AnyDesk于2024年2月2日在一份公开声明中证实,它最近遭受了一次网络攻击,黑客可以访问该公司的生产系统。 AnyDesk称:“作为预防措施,我们将撤销我们门户网站 my.anydesk.com 的所有密码,如果使用相同的凭据,我们建议用户更改密码。”据了解,AnyDesk的源代码和私有代码签名密钥在攻击期间被盗。
AnyDesk 是一种远程访问解决方案,允许用户通过网络或互联网远程访问计算机。该程序非常受企业欢迎,企业使用它来提供远程支持或访问托管服务器。
该软件在威胁行为者中也很受欢迎,他们使用它来持续访问受破坏的设备和网络。
该公司报告称拥有17万名客户,包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子和联合国。
AnyDesk被黑 AnyDesk表示,他们在检测到生产服务器上发生事件的迹象后首次得知此次攻击。
在进行安全审计后,他们确定自己的系统受到了损害,并在网络安全公司 CrowdStrike 的帮助下启动了响应计划。
AnyDesk 没有透露有关攻击期间数据是否被盗的详细信息。然而,BleepingComputer 了解到威胁行为者窃取了源代码和代码签名证书。
该公司还证实勒索软件并未参与其中,但除了表示他们的服务器遭到破坏之外,没有透露太多有关此次攻击的信息,该报告主要关注他们如何应对这一事件。
作为回应的一部分,AnyDesk 表示他们已吊销与安全相关的证书,并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用,并且没有证据表明最终用户设备受到该事件的影响。
AnyDesk在公开声明中表示:“我们可以确认情况已得到控制,使用 AnyDesk 是安全的。请确保您使用的是最新版本,并带有新的代码签名证书。”
虽然该公司表示没有身份验证令牌被盗,但出于谨慎考虑,AnyDesk 正在撤销其门户网站的所有密码,并建议在其他网站上使用密码时更改密码。
数据在暗网销售 根据Resecurity的博文,在俄罗斯背景的暗网论坛Exploit.in里,用户名为“Jobaaaaa”的账号,提供大量AnyDesk客户凭证出售,该账号注册于2021年。该账号强调——“这些数据非常适合技术支持诈骗和邮件(网络钓鱼)”。
攻击者提供的样本与属于不同消费者和企业的受损访问凭证有关,允许访问 AnyDesk 客户门户网站。该攻击者者提供了18317个账户,以15000美元的加密货币(比特币或者门罗币)支付。作为一项安全措施,攻击者使用*号对密码的部分内容进行了隐藏。他还同意在著名的地下论坛上通过托管方式进行交易。
获取此类数据的来源和方法可能会有所不同,并且取决于特定不良行为者的策略、技术和程序 (TTP),这种发展创造了一个新的关注领域。例如,暗网参与者可以利用信息窃取者来收集此类信息。在这种情况下,考虑到最新的事件披露,及时重置密码将成为所有客户的强制缓解措施。使用 AnyDesk 的受众包括 IT 管理员,他们经常成为威胁行为者的目标。确保恶意活动不会影响对他们可能拥有特权访问的任何其他关键系统的访问至关重要。
通过访问AnyDesk门户,威胁行为者可以了解有关客户的有意义的详细信息,包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件以及激活远程访问管理软件的主机总数,及其在线或离线状态和 ID。
熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化,因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值,AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是,根据从攻击者处获得的额外上下文,暗网上大多数暴露的帐户都没有启用 2FA。
AnyDesk 根据维基解密,AnyDesk是由AnyDesk Software GmbH公司开发的远程桌面应用程序。该软件程序提供对个人计算机和运行主机应用程序的其他设备的独立于平台的远程访问。 它提供远程控制、文件传输和VPN功能。 但是AnyDesk通常也被恶意用于技术支持诈骗和其他远程访问诈骗。
AnyDesk Software GmbH公司于2014年在德国斯图加特成立,目前在美国、中国和香港设有子公司,并在乔治亚州设有创新中心。
