近期,作为一项国际执法行动的一部分,暗网勒索软件团伙BlackSuit的暗网网站已被查封。此次查封行动包括BlackSuit的谈判网站和数据泄露网站,这是根据法院授权的查封命令进行的。
目前两个暗网网站已被横幅广告取代,告知访问者美国国土安全调查局(U.S. Homeland Security Investigations)在“CheckMate行动”中查封了这些网站。此次执法行动的名称为“Operation Checkmate”,得到了多个执法合作伙伴的协助,包括美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构。罗马尼亚网络安全公司BitDefender也参与了此次行动。目前,当局尚未就此次行动及相关进展发布官方声明。
BitDefender称其专业的Draco团队自2023年5月BlackSuit出现以来,一直在研究这款勒索软件,为执法机构提供专业协助。这项工作是BitDefender与全球合作伙伴携手打击网络犯罪的持续承诺的一部分。Bitdefender已公开分享数十款免费的勒索软件解密工具,为全球企业节省了约16亿美元的赎金。
勒索软件团伙BlackSuit于2023年6月首次出现,以使用双重勒索手段和收取高额赎金而闻名,其中一些目标支付的赎金超过200万美元。过去一年,网络防御和情报团队对该组织进行了密切关注,力求了解其起源、运营和能力。
在对得克萨斯州达拉斯市发动勒索攻击后,BlackSuit团伙对品牌进行了重新定位。在此之前,该勒索软件团伙曾以“Royal”为名进行运营,时间跨度是从2022年9月至2023年6月,“Royal”最初于2022年底被确认为“Zeon”的一个分支。而在“Royal”之前,该团伙曾以“Quantum”为名运营,而“Quantum”据称是由Conti勒索软件团伙的成员创立。以“BlackSuit”为名运营期间,该勒索软件团伙在全球范围内声称攻击了超过185个目标,而在“Royal”时期则声称攻击了超过350个目标。
2022年秋,有报道开始将BlackSuit(当时以Royal的名义运营)背后的人员与Conti联系起来。Conti是一个知名勒索软件团伙,在经历了一年动荡的泄密和内部冲突后解散。Conti与BlackSuit(原Royal)之间的联系也引发了人们对BlackSuit行动地点的猜测,暗示其行动基地位于俄罗斯或乌克兰等地区。
尽管此次执法打击行动是个好消息,但研究人员指出,BlackSuit可能已更名,或其部分前成员已组建了一个新的名为“Chaos”的勒索软件团伙。思科Talos的研究人员在2025年6月24日的一篇博客文章中解释称,由于加密方法、勒索说明和攻击中使用的工具集与BlackSuit相似,他们有一定把握地认为该新团伙是由BlackSuit勒索软件团伙的成员组建的。目前,Chaos已经发动了至少十次勒索攻击,主要针对美国,该新勒索软件团伙似乎并未针对任何特定行业。
“BlackSuit基础设施的破坏标志着我们打击有组织网络犯罪的又一个重要里程碑,”参与此次行动的Bitdefender网络犯罪研究部门Draco Team的一位代表表示。“我们赞扬执法合作伙伴的协调和决心。此类行动强化了公私合作在追踪、揭露并最终瓦解暗中运作的勒索软件团体方面的关键作用。当全球专业执法力量齐心协力时,网络犯罪分子将无处遁形。”
2025年7月28日,美国联邦调查局达拉斯办事处宣布,从属于Chaos勒索软件集团成员的加密货币地址中查获了20枚比特币(目前价值约230万美元)。这些资金被追踪到一个名为“Hors”的关联方使用的比特币钱包,该关联方涉嫌对得克萨斯州北部地区及其他地区的公司发动攻击并勒索付款。美国司法部于2025年7月24日在得克萨斯州北部地区法院提起民事诉讼,寻求没收该笔资金,该资金于今年4月中旬被达拉斯联邦调查局查获。
BlackSuit的受害者 BlackSuit的主要目标行业是制造业、教育、研究、医疗保健和建筑行业等。制造业和医疗保健行业仍然是利润丰厚的目标,因为与政府和咨询业等其他行业相比,这些行业的预期利润和收入范围可能更广。BlackSuit攻击利润和预期收入更高的企业的策略,在识别零售业的潜在受害者时也同样适用。
BlackSuit的大多数受害者都是位于美国的组织,而英国、加拿大、比利时和西班牙等国家的其他组织的受害者数量则少得多。
在过去一年中,BlackSuit已造成103名受害者。自2024年11月以来,每月声称的攻击次数急剧下降。这种活动减少可能是该团伙为保持低调而采取的战略举措。攻击次数的减少也可能预示着该团伙即将迎来又一次沉寂,届时该团伙发展壮大,并以不同的名称重新命名。
BlackSuit的暗网数据泄露网站 BlackSuit的暗网数据泄露网站布局简洁,却足以满足勒索的目的。暗网网站上的帖子详细列出了被入侵的企业目标信息,并附上了最新动态和被盗数据的链接。在被查封之前,BlackSuit的暗网数据泄露网站上已有超过150篇目标相关的文章。
一些文章中还提供了所入侵目标的更多详细信息,例如公司联系人的LinkedIn页面以及被盗数据的目录列表。暗网网站上提供了一个联系页面,受害者可以通过该页面向BlackSuit请求支持,以恢复其系统和数据。请求支持的受害者必须在赎金通知中提供唯一的受害者ID或协商链接,该链接会与联系BlackSuit的说明一起包含在内。受害者还需要在请求中提供其电子邮件地址。
BlackSuit不像其他一些勒索软件团伙那样拥有社区论坛或Telegram和X等社交媒体页面。这体现了这样一种观点:谨慎运营是最大限度降低 OPSEC(运营安全)风险(例如泄露通信、代码、基础设施和员工名单)的最佳方式。
尽管BlackSuit的数据泄露网站看似简单,但其发送和接收高额赎金要求的举动,使其明显是一个拥有经验丰富的内部团队支持的威胁行为者。这种经验也帮助BlackSuit评估企业的收入,并将其作为结构化、选择性攻击受害者的流程的一部分。与许多其他勒索软件团伙相比,该团伙够在短时间内获取巨额财富。
BlackSuit被查封的暗网网址之一:http://weg7sdx54bevnvulapqu6bpzwztryeflq3s23tegbmnhkbpqz637f2yd[.]onion
另一个买卖被盗数据的暗网论坛DarkForums存在存储型的XSS漏洞,有组织声称已经渗透了该网站,并在X上发布了消息。
7月27日,@DarkWebInformer在X上发布推文警告称,DarkForums存在活跃的跨站脚本(XSS)漏洞。请勿使用该网站,它不安全且会泄露您的IP地址!并附了一个弹框截图,展示了当前的Cookie。“暗网下/AWX”根据该截图确认暗网论坛DarkForums存在XSS跨站漏洞。
随后,网络安全组织@NullSecurityX进行了回复,称DarkForums被NullSecurityX黑了:)但开玩笑归开玩笑,该推文在随附的视频中展示了Darkforums上发现的漏洞。并称祝大家渗透愉快,同时at了@DarkWebInformer。视频中,@NullSecurityX展示了其发布含有javascript标签的html代码后触发执行,并跳转至其X页面。
