域名

暗网中隐藏着的诈骗网站比较多，“暗网下/AWX”多年来持续曝光了许多，今天要曝光的诈骗网站是这么些年以来最没有技术含量的暗网网站，仅仅使用几个html页面来搭建，甚至有可能背后的诈骗分子不是英语母语。 暗网诈骗市场”CMarket”如何推广、存在时长、诈骗金额目前均尚不得而知，欢迎大家提供更多线索。某日，“暗网下/AWX”官方Telegram群组中某网友咨询该网站是否为诈骗网站，本站（anwangxia.com）根据该网友提供的暗网域名，尝试进行了访问探寻。 暗网诈骗市场”CMarket”的洋葱域名为： http://cmarket2mkfnxbpjtd7moahl2vel3r7bbix2mibljappe4bmwzbejtad.onion 进入该诈骗网站，映入眼帘的是网站名称”CMarket”，由一张模糊的logo图片展示，下面一行小字写着全称“International Criminal Marketplace”。但是再下面的欢迎语是“Welcome to the information market !”，且网站title标签内的名称也是“Information Market”，让人有点懵，网站名称究竟是”CMarket”，还是“Information Market”，果然诈骗网站能够做到不拘一格取名称，鉴于其洋葱域名以cmarket打头，本站姑且称之为”CMarket”。 该诈骗网站首页的正文部门看起来是其销售的商品分类与介绍，但其实是诈骗网站的7个导航页面： 个人信息：出售个人信息。此类个人信息不仅包含个人数据，还涵盖其各类活动相关的信息。 与违法行为相关的个人信息：出售个人信息。此类个人信息不仅包含个人数据，还涵盖其各类活动相关的信息。 个人健康信息：完整的个人健康信息，包括临床信息、化验结果等。 政府文件：我们可提供政府文件副本及其他政府与非政府组织的文件副本 政府身份证件：我们出售各个国家/地区的身份证件副本，这些副本采用原件格式，并附有您的照片。 身份证件模板：我们出售各个国家/地区的空白身份证件模板。 信用卡信息 | 数据库：您可以使用这些信用卡在任何地方消费：实体店购物、网购及ATM机取款。 与“暗网下/AWX”多次曝光的最大中文暗网诈骗网站“联合中文担保交易集市”一样，这些分类一眼假，导航链接虽是php后缀，点开访问却是一个个的html页面，页面中写着商品介绍的话术，配上一个比特币地址。如出售个人信息页面的话术：个人的姓名、地址、电话号码、电子邮件地址、社交媒体账号；个人的家庭成员构成；个人的照片；个人的薪资、银行账户、财务详情；个人的财产信息；以该人名义注册的公司、基金会等信息；个人的教育或教育活动详情，例如所获学位或博士学位申请情况；个人是否为某个协会的成员或领导者，以及其出席会议的情况；个人是否为工会或专业机构的成员；个人在工作文件中出现的姓名。 经测试，对于每个访问者，要求转账的比特币地址均相同：3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx，经区块链上查询，该BTC地址仅有0.00006095 BTC的收入，诈骗成果似乎远远不及“联合中文担保交易集市”，不过也许可能之前更改过BTC地址。 该诈骗网站提示的购买步骤：“1. 将款项汇至以下比特币钱包地址（3GN7dgj2eGNf2TcSftTFRTCZ9FTfUgk9Bx）；2. 将付款信息（精确金额及交易ID）发送至邮箱：[email protected]；3. 付款后一小时内，我们将发送信息下载链接。若需补充信息，付款后48小时内您将收到该链接。”此购买步骤与“联合中文担保交易集市”相当雷同，消耗了暗网中根本不存在的交易信任。 网站的尾部又是一幅图，整体看来，该诈骗网站框架很简单，每个页面均是头尾各一幅图，分别是banner.png与desktop.png，中间内容是诈骗话术，由于没有动态内容，连最基本的用户交互都没有，所以此类网站一眼假，诈骗网站无疑。 “暗网下/AWX”再次提醒，没有一定的名声与信誉度，没有知名暗网网站（如Dread）做担保，直接要求转账比特币，此类网站均为诈骗网站。 更多暗网新闻动态，请关注“暗网下/AWX”。

“暗网下/AWX”曾经介绍，DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛，在暗网与明网均可以访问，声称可以提供任何目标的多种类型数据。据观察，自从BreachForums销声匿迹后，DarkForums发展迅猛，已经拥有将近7.5万用户，逐渐取代BreachForums。 根据DarkForums对自己的宣传，其云端存储拥有来自欧洲、亚洲、非洲、美洲、澳大利亚等六大洲目标对象的各类数据，覆盖65+个国家，这些数据都是顶级品质，包括： ⭐️军事文件数据库 ⭐️企业完整数据库 ⭐️证件扫描件（身份证-驾照-护照） ⭐️消费者信息数据库 ⭐️电话号码数据库 ⭐️电子邮箱数据库 ⭐️外汇与加密货币数据库 ⭐️赌场及游戏数据库 ⭐️号码：密码 & 邮箱 & 用户名：密码 ⭐️公民身份号 & 社会安全号 & 税务号数据库 ⭐️大型网站数据库 ⭐️去哈希化数据及其他大型云端资源 DarkForums表示，其海量数据储备是未遭破坏的原始数据库，极度新鲜且私密，且支持用户自定义请求，有顶级品质保障。其全天候更新档案库，客服24/7全天候在线支持。 根据网站发布的套餐价格，1个月套餐售价200美元，3个月套餐售价为400美元，而终身套餐售价为1000美元，免费神级升级包含在3个月及终身套餐中。 DarkForums设置了三种类型的网站会员等级：VIP会员订阅价格为20欧元/999年，MVP会员订阅价格为40欧元/终身，GOD会员订阅价格为80欧元/终身。 