在对澳大利亚和新西兰地区的公司发起猛烈网络攻击之后,RansomHub勒索软件团伙又在继续造成威胁,在其暗网泄漏网站上发布了超过4TB的澳大利亚公司数据。
到目前为止,最大的数据泄露属于维多利亚州公司Kempe Engineering,该团伙声称于8月7日对该公司进行了网络攻击。RansomHub声称仅从Kempe公司就窃取了4TB的数据,目前已公布了属于该工程公司的40个独立文件夹的数据。
这些信息包括项目数据,例如一个标有“wacorp”的文件夹,其中似乎概述了该公司在西澳大利亚的运营业务和项目,而另一个文件夹包含大量发票和信用卡收据。在这些数据中,还散布着数十张护照扫描件和大量紧急联系电话列表。
Kempe公司没有对勒索软件团伙的指控发表评论,并且迄今为止一直保持沉默。
另一家工程公司McDowall Affleck证实,该公司在8月2日遭受了勒索软件攻击,此前RansomHub已于前一天宣布对此次网络攻击负责。RansomHub现已分享了在此次攻击中窃取的全部470GB数据,其中包括许多工程项目的详细信息和大量人力资源信息——COVID-19疫苗接种详细信息、生日、员工审查数据以及雇佣合同和薪资详细信息。
塔斯马尼亚的Hudson Civil Engineering公司也在8月7日遭到RansomHub的网络攻击,该公司被勒索软件团伙窃取了112GB的内部数据,现在这些数据也被公布在暗网上。
该公司泄露的数据包括大量管理信息,包括紧急联系方式、雇佣合同和其他员工数据。此外,还包括地方和州政府项目的招标文件。更特别的是,泄露数据包含伯尼机场和霍巴特国际机场的招标书和项目计划。
RansomHub还公布了该勒索软件团伙声称从悉尼珠宝店Pierre Diamonds窃取的3GB数据。该团伙于8月6日声称对此次黑客攻击负责,并已公布了这些数据,其中似乎主要是网站代码,以及壁挂式咖啡机的说明书。
进行这数起针对澳大利亚的网络攻击的可能是RansomHub团伙本身或其特定的附属机构,因为该团伙将其勒索服务出租给其他黑客,使其他黑客成为了他的附属机构,并在勒索赎金后按比例分赃。
RansomHub勒索软件团伙还公布了他们声称于8月8日从新西兰设计卖场Allium Interiors窃取的32GB数据。同样,泄露的数据似乎有大量该商店的在线门户网站的源代码,但大部分数据都在一个压缩文件中。然而,目前RansomHub的暗网泄密网站似乎无法处理下载zip文件,因此很难确定被窃取材料的性质。
RansomHub勒索软件团伙于2024年2月中旬出现,并已将多个企业列为其攻击的受害者,这些攻击是通过加密数据和数据泄露进行勒索。
RansomHub勒索软件团伙的暗网泄密网站列出了多个受害者,其暗网V3网址是:http://ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion
该团伙在暗网泄密网站自称团队成员来自不同国家,只对美元感兴趣。且他们不允许将独联体国家、古巴、朝鲜和中国列为目标,不允许再次攻击已经付款的目标公司,不允许将非营利性医院和一些非营利性组织列为攻击目标。
本月初,多名网友向”暗网下/AWX“爆料,称之前的诈骗平台自由城暗网市场突然又回归了,希望能给予鉴定。于是本站在7月份多次探访了新恢复的自由城暗网市场。
2022年底,本站(anwangxia.com)曾独家揭露分析了前五大中文暗网平台的近况。随着Telegram等匿名通信软件的兴起,中文暗网市场的各大平台逐渐走向没落,除了”长安不夜城“还在苦苦挣扎外,其他平台都在争先恐后的屠宰用户,剩余的没有油水能榨取的平台则选择了关门大吉。
自由城(FREECITY)曾经也是排名靠前的中文暗网交易市场,不过如”暗网下/AWX“之前的介绍,2022年底的时候,自由城已经完全沦为诈骗平台,管理员不处理市场里的纠纷,就算交易了也没有售后。且该平台充值是200人民币起充,激活账号需要100人民币或者等值的BTC、ETH、USDT。
该暗网市场称自己是”暗网黄金的城市“,自我介绍为”中文匿名担保交易市场 论坛社区 十几万人客户,开放的论坛,丰富的产品 充币迅速,自动提币(1~5分钟到账)“。但是该暗网市场往后的经营却不是如此,又印证了那句话:”理想很丰满,现实太骨感“,这个吹嘘的介绍与诈骗网站的话术无异。
由于持续地收割用户,自由城暗网市场的信任度大打折扣,人气一跌再跌。终于在2023年底,该暗网交易市场彻底关闭了,大家一度认为是”退出骗局“,卷走用户的资金跑路了 。但是其官方Telegram频道却发布了一则公告:
由于意外的服务器托管错误,服务当前暂时暂停。 我们的管理团队正在努力工作,以尽快解决此问题。 为了维护我们频道的完整性并防止垃圾邮件,聊天对话已被暂时阻止。 我们将及时提供最新情况。 感谢您的耐心和理解。