对此,BreachForums的新管理员hasan回复称,这不仅仅是DarkForums的问题,而是MyBB软件本身的问题。该软件存在大量CVE漏洞,简直令人难以置信。要真正解决这个问题,唯一的方法就是禁用大多数用户喜爱的功能。
hasan把这个问题归结于该论坛使用的开源PHP程序MyBB的MyCode功能存在的漏洞,他称,看来DarkForums和其他论坛并没有认真考虑他的方法,因为他们大多迅速忽视了安全问题,尤其是使用被称之为MyBB的这个所谓的“地雷阵”软件。
hasan称这无法预防,他看到BreachForums的明网和暗网门户,或者说那个任何人都能看到的蜜罐,也存在相同的问题,而他们当然没有禁用任何功能。
hasan表示,在此之前,我更倾向于效率而非美学。因为“美学”和纯粹的愚蠢,使用MyBB的论坛都没打算修复这个漏洞。因此需要一场呼吁尽快更换MyBB软件的运动,他的新论坛已经准备好进行更改了。
MyBB如何修复这个漏洞?hasan表示应该禁用相关功能,因为MyBB将这些功能硬编码在系统中,尤其是MyCode,即使安装了插件也无法阻止,因为MyBB的设计只允许通过其后台管理控制面板禁用MyCode。
hasan还透露,入侵DarkForums的人正在以200美元的价格出售数据库——这些数据目前在Roblox平台上流通。
NullSecurityX(NullSecX)的介绍 NullSecX自称是一家网络安全公司,根据其自我介绍,在NullSecX,他们助力企业始终走在不断演变的网络威胁环境的前沿。
通过主动识别和分析新兴漏洞与攻击,NullSecX提供及时的洞察和前沿的安全解决方案。NullSecX称自己的使命很简单:帮助您在威胁发生前就预见它们——以便您能够以信心和精准度保护您的数字资产。
NullSecX的LinkedIn在招募更多人加入NullSecX,称可以共同站在网络安全创新的前沿。
NullSecX还拥有一个Youtube页面:https://www.youtube.com/@NullSecurityX
DarkForums是什么网站 DarkForums是一个与BreachForums类似的暗网被盗数据交易论坛,声称可以提供任何目标的多种类型数据,以及来自全球65个国家(涵盖欧洲、亚洲、非洲、美洲、大洋洲等各大洲)的数据,均存储于此云端。
其在Telegram频道中表示,拥有⭐️军事文件数据库、⭐️完整公司数据库、⭐️文件扫描(身份证、驾驶证、护照)、⭐️消费者信息数据库、⭐️电话列表数据库、⭐️电子邮件列表数据库、⭐️外汇与加密货币数据库、⭐️赌场与游戏数据库、⭐️公民身份 & 社会保障号 & 税务识别号数据库、⭐️大型网站数据库……
据介绍,该网络犯罪分子使用的网站可以在明网(https://darkforums[.]st)与暗网(http://qeei4m7a2tve6ityewnezvcnf647onsqbmdbmlcw4y5pr6uwwfwa35yd[.]onion)同步访问,“暗网下/AWX”预计,FBI不会让其存在太长事件,未来也许会有国际执法机构对其的联合行动。
根据欧洲刑警组织的消息,经过法国警方和巴黎检察官领导的长期调查,与乌克兰同行和欧洲刑警组织密切合作,逮捕了世界上最具影响力的俄语网络犯罪平台之一暗网论坛XSS.is的其中一名主要管理员。
该暗网论坛拥有超过5万名注册用户,是被盗数据、黑客工具和非法服务的主要交易市场,也是俄罗斯三大顶级暗网论坛之一。长期以来,它一直是一些最活跃、最危险的网络犯罪网络的中心平台,用于协调、宣传和招募人员。
此次逮捕于7月22日在乌克兰基辅进行,是一系列协调执法行动的一部分,旨在收集证据和摧毁犯罪基础设施。
犯罪嫌疑人通过网络犯罪赚取数百万美元 该论坛的管理员不仅是一名技术操作员,而且据信在犯罪活动中扮演了核心角色。他作为值得信赖的第三方,仲裁犯罪分子之间的纠纷,并保障交易的安全。据信他还运营着thesecure.biz的jabber服务器,这是一款专为地下网络犯罪分子需求而设计的私人消息服务。
据估计,嫌疑人通过这些服务赚取了超过700万欧元(820万美元)的广告费和手续费。调查人员认为,他活跃于网络犯罪生态系统近20年,多年来与多个主要威胁行为者保持着密切联系。
法国警方持续数年的广泛调查 该调查由法国警方于2021年7月2日启动,2024年9月,案件在乌克兰进入行动阶段,法国警方调查人员被部署到当地,并得到欧洲刑警组织通过建立虚拟指挥所的支持。
经过为期四年的调查,本周又采取了另一项行动,在乌克兰基辅逮捕了主要嫌疑人。
作为调查的一部分,法国警方截获了Jabber服务器(thesecure.biz)上的录音,该服务器附属于XSS.is论坛,以方便网络犯罪分子之间的匿名交流。
欧洲刑警组织提供了协调支持 欧洲刑警组织在整个调查过程中提供了必要的行动和分析支持,促进了法国警方和乌克兰当局之间的信息交流和协调。
欧洲刑警组织还协助绘制了网络犯罪基础设施图谱,并将嫌疑人与其他主要威胁行为者联系起来。这种协作方式确保了快速、有针对性的响应,摧毁了犯罪平台,并阻止了通过该论坛进行的非法活动。
在本周基辅的执法行动中,欧洲刑警组织部署了一个移动办公室,以支持法国和乌克兰团队进行现场协调和证据收集。缴获的数据将进行分析,以支持欧洲及其他地区正在进行的调查。
IOCTA 2025报告强调了被盗数据市场的威胁 此次行动与欧洲刑警组织《2025年互联网有组织犯罪威胁评估》(IOCTA)的结果一致,该评估强调,蓬勃发展的被盗数据黑市是网络犯罪经济的关键驱动因素。
像XSS.is这样的平台使得被盗数据、黑客工具和非法服务的交易和货币化成为可能,从而助长了各种犯罪活动——从勒索软件和欺诈到身份盗窃和敲诈勒索。
IOCTA揭示了此类暗网市场如何通过提供访问、匿名和信任机制来支持网络犯罪分子的运作。
以下部门参与了调查:
法国:巴黎检察官(Parquet de Paris – JUNALCO)、法国警察 – 巴黎警察局(Police française – Préfecture de Police de Paris – Brigade de lutte contre la cybercriminalité) 乌克兰:乌克兰总检察长办公室(Офіс Генерального Прокурора України)、乌克兰安全局 – 网络犯罪部门(Служба безпеки України – Кібердепартамент) 犯罪社区引起轰动,但影响有限 根据X用户@3xp0rtblog的推文,XSS.is论坛社区正在积极讨论这一情况。
不过,版主似乎正在删除所有讨论管理员LARVA-27的内容。版主LARVA-466(Rehub)在 Telegram 聊天中证实了这一点。这样做的目的是压制任何可能将局势变成有新闻价值事件的叙述,并在此过程中“钓”西方人。
不过,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。
因此目前看来,执法行动逮捕了XSS[.]is的一名管理员,并扣押了XSS[.]is域名,但并没有捣毁其包括服务器在内的基础设施,似乎XSS[.]is并没有被打倒,其在俄罗斯的庇护下依然活着,没有俄罗斯执法机构的配合,也很难完全被摧毁,西方执法机构仍需努力。