英国肯特郡一所学校的一名前教师因在暗网上搜索儿童不雅图片和视频,而被终身禁止进入课堂。32岁的卡里克·坦顿(Carrick Tanton)是汤布里奇的海耶斯布鲁克学校(Hayesbrook School)的一名教师,该学校于2023年9月更名为汤布里奇利学院(Leigh Academy Tonbridge)。
坦顿先生是一名计算机科学教师,于2019年7月1日开始在这所只招收11至18岁男孩的学校任教,并于2020年10月16日被解雇。他承认“多年来每周都会访问不雅图片”,但教学管理机构表示,“其缺乏充分的洞察力或悔恨”。
该机构在本星期一发布的决定中表示,坦顿先生存在“重蹈覆辙的风险”。这是在代表教育大臣召开的专业行为会议之后进行的。
坦顿先生要求不举行听证会,这意味着他没有出席,也没有律师代表他出席。相反,他于去年11月29日提交了一份签名声明,同意自己的所作所为,并承认了不可接受的职业行为。
坦顿先生于2020年10月12日或前后被捕,此前肯特郡警方发现与他家相关的IP地址被用来访问儿童的不雅图像,随后坦顿先生被捕。不久后,他被学校停职,并于10月16日被解雇。
坦顿先生向陪审团承认“他在一个或多个场合访问了儿童的不雅照片和/或视频”。调查小组表示,他在接受肯特郡警方询问时也承认,“从十几岁起,他每周都会访问一次此类图像和视频,尽管有时会中断很长时间”。
在警方的询问中,他表示他会使用“暗网更广泛地观看色情内容”。该小组的报告称,他最初告诉警方,他会观看“看起来很年轻,可能在16岁左右”的人的图像,但后来在面谈中承认,他一直在访问“极其年幼的儿童”的不雅图像。
坦顿先生承认他的行为本质上是性行为并且是出于性动机。调查小组表示,坦顿先生在接受警方询问时和向调查小组所作的陈述中对自己的行为表达了一些见解。
但报告称:“然而,专家组并不认为坦顿先生对自己的行为表示了任何悔意。调查小组还承认,警方的报告表明坦顿先生曾寻求帮助来解决他的行为;但没有提供任何证据证明这一点。”
代表教育大臣做出决定的莎拉·布克斯西(Sarah Buxcey)在决定中表示:“根据我的判断,缺乏充分的洞察力或悔意意味着这这种行为有可能再次发生,从而危及学生未来的福祉。因此,我在做出决定时相当重视这一因素。”
调查小组对不存在重复风险的情况并不满意。坦顿先生被禁止在英格兰的任何学校、六年级预科学院、相关青少年宿舍或儿童之家任教。他也被禁止在未来申请解除这一限制。
利学院信托基金(Leigh Academies Trust)发表评论:“保护儿童安全是我们所有学校的首要任务,虽然这起事件发生在学校加入信托基金之前,但我们支持《教师条例》做出的禁止坦顿先生重返教学岗位的决定。”
个人可识别信息(PII)是可以用来识别某人的任何数据。所有直接或间接与个人相关的信息都被视为PII,例如,一个人的姓名、电子邮件地址、电话号码、银行账号和政府颁发的身份证号码等。如今,许多组织收集、存储和处理PII。当这些收集的数据被破坏或泄露时,人们可能成为身份盗窃或其他攻击的受害者。
根据安全研究团队resecurity发布的博文,近日,泰国刑事法院发布命令,宣布封锁9near.org网站。这一行动是在该网站威胁披露据称从疫苗登记记录中获得的5500万泰国公民的个人信息后采取的。法院进一步宣布,任何其他被发现传播“9near.org”数据的网站也将面临封锁。这项措施是根据泰国数字经济和社会(DES)部的要求而采取的,该部正在为逮捕此次黑客攻击的幕后黑手而做准备。
该网站的运营者名为“9Near–Hacktivist”,他在BreachForums网站上发布公告,声称他们已经获取了5500万泰国人的个人详细信息。这些数据包括全名、出生日期、身份证号码和电话号码。近日,乡村医生协会表示,这一信息可能源自卫生部免疫中心的一次数据泄露。
泰国正在迅速成为亚太地区数字领域的重要参与者,特别是信息和通信技术(ICT)领域。值得注意的是,从2022年下半年到2023年初,泰国的数据泄露事件大幅减少。客观来看,2022年第三季度,泰国每千人中约有6.8例数据泄露。令人印象深刻的是,到2023年第一季度,这一数字骤降至每千人仅1例。但是,随着 2024 年的到来,这一趋势可能会发生变化。据报道,网络犯罪分子(在暗网的阴暗角落中被称为”Naraka“)正在传播大量被盗的泰国公民个人身份信息(PII)。据信,这些敏感信息来自各种被入侵的平台。