根据公告，DarkForums提供的暗网V3域名为：http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion 除了暗网地址外，该网站同步提供了几个明网镜像地址： https://df[.]hn https://df[.]kiwi https://darkforums[.]st 此外，该网站还拥有域名https://darkforums[.]me，页面显示该域名的所有者为Knox，同时显示了DarkForums的暗网与明网域名，但未作跳转。 根据DarkForums的统计数据，该暗网数据泄露论坛已经拥有超过2.5万的主题帖，近25万的回复帖，近7.5万的注册用户，最多同时在线人数接近2万，可见其人气非常旺，但不知能够坚持几日。 DarkForums称其余自称新BreachForums的论坛都是虚假的 在FBI查封域名BreachForums.hn后，DarkForums发布警告称，虽然互联网上已出现多个冒牌或克隆网站，自称是“新BreachForums”，但它们与原版BreachForums团队毫无关联，都是为了欺骗、钓鱼或窃取用户数据。而DarkForums才是目前该领域唯一活跃且合法的主要社区。 对于本站（anwangxia.com）曾经报道的一个由BreachForums前管理员Koko创建的“新BreachForums”，DarkForums在Telegram频道表示，这个BreachForums克隆站也不是正规站点，Koko是个智障骗子，以过往成就为幌子行骗。他不仅诈骗了克隆论坛所有者SEPTEMBER，更在其自家论坛实施诈骗，如今更冒用SEPTEMBER等名义兜售论坛基础设施行骗。多名社区成员反映购买其论坛时遭遇欺诈，所以请务必警惕并远离这类无赖之徒。 某Telegram频道揭露的DarkForums管理员身份未得到权威证实 近期，有国内公众号号称某Telegram频道揭露了DarkForums管理员（Lucifer、Knox）的真实身份。根据号称”开盒“信息，此人为印度人，真实姓名为”Hritik Kumbhar“，来自印度奥里萨邦（Bhubaneswar, Odisha, India），系NIST大学计算机科学学士，现为初创公司InnovexPlus创始人，具备Linux、Python、网络安全等技术背景。 泄露内容极为详尽，包括”Hritik Kumbhar“的家庭住址（Bolangir, Odisha 767001）、手机号码（+916370174459）、常用设备（三星Z Fold6/7、尼康D7200相机）、学校（NIST University）、Linkedin个人页面（https://in.linkedin.com/in/hritik-kumbhar-980174354）、多个邮箱（如[email protected]、[email protected]）及移动网络IP地址（136.233.58.227）等。 据“暗网下/AWX”综合各个权威网络安全威胁情报分析专家对DarkForums的分析，尚未证实”Hritik Kumbhar“是DarkForums管理员Knox，有待进一步的消息。 DarkForums后续如何发展，FBI会不会对其采取执法行动，“暗网下/AWX”将持续关注。

随着FBI的公告宣布查封BreachForums域名，“暗网下/AWX”报道称BreachForums时代已经终结，然而FBI又被打脸，臭名昭著的暗网数据泄露论坛BreachForums再次出现，与前几个版本类似，在明网与暗网均可访问，由老版本BreachForums论坛管理员“koko”启动，且冒天下之大不韪使用泰国、赞比亚等国家警方的邮箱发送欢迎邮件。 长期以来，BreachForums一直是数据泄露、黑客工具和非法交易的中心，在一系列国际联合执法部门的打击中，陆续由多个版本出现，被打击后又消亡，并在今年上半年彻底被摧毁。然而，仅仅几个月后，它又重新启动，既说明了此类论坛的受欢迎程度高，也表明了网络犯罪论坛的顽强生命力。 新版本BreachForums论坛是由老版本BreachForums论坛版主“koko”创建的，他在一篇置顶帖中声称，他在2023至2024年期间担任BreachForums版主，经过团队慎重商议，决定让BreachForums重启。目前核心功能已通过最近的备份完全恢复。用户可以再次浏览专门讨论被盗凭证、勒索软件讨论和零日漏洞的版块。“Koko”强调，新版本BreachForums论坛“比以往任何时候都更加强大”，并增强了匿名功能以逃避检测。 新版本BreachForums并没有直接延续旧的版本 “koko”称，对暗网社区而言，过去一年充满挑战，但他们已重整旗鼓，准备重建家园！然而，新版本BreachForums并非旧版本的延续，而又是全新的开始，但界面继承了老版本的界面，且“koko”表示核心功能已从备份中恢复，团队正在从头开始重建托管服务，以解决前期存在的网站漏洞。 “我们从错误中吸取了教训，”Koko写道，并承诺改进加密和多重签名钱包，以防止未来发生盗窃。 新版本BreachForums使用了新的暗网V3域名： http://ujdswnhjybusy2i4vcsfpkezrtg27glkxu3t5b4ttszhxyqaz3gpkbyd[.]onion 除了可以通过暗网浏览，新版本BreachForums也支持在一个新的明网域名访问，这旨在吸引更广泛的受众，包括那些不太懂技术、不愿使用Tor网络的网络犯罪分子。 新版本BreachForums论坛提供了几项重要更新： 备份与功能：已完成所有核心功能的完整备份，确保系统运行顺畅无碍。未来用户将获得无缝体验。 托管系统：托管系统正在从零重建。