2025年,暗网仍然是全球关注的焦点之一,因为它只可以通过Tor浏览器等特殊方式访问。暗网是深网(DeepWeb)的一个子集,涵盖了互联网中所有未被传统搜索引擎索引的部分。与可通过标准浏览器访问的表网不同,暗网需要像Tor这样的特定软件才能访问其加密网站。
尽管暗网因充斥着各种非法交易而遭受广泛批评,包括贩卖被盗凭证、贩卖毒品以及提供黑客服务或各种形式的网络犯罪,但是活动家、记者和倡导者对暗网有较强的依赖,他们在工作中需要极高的隐私,通过使用暗网可以不必担心被监控。
对于网络安全专家、威胁情报专家以及暗网的研究人员而言,拥有一个像暗网搜索引擎这样的工具可以使探索互联网的这片隐秘空间变得更加容易,以下十大暗网搜索引擎会索引所有的以.onion为后缀的暗网页面,让任何人都能获取常规网络上无法获取的信息。这些不受屏蔽、不受限制和不受审查的搜索引擎,可帮助用户找到Google等传统工具无法找到的内容。
暗网搜索引擎的作用 对于探索互联网这片隐秘领域的人来说,一个可靠的暗网搜索引擎至关重要。它对.onion域名的网站进行分类,使用户能够发现通常难以找到的网站。
本文中“暗网下/AWX”根据一些科普网站的推荐列出了2025年全球十大安全私密的暗网搜索引擎,暗网搜索引擎对于访问暗网论坛、暗网维基网站以及其他各种暗网资源至关重要。然而,由于暗网的特性,这些搜索引擎也可能索引出非法内容,请勿使用暗网搜索引擎以及暗网网站从事违法犯罪,否则将受到全球执法机构的打击。
2025年十大暗网搜索引擎 1、Ahmia Ahmia搜索引擎因其简洁的设计和对合法安全内容的关注而广受好评。它提供未经审查的暗网搜索体验,让用户能够访问各种信息,同时有效过滤非法内容。
Ahmia的暗网地址:
http://juhanurmihxlp77nkq76byazcldy2hlmovfu2epvl5ankdibsot4csyd[.]onion
2、DuckDuckGo(暗网版本) DuckDuckGo搜索引擎通过Tor运行,提供不受审查的搜索引擎体验(包括暗网与明网),且不记录个人数据。它深受注重隐私、寻求公正搜索结果的用户的青睐。
DuckDuckGo的暗网地址:
https://duckduckgogg42xjoc72x3sjasowoarfbgcmvfimaftt6twagswzczad[.]onion
3、NotEvil 这个暗网搜索引擎又名NotEvil,提供各种.onion后缀网站内容的访问。它是暗网上最知名的秘密搜索引擎之一。
NotEvil的暗网地址:
http://notevilmtxf25uw7tskqxj6njlpebyrmlrerfv5hc4tuq7c7hilbyiqd[.]onion
4、VormWeb VormWeb是一款用户友好的搜索引擎,专为暗网打造,可快速轻松地访问.onion网站。VormWeb秉承极简主义的设计理念,旨在简化暗网体验,让追求简洁浏览体验的用户更轻松便捷地访问暗网。其主要目标是提供可靠的搜索结果,让用户在探索暗网时降低风险。
VormWeb的暗网地址:
http://volkancfgpi4c7ghph6id2t7vcntenuly66qjt6oedwtjmyj4tkk5oqd[.]onion
5、Torch Torch搜索引擎是最古老、最强大的暗网搜索引擎之一,以快速、直接和作为不受阻止的搜索引擎且过滤最少而闻名。
Torch的暗网地址:
http://xmh57jrknzkhv6y3ls3ubitzfqnkrwxhopf5aygthi7d6rplyvk3noyd[.]onion
6、Haystak Haystak是一个以隐私为设计理念的暗网搜索引擎,提供更强大的过滤功能,帮助用户优化搜索结果,从而精准找到所需内容。这对于需要快速访问特定类型信息的网络安全或研究专业人士尤其有益。
Haystak的暗网地址:
http://haystak5njsmn2hqkewecpaxetahtwhsbsa64jom2k22z5afxhnpxfid[.]onion
7、DarkSearch DarkSearch是一款深度搜索引擎,通过索引.onion网站,优先保护用户隐私。它旨在确保用户匿名,同时提供对暗网上各种信息的访问。
DarkSearch的暗网地址:
http://darkzqtmbdeauwq5mzcmgeeuhet42fhfjj4p5wbak3ofx2yqgecoeqyd[.]onion
8、OnionLand OnionLand既可以作为暗网搜索引擎,也可以作为深网搜索引擎,提供流畅的用户体验并可访问数千种隐藏服务。
OnionLand的地址:
https://onionland[.]io
9、DeepSearch DeepSearch是一款开源搜索引擎,旨在探索Tor网络内的暗网。它以其精准度而闻名,能够提供高度准确且相关的搜索结果,是暗网用户值得信赖的资源。
DeepSearch的暗网地址:
http://search7tdrcvri22rieiwgi5g46qnwsesvnubqav2xakhezv4hjzkkad[.]onion
10、Excavator Excavator搜索引擎深入挖掘暗网,提供全面的索引内容视图。它是一款鲜为人知但非常有效的不受限制的搜索引擎,非常适合深度探索。
Excavator的暗网地址:
http://2fd6cemt4gmccflhm6imvdfvli3nf7zn6rfrwpsy7uhxrgbypvwf5fad[.]onion
结论 暗网是互联网中一个复杂的组成部分,专业的搜索引擎对于安全体验暗网至关重要。随着我们步入2025年,这些搜索引擎工具正在不断改进安全性和功能,以满足用户需求。
暗网论坛是许多网友参与讨论各种主题的在线社区,从科技、隐私到涉及犯罪讨论的话题。这些暗网论坛经常通过十大暗网搜索引擎访问,是重要的信息和社交资源。
然而,浏览暗网仍需谨慎,“暗网下/AWX”建议用户遵循安全使用暗网的建议及各国法律,以便在探索这个晦涩难懂、错综复杂的互联网隐藏角落的时候保持安全。
关于十大暗网搜索引擎使用的常见问题 1、使用暗网搜索引擎的目的是什么? 暗网搜索引擎旨在索引和分类托管在Tor网络上的.onion网站。与传统搜索引擎不同,它们能够探索互联网的隐秘部分,让用户发现无法通过Google或Bing访问的内容。
2、为什么暗网上的一些搜索引擎被认为是“未经审查的”? 未经审查的搜索引擎,例如Gibiru和Torch,不会过滤有害内容,提供原始内容的概览。它们也被称为非审查搜索引擎或不受限制的搜索引擎。
3、暗网论坛只用于非法讨论吗? 不一定。很多暗网论坛都是合法的,讨论加密、举报、新闻或信息自由等话题。深度搜索引擎等工具可以帮助找到这些资源,同时过滤掉恶意有害内容。
4、深网搜索引擎与暗网搜索引擎有何不同? 深网搜索引擎会访问常规互联网上未编入索引的内容,例如学术数据库或受密码保护的页面。相比之下,暗网搜索引擎则专门针对Tor等加密网络上的.onion网站。
5、使用暗网搜索引擎有哪些风险? 主要风险包括遭遇诈骗、恶意软件或非法内容。许多暗网网站不受监管,有些网站提供的恶意程序可能会试图窃取用户数据或传播病毒。用户应始终使用安全且经过良好审核的暗网搜索引擎,并避免下载未知文件或点击可疑链接。
