为法国军方和情报部门提供通信安全保障的法国科技公司Atos上周五表示,暗网勒索软件团伙声称该公司内部数据库遭到入侵,但该说法“毫无根据”。
此次勒索攻击事件发生之际,拥有约9万名员工的Atos公司正与法国政府就收购 BDS 100% 高级计算业务进行独家谈判。Atos公司收到法国政府的非约束性要约,以5亿欧元的企业价值和最高6.25亿欧元(包括盈利能力)收购其高级计算业务。
一个自称“Space Bears”的暗网勒索软件团伙自去年以来一直在运作,该团伙于12月28日在其暗网上公布了Atos的名字,并承诺将会在1月8日公布从该公司窃取的数据。目前,“Space Bears”的暗网泄密网站上发布的勒索攻击受害者已超过30家,第一位受害者出现在9个月前。
在巴黎泛欧证券交易所上市的Atos公司最初对犯罪分子的指控作出回应:
Space Bears 勒索软件团伙声称已经入侵了 Atos 数据库。目前,初步分析显示,没有任何证据表明任何国家/地区的 Atos/Eviden 系统受到入侵或勒索软件影响,并且迄今为止尚未收到任何赎金要求。
尽管如此,Atos 仍然非常重视此类指控。其网络安全团队正在积极调查此事,如果上述信息有任何变化,我们将及时更新。
经过此次调查后,Atos公司于周五宣布:
Atos 集团今天宣布,勒索软件团伙Space Bears 对 Atos 公司的网络攻击指控毫无根据。
Atos 管理的基础设施没有被破坏、源代码没有被访问、也没有 Atos IP 或 Atos 专有数据被泄露。
2024 年 12 月 28 日,勒索软件团伙声称已经入侵了 Atos 数据库。Atos 了解到,与 Atos 无关的外部第三方基础设施已被 Space Bears 勒索软件团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但不受 Atos 管理或保护。
Atos 在全球拥有超过 6,500 名专业专家和 17 个新一代安全运营中心 (SOC),全天候运营,确保集团及其客户的安全。
该公司的声明称,“与 Atos 无关的外部第三方基础设施已被 Space Bears 团伙入侵。该基础设施包含提及 Atos 公司名称的数据,但并非由 Atos 管理或保护。”
该公司强调,其拥有“由 6500 多名专业专家组成的全球网络”,并运营“17 个新一代安全运营中心 (SOC),全天候运营,以确保集团及其客户的安全”。
11月,一个名为HELLCAT的勒索软件团伙声称已经入侵施耐德电气(Schneider Electric)的基础设施。当时该团伙表示,他们获得了该公司Atlassian Jira环境的访问权限,从而窃取了数据。该公司确认其开发者平台遭到入侵,其响应团队正在调查此事件。
然而,12月29日,网络犯罪分子在其数据泄露网站上公布了施耐德电气的被盗数据,声称该公司拒绝支付赎金。暗网上的帖子只包含一个巨大的(40GB)文件,据称其中包含有关项目、问题、插件的公司数据以及超过400,000行用户数据。
HELLCAT勒索软件团伙此前曾泄露据称属于约旦教育部、坦桑尼亚商学院的数据以及Pinger应用程序的私人通信。
HELLCAT勒索软件团伙的奇怪要求 关于这个自称HELLCAT的新勒索软件团伙,人们知之甚少,只知道它有一位名叫Grep的发言人。这位发言人首先声称法国跨国公司施耐德电气遭到该勒索团伙的攻击,并要求支付荒谬的赎金。此次入侵似乎是针对施耐德电气的一台开发服务器,攻击者窃取了多达40GB的存档数据。
11月7日,网络犯罪分子首次在HELLCAT的暗网泄密网站上的一篇帖子发布了勒索要求,几乎所有勒索软件团伙都使用这种模式来威胁受害者,并要求受害者在所盗数据被出售或发布的规定日期之前付款。
”我们成功攻破了施耐德电气的基础设施,访问了他们的 Atlassian Jira 系统。此次入侵事件已泄露关键数据,包括项目、问题和插件,以及超过 400,000 行用户数据,总计超过 40GB 压缩数据。施耐德电气是能源管理和自动化领域的领导者,年收入超过400亿美元,现在面临着泄露敏感客户和运营信息的风险。为了确保删除这些数据并防止其公开发布,我们需要您以 Baguettes 支付 125,000 美元。“
这项赎金要求很奇怪,居然要求以“法式长棍面包”(Baguettes)形式支付125000美元。威胁者表示,如果公司首席执行官公开承认数据泄露行为,赎金要求将减少50%。不过实际上,有关“法式长棍面包”的玩笑声明只是个玩笑,勒索软件团伙正在寻求以一种注重隐私的加密货币——门罗币(Monero)进行支付。