旧系统曾多次遭各类机构入侵，且无人知晓有多少代理曾访问数据库。为保障安全可靠性，将采用全新更安全的系统。 用户名安全：强烈建议勿使用旧用户名。此举将危及您的操作安全。请创建全新身份以保障安全。 等级恢复：凡在BF历代版本（BFv1、BFv2、BFv3…）中拥有等级的用户，将予以恢复。请联系@koko提交恢复申请。 尽管“koko”持乐观态度，但他也表示，许多人目前仍对论坛部门运营人员表示怀疑。许多论坛老手怀疑新版本BreachForums可能是执法部门故意设置控的蜜罐。一位匿名发帖者评论道：“这太干净、太快了”，他担心美国联邦调查局或特勤局等机构可能会监视活动以建立案件。 网络安全专家敦促任何访问该网站的人都要谨慎。“ BreachForums一直是一把双刃剑，它既能为研究人员提供宝贵的情报，又能吸引真正的威胁。”一家领先安全公司的威胁分析师John Doe说道。 明网域名可能使用加密货币注册 新版本BreachForums的明网域名是breached[.]sh，.sh域名是圣赫勒拿岛（Saint Helena）、亚森欣和特里斯坦-达库尼亚群岛的的国家代码顶级域名（ccTLD），该域名注册商为“NICENIC INTERNATIONAL GROUP CO., LIMITED”。NiceNIC是一家总部位于香港的网络服务公司，以其品牌NiceNIC.NET运营，是ICANN认证的域名注册商。 根据whois信息，breached[.]sh域名注册于2025年10月15日，使用了ddos-guard.net的解析服务，应是为了保证网站的安全性。域名使用了whois保护，因此无法查询域名注册时填写的注册者与管理员信息。 虽然Recorded Future等网络安全公司已发出警告，指出当局更容易通过IP日志和托管服务提供商追踪明网域名。 不过由于NiceNIC是一家拥抱加密的公司，该服务商支持多种加密货币支付，包括比特币（Bitcoin）, 泰达币（Tether USDT）,以太坊（ETH）, 莱特币（LTC）,门罗币（XMR）。因此，新版本BreachForums明网域名breached[.]sh背后真实的注册者信息估计非常难以追踪。 新版本BreachForums论坛通过使用泰国、赞比亚等多国警方的被盗邮箱传播 据多家威胁情报机构表示，新版本论坛涉嫌滥用泰国警方官方邮箱域名（police.go.th）、赞比亚警察局官方邮箱域名（zambiapolice.org.zm）开展宣传推广活动。而发送邮件的警方邮箱大多都是在各种数据泄露事件中的泄露的。 新版本论坛的管理员似乎正利用被盗的执法机构邮箱账户，绕过垃圾邮件过滤器和安全检查，使宣传信息显得更具合法性，也体现其自身的权威性，从而增强目标推广对象的信任感，使新版本BreachForums论坛呈现真实可信的表象。 新版本BreachForums论坛已经在打包出售 新版本BreachForums论坛创始人“koko”发布置顶帖子公告，称其正在寻找新的所有者，出售新版本BreachForums论坛，他们将向其转让所有权，整体售价仅为5000美元。 购买成功的新所有者将获得： 基础设施的完整访问权限（6台服务器） 域名 CDN DDOS防护 代理服务器 被扣押的旧数据库（30万+用户） 托管交易数据库（含32,000余笔托管交易） “koko”在帖子中提供了用于交易谈判的加密即时聊天工具Session的联系码，并要求新所有者须具备管理该职位及全套基础设施的能力，且要延续BreachForums现有运营理念。

“正版中文担保交易市场”是最大的中文暗网诈骗网站，在本站曝光过9次后，这个诈骗网站依旧在运营。g每一次曝光后，该诈骗网站更换一次暗网洋葱域名，并在去年年初将网站名称更改为”华人自己的暗网担保交易市场“。近期有网友提醒，“暗网下/AWX”今年的曝光，促使这个诈骗网站再再次更改了网站名称与洋葱域名。 “正版中文担保交易市场”这个中文暗网圈最大的暗网诈骗网站最新的网站名称为“联合中文担保交易集市”，副标题是“一个小高端中文类淘宝安全买卖平台”。分析该诈骗网站的三个名称：“正版中文担保交易市场”、”华人自己的暗网担保交易市场“、“联合中文担保交易集市”，可见，只要在暗网里看到名称中含有“担保”的中文网站，无论叫什么名称，不管用什么洋葱域名，必定是诈骗网站无疑。 “暗网下/AWX”多次科普，在暗网中生成一个洋葱域名只需要1毫秒，且无任何成本，因此本站（anwnagxia.com）每次曝光后，该诈骗网站均会更换一个新的洋葱域名。诈骗网站“正版中文担保交易市场”最新更换的暗网V3域名为： http://qlm6tc2bfkfjhdoacgew6qdrqolie6352n2xek6ey5voi3gyx5cbhdad.onion 此外还有一个暗网V3域名跳转至上述域名： http://dlzxg7eygo5ld5vsmsjzdlnxwvqcy3acicftkyyca4pyx6t7wirpw4qd.onion 上次本站曝光的暗网V3域名已经不再使用，目前无法访问： http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion 该暗网诈骗网站就是一个用Wordpress搭建的微博客，网站打开出来的所有店铺：暗网网站搭建服务、盗刷Carding合作服务、支付宝安全转账、英国一手卡料出售CVV、华为系列产品专卖店、IPHONE手机低价批发店、超低价格卖BTC钱包等等都是一些假的发布页面，只要支付，比特币即被诈骗走，用户得不到任何响应，没有物品、没有服务，纯粹的诈骗。 目前网站的logo图片居然写着“胸怀爱国心”，是否意味着骗子有“国之大者”的爱国情怀，还是“中国人只骗中国人”的爱国情怀。 今年5月份，该诈骗网站发布了“七周年庆回馈活动”的诈骗话术： 又到了本站周年庆活动，老朋友们是不是很期待？