上个月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁,ShinyHunters、Depressed、Hollow(Anastasia)和IntelBroker等多名管理人员在法国被逮捕。然而,这并不影响网络犯罪分子追寻自由的心,“暗网下/AWX”发现,进入七月份,两个新的BreachForums论坛如同雨后春笋,正在生根发芽。
新的BreachForums克隆版breached[.]ws已上线 7月1日,管理员Hasan和thej在Telegram频道发布消息,新的BreachForums克隆版已上线,该网站似乎是从零开始建立的,拥有全新的外观,没有前一版本的用户数据或旧主题帖子。
新的BreachForums克隆版的访问地址为:
明网:https://breached[.]ws/
暗网:http://breachy72uc3rgraqpvfnb6dglhbcy7niqpmjdlseewzgpq4vifmmuyd[.]onion/
新论坛设置了新的规则,那就是禁止发布有关9-Eyes政府数据泄露相关的帖子。管理员Hasan估计,这一限制可能会减少10-20%的收入,但他认为这是保持论坛在线而又不引起直接执法行动的唯一办法。听起来像是一个全新的开始?但也许不是……FBI的执法似乎不仅针对泄露政府数据。
然而,就在一天后,一个名为“test55”的用户在新的网站上发布了一个主题,声称他们通过图片处理利用了一个SSRF(服务器端请求伪造)漏洞,从而获得了新论坛所在服务器的IP地址(86.54.42.86)与网站所有访问者的IP地址。
Hasan对breached[.]ws存在漏洞做出回应 Hasan称,昨天一个随机的“威胁行为者”试图访问被攻破的breached[.]ws的后台,或者说是自己曾经认识的一个人,但该人知道真实的后台IP。
长话短说,该人试图通过服务器端请求获得访问权限,而这恰恰是毫无道理的,因为这只会得到他已经得到的东西——IP。
Hasan表示,有趣的是,在这个过程中,他的DNS缓存泄露了,他的IP也泄露在了处理恶意活动和DDoS Guard的CDN的访问日志中,他还自爆了身份,试图羞辱Hasan和Hasan的团队。
Hasan说发现该人的IP属于巴西的Db3 Servicos De Telecomunicacoes S.A。他是巴西人,这一点也不奇怪。他的CIDR IP地址子网是45.179.224.0/24。
Hasan说这证实了此人为被他抛弃的巴西人,这有点令人讨厌,之前,他曾与5个不同的开发人员一起开发网站的WIP。
此外,Hasan还解释了为什么访问日志会记录IP或DDoS guard等服务。他说每个网站都会记录 IP,这是标准做法,尤其是当用户使用DDoS Guard或CDN等保护时。日志用于检测可疑活动,比如有人试图通过开发工具窥探后台。但他保证breached[.]ws的日志每24小时会被清除一次,所以不用担心。
对于MyBB邮件SSRF漏洞(CVE-2025-29459)并未在6月份的1.8.39更新中得到修复,出于其他安全原因,Hasan称将禁用BreachForums上的邮件功能,因为同步和修改MyBB软件会影响其自带的其他功能。
针对存在可能存在其他漏洞的问题,Hasan回应称“我将添加最后的更新,那就是shoutbox,我已经限制了大部分(如果不是全部的话)CVE,否则我可以在未来最终得到证明,如果在我们更换软件之前出现了什么问题,之后我们将在论坛上工作人员OG的帮助下上传我能找到的旧数据库。“
Hasan称breachforums[.]info是一个假冒 Hasan还描述了另一个消息,称Anti-Extortion Network的创始人联系了他,告诉他一个显而易见的事实:http://breachforums.info是一个假冒的BreachForums克隆版,他们的管理员Jaw不是原RaidForums的Jaw,这一点他们之前已经知道很多次了。
Hasan说但是他不知道假冒网站管理员Jaw竟然有来自RaidForums的Jaw的真实联系方式,但他很快就会发消息说明他们是如何使用Jaw的化名的。Hasan称如果想获得更多证据,可以直接通过@v6kp7qx90njz55yru71x6fdwz0联系Bear,这是他的Telegram账户。
目前唯一的BreachForums域名是http://breached.ws,也许即将出现的许多其他域名,Hasan表示已经走了很长的路,将通过扩大其员工团队来使自己合法化,其员工团队将包括大家眼中的导师以及让BreachForums成为BreachForums的作者(发布被盗数据的网友)。
仿冒论坛breachforums[.]info于7月1日开启 鉴于BreachForums的知名度极高,于是假冒的BreachForums论坛前赴后继的产生然后覆灭,本站之前曾报道过新出现的假冒BreachForums论坛breached[.]fi。
该论坛创始人Jaw在论坛上线的时候发布了主题帖“我们回来了——更强大、更聪明、更有韧性”,称“你们很多人都认识我–我叫Jaw。今天,我正式宣布,我们中的许多人都称之为家的地方回归了:BreachForums”。具体帖子内容如下:
首先,请允许我向选择回来帮助我们重建的各位致以诚挚的谢意。你们的忠诚、坚韧和对社区的承诺远非言语所能表达。
发生了什么——我们的立场
正如你们许多人所听说的,ShinyHunters和IntelBroker已被逮捕。在此过程中,当局查封了所有服务器基础设施,包括数据库、源代码和用户数据。联邦调查局和法国执法部门现在已经掌握了之前论坛的全部数字足迹。
让我明确一点:旧论坛的所有内容都已泄露。
这对你意味着什么
如果您要返回,请重新开始。
新的用户名。
新的 OPSEC。
不要重复使用任何以前的用户名、PGP 密钥或标识符。
我们已经看到了人们过于安逸的后果。不要重蹈覆辙。
澄清MyBB传闻
有人猜测此次漏洞使用了所谓的MyBB 0-day漏洞。这种说法是错误的。
只有IntelBroker可以直接访问后台和源代码。“0-day”谣言只是一个烟雾弹,是ShinyHunters转移视线的一种手段,目的可能是争取时间和转移视线。但真相已经浮出水面。
继续前进
我们都吸取了一些惨痛的教训。我们不会忽视它们。
这次重建不仅仅是将碎片重新组合在一起,而是要创造出更强大、更智能、更安全的东西。我将全力以赴,采取一切必要的措施来保护这个社区,确保我们的重建工作不会重蹈覆辙。
这是一个新的篇章——对于那些准备参与其中的人,我欢迎你们。
我们重建。一起重建。
仿冒的BreachForums的访问地址为:
明网:https://breachforums[.]info/
暗网:http://gtihui3n5rijtibu4knip53wopp2teaxa2zphr66bi2yivb5fiekb6id[.]onion/
如果breached[.]ws是正宗血统BreachForums的传承,那这将会是第四版BreachForums,第四版BreachForums的命运将如何,会不会像Hasan所言的合法化运行,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