施耐德电气就勒索软件事件发表声明 施耐德电气发言人发表了以下声明:“施耐德电气正在调查一起网络安全事件,该事件涉及未经授权访问我们位于隔离环境中的内部项目执行跟踪平台之一。我们的全球事件响应团队已立即动员起来应对该事件。施耐德电气的产品和服务未受影响。”
Picus Security的安全研究员Hüseyin Can Yuceel表示:“勒索软件是一种商业模式,我们可以将这种奇怪的法式长棍面包需求视为一种营销噱头”,并补充说该勒索软件团伙要求支付门罗币加密货币赎金。
Hüseyin Can Yuceel继续表示,HELLCAT很可能是勒索软件犯罪领域的新玩家,他们“试图引起注意,并为未来的受害者和同伙建立信任,以便开展可能的勒索软件即服务行动。” Can Yuceel说,泄露被盗数据证明了他们的能力,如果Schneider支付赎金,“这将向其他人证明他们的能力和可信度。”
施耐德电气曾多次遭受勒索软件攻击 此次事件是施耐德电气在过去18个月内遭受的第三次重大网络攻击。2024年2月,Cactus勒索软件团伙声称对从该公司窃取1.5TB敏感数据负责。
去年,施耐德电气承认在MOVEit零日攻击活动期间,其成为Cl0p勒索软件团伙的攻击目标。
勒索软件攻击日益猖獗,给公司和组织带来巨大困扰。据报道,平均赎金要求已攀升至130万美元,某些变种甚至要求高达430万美元的解密密钥。
尽管强烈建议不要支付勒索软件要求以避免助长犯罪经济,但谈判后的平均经济损失仍然高达353,000美元。
HELLCAT勒索软件团伙的暗网泄密网站 HELLCAT勒索软件团伙的泄密网站的暗网V3域名是:
http://hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion
该团伙在暗网留下了联系方式(TOX:898923FE0699CFE1EFD17773425DECB080840877C29F883D389D6880B2B961737FACE98E82E4,Telegram: @HCSupp,XMPP: [email protected]),同时附上了每月更新的PGP签名的文件:
—–BEGIN PGP SIGNED MESSAGE—–Hash: SHA512hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onionThis is the signed address as of [27/12/2024]. This will be updated on [27/1/2025].—–BEGIN PGP SIGNATURE—–iHUEARYKAB0WIQQe7cVuFaMn5DMf9+EYB+TyQVtJqQUCZ24jKAAKCRAYB+TyQVtJqXzRAP9cXHXPOO++RgYC7cGyQIfkFW9SGg7lbOS5srA5GIjV3wEAqLuQxS6VTgIQG7uPCcQDDSzWrHqSN5GSf12n4g9TvAM==HKlM—–END PGP SIGNATURE—–
澳大利亚堪培拉一名女子利用暗网雇佣杀手试图杀害其父母,但最终还是避免了进一步的牢狱之灾。
由于当地法律原因,这名30岁的女子不能透露姓名,在今年早些时候的审判开始之前,她承认了两项雇佣杀手谋杀的指控,并已经在监狱服刑两年多,同时在过去的十八个月里一直在社区中接受严格的保释。
现在,她被判处六年监禁,其余刑期可以通过缓刑执行,虽然可以避免坐牢,但也意味着她必须继续遵守良好行为规定,直到2029年。
澳大利亚首都领地首席大法官露西·麦卡勒姆称,这是澳大利亚首都领地首例针对父母的煽动谋杀案。法庭获悉,这名女子曾答应向一名杀手提供2万美元,而事实上,该女子通过暗网支付了7500美元,后来才发现这是一个骗局。
检察官辩称她的犯罪动机主要是经济原因,而一位心理学家告诉法庭,该女子小时候曾遭受过性虐待,这导致了她的犯罪行为。
首席大法官露西·麦卡勒姆在判处该女子刑罚时表示,其经济动机显而易见。然而,她同意“不能仅从这个角度看待这些罪行”,她的精神健康状况、自闭症和所谓的童年性虐待等也被认为是造成这一结果的原因。
公认的事实表明,该女子于2020年9月开始访问暗网,其中包括一个提供谋杀等多种雇佣杀手服务的网站。
法庭获悉,当时该女子财务状况不稳定,一度名下只有2美元,还从其父母那里偷了大笔钱。当月晚些时候,这名女子开始使用该暗网网站寻找她认为可能谋杀她父母的杀手。