七周年了，这七年来我们经历了很多，也认识了许多用户朋友，总之很感谢大家的一路跟随与支持。 老规矩，以下就是七周年庆典活动的方案，新老朋友按照自己的情况去狂欢吧！ 1、 单笔交易达到2300美元（含）以上者，可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信，你可以用A账号购买用A账号发信，或者用B账号发信，甚至不注册账号完全匿名购买都可以，只要提供以上两项，核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧，返现只奖励到平台钱包内，没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。 2、活动期间内累计交易10000美元（含）以上，返现累计总金额的6%。此奖励不与第1条重复奖励，如果领取过单次交易奖励的交易，将不能计算到累计交易金额之内。申请奖励方法与第1条相同，请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。 3、本次活动作为七周年庆典回馈，将与幸运大转盘同时进行，折扣码、返现同时进行，可叠加使用。 4、凡是注册时间超过一年（北京时间2024年5月10日前注册）的用户，满足单笔最大交易达到$500以上且交易次数在三笔以上者，可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。 5、活动起始时间为本文字公告之日，结束时间为本文字不再置顶。 6、无论你是陪伴我们走过几年时间的老朋友，还是刚接触的新用户，我们都祝愿在往后的日子里你能越走越顺，心想事成。 马上双十一、双十二即将到来，预计该诈骗网站又将使用新的话术，一旦新的诈骗话术发布出来，“暗网下/AWX”将立即发文提醒。 经分析，该诈骗网站每个月都有数比诈骗收入进账，希望本站的预警能够挽救更多天真的小白。再次预警，希望诸位暗网达人谨记，暗网里没有能占的便宜，访问暗网的结局是人才两空：人被抓走，钱被骗走！ 更多暗网新闻动态，请关注“暗网下/AWX”。

“Scattered LAPSUS$ Hunters”是一个新的暗网勒索软件团伙，由三大勒索软件团伙Scattered Spider、Lapsus$和ShinyHunters合并而成，近期，该团伙推出了基于Tor的暗网数据泄露网站，其中包含42家受害公司。推出该暗网网站目的是迫使受害者向其付费，以避免被盗数据被公开发布。 该勒索软件团伙宣称已攻破Salesforce系统，通过针对Salesforce的供应链攻击窃取了其客户的约10亿条记录。该团伙指控Salesforce缺乏双重认证及OAuth防护机制，称逾百个实例遭入侵，并威胁将实施数据泄露、提起诉讼及披露技术细节。 目前其暗网泄密网站（http://shinypogk4jjniry5qi7247tznop6mxdrdte2k6pdu5cyo43vdzmrwid[.]onion）发布了42家公司，包括保险巨头安联人寿、墨西哥航空、开云集团、法国航空、谷歌、思科、Stellantis、澳洲航空、汽车巨头Stellantis、信用机构TransUnion以及员工管理平台Workday等，这些公司均因受到针对存在漏洞的Salesforce实例的攻击而被影响。 FedEx – 1.1TB Aeroméxico – 172.95GB Qantas Airways – 153GB UPS – 91.34GB HMH – 88GB Vietnam Airlines – 63.62GB Toyota Motor Corporation – 64GB Stellantis – 59GB Air France & KLM – 51GB Republic Services – 42GB Adidas – 37GB Disney/Hulu – 36GB Canvas by Instructure – 35GB Instacart – 32GB McDonald’s – 28GB TripleA – 23GB TransUnion – 22GB Home Depot – 19.

9月底，“暗网下/AWX”看到，名为“globalmonero”的成员在暗网Dread发布主题宣布，新的暗网门罗币点对点交易平台Global Monero功能全面上线，正式开放注册，诚邀新老交易者加入。 globalmonero表示，自去年五月LocalMonero关闭以来，其一直在开发全新的无需KYC认证的点对点XMR交易平台，如今终于准备好向公众发布首个版本，欢迎暗网用户前来体验，并称也可通过明网访问Global Monero，期待能够听到门罗币社区的反馈！:-) globalmonero宣布了新门罗币交易平台Global Monero的特色： 无KYC认证 无JS脚本 隐藏服务 开放注册 交易者无需邮箱注册 在公告中宣称，如果用户已经在类似平台（AgoraDesk、Paxful、LocalCoinSwap）建立交易信誉，可以告知，其将为此类用户导入信誉记录！ Global Monero兼具点对点交易以及交易仲裁平台双重功能，与LocalMonero类似，发件方需先将XMR存入网站托管账户，以便工作人员处理交易过程中可能出现的纠纷。网站最终将对完成交易收取1%手续费，但是开放测试期（截至11月1日）免收平台费用！ globalmonero提醒用户注意，因为这是该网站的首次测试版发布，可能存在各种问题，用户如果有任何疑问或遇到网站问题，可以反馈，也可通过私信联系官方！:-)对于关键问题，其还提供⚠️漏洞悬赏⚠️，即可以给予赏金。 