2024年初,以消费者为中心的平台的数据泄露明显增加,这证实威胁行为者正在积极针对泰国公民的个人数据。 由于存在大量用于KYC(“了解您的客户”)的文本和图形形式的个人文件,威胁行为者将泰国的电子商务、金融科技和政府资源作为目标。 与2023年相比,攻击频率有所增加,暗网上涉及泰国消费者和企业的数据泄露事件数量不断增加就证明了这一点。仅在2024年1月上旬,网络犯罪论坛上就至少发布了14起泄露泰国公民信息的重大数据泄露事件,几乎超过了去年全年的泄露记录数量。 不良行为者利用窃取的PII数据欺骗泰国公民并攻击金融组织,这些组织正在该地区积极开发和培育数字化,为7160万人口提供服务。 2024年1月11日,一位名为”Naraka“的个人在暗网数据泄露论坛breachforums.is上列出了待售的数据转储,其中涉及泰国最大的书店之一Chulabook。此次泄露影响了超过16万名用户。”Naraka“指定以加密货币付款,特别是XMR(门罗币)或BTC(比特币)。
Resecurity向Chulabook和泰国电子交易发展机构(ETDA)发出了警报,ETDA是数字经济和社会部监管下的政府机构,负责监督向泰国客户提供服务的所有数字服务提供商。Resecurity团队从该行为者处获得了更多样本数据及截图,确认其成功访问了包含数千份订单和客户记录的后台。
在与数据泄露事件相关人员的交流过程中,Resecurity发现了泰国另一个被泄露的网络目标。该目标也被发现泄露了泰国公民的个人身份信息(PII)。
就在新年前夕庆祝活动之前,人们发现Telegram上的UFO市场运营商正在积极出售被盗数据。这些泄露的数据包括数量惊人的538418条记录,包含个人身份信息(PII),其中包括公民身份证号码等详细信息。
这些大量被盗数据尤其受到身份盗窃和金融欺诈者的青睐。它们包含的详细个人信息为这些人提供了网上银行欺诈和各种网络诈骗潜在目标的全面信息。
在此事件之前,同一批罪犯参与了大量数据的传播,特别是与学生有关的3149330条记录,这些记录据信是从泰国基础教育委员会(OBEC)非法获取的。考虑到年轻群体的脆弱性以及他们在网络空间中成为恶意实体攻击目标的风险,这些信息特别敏感,可能极具价值。
这些数据的某些部分被发现被免费泄露——不法分子正在暗网上分发这些数据。他们这样做是为了交易这些数据,并将其用于未来的计划中,例如垃圾邮件、在线诈骗和商业电子邮件泄露(BEC)活动。这种自由流通使得数据更容易被各种恶意活动利用。
名为“breachforums.is”的网站上还发现了一个单独的数据集,标记为“Thailand DOP.go.th Leaked”。该特定集合由主要涉及泰国老年人口的个人身份信息(PII)组成。这是一个庞大的集合,大小约为690MB,包含多达19718687行数据。
2024年1月10日,又发生一起数据泄露事件,这次涉及曼谷工业气体有限公司。这次泄漏事件标志着针对关键基础设施和石油天然气领域的又一次重大数据泄露事件。
早些时候,breachforums.is上一个名为Ghostr的实体披露了新的数据泄露事件。此次泄露的数据量巨大,涉及约186GB的数据,其中包括来自股票交易平台的惊人的530万条记录。泄露的信息包含泰国用户的全面详细信息,包括全名、电话号码、电子邮件地址和身份证号码。
在另一起事件中,Milw0rm在breachforums.is上报告了一次泄密事件。该特定数据集于2024年1月1日发布,针对泰国求职者,包含大量的个人信息。该数据集由6.1万行组成,包含详细数据,例如用户名、密码、电子邮件地址、手机和家庭电话号码、邮政编码、出生日期、体重和身高等身体属性、当前就业状况、子女信息、泰语打字熟练程度,以及薪资详细信息。
此前,一个名为R1g的人对泰国皇家志愿者的个人数据库进行了重大数据拖取。此次泄露影响了大量记录,总计460万条。泄露的数据包括敏感的个人信息,如姓名、公民身份证号码、性别、出生日期和地址。
2024年1月11日星期四,同一个人R1g于造成了另一起重大数据泄露事件。此次泄露事件涉及泰国海军军官的敏感信息,标志着又一起重大安全事件的发生。
2024年1月15日,化名Soni的威胁行为者发布了与Phyathai.com相关的泄露数据库。此次数据泄露包含25500条用户信息记录,包括ID、用户URL、加密密码(phpass)、用户电子邮件、登录详细信息、帐户状态、显示名称、注册日期和用户激活密钥。攻击者分享了数据样本作为证明。
网络犯罪分子还将攻击重点放在泰国政府和军事部门,泄露了官员和执法人员的个人身份信息。这种类型的行动是网络间谍组织在网络犯罪领域运作的典型特征。犯罪者泄露了各种机密文件,其中包括内部通信和与柬埔寨执法机构的互动。这些泄密事件可能是由于第三方入侵造成的。这次泄密事件的源头仍未查明,但针对泰国政府官员的恶意网络活动可能表明,该地区针对泰国政府官员的网络活动呈增长趋势。