她说她“愿意支付20000美元……以尽快完成此事”,并要求将其表现为意外事故。她还发布了有关她父母的详细信息,包括他们的照片。并且到最后,她在该网站上花费了价值约7500美元的比特币。
同年晚些时候,一家正在研究暗网的英国媒体联系了该女子的父母,随后又联系了澳大利亚首都领地警察局,警告他们注意这些信息。当年12月,警方对这名女子的家执行了搜查令后将其逮捕。
澳大利亚首都领地最高法院获悉,这名30岁的堪培拉女子的犯罪动机是其童年时期遭受的性虐待。在整个案件过程中,该女子的精神健康状况、自闭症和童年创伤都被认为是导致其犯罪的因素。
今年早些时候,法庭通过该女子的心理医生听取了一份关于儿童性虐待的投诉,但该投诉并非由任何一名预定受害者提出。
近期,在对该女子进行宣判时,首席大法官露西·麦卡勒姆表示,这一投诉使法庭陷入了“困境”,因为没有听取有关此事的宣誓证据,也没有对涉嫌肇事者和其他家庭成员进行质询。
然而,她表示,心理学家相信这是真的,而且她“经历过某种形式的家庭创伤”也是合理的。首席大法官麦卡勒姆称这些事件“给该女子的家庭带来了毁灭性的影响”。
该女子父亲在受害人影响声明中表示,他每天都想念她。该女子也表示,她希望能够与父母重新建立联系,并将继续走上全面康复的道路。
首席大法官麦卡勒姆表示,她在严格的保释条件下服刑18个月,在此期间,她做了两份工作,学习并建立了积极的社会关系。她在经济上已经自给自足,还买了一辆汽车。
她总共被判处六年监禁,但剩余刑期将被缓刑,也就是无需在监狱服刑。该女子将接受良好行为令直至2029年,在这期间违反该规定,可能导致监禁。
俄罗斯一家法院以有组织犯罪和毒品指控判处一名网络犯罪头目终身监禁,俄罗斯国家媒体称他是被捣毁的暗网毒品交易市场九头蛇(Hydra)的创始人。Hydra Market曾是全球最大的非法毒品销售和洗钱暗网市场,两年多前被美德联合执法行动捣毁,其领导人斯坦尼斯拉夫·莫伊谢耶夫被俄罗斯当局判处终身监禁,并处以37,000多美元的罚款。
据俄罗斯国有通讯社塔斯社报道,在莫斯科地区法院的审判后,陪审团认定Hydra创始人斯坦尼斯拉夫·莫伊谢耶夫及其15名同伙“组织犯罪团伙,非法生产和销售精神药物和毒品,包括通过互联网销售”,犯罪时间至少从 2015 年持续到 2018 年 10月。法院判处臭名昭著的Hydra的创始人与负责人终身监禁,其他15名同谋也将被判处多年监禁。
“暗网下/AWX”曾报道,暗网市场Hydra成立于2015年,主要销售非法毒品、被盗信用卡数据、假币和伪造身份证件,该暗网市场拥有1700万个客户账户和19000个供应商账户,这些账户的身份在Tor加密网络的掩盖下从事着各种犯罪行为。
成立后的几年里,Hydra暗网市场蓬勃发展,2022年4月,在德国当局关闭Hydra、控制其服务器并扣押其比特币资产时,Hydra暗网市场2023年处理的交易估值约15亿美元,但是其创始人的身份尚不为公众所知。
联合国《2024年世界毒品报告》称,在2022年4月被捣毁之前,Hydra“占暗网上所有毒品销售的80%至90%”,主要是包括卡西酮在内的合成兴奋剂。
莫斯科地区法院认定莫伊谢耶夫及其15名同伙犯有经营或参与有组织犯罪集团以及制造和贩卖毒品罪。但检察官办公室并未公开将莫伊谢耶夫与“Hydra”组织联系起来。
俄罗斯国家通讯社塔斯社和国际文传电讯社援引匿名执法部门的话称,周一因毒品和有组织犯罪指控被判刑的斯坦尼斯拉夫·莫伊谢耶夫是Hydra的创始人。
俄罗斯总检察院莫斯科分院称,2015年至2018年10月期间,莫伊谢耶夫及其15名同伙在俄罗斯和白俄罗斯经营一个有组织犯罪集团。据检察官称,Hydra暗网市场每年处理的交易价值约为10亿卢布(930万美元)。
斯坦尼斯拉夫·莫伊谢耶夫因经营暗网市场被判处终身监禁,并被处以400万卢布(约合37,500美元)的罚款,与该犯罪集团有关的其他同伙被判处8至23年不等的有期徒刑,并被处以总计1600万卢布(约合150,000美元)的罚款。
检察官办公室称,俄罗斯和白俄罗斯警方在一系列突袭行动中缴获了近一吨非法毒品以及属于该团伙的汽车、房屋和其他资产,看来该团伙活动的证据已经传到了俄罗斯当局手中。当局称,Hydra的供应商将毒品藏匿在预先确定的秘密地点,也就是藏匿处。
据国家媒体报道,“莫斯科地区法院根据陪审团的裁决,对这起刑事案件作出了有罪判决”,判决书中提到了莫伊谢耶夫和其他15人的名字。该团伙被指控生产和贩卖精神药物和毒品。