对于需要提供服务支持、漏洞报告或功能建议的用户，Global Monero官方提供了一个邮箱：service@globalmonero[dot]co globalmonero在帖子的回复中发布了带有PGP签名的网站信息，以验证自己的Global Monero网站管理员身份。 —-BEGIN PGP SIGNED MESSAGE—– Hash: SHA512 http://globalxmrdr4zospiujlhkanhkpl5zouwynfmduaq5qhfcxnshi4ksyd.onion/pgp.txt Signed with the Global Monero Service Key. Post /post/1355724096b97b01e8bb is authentic. —–BEGIN PGP SIGNATURE—– iQITBAEBCgB9FiEE60eNiEY0SaME8SXdXJgNEMTMQwoFAmjZV6FfFIAAAAAALgAo aXNzdWVyLWZwckBub3RhdGlvbnMub3BlbnBncC5maWZ0aGhvcnNlbWFuLm5ldEVC NDc4RDg4NDYzNDQ5QTMwNEYxMjVERDVDOTgwRDEwQzRDQzQzMEEACgkQXJgNEMTM QwpOKgwA1T0lvaLmTNLQaWTGtuwJPCC8Ao2Oatzv8CWKELkRmZMODtNhHQvLZ1R/ zFlLcjxG8kEy7Rh18twhKxq18R6G0z4qmtYnxUJHXX+CfEjAV4i8X8iLtwQUqpUL KbcTUmCYq+QMqpAbMmiYS7yN3B36mVmvQWCGxSu8+5Uiaoz3JlCNWsUeVNj7vv/s yf3ViWZ3zrNgbf0A+LobXbEnsOLQ5tDYjcTkFKC7gRX+Bn0T+yHOrOpHvnSYndpX 1t3Sr6dG/Gk60EHhGous0oaAm78Gwqp6LL7/4SIEfRIIvS1ZN1AR7sxBBRQtGXba 33GoDoSUB70h+U0y4oLmR1VSIBIrLORI3Pb41per3TA6dB5X5vgHXS5kpYzBQcA0 XmMeFGBJ+KdFlTLgwwDyQbvGshpCvMO/+TY2cG7RLhzaAdKOVIdgIEZnKunFXSQy eKuBzWrUgM+5qcGhk+0dKnLyMDZweuc2yGYdg2MglH4arQRrh6L5ljHw/refxHF4 /AWeKu/Q =DVlR —–END PGP SIGNATURE—– Global Monero的明网地址是：http://globalmonero[.]co Global Monero的暗网地址是：http://globalxmrdr4zospiujlhkanhkpl5zouwynfmduaq5qhfcxnshi4ksyd[.]onion “暗网下/AWX”认为，暗网中的此类平台非常多，由于缺乏信誉度与公信力，使用此类平台需要格外谨慎，此类暗网网站是否靠谱请自行核实。与暗网交易市场一样，用户极有可能遭遇退出骗局，门罗币被网站运营者倾吞。 此外，尽管此类平台提供了匿名性，请勿用于犯罪用途，否则天网恢恢、疏而不漏，人在做，天在看，执法机构在抓捕！ 更多暗网新闻动态，请关注“暗网下/AWX”。

在2024年遭受执法部门的打击并在2025年遭遇包括聊天记录、管理系统截图等内部数据的泄露后，LockBit勒索软件团伙已经销声匿迹许久，上个月，LockBit在一个暗网论坛上宣布推出了LockBit 5.0，并宣称其加密速度和规避策略均有所提升，新的版本具有增强的功能和改进的勒索软件面板。尽管LockBit曾是勒索软件界的领头羊，但过去一年中受害者数量大幅下降，与Akira和Qilin等竞争对手相比，目前仅有约60名受害者。 暗网勒索软件团伙LockBit的LockBit 5.0网站：lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.]onion 近期，趋势科技发布的一项新研究，证实了LockBit勒索软件团伙针对Windows、Linux和VMware ESXi系统部署了名为LockBit 5.0的新变种，这表明该团伙正在持续采取跨平台策略，攻击包括虚拟化环境在内的整个企业网络。新的Windows变种使用DLL反射技术加载有效载荷，并采用ETW修补等反分析技术。LockBit 5.0在所有平台上都实施了行为改进，包括随机化的16个字符文件扩展名和感染后日志清理程序。 由于过去的执法行动、源代码泄露以及新勒索软件团伙的崛起，LockBit的复兴面临挑战。业界对竞争对手提供的利润分享模式和高级功能的回应，给LockBit的复兴带来了障碍。在不断变化的威胁和监管审查中，LockBit力求重拾昔日的领先地位，网络安全领域仍需保持警惕。 LockBit is down again —XOXO from Prague LockBit's 5.0 panel just got wrecked lockbitfbinpwhbyomxkiqtwhwiyetrbkb4hnqmshaonqxmsrqwg7yad[.onion]#LockBit #Ransomware pic.twitter.com/mTZDlbXwJM — xoxofromprague (@xoxofromprague) September 11, 2025 LockBit勒索软件的演变历史 LockBit勒索软件团伙作为一个高产的勒索软件即服务（RaaS）团伙，自2019年问世以来其LockBit勒索软件已历经多次版本迭代。