纠正措施,以减轻漏洞的影响。联合国经常成为网络攻击的目标,包括持续的攻击活动。我们还可以确认,已经发现并正在应对进一步的攻击,这些攻击与先前的漏洞有关。”
据彭博社报道,这次入侵似乎并不复杂,黑客是使用从暗网上购买的被盗联合国员工的用户名和密码进入的。这些凭据属于联合国管理软件Umoja上的一个帐户,攻击者从那里可以更深入地访问网络。据报道,黑客最早获得该系统访问权限的日期是4月5日,截至8月7日,他们仍然活跃在网络上。
安全情报公司Intel471的首席执行官Mark Arena称:“自2021年初以来,我们已经看到多个出于经济动机的网络犯罪分子出售对联合国运行的Umoja系统的访问权限。”他指出,攻击中使用的密码是由俄罗斯人在暗网上出售的,俄罗斯人同时出售了几十个不同组织的用户名和密码,每个价格只有1000美元。
如前所述,联合国及其机构以前一直是网络攻击的目标。2019年,《福布斯》杂志报道称,联合国的核心基础设施在利用微软SharePoint平台漏洞的网络攻击中遭到破坏,该信息仅在几个月后得到正式确认。今年年初,据报道,该系统中的一个漏洞可以访问联合国环境规划署(UNEP)的10多万份员工记录,在造成任何损害之前,该漏洞已被发现并被修补。
My1Login的首席执行官迈克·纽曼(Mike Newman)说:“这次对联合国的网络攻击表明,被盗凭据对犯罪分子来说是多么宝贵,使他们能够访问重要的、通常是机密的信息。犯罪分子可以在超过五个月的时间内从联合国收集有价值的信息。”
Newman说:“这应该是对所有组织的严厉警告——密码仍然是犯罪分子进行网络攻击的关键切入点。为了降低密码带来的风险,组织需要转向无密码身份验证——这种解决方案首先减少了对大量密码的需求,同时也减轻了员工的责任,让组织重新保证他们的工作安全。”
Nominet的政府网络安全专家史蒂夫·福布斯(Steve Forbes)表示,联合国数据的泄露令人担忧,不仅是因为它有可能被用来进行未来的网络攻击,还因为它凸显了组织在以下情况下可能存在的持续盲点使用第三方软件。
Forbes说:“攻击者能够使用被盗的联合国凭证闯入软件解决方案这一事实强调了在最高级别正确处理网络安全的重要性。组织需要对他们使用的第三方软件有一个完整和全面的概述,并且他们的安全配置达到与他们自己内部系统相同的水平。身份访问管理应该涵盖他们的整个资产,而不仅仅是他们自己的网络,还应该涵盖他们所有的第三方SaaS软件,这样他们就可以确信存储在这些应用程序中的任何数据都是安全可靠的。他们还应该定期评估存储在这些应用程序中的数据类型及其被破坏的风险。”
Ragnar Locker勒索团伙是一系列针对公司的代价高昂的勒索软件攻击背后的网络犯罪团伙,它警告受害者不要寻求执法机构的帮助。
该团伙还警告受害者,他们也不应该与那些在勒索软件攻击后专门帮助公司与网络犯罪分子谈判的公司合作,并在其暗网网站上发表声明说,它将惩罚任何违反要求的”客户”,立即公布其被盗数据。
Ragnar Locker的警告:
Dear clients if you want to resolve all issues smoothly, don’t ask the Police to do this for you. We will find out and punish with all our effort.(亲爱的客户,如果你想顺利地解决所有问题,不要让警察为你做这些,否则我们会全力以赴地发现和惩处。)
这是Ragnar Locker所说的全文:
In our practice we has facing with the professional negotiators much more often in last days. Unfortunately it’s not making the process easier or safer, on the contrary it’s actually makes all even worse.