该团伙将在俄罗斯最严酷的监狱服刑,据报道,这些人将在严格制度或特殊制度类型的劳改营中服刑,后者指的是最高安全级别的机构,例如北极劳改营 IK-3,又名“北极狼”,俄罗斯反对派人物、反腐斗士阿列克谢·纳瓦尔尼曾被关押在此,并在可疑情况下死亡。这或许解释了为什么据报道他们对判决提出上诉。
被判刑名单上没有的一个名字是德米特里·奥列戈维奇·帕夫洛夫(Dmitry Olegovich Pavlov),他被美国当局指控为Hydra的IT管理员,并于2022年被捕后被拘留。
打击Hydra或许与国家安全有更大的关系,据当地媒体报道,内务部新闻中心在一份声明中表示:“犯罪者向互联网用户提供实施恐怖主义行为,包括针对俄罗斯联邦国家权力的行为以及其他犯罪行为,以获得金钱补偿。”“根据现有信息,呼吁采取非法行动的公告是由位于乌克兰的呼叫中心分发的。”
贩毒团伙通过Dead Drop实现配送 与倾向于使用国内或国际邮政服务来运送产品的西方暗网市场毒贩不同,俄罗斯犯罪分子通常会将毒品藏匿在隐蔽的地方,并提醒买家其行踪。
区块链情报公司TRM Labs在最近的一份报告中表示:“与邮政投递相比,Dead Drop为这些参与者提供了三大关键优势:速度、盈利能力和便利性。”“虽然邮件投递通常需要几天时间才能到达,但Dead Drop可能在几分钟内就出现。这是因为Dead Drop中在线市场所宣传的药品通常是预先包装并隐藏起来的:付款后,供应商只需向买家透露其位置即可。”
这种基于匿名的模式似乎正在国外传播,通常使用基于Telegram的销售,包括韩国,而俄罗斯侨民似乎正在斯里兰卡、印度尼西亚和泰国运营网络。
在西欧,TRM Labs的研究人员发现匈牙利、捷克共和国和希腊也在使用这种手段,但这些卖家似乎更喜欢使用端到端加密消息服务,如Telegram和Session,而不是暗网市场。
尽管采取了这些举措,与其他地区相比,俄罗斯暗网市场仍然占据主导地位。戴利和肖蒂斯在题为《打破Klad:俄罗斯的秘密毒品革命》的报告中表示:“在Kraken、Mega和Blacksprut等大型平台的推动下,俄罗斯暗网市场控制着全球93%的份额,仅在2023年就创造了约15亿美元的收入。”
国际联合执法行动摧毁Hydra暗网市场 2022年4月初,由德国联邦刑事警察局(又名Bundeskriminalamt或BKA)和美国执法机构领导的联合执法行动捣毁了Hydra组织,两年多之后,Hydra组织操作员被判刑。
官员们表示,在此之前,Hydra不仅主导了暗网市场销售,还为各种犯罪分子提供洗钱服务,包括勒索软件运营商、诈骗者和资金混合服务。BKA 表示,在巅峰时期,Hydra拥有19,000 家供应商和 1700 万用户。
美国财政部外国资产控制办公室报告称,2019年俄罗斯虚拟货币交易所收到的所有非法比特币中约有86%来自Hydra。2022年4月,区块链分析公司Chainalysis报告称,Hydra当年就已经处理了价值6.45亿美元的“来自非法地址”的加密货币(参见:美国制裁暗网市场Hydra、加密货币交易所Garantex)。
判决并未提及网络犯罪 据报道,针对Hydra组织主谋及其同伙的指控并未提及网络犯罪或洗钱。
专家们早就观察到,俄罗斯当局很少起诉国内网络犯罪分子,只要他们不攻击俄罗斯或盟国的个人,并偶尔为该国的情报部门提供一些帮助(参见:俄罗斯网络犯罪规则提醒:切勿攻击俄罗斯人)。
也有一些例外情况,包括2022年1月,一群疑似REvil勒索软件运营当局的低级附属机构被拘留,他们使用了乔·拜登总统政府提供的情报。如果这是莫斯科发出的信号,表明它已准备好与美国合作打击网络犯罪,那么在俄罗斯总统弗拉基米尔·普京下令于次月对乌克兰发动全面征服战争后,任何此类合作都失败了(参见:俄罗斯逮捕14名疑似REvil勒索软件集团成员)。
另外,俄罗斯当局最近逮捕了米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev),并处以罚款后释放。FBI指控他为“Wazawaka”,是一名与Babuk、LockBit和Hive勒索软件攻击有关的罪犯。为了回应美国的指控,马特维耶夫制作了一张自己的照片,并在社交媒体上发布了一张他身穿印有FBI“头号通缉犯”海报的T恤的照片。他在俄罗斯被捕的情况,以及这是否是普京向即将上任的特朗普政府发出的外交提议,目前尚不清楚。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