在臭名昭著的暗网市场Archetyp Market被国际执法行动摧毁后不久,另一个较大的暗网市场Abacaus Market近日突然也无法访问。“暗网下/AWX”总结过,暗网市场无法访问,只有三种可能:执法查封、赚足退休、退出骗局,Abacaus Market是因为什么原因,暂时不得而知。
Abacaus Market创建过2021年9月,当时号称建立一个安全、稳定和易于使用的暗网市场,创建时名为Alphabet Market。据称该市场是从零开始的编码开发,在设计方面,该市场采用了其管理员最喜爱的暗网市场Alphabay的原始设计,仅对模板进行了一些改动,但始终保持了Alphabay的精髓。
7月1日,@DarkWebInformer在X上发布预警,称“Abacus Market要么是被警方端了,要么是退出骗局,你自己选择吧……如果这个市场恢复了,你再继续使用它就是傻瓜了”。同天@vxdb也在X上表示,Abacus Market不容乐观。如果情况属实,这可能是近一个月倒下的第3个暗网市场。
暗网论坛Dread的一个用户/u/sus123321追踪了他在Abacaus Market的BTC存款,发现一个半小时前有一个钱包转入了价值23.7万美元的比特币,证明及有可能正在进行退出诈骗。这与网站断开连接的时间相符….,sus123321在帖子中称可能自己是在胡说八道,但总觉得情况不妙。该用户追踪的比特币钱包是:bc1qgty07dylltge6xgvrtdxrhhhpemfwyjn4xqe5c,经本站(anwangxia.com)检查区块链,确实在7月1日凌晨3点19分,有一笔2.2个BTC的归集转移,之后再也没有变动。
对此,7月2日,Abacaus Market的管理员/u/Vito在Dread论坛发表“正在努力–DDOS”的主题,他说,自从Archetyp Market消亡后,Abacaus Market这些天的流量很大。最近,DDoS攻击对该暗网市场的影响非常大。但其表示一切都很好,在DDoS和大量新用户使用市场之间,他们需要一些调整。
他称很抱歉给用户带来不便,但其正在努力,当然也一如既往地感谢用户的耐心等待,请不要上当受骗。Abacaus Market恢复后,他会及时通知的。
在同一篇主题的回复中,Dread论坛的管理员/u/HugBunter确认了Vito的答复,并表示,暂时保留此评论,Vito正在与其联系,只有在认为必要时才会发布最新消息。HugBunter称已经得到保证,Vito正在努力让Abacaus Market重新上线,所以大家将从这里开始。如果Abacaus Market不恢复,Vito就没有什么理由还留在这里(Dread论坛)了。
但是对于以上的解释,用户并不买账,用户/u/jake0126的评论得到了许多用户的赞同,他首先感谢Vito抽出时间发布有关Abacaus Market的最新消息,但在这种情况下,其表示很难接受这种敷衍的解释。因为Abacaus Market连续数天出现严重的提款延迟,现在所有暗网镜像都已完全离线,没有保留部分服务,没有静态状态页面,除了在Dread发布的这篇帖子,没有任何后备通信及通知。
接着jake0126从专业角度进行了评论,他说即使是在严重的DDoS或流量激增的情况下,一个专业暗网市场同时完全关闭所有镜像也是极为罕见的。通常情况下,至少会保留一个镜像,或一个轻量级的洋葱状态页面,甚至可以保留一个带签名的PGP广播来确认情况。这也是任何一个有职能团队并真正打算恢复服务的暗网市场都会做的事情,保持一些可验证的通信线路畅通。
而在出现长期提款问题后立即关闭一切,然后在完全下线后再发布这样的帖子,这正是在过去无数退出骗局中看到的模式。这样做既能争取时间、压制投诉,又能防止用户在他们消失时追踪资金流向。
最后jake0126质疑道,如果Vito真的打算重新上线Abacaus Market,为什么不发布有偿付能力的加密证明呢?用Abacaus Market或者Vito控制的PGP密钥签署一条信息,并展示Vito用来提现的钱包的链上交易,证明Vito仍然控制着这些资金。这将大大有助于重建信心。否则,暗网网站的完全沉默和提现冻结后的时间安排让这看起来像是一次教科书式的退出骗局。如果Abacaus Market真的会回来,希望Vito能够提供更有力的证据和更有弹性的通信计划,因为现在,用户没有理由相信这种情况。
Abacaus Market创建时的广告宣传 全天候提供支持。 论坛提供 10 多种不同语言,可通过等级、奖励、大量版块和即将推出的新功能建立社区。 挂牌价格可自动转换为 14 种不同货币,包括美元、英镑、欧元、加元等常用货币。价格每几分钟更新一次。 订购实物产品时,所有客户地址都将自动加密;订购数字产品时,买家可选择适合自己的加密方式。 保存收藏的供应商/列表 买家黑名单 我们相信,整洁有序的界面对您的业务成功非常重要。您可以在一个页面上保存订单信息以及与之相关的指定聊天信息,无需额外加载,也无需独立的新消息通知。此外,您还可以发送延迟消息。 先进的消息系统,您可以邀请无限量的买家加入您的对话,还可以发送延迟消息。 比特币启用 2/3 Segwit Multisig Escrow 和 FE。很快将支持更多的币种。 100 美元不可退还的供应商保证金,仅适用于在其他市场上没有反馈的新供应商。(供应商保证金将在一定时间内增加) 卖家需支付 5% 的费用,买家无需支付任何费用。这是市场上独一无二的收费方式。无隐藏费用。 实体列表、按顺序自动发送的数字列表。 允许实体和数字房源。我们是唯一拥有先进自动发货系统的市场。您可以为每种发货方式专门配置自动发货功能(这样您就可以在一个列表中自动生成不同的组合)。 公开、私密(只有拥有链接的买家才能访问列表)或隐藏(任何人都无法访问列表) 快速克隆列表。 限制不可信任的买家购买您的列表,保护您的供应商账户免受来自竞争对手的不良反馈。 休假模式(5 天后不活跃的供应商将自动切换到休假模式) 外部员工共享访问模式(可允许访问销售+信息或仅允许访问销售/信息)。没有限制,一个账户可以管理无限多个账户。 全额或部分退款,供应商可在不退出市场的情况下向买家进行部分退款。 双因素认证 可配置的 jabber/xmpp 通知。您需要在我们的公共 jabber 服务器上创建一个 jabber 账户。 销售额达到一定数量后,供应商可以使用私人洋葱。 订单将在完成 30 天后被清除。不活跃的对话将在 30 天后被清除。 我们在提现过程中不收取任何隐藏费用(优化矿工费用除外,该费用由矿工而非我们收取,并在提现页面中注明)。 与丝绸之路相同。您可以选择佣金后定价或佣金前定价,因此我们可以帮助您直接获得净收入。大多数网站会直接从销售价格中扣除手续费。在 Alphabet 上,您可以选择从销售价格中扣除佣金。 Abacaus Market发布的带有PGP签名的网址信息 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Current main-fixed public Links of Abacus Market: http://abacuseeettcn3n2zxo7tqy5vsxhqpha2jtjqs7cgdjzl2jascr4liad.