许多国外暗网市场”退出骗局“的原因也经常称服务器故障或者网站被黑,但一般都不会再恢复了。自由城暗网市场收割完用户的资金后是可以全身而退的,却选择在半年后恢复,这是为了什么?再收割一波?该暗网市场7月初的公告称:
好消息:网站上线了。
❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️❤️
六个月之前,服务器问题导致了中断。
尽管我们做了很多努力,但未能恢复用户数据。
请各位用户重新注册。
网址以前一样。
http://anwangokzgv725vgg3sjxu7rmwvvod47ilmhd7prhjorzn6pvngvruyd.onion
注册教程
https://t.me/freecitystudy/62
有疑问,不要介意,随时联系管理。
@freecityadmin
根据该公告,以前的数据全没有了,新的自由城暗网市场是全新的开始,那以前用户的币呢?其公告表示,2023年12月之前还有余额的客户,请向他们提交余额证明 @freecityadmin, @freecityfox。他们官方正在讨论恢复措施,对于之前还有余额的用户请等待通知。不过目前为止,”暗网下/AWX“并未接到网友对于自由城返还资金的反馈,由于之前的网站无法访问,大概”余额证明“很难有吧。
为了吸引新的韭菜,该暗网市场表示,至2024年12月31日,自由城平台免会员费,注册就自动激活。也就是,之前需要”100人民币或者等值的BTC、ETH、USDT“的激活费用,暂时不需要了。言外之意,只要进来充值就行。
经”暗网下/AWX“测试,目前只要通过Telegram机器人获取一个账号,就可以登录自由城(FREECITY),且显示为”永久会员“,”可以无限利用论坛,市场,短信“。目前该暗网网站平台分为”担保市场“与”论坛社区“两个功能区,其中”担保市场“分为”QP/CP专属”、“账户交易专属”、“数据情报”、“服务接单”、“虚拟资源”、“实体物品”、“微信专卖”、“特色专属”、“CVV梳理”、“私人担保“等10个分类。不过无论哪个功能区,包括首页的公告与广告区,遍布着垃圾广告,完全不像一个正儿八经的暗网交易市场,进一步证明该暗网平台试图赚钱的初衷没有改变。
“自由城”的两个暗网域名:
http://anwangokzgv725vgg3sjxu7rmwvvod47ilmhd7prhjorzn6pvngvruyd.onion
http://xbtppbb7oz5j2stohmxzvkprpqw5dwmhhhdo2ygv6c7cs4u46ysufjyd.onion
”onion666暗网导航“针对该暗网市场最新的评论时间是2023年3月,内容是”这是一个诈骗网站 先激活就100这没问题 然后个人账户充值就一直不到账 能不能再狗一点 几百块钱都要卷“,之后没有针对恢复后网站的新评论。
虽然中文暗网市场没有太多选择,但”暗网下/AWX“依然建议谨慎使用该暗网交易市场,有黑历史,意味着未来依旧会继续割韭菜,这是历史规律。
更多暗网新闻动态,请关注“暗网下/AWX”。
近日,一个自称为”Vanir Group“的新勒索软件团伙最近首次出现在公众视线。该团伙在短时间内攻击了三名受害者,并通过一个暗网数据泄漏网站公开了他们的行动。本站(anwangxia.com)尝试访问了该暗网勒索团伙的暗网网站。
在他们的暗网网站上,”Vanir Group“给他们勒索的目标留下了一条恐吓信息,收信人是受影响公司的首席执行官或域名管理员。以下是部分内容:
您好,您一定是域名管理员或首席执行官,换句话说,您是我们最新的受害者。
您阅读这条信息意味着贵公司的内部基础设施已被入侵,您的所有备份都已删除或加密。
我们还窃取了贵公司持有的大部分重要数据。
今后,与我们合作将符合贵公司的利益,以避免进一步蒙羞。
我们知道一切。我们仔细研究了贵公司的所有财务状况,我们知道贵公司需要支付的合理价格。
我们会公平地对待你们。
如果您选择无视我们的善意,向执法部门或数据恢复专家报告,让他们帮您想办法恢复丢失的数据,您只会损失的是时间和金钱,而我们在这个过程中失去的是耐心。
失去耐心将导致您的敏感信息泄露给您的竞争对手和其他网络犯罪分子,他们肯定会从中获利。避免这种情况对您最有利。
我们始终愿意进行谈判,因为我们认为对话应该是第一选择,而激烈的行动应该留到最后。
如果我们无法达成协议,我们将出售或赠送我们从您那里窃取的所有信息。
”Vanir Group“声称对受影响公司的财务状况了如指掌,这表明赎金价格是经过精心计算的。他们威胁说,如果不满足他们的要求,就会出售或分发被盗数据,这也是勒索软件集团的一贯套路,那就是双重威胁,既加密数据,又威胁泄露数据。
”Vanir Group“的暗网网站 ”Vanir Group“的暗网网站设计的非常有创意,酷似一个Linux系统的终端,且操作也如一个真的互动终端。在这个终端里可以输入四个命令:输入”help“等命令,查看可用命令列表;输入”news“命令,查看有关该勒索集团及其受害者的信息;输入”victims“命令,可以查看所有受害者的名单;输入”clear“命令,可以清除当前屏幕显示。
在页面中,”Vanir Group“还邀请潜在的附属组织与他们联系,暗示他们正在寻找合作者来扩大他们的行动:
“要加入我们,请在Tox上给BlackEyedBastard发消息,以便对你进行审查”。
”Vanir Group“是”暗网下“观察到的网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司,给潜在受害者和执法部门都敲响了警钟。企业必须加强网络安全防御,采取预防措施,避免成为该勒索软件集团的下一个受害者。
三位受害者中包含中国的企业 通过”Vanir Group“的暗网泄密网站,”暗网下/AWX“输入了”news“与”victims“命令,获取了三位受害者信息,具体如下:
Beowulfchain.com,美国公司,Beowulfchain是一个去中心化的通信和数据网络,使企业能够无障碍地提供通信。于2024年7月7日被”Vanir Group“攻击并锁定,被窃取17GB内部数据。
Qniao.cn,中国公司,千鸟互联是中国第一家中国印包产业链数字化交易服务商。”Vanir Group“未公开攻击时间,但透露该企业被窃取80GB内部数据。
Athlon.com,荷兰公司,Athlon是运营车辆租赁和移动解决方案的国际供应商。于2024年6月3日被”Vanir Group“攻击并锁定,被窃取20GB内部数据。
对于”千鸟互联“(Qniao.cn),”暗网下/AWX“查看了其官方网站,这是一家互联网辐射的印刷包装产业链交易服务平台。根据其网站介绍,”千鸟互联是中国第一家中国印包产业链数字化交易服务商。先进的“智能云工厂+闭环供应链”模式,通过自主研发的IOT+MES系统创造性地把数万家印刷包装厂的数十万台生产设备连接起来,有效整合闲置产能,可视化管控生产流程,形成更加智慧、高效的智能云工厂;并且通过自建“前置工厂+智慧物流体系”,重新构建印刷包装产业更加高效、便捷的供应链体系,最终以更低的价格、更高效的管控为烟酒、珠宝、家具、灯饰、玩具、食品、化妆品、电子产品、物流快递等数十个需要纸包装的行业提供订单生产的完美交付。 千鸟互联用互联网手段赋能传统产业,自2017年成立以来,迅速打造了以“千鸟云印、千鸟原纸、千鸟回收、千鸟金融”为核心的产品矩阵。截止目前,千鸟业务范围辐射广西、安徽、浙江、福建等超过十个城市,单月营收已近2亿元。预计2021年营收将突破15亿,纳税额超过2亿。 业务的飞速发展,让千鸟很快得到国内众多顶级投资机构的亲睐,先后获得了广东省宣传部旗下广东文投创工场、中国前三名天使投资机构梅花创投、腾讯史上第一个投资人刘晓松主导的青松基金、深圳广电集团旗下的前海天和文化基金等顶级投资人共五轮过亿风险投资。“这么大的企业居然被勒索,因此,网络安全还是需要重点投入。
”暗网下/AWX“一年前曾经曝光了暗网枪支商店”TOR GUNS”,看起来很逼真的卖枪网站其实是纯粹的诈骗网站。然而,暗网上太多类似的诈骗网站,让网友们防不胜防,近日,本站官方Telegram群组的网友举报了另一个暗网商店:”Black Market”,号称可以买卖枪支,但其实也是一个持续诈骗若干年的诈骗网站。
令人惊讶的是,暗网武器军火商店”Black Market”在Onion666暗网导航的”在线交易“类别里已经存在好多年了,虽然评论里一片质疑声,但没人举报或者投诉,直到昨天,才有匿名网友称”骗人了,付了比特币然后根本没有任何售后和产品给你“、”直接就是诈骗,我这里比特币付款记录我都保存着的,真的是死爹妈的狗玩意“。同一天,本站(anwangxia.com)官方Telegram群组的网友”我是小名“在群组举报道”曝光一个骗子暗网,付了比特币之后就没有任何回应了“,并指出该暗网网站链接来自Onion666暗网导航。
“暗网下/AWX”根据Onion666暗网导航的地址访问了这个暗网诈骗商店“Black Market”,该诈骗网站——武器商店”Black Market”的暗网onion域名为:
http://weapon5dj7fwz2zaqa22fqeaqrauclim5kfvecegphrvxeywxoa3wuid.onion
该V3域名以”weapon“打头,但商店名称却是”Black Market“,有点驴头不对马嘴。
打开网站后,是很简单的首页(index.php),也算一个引导页面,诈骗话术也很单一:
您需要一个可靠的、服务质量有保证的供应商吗?
现在就选择您所需要的,我们在全球范围内发货,并保证所有实物货物的成功运输。此外,我们还拥有一个武器库存齐全的仓库,并知道许多运送武器的方法。这就是我们的包裹递送策略。
点击”See products“进入商品页面(shop.php),该页面展示了24个商品,包括枪支、枪支配件、毒品、假钞、假冒证件等等。其中数量最多的是枪支,种类很多,从手枪到狙击步枪,给人琳琅满目的感觉,一眼看去,有”沙漠之鹰 357 马格金色虎纹手枪“、”雷明顿防御 XM110 SASS 308狙击步枪“、”TSS Custom AK 47 AKMS 底夹 24K 金“等等。所有商品列表具体如下:
Desert Eagle 357 Mag GOLD TIGER STRIPE
Remington Defense XM110 SASS 308
Barrett M107A1 20inch CQ FDE 50 BMG QDL Suppressor
COLT LE6920 M4 AR-15 5.56NATO w/Optics
TAVOR Mepro 21 SAR IDF Israel weapons Industry (IWI)
FN PS90 w/Red-Dot 5.7X28
Savage Mark II TRR-SR 22 lr TB 22L-1 Thunderbeast
暗网市场DrugHub是一个新兴市场,也是暗网市场“White House Market”的前身,前不久该市场接管了暗网市场SuperMarket的账户。暗网市场SuperMarket也是一个新兴市场,也是一个从一开始就麻烦不断的市场。
“暗网下/AWX”梳理了这两个暗网市场的故事,在SuperMarket市场存在初期,由于XMR漏洞,造成了巨大的损失。人们普遍认为,在“Incognito Market”背后的运营者被捕后,“Father Bear”偷走了所有用户的资金,在看到给他的指控后,这让他心寒不已,再三猜测自己是否适合经营市场,然后继续偷走了中央钱包的资金。
后来,“Mama Bear”决定他们不再经营SuperMarket市场,并放弃数据库,以便用户能够通过DrugHub市场获得全额赔偿。
鉴于最近“Incognito Market”和“Kingdom Market”(这两个市场都曾是当时的头号暗网市场)的破产,给暗网的黑市带来了巨大冲击,掀起了轩然大波。由于暗网交易市场上本身充斥着破产和退出骗局,许多用户开始感到绝望。此举实际上是为了让许多用户重拾对这些市场的信心,并在DrugHub方面赢得更多信誉。
然而,近期暗网市场DrugHub又引发了一些争议,在暗网论坛Dread上,有用户称,DrugHub保护市场里的骗子供应商。“暗网下”分析,有可能该市场本身也是诈骗市场。
对此,暗网媒体@DarkWebInformer发布推文称,自从暗网市场SuperMarket选择退出骗局后,该市场的其中一位管理员与暗网市场DrugHub合作,称为那些在SuperMarket遭受损失的用户“弥补”损失。但@DarkWebInformer表示一直怀疑DrugHub是也是一个骗局,并提醒大家不要支持DrugHub,不要支持其供应商mrmonk。
Ever since SuperMarket exit scammed and one of the admins 'worked' with DrugHub to make things 'whole' for those who lost out at SuperMarket.. I've always been suspicious at how DrugHub is run.
DO NOT support DrugHub!!! 🖕
DO NOT support the vendor mrmonk!!!🖕 pic.twitter.com/p9KxcXxQtQ
— Dark Web Informer (@DarkWebInformer) July 10, 2024 暗网论坛Dread上针对mrmonk的举报帖子 Dread用户/u/zx21发布帖子“drughub的mrmonk对我进行了人肉搜索,我因为举报他是骗子而在/d/drughub上被禁言十年”,帖子称drughub欠其一个解释,为什么drughub要保护一个人肉搜索的骗子。
帖子描述道,他已经十多次举报供应商mrmonk是骗子,希望DrugHub能确认并引起重视,然而他却因在/d/drughub上发布关于/u/mrmonk的帖子而被禁言十年。
近期,DarkWebInformer推荐了一个经过验证的暗网交易市场”Nexus Market“,并介绍称该市场接受BTC和XMR,用户可以在这里购买“各种东西”。
根据”Nexus Market“的官方介绍,”Nexus Market“是一个可以信赖的下一代暗网市场,于2023年11月推出。半年多来,”Nexus Market“一直在持续发展,并在发展的过程中实现独特的功能,”Nexus Market“表示未来会基于市场建设一个论坛版块,用于交流。
根据介绍,”Nexus Market“提供7*24全天候客户支持,且有专门的争议处理团队,能在5-10分钟内响应,任何问题都会立即得到解决。”Nexus Market“正在邀请暗网客户来到该市场,自称接受比特币和门罗币付款,可以为客户提供难忘的体验。”Nexus Market“自称不收取押金费用,不收取买家费用,只收取5%的供应商费用。
”暗网下/AWX“简单探访了”Nexus Market“暗网市场,最基础的安全很到位,首先是常规的防DDoS的验证码页面,接着是防止钓鱼网站的暗网URL域名验证(Anti-Phishing)。值得一提的是”Nexus Market“设置的注册与登录验证码,很创新也很变态。简单注册后进入该市场,网站两种浏览模式(默认暗黑模式),样式很简洁大方,兼容移动端访问,网站响应速度尚可。用户初始进入该暗网市场后,跳出一个规则介绍的弹框:
👋 欢迎来到 NEXUS Market,很高兴您能加入我们!🌟
我祝愿您在我们的市场上有一个愉快的旅程,我们希望您能留在这里,我们将共同奠定一个成功企业的基础,让每个人都能从中受益,并在最短的时间内获得开展活动所需的一切帮助。
成为供应商有两种方法:
对于老供应商,只有在其他市场有销售记录且至少有250笔销售额的情况下才能成为供应商。 对于没有销售记录的供应商,选择新手供应商,需要一次性支付500美元的费用,该费用不予退还。 托管期为7-21天,这取决于供应商希望提供的托管金额,自托管期满起最多3天内可提出争议(如果托管期满,资金将在托管期内再保留3天,在这3天内,如果未收到订单,可提出争议)。
如有任何疑虑,请向支持团队提出申请,但在此之前请先查阅常见问题。
我们的用户可以从私人镜像中获益,任何供应商都可以立即从私人链接中获益,而买家只有在市场上首次下单后才能从私人镜像中获益。
我们的官方镜像是:
http://nexusabcdkq4pdlubs6wk6ad7pobuupzoomoxi6p7l32ci4vjtb2z7yd.onion
http://nexusb2l7hog66bnzz5msrz4m5qxj7jbi7aah3r65uzydy5mew2fu3id.onion
http://nexusma2isutrqi4ineftrzqzui7tefsyeonxsttsnwzdxxpxay26eqd.onion
请点击此处检查这些链接是否与我们的 PGP 密钥签名的链接一致。
从功能而言,”Nexus Market“暗网市场也是集大成者,经”暗网下/AWX“测试,该市场支持用户后台,支持供应商发布商品,支持各式商品的交易,支持tickets客服,支持与供应商私信,最吸引用户的是其加密货币钱包同时支持比特币、门罗币、莱特币,充币与提币很便捷。
目前”Nexus Market“显示拥有14313个商品,商品分类包括”大麻和哈希、苯丙胺类、摇头丸、兴奋剂、类固醇、阿片类药物、分离剂、迷幻药、处方药、其他、数字类“,从商品分类看,该暗网市场似乎以毒品与药物为主,但是其实”数字类“商品的数量占多数,包括”伪造物品、假护照、其他物品、财务文件、服装、身份证/证件、执照和许可证、货币、电子产品 、假身份证件、黄金和珠宝、白银、欺诈、账户和银行流水、个人信息、CVV和卡、被盗数据库、黑客和网络安全、课程和教程 、网络安全和保护、黑客工具和设备、黑客服务、指南和教程、社会工程、电子书、主机托管、SOCKS、软件和恶意软件、VPN“,商品琳琅满目,让人很难相信这是一个建立仅几个月的暗网市场,”暗网下“从目前的数据无法判断所有商品的真伪。根据网站下方的提示,该暗网市场诞生才210来天。
”Nexus Market“的暗网V3域名为:
http://nexusabcdkq4pdlubs6wk6ad7pobuupzoomoxi6p7l32ci4vjtb2z7yd.onion
”Nexus Market“的暗网镜像域名:
http://nexusb2l7hog66bnzz5msrz4m5qxj7jbi7aah3r65uzydy5mew2fu3id.onion
http://nexusma2isutrqi4ineftrzqzui7tefsyeonxsttsnwzdxxpxay26eqd.onion
”Nexus Market“在暗网论坛Dread拥有子版块”/d/nexus“,供用户与供应商交流,子版块的存在也进一步验证了该暗网市场的可靠性。暗网交易市场都会靠谱到它突然倒闭的那一天,一般而言,突然倒闭的原因有三:退出骗局、警方查封、赚足退休。
在Dread论坛,曾有用户”letsplay“发表”Nexus Market是个垃圾市场(请勿使用)“的帖子,称他在”Nexus Market”的subdread上发了一个咨询帖,但管理员和版主都置之不理。他说任何试图用误导性信息尽可能延长资金托管时间的市场都可能是诈骗市场。虽然大多数卖家对此谈论不多,也不抱怨。他主要抱怨如果供应商选择21天作为托管定时器,市场规则会增加3天,使定时器变为24天,但市场从未在任何地方提到过这3天。管理员和版主回复了子论坛上发的很多帖子,却忽略了他想要的答案。 对此”Nexus Market”管理员“Alpha”很愤怒的回复称,如果您在市场里开个ticket,他们的支持团队会很快给出回复。他表示没有时间在Dread的子版块中回答一些愚蠢的问题,这些问题的答案其实可以在常见问题中找到。“Alpha”称不会在子版块中回答任何愚蠢的问题,谁要相信”Nexus Market“是市场骗局,那是他们自己的问题。从其他用户的回复看,”letsplay“的问题应该只是个例,不影响”Nexus Market“目前的声誉。
”Nexus Market“是否能保持靠谱下去,是否能够成长为暗网最大的交易市场,本站(anwangxia.com)将保持跟进。
更多暗网新闻动态,请关注”暗网下/AWX“。
2021年12月,暗网论坛Dread的版主”HeadJanitor“曾经发布一个主题帖子”接受门罗币(XMR)的VPS和云服务/托管提供商“,列出了一份全面的VPS和云服务/托管提供商列表,这些提供商要么(a)对Tor友好,要么(b)接受Monero(XMR),并且注重隐私。
近日,DarkWebInformer发推表示,时过境迁,虽然这篇文章已经发表了近3年,但仍有很大的现实意义。
当时”HeadJanitor“发布的列表(并提示了要求用户自行验证)如下:
1 https://www.trilightzone.org/ [privacy-based]
2 https://www.xmrvps.com/ [privacy-based]
3 https://ablative.hosting/ [privacy-based]
4 https://ablative.hosting/shared-single-hop-onion-hosting [privacy-based]
5 https://anycolo.net/
6 https://flokinet.is/ [privacy-based]
7 https://www.swisslayer.com/ [privacy-based]
8 https://koddos.net
9 https://www.privex.io/ [privacy-based]
10 https://www.epio.host/ [privacy-based]
11 https://incognet.io/ [privacy-based]
12 https://5wire.co.uk/
13 https://userbase.com/
14 https://nicevps.net/
15 https://cryptoho.st/ [privacy-based]
16 https://cryptwerk.com/
17 https://host-world.com/monero-vps [privacy-based]
18 https://abacohosting.com/
19 https://evolution-host.com/
20 https://qhoster.com/
21 https://whattheserver.com/
22 https://codify.global/
23 https://www.superbytehosting.com/
24 https://www.superbithost.com/ [privacy-based]
25 https://www.nexwave.ca/
26 https://www.hostingssi.com/
27 https://blazinhosting.net/
“暗网下/AWX”前年11月曝光了骗人的暗网市场BlackMart,介绍了该诈骗暗网市场的骗术很低级,配送页面、星级评价、担保商看起来像一个正常的暗网市场,其实都是骗子伪造的,这是一个迷惑性极强的网站。
最近,又有热心网友“justin”在评论中向“暗网下/AWX”举报“BlackMart”还在继续行骗,并且已经更换了新的暗网域名,他说:
所以我刚刚读了你关于BlackMart的文章,虽然有点晚了。我以65美元的价格购买了价值1000美元的PayPal,但总成本是140加元。我向BlackMart下订单的钱包发送了价值95美元的比特币。但一直没有收到任何东西,然后今天钱包就空了。请尽你们所能去宣传他们仍在运营和诈骗的消息。我还有交易的截图。这是他们现在使用的网站。
经测试,“暗网下/AWX”发现诈骗暗网市场“BlackMart”之前的暗网域名(blackma6xtzkajcy2eahws4q65ayhnsa6kghu6oa6sci2ul47fq66jqd.onion)已经无法访问,“justin”提供的新暗网域名可以正常访问,“BlackMart”新更换的暗网onion域名为:
http://blackma333zetynnrblc7uidfp2tewhtwpojxxvmty3n4cdsc7iyukad.onion
诈骗暗网市场“BlackMart”功能与上次的介绍相差不大,整体清新简洁的网站设计也没改变,只是Logo的颜色由橙色改成了绿色,除此之外,细节上也有几点变化。
一是虚假的星级评价不再只是英文,添加了各国语言。打开商品页面,映入眼帘的许多好评,有中文评价“做的好”,匈牙利语评价“非常好”,瑞典语评价“交货快”,罗马利亚语评价“交货快捷,礼品卡精选”,日本语评价“快速运输,很棒的礼品卡选择”等等。
二是新增了诈骗话术,页面商品介绍下增添了“买家保障”的提醒:如果您没有收到订单,可全额退款。如果商品与描述不符,可全额或部分退款。
三是该市场提供的所谓暗网担保网站(The Escrow)更加逼真。该诈骗市场的担保网站(escrowkwttyhfyab3clkln7lfveyg7pfdwsv5vner35mhg7oaqz5uiid.onion)的诈骗话术相当迷惑人:“The Escrow自2015年起为客户提供服务,是您全天候的深度网络购物合作伙伴。您的资金安全是我们的第一要务,因此我们全天候为您提供服务,确保您的交易安全无忧。”。
网友”justin“提供了其与诈骗网站站长的交涉的详尽截图,让我们一睹骗子的嘴脸:
1、网友”justin“下单,根据要求进行BTC转账,没有收到所谓的Paypal商品。
2、发送邮件至[email protected],告知已经按照要求转账,但没有收到商品。
3、骗子回复道,感谢订单,但是这个65美元商品出现技术问题,120美元与175美元的商品正常,请继续转账,然后顶多2小时就可以收到商品了。
4、网友”justin“发现被骗。
5、网友”justin“联系担保网站The Escrow,其要求在该网站再次下单,准备再次诈骗。
“暗网下/AWX”对该“justin”的购买PayPal被骗的比特币支付进行了分析:
1、支付地址为:1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT,交易hash为:cadde8547bda075484dd94207842e27bc8dbe11c68f476baf87f38b6d1ce437c,时间为:2022-03-31 08:47:15
2、该地址1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT仅诈骗了这一笔,共计0.00135690个BTC。
本站(anwangxia.com)已经将“BlackMart”的新暗网域名向合作伙伴“onion666暗网导航”进行了通报。“暗网下/AWX”将持续曝光暗网里的各种诈骗网站,感谢热心网友“justin”提供的截图与线索,希望被骗的其他网友都能站出来积极举报,请将截图发至[email protected]。
更多暗网新闻动态,请关注“暗网下/AWX”。
“道高一尺魔高一丈”,这是一个令网络犯罪群体振奋的故事,也是让世界最顶级执法机构尴尬的故事。
正如“暗网下/AWX”前期报道的,网络犯罪分子正计划全面恢复BreachForums网站。在美国联邦调查局(FBI)查封BreachForums基础设施并逮捕两名管理员仅两周后,暗网上最大的数据泄露论坛BreachForums再次重返明网和暗网。尽管FBI做出了十足的努力,但第二版BreachForums管理员之一ShinyHunters还是重新获得了明网域名,并开启了新的暗网域名。
针对BreachForums的执法行动于2024年5月15日开始,本站(anwangxia.com)做了及时详尽的报道,当时FBI在国际执法协调努力下查封了属于BreachForums网站的基础设施,包括所有域名。同时据称,FBI在此执法过程中逮捕了两名管理员。然而没过几天,BreachForums的主要管理员ShinyHunters(同时也是黑客)通过联系位于中国香港的域名注册商NiceNIC,在FBI眼皮底下成功夺回被扣押的明网域名“breachforums.st”,.st为圣多美和普林西比国家及地区顶级域(ccTLD)的域名。
ShinyHunters如何夺回明网域名 由于FBI已经掌握BreachForums的暗网域名私钥,之前的暗网域名处于与FBI的争夺战中,已经无法正常使用。因此该论坛已经为暗网采用了一个新域名(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion),同时也已使用原始明网域名(breachforums.st)重新上线。其他BreachForums相关的明网域名,包括escrow.breachforums.st、breached.in和另外两个停放域名,也已从FBI的扣押中收回。
ShinyHunters分享了一封电子邮件,声称这是联邦调查局网络部门的一名计算机科学家与域名注册商NiceNIC之间的正式对话。这封电子邮件提供了有关明网域名争夺事件的深入背景,并解释了ShinyHunters如何重新获得对被扣押域名的访问权限。
根据这封电子邮件,FBI的网络部门于2024年5月15日对BreachForums进行了一次行动,扣押了多个域名,包括在NiceNIC注册的域名breachforums.st。这些域名是通过法院下达的搜查令合法扣押的。
然而,在扣押几个小时后,breachforums.st域名被归还给原所有者ShinyHunters,而FBI的NiceNIC账户(注册为“bf_fbi”)被暂停。
随后,FBI要求NiceNIC重新激活其账户并归还被扣押的域名,理由是NiceNIC的服务条款禁止宣传网络犯罪。FBI敦促,如果无法归还域名,则应该将该域名解析的服务器更改为FBI拥有的服务器,或者应该暂停解析这些域名以防止进一步的伤害。
目前无法得知NiceNIC对FBI的回应。然而,该域名以原始形式归还给ShinyHunters的事实表明该公司没有遵循FBI的要求。
ShinyHunters在TG频道宣布了新的消息 5月28日,ShinyHunters先是在其Telegram频道发布了breachforums.st域名,Telegram的预览已经显示了该网站的介绍,证明该明网域名已经可以访问了,该域名赢得了很多红心点赞。
接着,15个小时后,ShinyHunters又发布新的公告“Registrations now open”,至此BreachForums完全恢复了被FBI查封前的状态,也恢复了往日的繁华。
电子邮件对话 FBI发给域名注册商NiceNIC的邮件:
我是联邦调查局网络部的计算机科学家,也是联邦调查局域名业务的主要联系人之一。本周早些时候,即2024年5月15日,联邦调查局针对非法论坛和市场“BreachForums”采取了行动。
一些公共网络安全机构注意到了这些行动,并发布了关于域名查封和随后的扣押页面的文章。在行动当天早上,FBI查封了与BreachForums相关的几个域名,包括由NiceNic托管的breachforums.st和其他域名。我们通过向位于美国的账户所有者送达法院命令的扣押令,合法地扣押了这些域名。
我们从该账户中查封的所有网站都用于窃取、出售和共享从世界各地受害者那里窃取的数据。最终,我们努力关闭BreachForums是为了防止该网站对全球无数受害者造成进一步的伤害。
然而,在域名被扣押几小时后,大约在太平洋标准时间5月15日晚上9点,我们注意到,breachforums.st域名已从我们的监管中释放出来,并归还给最初的威胁行为者。我们还注意到,我们无法登录FBI在NiceNic的官方账户,该账户使用电子邮件[email protected](用户名:bf_fbi)注册,这让我们相信该账户已被暂停。
因此,除了将合法查获的域名归还给FBI的NiceNic账户之外,我还想提供一些有关情况的补充信息,希望能推翻账户被暂停的决定。
此外,在您的域名注册服务条款中,您提到所提供的服务不会用于“促进黑客攻击、破解或其他网络犯罪或活动”,但这些都是BreachForums中常见的活动。
如果无法将域名归还给FBI,我们将根据您的服务条款请求将域名解析的服务器更改为FBI拥有的域名服务器,或通过客户保留(clientHold)以防止其造成进一步损害。目前持有这些域名的NiceNic帐户“vincenzotroia”无视并违反了贵公司的服务协议,继续托管这些域名。
我期待着您的回复–如果您能就这一情况提供任何帮助或指导,我们将不胜感激。
敬上,
S***
FBI的尴尬局面 至此,“暗网下/AWX”认为,联邦调查局的局面略显尴尬。尽管他们努力查封了BreachForums的域名并摧毁其基础设施,但该论坛能够迅速恢复其原始的明网域名。这一事实凸显了几个问题,包括国际执法、运营困难、跨国基础设施、安全漏洞、公众看法以及法律和程序问题。
这也解释了为什么尽管事情已经过去了两周,以至于网站已经恢复,联邦调查局或司法部仍未发布详细扣押情况说明的新闻稿。尽管如此,目前而言,这种情况对网络犯罪分子来说是双赢的,既没有损失,也赚足了眼球。不过联邦调查局和其他参与该行动的执法机构下一步将如何采取行动,也将至关重要。
不过,这也间接证明了新的BreachForums并非FBI的蜜罐,而SecretForums大概就是哗众取宠地蹭热度罢了。
更多暗网新闻动态,请关注“暗网下/AWX”。
最近,BreachForums的竞争对手、另一个数据泄露论坛SecretForums的管理员Astounding在其Telegram连续发布多个公告,质疑第三版BreachForums是否是FBI的蜜罐。
名不见经传的SecretForums是个什么网站 SecretForums也是一个数据泄露论坛,在暗网与明网均可以访问,与BreachForums系列不同的是,SecretForums使用开源CMS程序XenForo搭建,而BreachForums系列一直使用的是开源CMS程序PHPBB。
根据SecretForums网站上的数据统计,该论坛拥有4000多用户,1000多主题帖,因此该网站具备一定的用户底数与访问量。在第二版BreachForums被FBI摧毁后,SecretForums宣布将给予前BreachForums会员与他们在网站上类似的排名。
SecretForums的明网域名是:
https://secretforums.net
SecretForums的暗网域名是:
http://secretsmt222qvdg6rcmgvx4dqqc2673yzyxjrrnabwklnn6qddyv5ad.onion
Astounding是Secretforums的管理员和Blackforums前所有者。本站(anwangxia.com)发现,Astounding连续三次在SecretForums的Telegram频道发布声明,质疑Baphomet以及新成立的BreachForums。当然,由于是竞争关系,也许是趁机打压BreachForums。但是在暗网下,一切皆有可能。
Astounding首次质疑被捕的BreachForums管理员Baphomet 5月17日,SecretForums在其Telegram频道发布公告”关于 Baphomet 和 BreachForums 的官方声明“,质疑Baphomet是FBI的线人,称Baphomet之前表达了协助管理Blackforums基础设施的强烈兴趣,还表示BreachForums存在安全问题。具体声明如下:
为什么我相信Baphomet是线人
大约五个月前,Baphomet 表达了协助管理 Blackforums 基础设施的强烈兴趣。 他多次请求建立堡垒服务器来帮助解析日志并解决安全问题。 但是,我从未授予任何人访问权限,也没有创建堡垒服务器。 我坚信我应该是唯一有权访问基础设施的人。 这项政策全年有效,我管理该网站一个月了。
需要澄清的是,其他管理员(包括 Lemonade、Eom 和 Lucy)都不拥有对Blackforums基础设施的完全访问权限。 我是负责其管理和安全的唯一个人。
当我在 Jacuzzi 2.0 中表达这一立场时,我收到了前论坛运营者ShinyHunters 的禁令。 这种反应增强了我对我的陈述的真实性的信心。
Breachforum 的安全问题
新的 Breachforum 存在切实的安全问题,该论坛将由 ShinyHunters 拥有,并根据旧备份构建。 Baphomet 作为该网站的开发者,对旧备份的使用提出了进一步的担忧。
如前所述,Baphomet 请求访问解析日志。 然而,值得注意的是,我们在任何情况下都不会保存我们网站的日志。 我们仅记录网站功能所需的关键信息,例如电子邮件地址、用户名和密码哈希值。 IP 仅从我们的反向代理记录,因为我们没有启用 X-Forwarded-For。
确保安全并记住保持您的运营安全达到标准以避免法律纠纷。
~Secretforums 管理员和 Blackforums 前所有者
Astounding在Telegram发布怀疑Baphomet的证据截图 5月23日,Astounding在Telegram频道发布了一些证明baphomet想要帮助维护服务器的聊天截图。
截图看出,2023年12月29日,Astounding说baphomet帮他修改了nginx配置,但并没有更改;2024年1月14日,baphomet要求Astounding创建一个堡垒服务器。
Astounding第三次发布与BreachForums相关声明 5月25日,Astounding在Telegram频道第三次发布了与BreachForums相关声明。称这是其第三次更新BreachForums声明,因为Aegis(”暗网下/AWX“注:BreachForums的另一位管理员)说其已经绝望了。
Astounding在声明中表示,管理员“ShinyHunters”从2024年5月8日的备份中发布了BreachForums的新版本。管理员不仅使用了旧的备份,还禁用了注册。如果大家回顾一下历史,2022年RaidForums还在的时候,FBI也做了同样的事情。他们禁用了注册功能,将网站变成了一个蜜罐。
目前尚未证实BreachForums是一个蜜罐,但Astounding称,必须让大家知道要格外小心,尤其是现在。他给BreachForums管理员“ShinyHunters”发了信息,但“ShinyHunters”不想对此发表评论。而另一位管理员“Aegis”则声称他绝望了。
Astounding还称,第三版BreachForums的暗网网站似乎非常死气沉沉,在过去60分钟内只有50位用户活跃。
第三版Breachforums的故事、SecretForums的故事、FBI蜜罐的故事,“暗网下/AWX”将长期保持高度关注。
更多暗网新闻动态,请关注“暗网下/AWX”。