暗网毒品交易市场“Sipultie Market”已被国际联合执法行动关闭,该暗网网站为匿名用户销售购买非法毒品提供了便利。”暗网下/AWX“获悉,此次查封行动是芬兰海关、欧洲刑警组织、瑞典警方、波兰执法部门和网络安全公司Bitdefender的网络安全研究人员的合作成果。
执法机构证实,“Sipultie Market”的网络服务器已被查封,Tor网站(http://onionxsyeiqfjqrksdmaycpuh5cuc43gsx3wnw5dto7qgdp5udabroad.onion)已被展示扣押信息,相关调查仍在进行中。
芬兰海关(当地称为Tulli)已经接管了“Sipultie Market”的服务器并没收了其中的内容,同时宣布:“调查过程中,Sipulitie、Sipulimarket和Tsätti管理人员的身份已经被发现。”
”Sipultie Market“,意为“Onion Road”,自2023年2月开始运营以来,一直在暗网社区掀起波澜,被用于“犯罪活动”,例如匿名购买毒品。这个暗网市场同时面向芬兰语和英语用户,但主要面向芬兰语用户,以其强大的安全措施和用户友好的界面而在暗网中脱颖而出。
”Sipultie Market“是在它的前身”Sipulimarket“于2020年被警方捣毁后成立的。”Sipulimarket“于2019年4月开始运营,后芬兰海关与波兰当局合作,于2020年12月关闭了该暗网网站。被警方关闭时,”Sipulimarket“赚了200多万欧元。芬兰当局认为,这两个市场都由同一个管理员管理。芬兰海关声称,毒枭在关闭一个暗网市场并开设另一个暗网市场之间没有停歇。
而且,从2022年直到最近,同一个管理者还在暗网运营了一个专门用于毒品销售的独立聊天平台Tsätti,目前该暗网网站也被关闭。
芬兰当局关闭了”Sipultie Market“和Tsätti网站,并在网站上贴出扣押横幅,告知访问者关闭网站的操作。
虽然芬兰当局没有透露谁是这些暗网市场的幕后黑手,但当局声称,这次突袭揭露了参与贩卖毒品的各方身份,调查人员声称已经确认了网站管理员、版主、供应商和消费者的身份。一般情况下,在接管”Sipultie Market“的服务器后,服务器管理者、市场管理员、客服人员以及卖家和买家的身份都可以被识别出来。
虽然没有关于暗网市场”Sipultie Market“营业额的权威数据,但管理员本人曾在暗网上吹嘘该市场带来了约130万欧元(140万美元)的收入。
芬兰海关执法局长汉努·辛科宁(Hannu Sinkkonen)在新闻稿中表示,国际合作是此次行动成功的关键。“芬兰海关使用多种不同方法有效干预了暗网上的犯罪活动。国家和国际层面的当局之间的顺利合作是打击网络犯罪的关键因素。”辛科宁说。
虽然这个暗网市场的地位不同于”丝绸之路“,但仍然可能会对暗网毒品市场造成重大破坏——而且它并不是最近唯一被关闭的市场。”暗网下/AWX“已经报道了众多被警方关闭的暗网市场。2022 年,世界上最大的暗网市场Hydra Market被德国执法部门关闭。
Hydra Market在全球拥有超过1700万客户,仅2020年的营业额就超过13.5亿美元,因此它的关闭可能会让暗网用户感到恐慌,并在一定程度上使暗网市场的格局多样化。
然而,执法部门的调查和行动仍在继续。2024年3月,德国警方查封了暗网市场”Nemesis Market“的基础设施,该市场自2021年以来一直在为毒品销售提供便利。
2024年5月,”Incognito Market“的涉嫌所有者和经营者在纽约被捕,据估计,他售卖了价值超过1亿美元的毒品。
本月初,荷兰警方逮捕了暗网毒品市场”Bohemia/Cannabia Market“的管理者,该市场在2023年9月的巅峰时期创造了超过1200万欧元(1310万美元)的收入。
两个月前,“暗网下/AWX”独家报道:暗网市场Bohemia Market的管理员已经被爱尔兰警方逮捕,当时本站(anwangxia.com)综合了爱尔兰媒体的新闻报道以及暗网论坛Dread的分析,研判得出此结论。近日,该独家报道得到了荷兰警方的确认。
10月8日,荷兰警方发布公告,正式宣布了取缔Bohemia/Cannabia Market暗网市场的国际执法行动。
荷兰警方称,该暗网市场的管理员在关闭暗网网站并试图携款潜逃(退出骗局)后遭到逮捕,此次逮捕行动是与爱尔兰、英国和美国于2022年底开始的合作调查的结果。