尽管执法部门曾发起重大打击行动（2024年初的克罗诺斯行动）查获其服务器并泄露解密密钥，该团伙仍以LockBit 5.0版本卷土重来。最新版本被该团伙定位为“强势回归”，宣称具备更快的加密速度、更强的规避能力以及全面升级的联盟计划。 LockBit于2019年首次以ABCD勒索软件之名出现，其名称源于加密文件后缀“.abcd”。早期版本功能较为基础，仅专注于快速加密本地文件，尚未采用如今的高级战术。 2021年，LockBit 2.0实现了重大突破。该版本引入专为数据窃取设计的工具StealBit，使攻击者能大规模窃取敏感数据。同时新增通过SMB和PsExec实现的自动化传播功能，使附属攻击者能在企业网络中快速扩散。同期该团伙将攻击目标扩展至Linux和VMware ESXi系统，标志着其转向大型企业猎杀的战略转型。 2022年推出的LockBit 3.0将创新推向新高度。该团伙率先推出漏洞悬赏计划，公开邀请黑客协助改进其恶意软件及暗网网站。其采用间歇性加密技术加速攻击进程——仅对大文件进行分块加密，即可彻底破坏文件功能。此版本使LockBit稳居全球最活跃勒索软件团伙之首，当年报告的勒索事件中逾40%由其制造。2022年末泄露的构建工具包，让研究人员以及竞争对手能够一窥LockBit已具备的高度定制化能力。 到2024年底，LockBit通过推出LockBit 4.0回应执法压力。该版本几乎是完全重写，采用.NET Core开发，具备模块化架构和增强的隐蔽性。打印机垃圾邮件等高噪音功能被移除，取而代之的是API解钩、混淆技术和更隐蔽的执行机制。加密速度达到新高度，能在数分钟内瘫痪大型网络。附属成员获得更多灵活性：支持定制勒索信函，并兼容Linux及VMware ESXi环境。 如今，在经历全球性打击行动与内部泄密后，该勒索软件团伙正试图通过LockBit 5.0全面复苏，并纪念该团伙成立六周年。新版延续模块化设计，引入更强效的现代EDR规避机制，并推出改良版附属激励计划以重建网络。最终打造出比历代版本更快、更具韧性且适应性更强的勒索软件变种。 新推出的LockBit 5.0比以往要危险的多 趋势科技研究显示，新推出的LockBit 5.0勒索软件变种，比以前的版本“危险得多”，并且正在野外部署。研究人员已经发现了一个Windows二进制文件，该网络安全公司在一篇博客中证实了LockBit 5.0的Linux和VMware ESXi变体的存在。 研究人员指出，Windows、Linux和VMware ESXi变体的存在证实了LockBit持续的跨平台策略。这使得攻击者能够同时攻击整个企业网络，从工作站到托管数据库和虚拟化平台的关键服务器。这些变体为附属机构提供了更详细的部署选项和设置。 除了简单地更新加密器之外，此版本还整合了工具、反分析和操作员工效学，使攻击者能够在同一攻击活动中同时攻击Windows、Linux和VMware ESXi。其结果是一条完善的杀伤链：更隐蔽的入侵、更快的加密前防御抑制，以及可延长停机时间的虚拟机管理程序级影响。 对于虚拟化关键工作负载的企业而言，LockBit 5.0勒索软件模型的风险更高；防御者必须将虚拟机管理程序视为Tier-0级别，并假设其爆炸半径远远超出单个端点。 LockBit 5.0勒索软件并非彻底重写，而是对成熟代码库的积极演进，优先考虑规避攻击和速度。其跨平台设计使攻击者无需切换技术，即可在不同操作系统之间顺利切换，而随机扩展、日志篡改和区域设置检查等常见行为则使检测工程更加复杂。 至关重要的是，ESXi加密器以虚拟机数据存储为目标，将一台受感染的主机转化为数十个加密服务。结合加密前的终止服务和Windows上的遥测致盲技术，LockBit 5.0最大限度地缩短了响应者的时间窗口，并削弱了常见的遏制模式，例如网络结构内快照和同网络备份。 此外，LockBit 5.0版本包含重大技术改进，包括删除感染标记、加快加密速度和增强规避能力。趋势科技的研究人员警告称，尽管执法部门在2024年初对LockBit基础设施进行了打击行动，但该团伙通过“积极改进”其策略、技术和程序（TTP），展现出了韧性和保持领先于竞争对手的能力。

英国对外情报机构军情六处（MI6，正式名称为秘密情报局（SIS））最新推出了一个新的暗网门户网站，以在包括俄罗斯在内的世界各地招募“能够获取与恐怖主义或敌对情报活动有关的敏感信息的间谍”，促进潜在外国线人之间的信息交换。 英国外交大臣伊薇特·库珀（Yvette Cooper）在“无声信使”（“Silent Courier”）暗网平台发布前对英国国内媒体表示：“随着世界的变化，我们面临的威胁成倍增加，我们必须确保英国始终领先于我们的对手一步。” 她补充道：“我们世界一流的情报机构正处于应对这一挑战的最前线，在幕后努力保护英国人民的安全。现在我们正在利用尖端技术支持他们的努力，以便军情六处能够在俄罗斯和世界各地为英国招募新的间谍。” 发布会上播放了一段电影视频，该视频呼应了詹姆斯邦德的经典间谍形象，其中特工们穿越森林和沙漠，还有一个“无声信使”的模型，显示文件上传，其中用俄语写着“传输信息”。 英国军情六处此前曾鼓励线人使用与其身份无关的Tor、VPN和新电子邮件账户，这反映出现代间谍活动中数字工具的采用日益增多。本次招募外国特工的行动类似于美国中央情报局在2023年领导的一项活动，当时华盛顿在一系列社交媒体视频中瞄准了潜在的俄罗斯线人。 军情六处的暗网门户网站“Silent Courier” ”暗网下/AWX“看到，“Silent Courier”确实托管在洋葱网站上——即在Tor网络上设置的暗网网站，旨在实现匿名通信。 周五，军情六处在其官方YouTube频道发布了一系列视频来推广该平台并解释其工作原理，使用说明包含了英语、法语、西班牙语、阿拉伯语、乌尔都语、印地语和俄语，在一段视频中，一位解说员说道：“一百多年来，军情六处的工作基石一直是面对面的工作。