结论 2024年,泰国将在全球打击网络犯罪的斗争中发挥关键作用。随着泰国在数字化转型的道路上不断前进,在信息和通信技术(ICT)方面的能力不断增强,泰国面临着越来越多的网络威胁,尤其是那些涉及个人数据泄露的威胁。这一不断升级的挑战突出表明,泰国迫切需要采取并加强强有力的网络安全战略。
泰国发生的一系列大规模数据泄露事件和迫在眉睫的敏感信息滥用风险,清楚地提醒人们亟需加强数据保护和采取积极主动的网络防御策略。对于泰国来说,必须加强其网络安全框架,制定严格的数据隐私法规,并在其民众和机构中培养广泛的数字警惕文化。这些措施不仅对于保护公民的隐私和安全至关重要,而且对于巩固泰国作为国际数字领域可靠和安全参与者的地位也至关重要。
澳大利亚网络犯罪小组(Cybercrime Squad)的侦查员指控了一名男子,并缴获了约 100 万美元的加密货币、价值 100 万美元的手表和珠宝以及一辆汽车。
在新南威尔士州犯罪委员会(NSW Crime Commission)的协助下,州犯罪指挥部的网络犯罪小组(Cybercrime Squad)成立了卡里维尔打击小组(Strike Force Carieville),以调查一名据信在过去六年中销售了价值超过 8000 万美元违禁药品的暗网供应商。
经过广泛调查后,2024 年 1 月 9 日星期二晚上 10 点左右,突击队侦探在猛禽小队的协助下,在悉尼中央商务区执行了两项搜查令,逮捕了一名 36 岁男子。
2024 年 1 月 10 日星期三,第三次搜查令也在悉尼中央商务区执行。
在搜查过程中,侦探们发现了 14.6 个比特币,价值约 1,020,742 美元、8735 澳元现金和 7800 美元现金。
侦探们还发现了价值超过 100 万美元的豪华手表和珠宝以及一些电子产品。所有物品均被扣押以接受进一步法医检查。
该男子被带到 Day Street 警察局,在那里他被指控犯有两项故意处理犯罪所得罪名、三项可起诉的处理犯罪所得财产罪名。
他被拒绝保释,并于 2024 年 1 月 10 日星期三在唐宁中心地方法院出庭,并于 2024 年 3 月 7 日星期四在同一法庭出庭,被正式拒绝保释。
警方将在法庭上指控该男子代表暗网供应商洗钱近 300 万美元。
国家打击犯罪司令部网络犯罪小组指挥官、侦探警司马修·克拉夫特(Matthew Craft)表示,警方拥有调查此类事件的最佳能力。
克拉夫特警司说:“网络犯罪侦探在暗网上拥有强大的力量,可以识别并最终起诉任何从事非法活动的人。”
“本周查获的价值 100 万美元的加密货币是近年来查获的最大单笔加密货币之一。”
“我们与新南威尔士州犯罪委员会等合作伙伴机构合作,在搜查和扣押能力方面积极开展工作,对于那些认为自己可以隐藏在暗网上或将资产隐藏在加密货币中的人来说,这些对我们来说已不再是障碍。“
“我还想提醒公众,在暗网上购买毒品会带来巨大的风险,不仅因为这是完全非法的,而且因为你不知道你在和谁打交道,也不知道你的产品是否是如其所说的毒品。”
益生菌公司养乐多的澳大利亚分公司遭受了一次重大网络攻击,该公司的记录和护照等敏感员工文件被发布在暗网上,此次攻击是勒索软件攻击,黑客试图从公司勒索金钱。The North Face母公司近期也遭受勒索攻击,黑客在暗网泄密网站发布内容并羞辱其高管。
勒索软件团伙DragonForce攻击养乐多,并在暗网公布95GB数据样本 益生菌公司养乐多(Yakult) 确认其澳大利亚和新西兰 IT 系统受到“网络事件”的影响。该公司在其网站上的一份声明中表示,正在“与网络事件专家合作调查事件的严重程度”。声明中写道:“我们在澳大利亚和新西兰的所有办事处均保持开放并继续运营。”
该公司总部位于墨尔本丹德农,拒绝进一步置评,但 ABC 调查了解到,该公司是勒索软件攻击的受害者。勒索软件攻击是一种网络犯罪,黑客试图向公司勒索金钱,如果被勒索公司未支付赎金,黑客就会在暗网发布被盗文件。
声称对此次泄露事件负责的组织是 DragonForce,这是一个勒索软件团伙,自 12 月初以来已列出了近 20 个“拒绝合作”的目标,其目标范围从德克萨斯州的一家家庭慈善机构到新加坡的可口可乐和南澳大利亚的一家浴室制造商等商业实体。
在该勒索软件团伙的暗网泄密网站上,该组织发布了每个受害者被盗的文件存储样本。
但这些网络犯罪分子似乎与 DragonForce Malaysia 没有直接关系,DragonForce Malaysia 是一个针对以色列政府机构的黑客组织。