Politie(荷兰语中的警察)表示,这个双重名称为波西米亚(Bohemia)和坎纳比亚(Cannabia)的暗网市场交易包括毒品(主要是大麻)和DDOS工具在内的非法商品,并称它们是“有史以来全球最大、运行时间最长的国际暗网市场”,这个暗网市场的网络中的几台服务器位于荷兰。
该暗网市场于2023年底停止运营,此前“暗网下/AWX”也曾报道过,由于一名开发人员涉嫌背叛,导致服务中断和退出骗局,该市场于2023年底停止运营,另一名管理员称这是“一系列可耻和令人不满的事件”。
而真实情况是,该暗网市场背后的运营者显然意识到了警方正在开展调查,这扰乱了他们的运营,因此他们选择在2023年实施了一场“退出骗局”,关闭了服务并卷走运营资金。但是关闭网站并没有阻止来自荷兰、爱尔兰、英国和美国的调查人员,最终警方逮捕了两名涉嫌管理人员。
荷兰警方认为,该暗网市场的管理人员在实施退出骗局之前,从该行动中个人赚取了约500万欧元。
据称,Bohemia Market每天在全球投放82000条广告,每月约有67000笔交易。仅2023年9月,该暗网市场的营业额就创下了1200万欧元的纪录。
“市场上的一些卖家宣称从荷兰发货,”Politie表示。“初步分析显示,至少有1.4万笔交易来自荷兰,价值至少170万欧元。”
完整的数据分析尚未完成,预计这将涉及这些数字的倍数。今年6月,荷兰国家专业知识和运营部门的后干预小组在一项相关调查中逮捕了几名已确定身份的荷兰经销商。警方不排除逮捕更多毒贩及涉案人员。
荷兰警方表示,他们已确认了数名管理员的身份,并逮捕了两名嫌疑人,其中一人在荷兰被捕,已在鹿特丹法院出庭,另一人在爱尔兰被捕。此外,警方还缴获了两辆汽车和价值800万欧元的加密货币。
荷兰国家调查和干预行动部门负责人斯坦·杜伊夫(Stan Duijf)说:“非法市场的管理人员、卖家和买家往往认为自己很难被警察和司法部门追踪溯源。”
“通过开展刑事调查并起诉这些罪犯,我们可以清楚地看到,暗网并不像用户想象的那样匿名。由于开展了国际合作,这些市场的可信度和可靠性再次受到严重破坏。”
2021年,德国当局通过对Tor用户进行去匿名化,捣毁了臭名昭著的CSAM暗网平台Boystown。随着执法部门打击暗网上的犯罪活动,这一突破引发了人们对Tor隐私的担忧。
根据NDR的报告,德国当局对Tor(一个专为匿名而设计的网络)用户的去匿名化能力在这次行动的成功中发挥了至关重要的作用。通过监视特定的Tor节点,他们识别了访问该网站的用户。
然而,尽管Tor项目坚称其网络仍然安全,但此类突破引发了人们对Tor匿名功能安全性的担忧。Tor项目在其博客文章中承认,他们已经注意到NDR报告中的说法。然而,该组织还表示,它尚未收到德国当局提供的概念验证(PoC)或独立验证这些说法的文件。
另外,德国新闻杂志节目《全景》(Panorama)和YouTube调查新闻频道STRG_F也报道称,德国联邦刑事警察局(BKA)和法兰克福总检察长办公室在进行网络监控后,成功识别出至少一名Tor用户。
报道提到,“时序分析”是识别Tor用户的关键。该报道指出”尽管Tor网络中的数据连接经过了多次加密,但通过对单个数据包进行计时分析,可以追溯到Tor用户的匿名连接。“——但遗憾的是,报道没有解释该技术的工作原理。
Tor通过将用户的流量路由到所谓的暗网节点,从而掩藏混淆连接的真实来源,最终为其网络用户提供增强的匿名性。发送到Tor的流量经过层层加密,首先到达一个“入口”或“守卫”节点。然后,流量通过随机选择的至少三台服务器(也称为“中继”)中跳转,然后通过“出口节点”返回公共网络或连接到.onion服务。这一过程隐藏了连接的来源,使得仅从特定用户的网络流量观察其上网行为变得更加困难。
正如“时序分析”方法所建议的那样,观察长期使用趋势可能会削弱Tor的效力,因为它会为观察者提供有关向网络发送流量的用户的线索。举例来说,从本质上讲,有人可以向Tor网络添加节点,并记录下观察到的数据包进入和看到的数据包流出的时间。一段时间后,这些时间可能会帮助找出谁在连接特定的.onion服务。
欧洲著名黑客组织”混沌计算机俱乐部“(CCC)的发言人马蒂亚斯·马克斯(Matthias Marx)向新闻媒体提供了现有证据(记者获得的文件和其他信息),证实了这一方法的可信度,“这些证据强烈表明,执法部门多年来曾多次并成功地对选定的Tor用户实施时序分析攻击,以查出他们的匿名身份。”