随着导弹和无人机在以色列和伊朗之间飞行,黑客组织Handala在其暗网泄密网站和Telegram频道上发布了一系列以色列受害者的更新,证明网络战已经打响,该黑客组织正在对以色列政府部门及企业发动一系列网络攻击,这似乎是为了回应以色列对伊朗的导弹袭击或者呼应伊朗对以色列的导弹袭击。
Handal是一个臭名昭著的亲巴勒斯坦黑客组织,以巴勒斯坦抵抗运动的流行象征命名,最后一次活跃是在2025年2月,但“暗网下/AWX”发现,自6月14日起,该黑客组织在其暗网泄密网站上列出了十多名以色列受害者。
仅在6月14日,Handala黑客组织就在暗网泄密网站发布了4个以色列相关的受害者信息。该组织的暗网泄密网站地址是:http://vmjfieomxhnfjba57sd6jjws2ogvowjgxhhfglsikqvvrnrajbmpxqqd[.]onion
石油集团Delek集团及其子公司Delkol是Handala最新的黑客攻击活动中的第一名受害者,黑客声称窃取了超过2TB的数据。Handala在暗网泄密网站发布帖子“以色列燃料供应系统遭黑客攻击”,内容是:“你们的燃料系统暴露了,你们的机密也暴露了。超过2TB的机密数据不再掌握在你们手中。你们的加油站不堪一击。如果你聪明的话,就应该立即行动。立即加满油,否则你们就只剩下空荡荡的道路和寂静无声的飞机了。时间不站在你们这边。”
阿根廷无人机制造商AeroDreams是Handala最新的黑客攻击活动中的第二名受害者,黑客声称窃取了超过400GB的内部数据。Handala在暗网泄密网站发布帖子“Aerodreams已被入侵”,内容是:“他们曾为空军飞行,如今却躲藏在Aerodreams背后。这是一个秘密的掩护机构,负责敏感的无人机项目、精英飞行员训练和秘密后勤工作。他们原本认为不可触碰的东西……如今已被攻破。400GB的内部数据落入我们手中,很快,也将落入所有人手中……“
以色列建筑公司YG New Idan是Handala最新的黑客攻击活动中的第三名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“YG New Idan已被入侵”,内容是:“以色列战争部秘密机构YG New Idan Ltd已被入侵。该机构负责设计和建造你们的军事基地,现在,你们隐藏的一切都归我们所有。我们掌握着339GB的机密数据,它们很快就会泄露,让所有人都能看到。你们以为的……“
ISP 099 Primo Telecommunications是Handala最新的黑客攻击活动中的第四名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“以色列 099 ISP已被入侵”,内容是:“099 Primo Telecomunications LTD 现已成功入侵099 ISP的内部基础设施,该网络是数字网格的中心节点。已通过其官方邮件服务器发出超过15万封公开警告邮件!我们本可以切断访问 我们本可以屏蔽屏幕,压制…“
6月15日至今,该黑客组织还列出了以色列TBN(TBN Israel)、魏兹曼科学研究院(Weizmann Institute of Science)、莫尔物流(Mor-logistics)、加密货币交易所软件开放公司Agura B.C、以色列监控基础设施公司萨班系统(Saban Systems)、以色列陆路运输公司豪尔重型运输(Haor Heavy Transport)和 城际客运公司YHD Group等受害者。
Handala的背后是什么人 黑客组织Handala主要针对与以色列及其军方有关联的以色列实体或企业。该勒索软件团伙以使用各种策略、技术和程序来获取受害者访问权限而闻名,其中包括鱼叉式网络钓鱼。尽管有人认为该黑客组织是暗网勒索软件团伙,且与其他勒索软件团伙操作类似,将受害者信息发布在暗网泄密网站里,但不同的是,是其动机完全是出于政治目的,从未提出过任何赎金要求。
2024年CrowdStrike发生大规模宕机事件后,有人观察到该黑客组织组织使用自称来自这家网络安全公司的电子邮件,声称提供了问题解决方案。然而,黑客伪装成一个名为CrowdStrike.exe的文件,部署了一个恶意擦除程序,该程序能够从受感染的机器中删除整个目录。
该黑客组织的互联网流量似乎源自伊朗的IP地址,伊朗国际网站的一份报告将Handala黑客组织与伊朗情报部门联系起来。
Handala乐于在其暗网泄密网站上将战果吹嘘的非常大,这是黑客行动主义组织的惯用伎俩。于是有Handala的一些受害者声称该黑客组织夸大了其攻击成果,尽管之前的某些攻击也确实证实了黑客的说法。例如在2025年1月,Handala入侵了以色列幼儿园的公共广播系统,用于广播红色警报和宣传,以色列国家网络局后来证实了这一黑客攻击。
欧洲执法部门在一场史无前例的国际打击行动中,捣毁了暗网毒品交易市场“Archetyp Market”,这是一个规模庞大、长期存在的非法药物和合成阿片类药物暗网交易市场。此次行动由德国当局牵头,并得到了欧洲刑警组织(Europol)和欧洲司法组织的支持,逮捕了包括管理员与主要卖家在内的关键人员,查获了数百万美元资产,并摧毁了关键的数字基础设施。