ABC 对泄露的 95 GB 数据样本进行了分析,发现泄露的公司的文件可以追溯到 2001 年,文件中包含敏感的员工信息,包括护照和驾驶执照的扫描件、就业前医疗评估和证书、工资和绩效评估。
ABC已确定至少一张护照扫描件属于一名仓库员工。澳大利亚广播公司还在泄露的缓存中发现了养乐多母公司所在地的日本护照。一个单独的数据库还包含近 9000 人的姓名和地址。目前尚不清楚这些是否是客户记录,但ABC已经能够验证至少部分姓名和地址的准确性。
养乐多澳大利亚公司(Yakult Australia)于 12 月 15 日获悉此次网络攻击,五天后,DragonForce 将这家益生菌公司列为受害者之一,然后在圣诞节早上公布了被盗的文件存储。
勒索软件团伙ALPHV/Blackcat攻击VF公司,并在暗网羞辱公司高管 勒索软件团伙ALPHV/Blackcat因赎金数额问题,在谈判失败后向VF公司(North Face、Vans、Timberland的母公司)的领导层施加压力。VF公司公司遭受网络攻击,导致众多业务运营中断。
“有时候你必须通过用头撞墙来学习。» 在暗网上的一篇长文中,黑客取笑了 The North Face、Vans、Timberland 和 Supreme 等主要品牌的母公司 VF Corporation。这家时尚巨头在礼品购买季节中期遭受网络攻击,扰乱了集团的商业运营。大量数据被盗,据攻击背后的黑客组织 ALPHV/Blackcat称,该公司正在尝试通过谈判将其取回。徒劳无功,因为所提供的金额不符合网络犯罪分子的期望。
“该公司提供的金额远低于要价,也远低于其保险范围。因此,她希望保持干净的资产负债表。这显示了他们的领导者的批判性思维能力。[…]由于管理技能不足以快速解决问题,我们预计损失将超过九位数。[…]领导人已明确表示,如果我们发布此消息,他们将不会继续参与,我们不在乎。你的谈判代表下次会学会不要浪费我的时间,”他们在暗网泄密网站发布文章写道。
勒索软件团伙ALPHV/Blackcat以其顽固不化而闻名,并且会毫不犹豫地透露谈判的幕后细节。
“对于 VF 公司的白痴来说,当你听谈判和事件响应‘专家’声称争取时间可以给你折扣时,就会发生这种情况(他们实际上是这么告诉他们的!!)。有时你必须通过用头撞墙来学习。由于他们的低端产品,我们的价格上涨了五百万。这篇博文是在他们重申六位数的报价不变后 24 小时发布的。”黑客补充道。
黑客甚至乐于发布人工智能生成的图像,其中显示穿着 Supreme 或 North Face 流行服装的猫(该团伙的标志)。
黑客在暗网网站上公布了少量数据,并声称如果不支付赎金,就会释放一个大型数据库。目前尚无法具体确定网络犯罪分子窃取信息的程度。
法兰克福总检察长办公室的中央打击网络犯罪办公室 (ZIT) 和德国联邦刑事警察局 (BKA) 的调查取得部分成功。在一项国际协调行动中,法兰克福总检察长办公室的中央打击网络犯罪办公室( ZIT) 和联邦刑事警察局 (BKA) 联合查获了非法暗网市场“Kingdom Market”(王国市场”)的服务器,成功于2023年12月16日关闭了暗网上的非法市场“Kingdom Market”。
美国、瑞士、摩尔多瓦共和国和乌克兰的执法当局在调查过程中与德国机构密切合作。
然而,“Kingdom Market”暗网市场的管理员尚未被抓获。但是,这个市场的客户最好还是要担心一下,警方会进行深入调查的。
“Kingdom Market”是一个非法暗网交易市场,至少自 2021 年 3 月起就存在,只能通过 Tor 网络和暗网上的隐形互联网项目 (I2P) 访问。该英语平台被用来交易非法商品。它的主要焦点是毒品贸易。
此外,恶意软件、犯罪服务和伪造文件也通过该平台进行广告宣传,以获取利润。市场上提供了超过 42000 种产品,其中约 3600 种来自德国。市场上有数以万计的客户账户和数百个卖家账户。
经过调查,警方确定犯罪商业平台“Kingdom Market”上注册了来自不同国家的数千个账户,暗网市场的用户使用比特币、莱特币、门罗币和 Zcash 加密货币来支付服务。“Kingdom Market”管理员收取3%的手续费作为平台上所有销售的佣金。
两天前,曾有疑似当局的执法人员或者恶搞的网友以“FallenKingdom”的昵称在暗网的Dread论坛上发表了致“Kingdom Market”全体居民的一份公告:
王国的居民们,
我们自豪地宣布,王国已经灭亡!