Tor项目承认,尽管向记者索要了所有相关文件,但并未看到所有相关文件。Tor项目认为,德国警方之所以能够揭露Tor用户的身份,是因为该用户使用了过时的软件,而不是警方利用了一些未知的漏洞或类似的东西。
德国的报道称,在对一名名为“Andres G”的个人进行调查时使用了时序分析攻击,此人涉嫌运营名为”Boystown“的.onion暗网网站,该网站提供儿童性虐待材料(CSAM)。
据称,“Andres G”使用了匿名消息应用程序Ricochet,该应用程序通过Tor在发送者和接收者之间传递数据。更具体地说,据说他使用的聊天程序版本未能保护其Tor连接免受警方使用的基于时间的去匿名化方法攻击的影响。
报道称,德国当局获得了运营商西班牙电信公司(Telefónica)的合作支持,该公司提供了所有连接到已知Tor节点的O2用户的数据。通过将这些信息与Tor计时信息的观察结果相匹配,当局得以识别“Andres G”的真实身份,他于2022年在北莱茵-威斯特法伦州被捕、被指控、定罪并被判入狱多年。
Tor辩称,这种方法并不表明其服务存在缺陷。
该组织反而提出了一种理论,即“Andres G”使用不安全的Ricochet导致“守卫”节点被发现从而被抓获。简而言之,这意味着警察能够找出他用来通过Tor网络发送数据的入口或“守卫”节点。警方可以要求西班牙电信公司列出与该“守卫”节点连接的用户名单,并推断出Tor用户的身份。
Tor声称“Andres G”可能使用了旧版Ricochet,该版本不包含针对此类攻击的保护措施。Tor的文章指出:“自2022年6月发布3.0.12版以来,这种保护就存在于Ricochet-Refresh中,它是早已经不维护的Ricochet项目的一个维护分支。”
EFF高级技术专家Bill Budington称:“为了对流量进行时序分析,你确实需要攻陷一个守卫节点,因为它是Tor网络中的第一个节点,可以看到用户的IP地址。”如果不能直接攻陷守卫节点,就可以获取网络时序来完成监视。
Tor用户担心网络可能会被警方控制的节点淹没,从而影响匿名性。但要做到这一点,所需的节点数量将非常庞大。Tor项目承认,出口节点的部署数量有所增加,最近已超过 2000 个,但声称这并不值得担心。
Tor公关总监Pavel Zoneff表示:“声称Tor网络‘不健康’的说法完全不是事实。”
“网络健康团队已经实施了相关流程,以识别可能存在的、疑似由单一运营商和不良行为者管理的大型中继群组,并不允许它们加入网络。因此,它标记了大量需要清除的不良中继站,这些中继站随后被目录管理机构禁止。其中许多可能对用户没有真正的威胁。”他说。
Tor项目还呼吁帮助了解警方的具体做法。“我们需要有关此案的更多细节,”该团队表示。“在缺乏事实的情况下,我们很难向Tor社区、中继运营商和用户发布任何官方指导或负责任的披露。”
现在的信息是:“不要惊慌。”
德国当局捣毁了臭名昭著的CSAM暗网平台Boystown 德国当局与多家国际执法机构合作,成功捣毁了臭名昭著的暗网平台“Boystown”,该平台专门发布儿童性虐待内容(CSAM)。这件事发生在2021年4月,但直到现在才披露其细节。更疯狂的是,据德国媒体报道,当局成功使参与CSAM网站的Tor用户匿名化,并成功逮捕了他们。
该网站自2019年起运营,拥有超过40万注册用户,并实施了一些最严重的虐待行为,许多受害者都是男孩。德国联邦刑事警察局在欧洲刑警组织以及荷兰、美国、加拿大和其他几个国家的机构的支持下领导了这次行动。
Boystown的管理员三名德国男子被捕,第四名嫌疑人在巴拉圭被拘留,德国已要求引渡。这些人帮助用户逃避侦查,同时协助传播非法内容。
该平台于2021年4月被关闭,其聊天室也被拆除。这次国际行动对涉及CSAM的非法暗网活动进行了重大打击。
Tor 是一种匿名连接路径技术,而不是隐藏通信内容本身。当用户从自己的电脑访问所需的网页(如 google.com)时,通信路径上会添加多个中继点(节点),如其他电脑,并通过加密除出口节点(即最终访问路径)以外的所有内容来保持匿名性。
节点是通过Tor进行匿名通信的关键,由支持Tor理念的志愿者和组织运营。近日,”暗网下/AWX“获悉,其中一个运营出口节点的组织,德国的“Artikel_5_e.V”,于2024年9月8日在Tor项目论坛上报告说,它’遭到了德国警方的突袭’。
在Tor项目的官方论坛讨论组里,用户“Artikel_5_e.V”发布主题邮件称,作为运营Tor出口节点的非营利组织,他们组织注册地址的住所和办公室再次遭德国警方突袭。