印度喀拉拉邦首席部长Pinarayi Vijayan表示,喀拉拉邦警方将很快成立一个网络犯罪调查部门,协调基于网络的调查并提供技术专家的服务。这个拟成立的部门将成为全印度第一个开设此部门的警察部队,将简化网络调查并为此招募技术专家。
他在周六为由Cyberdome组织的Hac’KP 2021国际黑客马拉松颁奖仪式揭幕时发言的,这是一场在线黑客马拉松,旨在建立在暗网上执行警察行动所需的软件。
首席部长Vijayan先生正式发布了黑客马拉松软件’Grapnel 1.0’,这是一款旨在揭开暗网的神秘面纱并揭开发生在此类平台上且通常难以被发现的犯罪行为的软件。该软件预计将促进犯罪调查,包括性犯罪、毒品和武器贸易以及金融欺诈。他说:”一般来说,在暗网中很难发现犯罪活动。“
”作为这一问题的解决方案而开发的新软件,不仅是警方的骄傲,也是国家本身的骄傲。“他指出:”只有让人们认识到网络犯罪,才能根除网络犯罪。“
首席部长向黑客马拉松获奖者颁发了Cyberdome优秀奖章,并为最佳警察局颁发了国家荣誉。Thampanoor、Irinjalakuda和Kunnamangalam派出所被评为最佳派出所。
交通部长Antony Raju、州警察局长Anil Kant、助理警察Manoj Abraham和Vijay S. Sakhare、警察副总监P. Prakash、Paytm支付银行高级副总裁Jatinder Thakar和印度国家银行(SBI)总经理Indranil Bhanja参加了会议。
根据议会上周通过的新权力,联邦警察和有组织犯罪调查人员将能够接管犯罪分子和恐怖分子的在线“暗网”账户,并侵入他们的网络。
但法律和人权组织担心,政府没有采纳跨党派委员会的所有建议,尤其是司法监督的呼吁,法律在不到24小时内就经过辩论和通过。
澳大利亚联邦警察和澳大利亚刑事情报委员会现在将拥有前所未有的权力,可以使用国内服务器在暗网上进行操作来渗透犯罪分子网络。他们还可以根据法律修改或删除有害内容,例如虐待儿童资料。
警方在Ironside行动中逮捕了290人,其中涉及渗透犯罪网络使用的消息应用程序。 这些权力将在三年后独立审查,四年后由议会审查,五年后结束,并且根据政府为回应议会强大的情报和安全委员会提出的担忧而做出的改变,对记者和第三方的保护更有力。
内政部长凯伦安德鲁斯表示,她已经真诚地通过了委员会的建议,修正案将确保更有可能对更严重的犯罪类型发出逮捕令。
但她没有采纳一项建议,即逮捕令应该由联邦法院或最高法院的法官批准,而不是由行政上诉法庭的成员批准。绿党试图为逮捕令加入这一更高的标准,但没有成功。
绿党还认为,政府没有适当地说明为什么需要这些新的权力,而且与它们所针对的威胁相比,其范围“不成比例地放大”。
安德鲁斯女士表示,这些变化将为执法机构提供与技术保持同步的工具。
她指出在Ironside行动中逮捕了290人,其中涉及澳大利亚和美国执法部门合作向犯罪网络提供加密消息服务。
“这项法案只是政府为确保我们的机构保持这一优势而采取的又一个步骤。”她说。
“根据我们的改革,澳大利亚联邦警察将拥有更多工具来追捕有组织的犯罪团伙,让毒品远离我们的街道和社区,以及那些对儿童犯下最令人发指的罪行的人。”
人权法律中心指责政府推动该法案通过议会,此前该法案于周二在下议院进行辩论并通过,然后于周三上午在参议院获得通过。
该中心的高级律师基兰·彭德(Kieran Pender)表示,该法律赋予了广泛的监视权力,这将对记者和举报人产生寒蝉效应。
他说:“鉴于这些权力是前所未有且极具侵扰性的,它们本应缩小到绝对必要的范围,并受到强有力的保障措施的约束。”
“令人震惊的是,莫里森政府没有接受[所有]委员会的建议并留出时间审查随后的修正案,而是在不到24小时内匆匆通过这些法律。”
澳大利亚法律委员会表示,未能采纳法官签发逮捕令的建议令人失望。
主席雅各布·布拉施说:“这些授权令有可能给没有涉嫌任何不法行为的合法计算机用户造成重大损失、损害或干扰”。
他指出,政府打算在其他立法中考虑这些问题,但表示委员会的建议专门针对该立法中“新颖、特殊和侵入性”的基于授权令的权力。
多年来,安全官员和执法部门一直在争取类似的权力。在警察搜查了当时的新闻集团记者安妮卡·斯梅瑟斯特(Annika Smethurst)的家之后,这些权力成为争议的主题,因为她被泄露了早期的法律提案。