感谢你们的合作。
待续……
与此同时,一些名不见经传的暗网市场,如“Elysium Market”、“Dark Matter Market”、“SuperMarket”等市场的管理员或者推广者开始在Dread论坛上发帖,表示他们的市场欢迎“Kingdom Market”的难民们(客户与供应商)。
也有网友怀疑是由于网址旋转器(URL rotator)泄露了服务器的真实IP,论坛里半年前就已经提醒过了。
Dread论坛的管理员三天前发布了“王国市场可能已被执法部门查封”主题,称:
Dread 工作人员从一个值得信赖的方面得到消息,称有多人已被执法部门逮捕,他们的系统被查封,而这些人有足够的服务器权限进入王国的基础设施。我们不知道,也可能永远不会知道,这次被打击的严重程度。这是一个遗憾,但根据目前提供的信息,Kingdom Market从瘫痪中恢复的可能性基本上为零。
我会让评论开放几天,然后在有新消息之前将此子主题存档。
这样的事情偶尔会发生。请接受现实吧。如果你在 Kingdom 上订购时正确遵守了 OPSEC,你就不需要担心太多。如果没有,那就清理门户吧。
并在该消息得到德国当局证实后更新了BKA的链接:https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2023/Presse2023/231220_PM_Darknet_Kingdom_Market.html
暗网市场“Kingdom Market”在Dread论坛上的支持管理员“OhLongJohnson”也发表了最新的主题“来自 OhLongJohnson 的文字,KM 永远消失了。”,内容为:
亲爱的会员们
我很遗憾地告诉大家,管理员没了,市场没了,被查封了。
我现在很好,希望这一切能保持原样。
我要向所有社区和我们的会员道歉。太糟糕了,没有人会看到我们正在开发的新升级。我非常期待新升级版本的发布。这是我梦寐以求的工作。
非常感谢你们所有人,我爱你们,并将永远爱你们,我会记住的。我始终相信每个供应商都是善良的,并尽我所能为他们提供支持。我相信,每一个有“骗人”想法的供应商都可以成为真正的专业人士。我与许多买家和供应商建立了良好的关系,我感谢你们信任我,我也信任你们。我唯一遗憾的是,我无法与最近加入的新供应商进行更多交流。发生这样的事情,我感到非常难过。
我也很遗憾你们在市场服务器被查封后损失了金钱。我不知道查封了什么,也不知道数据库服务器位于何处。希望尽快恢复。
对不起,Kingdom让您失望了,对不起,您在市场关闭时损失了金钱。至少钱包和服务器不在同一个地方。
一个勒索软件团伙盯上了著名的爱德华七世国王医院(King Edward VII’s Hospital),并威胁称,除非支付价值 30 万英镑的比特币(10 BTC)赎金,否则将公开王室成员的私人健康数据。
该团伙以有毒的热带蜈蚣命名为“Rhysida”,声称获得了敏感信息的宝库,包括“X光片、顾问的信件、登记表、手写的临床记录和病理表格”。
黑客已经在其暗网泄密网站上发布了一份声明,称“时间只有 7 天,请抓住机会竞拍独家、独特、令人印象深刻的数据。打开钱包,准备购买独家数据。我们只卖一手,不转售,您将是唯一的拥有者!”
声明表示:
为您提供独一无二的文件!
来自皇室的数据!
大量病人和员工资料。
一次性出售!
爱德华七世国王医院是一家独立的慈善医院,拥有值得骄傲的皇家赞助历史,位于伦敦哈雷街医疗区内。
跟声明一起展示的还有许多疑似内部文件的截图,拼在一起,但是比较模糊。目前该文件销售的时间仅剩一天左右。
一个多世纪以来,英国王室一直使用爱德华七世国王医院的服务。
已故的伊丽莎白女王和她的丈夫菲利普亲王在女王 2021 年去世前曾长期在该医院接受治疗,他们都是曾在那里寻求治疗的著名王室成员之一。
夏天,约克公爵夫人莎拉接受了手术,并在医院住了好几天。
2012年,威尔士王妃凯特在第一次怀孕期间因严重孕吐也在该医院接受治疗。
当时,一名澳大利亚 DJ 致电医院,获取并广播了当时剑桥公爵夫人的健康详细信息。
医院被迫就侵犯隐私行为做出道歉。
现在,随着最新的网络威胁的出现,王室在保护其私人医疗信息方面面临着另一个挑战。
这次网络攻击促使英国情报机构立即采取行动,英国政府通讯总部(GCHQ)和警方对该黑客组织展开调查。
英国国家网络安全中心(NCSC)的发言人表示:“我们正在与爱德华七世国王医院合作以了解影响。”
然而,现阶段,如果数据确实被盗,当局能采取的措施也只有一定程度。
前军事情报上校菲利普·英格拉姆(Philip Ingram)指出,被盗信息可能被复制并出售给其他网络犯罪团伙,从而加剧国家安全风险。
“困难在于攻击已经发生,许多知名客户将自行采取风险缓解措施。从某种程度上来说,损害已经造成。”英格拉姆说。
该医院上个月证实了这起网络攻击,表示已立即采取措施减轻该事件的影响,并已启动内部调查。
虽然医院没有确认攻击幕后黑手的身份,但表示只有不到 1% 的患者受到影响。
它表示,受影响的个人已被告知数据滥用的潜在风险。
该医院首席执行官贾斯汀·维尔 (Justin Vale) 向受影响的患者保证,将立即采取措施遏制这一事件,全面调查显示,包括一些个人健康信息在内的少量数据被复制。
该医院表示:“虽然这主要是良性的医院系统数据,但也拷贝了少量的患者信息。”
这一事件加剧了人们对国家重要资产安全的担忧。国家安全委员会最近就国家和与国家结盟的团体对这些资产构成的持续威胁发出了警告。
勒索软件攻击,包括最近Rhysida针对大英图书馆的勒索软件攻击,都被强调为一个突出的威胁。
根据欧洲刑警组织官网的消息,2023 年 11 月 13 日至 18 日期间,欧洲各国执法当局在东南欧协调一致的”EMPACT联合行动日“(EMPACT JAD SEE) 期间联手打击枪支贩运、毒品贩运、移民走私和人口贩运以及高风险犯罪网络。在欧洲刑警组织(Europol)、欧洲司法组织(Eurojust)、欧盟边境管理局(Frontex)、国际刑警组织(INTERPOL)和一些国际机构*的支持下,欧洲共有 26 个国家参加了这些大规模的协调行动活动。