而现在，我们可以使用升级后的暗网门户网站Silent Courier来确保这些在线连接更加安全。” 解说员解释道：“如果您有权访问与全球不稳定或敌对情报活动有关的敏感信息，您现在可以联系军情六处并使用Silent Courier安全地共享这些信息。” 在另一段视频中，军情六处指示那些希望与该机构联系的人使用“干净”的设备，阻止潜在线人使用他们的个人手机或电脑，以及任何属于家人或朋友的设备。 英国情报机构还建议位于“高风险国家”的线人除了使用推荐程序Tor浏览器——一种用于私密匿名互联网浏览的免费开源网络浏览器外，还要使用可信赖的VPN和不与自己关联的设备。 在视频下方，军情六处发布了“Silent Courier”的暗网V3域名，希望人们通过Tor联系MI6，地址：http://mi6govukbfxe5pzxqw3otzd2t4nhi7v6x4dljwba3jmsczozcolx2vqd.onion。 如果无法访问Tor，MI6建议使用商业VPN的免费试用版来访问其明网网站，并提供为与间谍聊天而建立的电子邮件地址。 军情六处的视频声明该机构“将审慎评估所有传递给我们的情报，那么，[email protected]，您好，欢迎加入军情六处的新线人招募计划。“ 军情六处即将换帅，女掌门人将上任 即将离任的军情六处负责人理查德·摩尔（Richard Moore）已执掌该间谍机构近五年，他曾担任英国驻土耳其大使，对伊斯坦布尔非常熟悉，他周五在伊斯坦布尔的一次讲话中确认了“沉默信使”项目的启动。 摩尔在演讲中表示：“今天，我们希望那些掌握全球不稳定、国际恐怖主义或敌对国家情报活动敏感信息的人通过安全的在线方式联系军情六处。我们的虚拟大门向你们敞开。”摩尔特别邀请了俄罗斯人：“对于那些愿意分享真相并有勇气分享真相的俄罗斯男男女女，我邀请你们联系军情六处。” 布莱斯·梅特雷韦利（Blaise Metreweli）将于10月接替摩尔，她将成为第一位领导该部门的女性。

长期以来，电信公司一直是黑客青睐的目标，因为它们存储了客户的宝贵财务信息以及来自政府和企业的关键数据和通信，美国电信运营商T-mobile、澳大利亚电信运营商Optus、加拿大电信运营商Telus都曾发生过数据泄露事件。 近日，暗网勒索软件团伙Warlock窃取了法国电信公司Orange（orange.com）的商业客户数据，并将其发布到该勒索软件团伙的暗网泄密网站上。 据消息人士透露，Orange于7月底披露了此次数据泄露事件并向法国有关部门进行了报告，该事件针对Orange公司的内部系统，与一个自称Warlock的暗网勒索软件团伙有关，该勒索软件团伙于8月中旬在其暗网泄密网站上发布了约4GB的数据。 Orange的一位发言人证实，遭勒索软件团伙入侵后，被盗的数据已于8月份被公布在暗网。但该发言人表示：“威胁行为者对我们系统的访问权限有限，只能窃取过时或低敏感度的数据。Orange在发布事件之前就已通知受影响的公司，自事件发生以来，我们一直与他们以及相关部门密切合作。” 勒索软件团伙Warlock将其勒索软件出租给黑客团伙，黑客团伙利用该勒索软件加密锁定受害者的计算机。然后，他们要求受害者付费才能解锁受影响的系统。 此次安全事件只是这家法国电信运营商今年遭遇的最新一起安全事件。今年7月，攻击者在另一起入侵事件中窃取了该公司比利时分部的客户数据，而另一起事件导致罗马尼亚员工数据被发布到暗网上。 ”暗网下/AWX“访问了Warlock的暗网泄密网站（http://zfytizegsze6uiswodhbaalyy5rawaytv2nzyzdkt3susbewviqqh7yd[.]onion），发现该勒索软件团伙近期最新发布了大量的受害者，目前其暗网泄密网站共发布了47个受害者信息，其中4个受害者（colt.net、clearybuilding.us、primrose.com、tagorg.com）处于勒索状态，数据尚未公开。在已经发布的orange.com的介绍中，该勒索软件团伙写道”这只是部分文件和文件列表。完整文件集需单独购买。“ 点击查看orange.com泄露的部分文件，发现包含7个文件：4e162b1e06edc0b87c7f35540b40de3ffc2e0535210e695e51232b61fc145395.txt（15.31 MB）、 airfrance.bak（2.75 GB）、AzureDevOps_Configuration_9862091848871640963F.bak（1.52 GB）、DFS-PRD-061.E.txt（15.31 MB）、OBS-Airbus WoW-WP follow-up v191211 – Editable.xlsx（ 1.94 MB）、orange.dat（63.7 MB）、SCD-PRD-001.txt（206.11 KB），”暗网下/AWX“查看了SCD-PRD-001.txt，发现某台设备E盘的文件列表，证明了数据的真实性。 为了尽快收到赎金，Warlock团伙在其暗网泄密网站声称”为了在网络攻击后最大限度地减少损失，迅速支付赎金至关重要！🕒💸 您支付得越快，我们就能越快解密您的数据。🔓 每拖延一天，损失就会不断累积！📈😓 随着时间的推移，您的声誉将受到更大冲击，业务将变得更加艰难，损失也将持续增长。📉😟您需要在短期成本与长期损害之间做出明智选择。⚖️💡“，另外，该团伙还表示”如果您所在的组织是非营利性公益组织，致力于为残疾人或其他特殊需求群体提供服务，且我们的成员之一对您的系统进行了攻击，请不要担心。请立即与我们联系。我们将核实相关信息，并免费为您提供解密程序。此外，我们将提供技术支持直至您的系统恢复正常，并指导您完成漏洞修复工作。“充分展现了扭曲的人性。