欧盟范围内联合打击,终结Archetyp Market的运营 6月11日至13日期间,在欧洲刑警组织和欧洲司法组织的支持下,德国、荷兰、罗马尼亚、西班牙和瑞典等六国采取了一系列大规模协同执法行动,欧洲各地执法部门捣毁了历史最悠久的暗网市场“Archetyp Market”。执法行动主要针对该暗网平台的管理员、版主、主要供应商和技术基础设施,约300名警员被派往执行执法行动,以获取关键证据。
“Archetyp Market”作为一家运营了五年多的暗网毒品交易平台,一直不受监管地进行着毒品交易,悄然成为欧洲暗网毒品经济的支柱。该暗网平台在全球范围内积累了超过60万名用户,总交易额至少达2.5亿欧元,其中大部分是通过加密货币匿名交易的。该网站拥有超过1.7万个商品信息,是少数允许芬太尼和其他强效合成阿片类药物销售的暗网市场之一,加剧了这些药物在欧洲及其他地区日益严重的威胁。
此次调查的根源可以追溯到数年前,当局拼凑出一个由数字基础设施、匿名交易和假名供应商组成的复杂网络。德国联邦刑事警察局(Bundeskriminalamt)与法兰克福总检察长办公室(ZIT)网络犯罪中心合作,牵头开展了此次调查。欧洲刑警组织提供了关键情报并主持了协调会议,而欧洲司法组织则确保跨境法律程序的迅速执行。
调查人员追踪了加密货币的流动,渗透了供应商网络,并利用先进的数字取证技术对关键参与者进行了去匿名化处理。6月13日,超过300名警员在欧洲各地同步展开突击搜捕,最终收网。
此次行动导致该平台在荷兰的基础设施被关闭,其管理员——一名30岁的德国公民——在西班牙巴塞罗那被捕。与此同时,德国和瑞典对1名平台管理员和6名平台最高级别的卖家采取了逮捕措施,并扣押了价值780万欧元的资产。
根据德国警方提供的详细消息,嫌疑人在巴塞罗那的公寓,以及汉诺威、明登-吕贝克区和布加勒斯特各一处房产均遭到搜查。警方缴获了包括八部手机、四台电脑、34台数据存储设备以及总值
约780万欧元的资产在内的证据。荷兰国家警察局成功查封并关闭了荷兰一个数据中心用于运营犯罪平台的服务器基础设施。
此次由德国当局主导的行动标志着一个犯罪组织的终结,该组织曾帮助匿名交易大量非法毒品,包括可卡因、摇头丸、安非他明和合成阿片类药物。该平台的持久性、规模以及在犯罪界的声誉,使其与现已不复存在的暗网市场(例如梦幻市场和丝绸之路)相媲美,这两个暗网市场都因其在网络贩毒中扮演的角色而臭名昭著。
欧洲刑警组织牵头协调,并向暗网市场发出警告 欧洲刑警组织行动部副执行主任 Jean-Philippe Lecouffe 评论道: 通过此次行动,执法部门摧毁了暗网中历史最悠久的毒品交易市场之一,切断了世界上一些最危险毒品的主要供应线。通过摧毁其基础设施并逮捕其主要参与者,我们发出了一个明确的信号:那些从伤害中获利的人没有安全的避风港。
此次名为“深层哨兵行动”(Operation Deep Sentinel )的执法行动,是多年来深入调查该平台技术架构并识别其幕后黑手的一系列工作的结果。通过追踪资金流向、分析数字取证证据以及与当地合作伙伴的密切合作,当局最终对暗网上最活跃的毒品交易市场之一进行了决定性的打击。
欧洲刑警组织为国际调查的效率和有效性做出了贡献。该机构组织了多次协调会议,使各部门能够交换调查所需的关键信息。在行动日和初步调查期间,欧洲司法组织协调了司法协助和欧洲调查令的执行。
国际合作至关重要。美国国土安全调查局(HSI)、国税局刑事调查处和司法部等机构提供了法律和技术支持,罗马尼亚、瑞典和荷兰的警察部队则进行了地面突袭和数据截获。
警方已经对现已关闭的暗网市场“Archetyp Market”张贴了查封横幅,旨在劝阻潜在的暗网创业者。执法机构目前正在仔细审查已扣押的基础设施,以期识别更多参与者,并可能摧毁其他相关网络。更多信息以及针对地下经济的视频,请访问www.operation-deepsentinel.com在线查看。
参与或协助调查的国家部门 德国:法兰克福总检察长办公室 – 网络犯罪中心 (Generalstaatsanwaltschaft法兰克福 – ZIT)、联邦刑事警察局 (Bundeskcriminalamt) 荷兰:荷兰国家警察局(Politie) 罗马尼亚:国家警察 (Polişia Română) 西班牙:国家警察(Policía Nacional) 瑞典:瑞典警察局 (Polismyndigheten) 美国:国土安全调查局(HSI)、美国国税局刑事调查局(IRS-CI)、美国司法部(USDOJ) 欧洲刑警组织 欧洲司法组织 Dread有关Archetyp Market的帖子证实了变故 暗网市场Archetyp Market从6月11起开始离线,无法正常访问,当时许多人认为这有可能是一个退出骗局,但未经证实。
6月12日,Archetyp Market的管理员在暗网论坛Dread发布最新的帖子,标题为“Archetyp Market – What’s going on?” 中使用了破折号。他在所有带有破折号的帖子和信息中都使用了普通破折号。
Hey,
I got a lot of messages, I’m not going to answer everyone.