”EMPACT联合行动日“是根据情报主导的方法规划的,警方、海关、移民机构和边境管制机构联合行动。西班牙负责协调行动活动,而欧洲刑警组织负责协调有关各方之间的行动信息交换。
”EMPACT联合行动日“包括加强对欧盟外部边界的检查以及在相关国家开展特别行动。欧洲各国参与打击有组织犯罪的警察、宪兵、边防卫队、海关当局和参与打击全欧洲有组织犯罪的国家单位在这次”EMPACT联合行动日“中进行了合作。参与当局的22,000多名官员共同努力,采取了情报主导的方法和跨境行动协调。行动由在北马其顿斯科普里设立的国际协调中心进行协调,代表这些当局的官员在该中心为国际合作提供便利,并对当地的行动需求做出回应。
信息交流与共享促成了121起针对犯罪网络的新案件的立案。欧洲刑警组织协调了”EMPACT联合行动日“期间的业务信息交流,并支持业务协调。欧洲刑警组织还在现场部署了专家,为现场行动人员提供实时分析支持。荷兰向希腊和黑山的过境点部署了两支配备特殊扫描设备的小组。Frontex 向外部边境部署了专家和设备。
”EMPACT联合行动日2023“的全球结果:
22,488 名警员参与 启动调查 163 项 检查实体总数 288,774 个 检查人数 215,273 人 检查车辆 67,277 辆 检查邮政包裹 5,225 个 搜查场所 999 个 发现非法入境事件 2229起 逮捕 566 人(218 人与偷运移民有关,186 人与贩毒有关,69 人与贩运枪支有关,89 人与其他犯罪有关) 发现伪造文件 114 份 缉获包括:
310 种武器(84种自动武器、65把手枪、59把步枪、22把榴弹发射器、16把左轮手枪、7把卡宾枪、6把霰弹枪、4把改装武器、2把气枪、其他、42把其他) 20,206 枚弹药 近1吨毒品,包括 626 公斤可卡因、近 300 公斤大麻、海洛因和大麻植物 ”EMPACT联合行动日“协调的网络巡逻 网络巡逻是在 2023 年 11 月 13 日至 18 日 ”EMPACT联合行动日“ 运行阶段设立的。网络巡逻的重点是监控和调查明网和暗网的不同网站、论坛和市场以及消息应用程序和应用程序上的活动。社交媒体网络。业务活动的目的是侦查非法贩运枪支的活动,并收集有关已确定目标的进一步信息。在线调查还侧重于有助于实地行动的重现活动。
英国国家图书馆、世界上最大的图书馆之一大英图书馆已确认遭受勒索软件攻击,导致内部数据被盗。
10月下旬,大英图书馆首次披露,它正在经历一场不明的网络安全事件,导致其位于伦敦和约克郡的网站出现“重大技术故障”,导致其网站、电话线以及访客Wi-Fi和电子支付等现场服务瘫痪。
两周过去了,大英图书馆的故障仍在持续。然而,该图书馆现已确认,此次中断是“由一个以此类犯罪活动著称的组织”发起的勒索软件攻击造成的。大英图书馆表示,一些内部数据已在网上泄露,“似乎来自我们的内部人力资源档案”。
这一确认是在大英图书馆被列入Rhysida 勒索软件团伙的暗网泄露网站数小时后得到的。暗网上显示的这份清单声称对此次网络攻击负责,并威胁要公布从大英图书馆窃取的数据,除非支付赎金。该团伙索要价值超过74万美元的比特币。
Rhysida勒索软件团伙尚未透露从大英图书馆窃取了多少数据或哪些类型的数据,但该团伙共享的数据样本似乎包括就业文件和护照扫描件。
上周,Rhysida 成为 CISA 和 FBI 联合警告的主题,警告称该组织利用面向外部的远程服务(如 VPN)来入侵教育、IT 和政府部门的组织。该通报还警告称,5 月份首次发现的 Rhysida 与Vice Society 勒索软件团伙有相同之处,后者是一个以勒索医疗保健和教育机构的勒索软件攻击而闻名的黑客组织。
Sophos 研究人员 Colin Cowie 和 Morgan Demboski 在最近的一份关于Rhysida的分析中写道:“值得注意的是,根据勒索软件组织的数据泄露网站,Vice Society 自 2023 年 7 月以来就没有发布过受害者信息,而这正是Rhysida开始在其网站上报告受害者的时间。”
勒索软件团伙解散、重塑品牌或创建新的恶意软件变种的情况并不少见,通常是为了逃避政府制裁或避免被执法部门逮捕。
周一,大英图书馆在 X(前 Twitter)上分享的一份声明中表示,“没有证据”表明其客户的数据遭到泄露,但建议用户更改密码作为“预防措施”,特别是如果用户在多个服务中使用相同的密码。
目前尚不清楚大英图书馆是否有技术手段来确定客户数据是否被盗取。
大英图书馆尚未透露它是如何被入侵的、有多少员工数据被盗,或者是否收到了黑客的通信或赎金要求。截至本文发布时,图书馆网站仍处于离线状态。
大英图书馆在最新声明中表示,可能需要数周甚至更长时间才能从勒索软件攻击中恢复过来。声明称:“我们预计在未来几周内恢复许多服务,但一些中断可能会持续更长时间。”
“与此同时,我们采取了有针对性的保护措施,以确保我们系统的完整性,并且我们将在[国家网络安全中心]、伦敦警察局和网络安全专家的支持下继续调查此次攻击。”
We’re continuing to experience a major technology outage as a result of a cyber-attack, affecting our website, online systems and services, and some onsite services too. We anticipate restoring many services in the next few weeks, but some disruption may persist for longer.
澳大利亚联邦政府近期警告说,Centrelink、澳大利亚税务局(Australian Tax Office)和医疗保险账户(Medicare)的账户是诈骗者使用所谓的“即用诈骗”套件进行网络钓鱼攻击的目标。
每个月都有成千上万个MyGov账户被暂停,因为人们担心这些账户已经被犯罪分子在暗网上出售的“盒装诈骗”工具包攻破。
这些产品被用来创建虚假网站,并提供对Centrelink、澳大利亚税务局和医疗保险账户发起网络钓鱼攻击所需的专业知识。
今年迄今为止,已确认超过4500起MyGov骗局,每月有数千个账户因涉嫌欺诈而被暂停。
在某些情况下,这些工具包带有安全控制功能,允许犯罪分子同时进行多个诈骗骗局,然后快速关闭它们以避免被发现。
有些可以识别更精通IT的用户何时使用它们,并将他们引导至MyGov官方网站。许多假冒网站与真实网站几乎一模一样。
政府服务部长比尔·肖顿(Bill Shorten)表示,澳大利亚人今年已经因诈骗损失了31亿澳元,澳洲当局正在认真对待这个问题。
“这些虚假网站和犯罪伎俩,如‘盒子里的骗局’,诱使我们的公民向犯罪分子提供用户ID和密码。”肖顿说。
“这些黑客行为以及我们现在看到的网络钓鱼与网络诈骗泛滥的问题是,越来越多的被盗身份详细信息最终出现在暗网上。”
由于许多澳大利亚人的账户只使用一个密码,因此这些骗局对网络犯罪分子很有吸引力。这些攻击只需付出最小的努力,就能获得高额回报。
一则广告告诉买家,大多数澳大利亚人都有一个MyGov帐户,您所要做的就是询问登录详细信息并确保澳大利亚税务局与他们的帐户相关联。
“统计数据显示,人们至少有50%的时间重复使用密码,这使得诈骗者和黑客有可能使用被盗的密码访问其他在线服务。”肖顿说。
“MyGov现在是澳大利亚人使用的第一大数字政府服务,澳大利亚服务部正在全天候工作,以打击诈骗者和黑客攻击。”
但预计“盒子骗局”背后的运营者将继续瞄准MyGov,直到政府彻底改革其身份验证机制,目前该工作已进入最后阶段。
“阿尔巴尼政府决心通过加强在线防御来打击恶意行为者。”肖顿说。
“我还与我的部长级同事、参议员凯蒂·加拉格尔密切合作,建立一个数字身份证,一旦建立,它将成为抵御网络犯罪的关键防线。”
去年,在Optus数据泄露事件发生后,政府确认正在考虑使用myGov或其myGovID系统来集中进行数字身份验证。
今年8月,澳大利亚税务局警告人们警惕(不要点击)电子邮件和短信诈骗,这些诈骗会将人们引导至虚假的myGov网站。
这些电子邮件和短信经常告诉人们他们需要退税,或者他们需要确认他们的银行账户,并将他们引导到一个虚假网站。
ATO发言人表示:“我们收到的有关多起冒充ATO短信和电子邮件诈骗的报告越来越多。”
“这些骗局鼓励人们点击一个链接,引导他们进入伪造的myGov登录页面,旨在窃取他们的用户名和密码。”
多年来,在暗网上出售敏感身份信息一直是一个严重的问题。2017年,《澳大利亚卫报》报道了通过“利用政府系统中的漏洞”出售医疗保险患者详细信息的情况。
2019年,《澳大利亚卫报》报道称,有暗网供应商以21美元(33澳元)的价格提供医疗保险详细信息。其他供应商则以高达340美元的价格出售伪造的医疗保险卡和其他伪造的身份证件,如新南威尔士州驾照。