2025年，中文暗网出现了一些新的变化，大家熟知的暗网导航“onion666”销声匿迹已久，暗网市场“自由城”在持续更新收割，而一个暂新的繁体中文暗网论坛“串子会”突然出现，正在积攒人气。”串子会“自称是一个面向中文使用者的隐蔽论坛，专注于提供自由、开放的交流平台，讨论各种主题，包括科技、社会、文化等。 与BreachForums论坛类似，暗网论坛“串子会”也是使用phpBB搭建，不同的是“串子会”使用的是phpBB的默认皮肤主题prosilver，界面整体呈现蓝色系而非其他暗网论坛常见的暗色系。 暗网论坛“串子会”的暗网V3域名是：http://46opsroctqizqf7glw3a3htcmef6mfeaxe5qdu2sk7khyl7mc3wrfeqd[.]onion 根据该暗网论坛管理员”串子會“的注册时间以及第一篇主题的发布时间判断，该暗网论坛大概的成立时间是2025年1月31日，管理员在论坛页面底部留下了匿名管理邮箱：[email protected]。分析论坛第一篇主题文章的内容，“暗网下/AWX”判断该暗网论坛管理员大概是一位身在台湾或国外仇视大陆的人士，或者是身在大陆却有异见的人士。从论坛的公告帖子以及版块规则帖子看，无法排除其在大陆境内的可能性，是否是警方的蜜罐也不得而知。 在该论坛页面顶部，使用中文繁体、英文、中文简体写着“串子会”的名称“串子會 – Unity League – 串子会”，然后是中文繁体的介绍：“「串子会」是一个面向中文使用者的隐蔽论坛，专注于提供自由、开放的交流平台，讨论各种主题，包括科技、社会、文化等。论坛秉承隐私至上的原则，致力于保护成员的匿名性，为用户创造一个安全、无拘无束的讨论空间。在这里，你可以自由地表达观点、交流经验，并且与来自不同背景的人进行思想碰撞。”，原文如下： 「串子會」是一個面向中文使用者的隱祕論壇，專注於提供自由、開放的交流平臺，討論各種主題，包括科技、社會、文化等。論壇秉承隱私至上的原則，致力於保護成員的匿名性，為用戶創造一個安全、無拘無束的討論空間。在這裡，你可以自由地表達觀點、交流經驗，並且與來自不同背景的人進行思想碰撞。 纵观该暗网论坛，设置了14个的子版块：“時局觀察 – 时局观察”、“團體招募 – 团体招募”、“自由市場 – 自由市场”、“財經專區 – 财经专区”、“科技天地 – 科技天地”、“文化交流 – 文化交流”、“思想論壇 – 思想论坛”、“宗教神學 – 宗教神学”、“陰謀論斷 – 阴谋论断”、“靈異怪談 – 灵异怪谈”、“遊戲攻略 – 游戏攻略”、“匿名吐槽 – 匿名吐槽”、“萬花筒區 – 万花筒区”、“站務反饋 – 站务反馈”，名称由中文繁体与简体组合书写。半年多时间，已经拥有注册账户1100多个，主题帖1000多篇，回复超过2500篇，就暗网中的中文论坛而言，成长还算迅速。最受关注以及活跃度最高的版块是”自由市场“，已经拥有300多篇主题，意味着暗网用户多数是为了交易而来。 在暗网论坛“串子会”的页面底部，其管理员还公布了一个用于接受捐赠的比特币地址：bc1qlnynya7chcpeypmjxmhfmgw0g2vdq2e2eznma9，“暗网下/AWX”在链上进行了查看，该地址收到了0.00344753 BTC的捐赠，价值近400美元，疑似向其捐赠的比特币地址：bc1qprdf80adfz7aekh5nejjfrp3jksc8r929svpxk（Robinhood交易所的热钱包）、bc1qwg0pm9pee952ppv0qkc6ts4gemms7a67r6z7qa（疑似一个中转钱包）、13NgT8zz5TxHZhwJNXTkgdrn21uMaYwz2x，转出的比特币钱包：3A8t3nQWPHF1wVhz8cXtaisZmxNswLvvEt，接受了0.00586682 BTC，价值近700美元。 2025年5月5日，名称为”串子會“的管理员使用繁体中文、简体中文、英文发布了该暗网论坛的论坛规则：”關於維護論壇秩序與貼文管理規範“，内容如下： 各位親愛的論壇使用者，您好： 感謝各位長久以來對於本論壇的支持與愛護。 首先，本論壇在此申明，我們尊重每一位使用者的言論自由，絕不因為貼文的內容本身而刪除任何主題或回復。我們鼓勵多元的討論與交流。 然而，為確保社群環境的良好秩序，並避免論壇遭受惡意灌水行為（Spam/Flooding）的騷擾，影響其他使用者的正常瀏覽與討論，我們特此制定以下貼文管理規範，以維護論壇的正常運作： 一、 刪帖規則（以下為兩個絕對禁止的行為）： 重複或近似內容灌水： 多次重複發佈大量（超過一篇即為「大量」）內容相同或極度相近的貼文、回復或短消息，意圖洗版或癱瘓版面。短時間高頻率發文： 在短時間內使用相同帳號或關聯帳號高頻率地發佈大量無意義、高度重複或內容空洞的貼文。 違犯上述任一行為者，管理團隊將會直接刪除其相關貼文。 情節嚴重或屢次違反（超過一次即為「屢次」）者，可能會視情況採取警告、暫時禁言或永久封禁等更嚴厲的管理措施。 二、 版面主題匹配原則： 請各位使用者發佈貼文時，務必注意貼文的主題內容需要與您選擇發佈的版面標題相匹配。這有助於使用者更有效地瀏覽資訊及參與討論。 對於主題與所在版面標題不符的貼文，管理團隊將會把其移動至正確的對應版面，而不會直接刪除。 請各位使用者配合，儘量在正確的版面發佈主題，避免因主題不符而被移動。 維護一個良好、有序的交流環境需要所有使用者的共同努力。感謝大家的理解與配合。 此致 串子會　敬上 ──────────────────── 各位亲爱的论坛使用者，您好： 感谢各位长久以来对于本论坛的支持与爱护。 首先，本论坛在此申明，我们尊重每一位使用者的言论自由，绝不因为贴文的内容本身而删除任何主题或回复。我们鼓励多元的讨论与交流。