该用户称,2024年8月16日,德国警方再次突击搜查了他们组织注册地址的住所和办公室。警方的第一次搜查发生在2017年。显然,如今仍有在德国执法部门工作的人认为搜查Tor出口节点运营者(非政府组织)会在某种程度上实现个人Tor用户的去匿名化,至少警方在文件中是这么说的。
与第一次一样,幸运的是,德国警方的突袭小组受过更好的教育,行为也比申请突袭的非技术人员和签字的法官要合理得多。因此,再次没有扣押任何硬件。除了一个烧毁的(中间中继)节点和一些与出口节点有关的账单文件外,该突击小组在一个半小时的搜查之后几乎空手而归。该组织打算对搜查令提出法律挑战与质疑,以确保这种情况不会再次发生。
该用户称,这又是一次在私人客厅里与武装警察共处了一个半小时,并被威胁要事实上摧毁一名非营利组织董事会成员的生计和软件业务(运走一卡车硬件),以迫使其合作。
该用户在文中表示,只要该组织还继续运行Tor的出口节点,他们就面临着更多被警方突袭的风险。因此,他个人不再愿意提供他自己的个人地址和办公空间作为该非营利组织/非政府组织的注册地址,他说他再也不愿意承担这种风险了。
“Artikel_5_e.V”呼吁于2024年9月21日召开该组织的全体成员大会。他们正在寻找新的董事会成员(接管并组织新的注册地址并继续运行Tor的出口节点)或讨论所有替代方案。这些方案包括“停止运营Tor的出口节点”,甚至采取最激烈的措施,即清算整个组织并将剩余预算分配给其他德国组织(这些组织必须符合他们的非营利章程)。
邮件在最后表示,会议时间和地点详情可以访问https://artikel5ev.de/查询,不过该网站目前无法正常访问。该组织打算主要为组织成员,以及无法亲自参加的但是感兴趣的人提供直播视频流。不过,活动/直播将仅使用德语。直播的详细信息将在活动开始前不久在网站上公布。如果有人计划亲自参加,需要提前发送电子邮件,以便选择合适的房间进行安排。
对此,网友“edm0nd”在ycombinator发帖称,他不再运行任何Tor的出口节点的部分原因是执法部门的骚扰。他曾经运行了一些出口节点,前后大约有5年时间。但是在这5年中,他的托管服务提供商(DigitalOcean)收到了3份传票,要求他提供账户信息。
根据“edm0nd”的描述,3份传票源自网络犯罪分子利用其提供的出口节点IP进行的三次犯罪行为:第一次是有人向一所大学发送炸弹威胁邮件;第二次是有人发送了一封钓鱼邮件;最后一次也是最严重的一次,一些来自卡塔尔的民族国家黑客使用他提供的出口节点IP入侵了一些其感兴趣的人的电子邮件账户,监视他们并窃取了一些信息。
“edm0nd”称,幸好Tor项目和EFF都能无偿帮助他。被指派给他的EFF律师帮忙对抗了传票,但最终还是不得不把他的账户信息交给司法部,而且还必须提供一份宣誓书,声明自己只是一名节点运营者,服务器上的任何信息都不会对他们的调查有用。因为不得不与执法部门、律师打交道,还得面对可能因为一些无聊的事情而被抄家的压力,最终导致他关闭了他运营5年的Tor出口节点。
“edm0nd”还表示,尽管他的所有出口都采用了避规的措施,并将已知的恶意IP和c2/malware信息列入黑名单,使其无法使用,但他仍然不可避免成为执法部门的一个目标。他觉得可能是执法部门意识到运营Tor出口节点的人是其可以瞄准的一大弱点,因为很多Tor出口节点运营者都是个人,没有太多资源与执法部门对抗。执法部门可以利用法律系统来吓唬运营者,迫使他们关闭。
不过,“edm0nd”希望有朝一日他能够重新开始运营Tor的出口节点,因为他觉得能以微薄之力帮助世界各地的人们是一件很有意义的事情。
在该回复下面,有许多网友进行了评论,虽然大家认为提供Tor的出口节点是一个公益行为,虽然带来了隐私和自由等理想主义,但是也让”坏人都可以使用相同的基础设施来逃避调查/起诉“,而且任何Tor的基础设施其实都是恐怖主义的工具。”暗网下/AWX“其实也认可这种说法,Tor的存在、暗网的存在一直有着两面性,就看利弊如何权衡。
Tor的中继节点很重要,组成了暗网网络,但是,出口节点最为重要,早在2021年,曾有超过27%的Tor出口节点被黑客组织控制用来监视暗网用户的活动。德国也是Tor节点的较大提供国家,在2021年,在所有6519个中继节点(relays)中,约24%在德国;在所有3634个保护节点(guard nodes)中,约25%位于德国;在所有1195个出口节点(exit nodes)中,约有23%位于德国。