臭名昭著的LockBit勒索软件团伙的暗网网站遭遇严重入侵。5月7日,攻击者破坏了其暗网基础设施,并泄露了包含敏感操作细节的综合数据库,曝光了其勒索细节的聊天记录。
此次黑客攻击对全球最猖獗的勒索软件团伙之一造成了重大打击。
首先发布该事件的是“Rey”:
https://twitter.com/ReyXBF/status/1920220381681418713 现在,访问LockBit暗网网站(http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd[.]onion)的访客会收到一条挑衅性的信息:“不要犯罪,犯罪是坏事,来自布拉格的xoxo”,同时还附上了一个下载链接,用于下载名为“paneldb_dump.zip”的文件,其中包含MySQL数据库存储文件。
Lockbit的暗网网站确系被黑客入侵 在与该事件发现者Rey的Tox对话中,被称为“LockBitSupp”的LockBit运营者证实了此次泄密事件,并表示没有私钥泄露或数据丢失。
安全研究人员已经确认泄露数据的真实性,其中包含有关勒索软件团伙操作的宝贵信息。其中“paneldb_dump.zip”压缩文档包含了从LockBit暗网网站管理后台的MySQL数据库转储的SQL文件。
该数据库包括59975个用于支付赎金的唯一比特币钱包地址、从去年12月到今年4月下旬LockBit勒索软件团伙背后的运营者与其受害者之间的4442条赎金谈判信息,以及为特定攻击创建的自定义勒索软件版本的详细信息。
分析该数据库,其中包含20个数据表,包括:
‘btc_addresses’表包含59,975个唯一的比特币地址。 “builds”表包含关联方为攻击创建的各个构建。表中的行包含公钥,但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。 “builds_configurations”表包含每个构建使用的不同配置,例如要跳过哪些ESXi服务器或要加密的文件。 “chats”表非常有趣,因为它包含从12月19日到4月29日勒索软件操作与受害者之间的4442条谈判消息。 “users”表列出了75位有权访问联盟后台管理面板的管理员和联盟会员,Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。 后续泄露者又曝光了12张截图,其中包括LockBit的暗网服务器里多个shadow文件、PHP代码的截图以及其暗网网站后台管理的界面截图。通过以下截图可以管中窥豹,一览勒索软件内部的秘密:
比特币地址库与用户表都是执法部门的金矿 HudsonRock联合创始人兼首席技术官Alon Gal称此次泄密事件是“执法部门的金矿”,可以极大地帮助追踪加密货币支付并将攻击归咎于特定的威胁行为者。
也许最令人尴尬的是,此次泄密暴露了一个包含75名管理员和联盟附属人员的纯文本密码的用户表,这可能被执法部门用以识别发动勒索攻击的黑客。
泄露的SQL数据库显示LockBit的暗网服务器正在运行PHP 8.1.2,该版本存在严重的远程代码执行漏洞,编号是CVE-2024-4577,可用于在远程服务器上实现远程代码执行。网络安全研究人员推测,这次攻击可能与PHP 8.1.2存在的这个高危漏洞(CVE-2024-4577)有关。
LockBit试图淡化此事件 LockBit试图淡化此事,该团伙在其暗网泄密网站上用西里尔文发布的一条消息中声称:“5月7日,他们入侵了带有自动注册功能的精简版管理面板,窃取了数据库,没有一个解密器受到影响,也没有任何被盗的公司数据受到影响。”该团伙愿意支付报酬,以获取有关此次入侵事件的布拉格黑客“xoxo”相关的信息。
此次黑客攻击发生在名为“克洛诺斯“(Operation Cronos)的执法行动一年之后,克罗诺斯行动是一场国际联合执法行动。当时“暗网下/AWX”做了详细报道,执法机构于2024年2月暂时破坏了LockBit的基础设施,包括托管数据的暗网泄密网站及其34台镜像服务器、从受害者那里窃取的数据、加密货币地址、1000个解密密钥以及管理面板。
虽然该团伙在此次攻击后成功重建并恢复运营,但其声誉已遭受重创,随着这次最新的入侵事件的发生,这对LockBit本已受损的声誉又造成了进一步的打击。研究人员指出,该团伙近期的许多受害者索赔请求都来自之前的攻击或其他勒索软件团伙的索赔。
对于LockBit而言,此次泄密事件可能带来毁灭性的打击,可能会破坏其附属联盟的信任并进一步阻碍其运营。LockBit勒索软件团伙2023年初在全球造成了约44%的勒索软件事件。
“暗网下/AWX”获悉,近期,德国巴伐利亚州刑事警察局(BLKA)与德国中央网络犯罪检控局(ZCB)合作,在德国联邦刑事警察局(BKA)的支持下,捣毁了一个名为“Pygmalion”的大型暗网毒品交易市场,查获了该暗网商店使用的多台服务器和洋葱域名。经过数月的调查,该暗网商店的基础设施被摧毁,数人被捕。
目前该暗网商店的暗网域名已经被警方查封,访问Pygmalion商店之前使用的所有暗网域名后均会显示当局发出的扣押通知,告知访问者该暗网网站已被查封。扣押通知中写道:“这些犯罪内容已由联邦刑事警察局(BKA)代表巴伐利亚州网络犯罪检控中心(ZCB)查封。”
缉毒调查与大规模逮捕行动 BLKA于2025年4月24日发布的新闻稿显示,警方调查的重点是居住在巴伐利亚州的七名嫌疑人,他们被指控在全球范围内大规模包装和运输毒品。
该调查基于图林根州刑事警察局进行的单独调查的信息。通过深入的数据分析,BLKA专家能够建立巴伐利亚州、图林根州和北莱茵-威斯特法伦州犯罪之间的联系,并揭示多层次的犯罪者结构。最终在诺伊堡和艾希施泰特地区确定了包装商和托运商的物流网络。
在因戈尔施塔特刑事调查部门和邮政服务提供商的密切合作下,多批含有毒品的邮件在送达前被查获,这些邮件原本打算寄往世界各地的收件人。
2025年2月7日,BLKA警察部队在防暴警察和上巴伐利亚北部警察总部的支援下,根据先前获得的逮捕令逮捕了4名嫌疑人,包括3男1女,年龄在24岁至56岁之间。他们涉嫌组成一个负责包装和运送毒品给全球买家的团伙。逮捕行动分别在艾希施泰特区和多瑙河畔诺伊堡镇进行。
在对五处房产的联合突击搜查中,警方缴获了超过53公斤的毒品及非法药物,包括约30公斤甲基苯丙胺、2公斤海洛因和4公斤可卡因。此外,还缴获了约15万片受德国《药品法》管制的药片。
尤其引人注目的是这些毒品的专业储存和管理:许多毒品已被预先分装到约7000个真空密封袋中,准备分发。据官员们估计,这些被缴获的毒品零售价约为七位数欧元。
暗网商店“Pygmalion”的用户数据被警方获取 BLKA的网络贩毒调查部门(FARO)正在密切开展进一步调查。通过对查获的通信介质进行初步取证分析,调查人员发现了大量详细的记录,包括可追溯到2024年4月的客户数据和订单历史记录。初步取证分析显示,犯罪者保留了详细的会计记录,从中可以获取自2024年4月左右以来的至少7250份订单信息和相关客户数据。
这些信息不仅可以作为对被捕嫌疑人和其他被告的定罪证据,还可以识别提交订单的客户,也就是这些毒品的买家。
在此背景下,调查部门再次指出,通过互联网购买毒品——无论是在明网还是暗网——都不能免于刑事起诉。与许多此类暗网商店经营者的说法相反,订单数据通常会保存数年。这些数据通常构成刑事调查的宝贵证据链。
广泛的调查仍在进行中。被告人面临严重的刑事后果。由于犯罪行为涉嫌团伙化、有组织、专业化,且涉案毒品数量巨大,他们面临5至15年的监禁。
图林根州刑事警察局此前调查收集的数据揭示了此次行动的规模。一旦确定了巴伐利亚州、图林根州和北莱茵-威斯特法伦州的犯罪活动之间的联系,当局就能绘制出包括包装商、托运人和协调员在内的内部结构。
暗网市场的运营者提示:“低调行事” 在此次下架事件之后,一条据称是该暗网市场的运营者发布在Pastebin的消息通过重定向从现已关闭的“Pygmalion”暗网商店传播开来。消息内容如下:
Hey dear customers,
You’ve already heard it from the BKA: Our shop has been seized. Normally, this wouldn’t even be possible since we’re behind Tor—but Pygmalion had access to the server. This means customer data is likely now in the hands of the authorities.
To everyone who placed orders around April 2024 or later: