暗网市场DrugHub是一个新兴市场,也是暗网市场“White House Market”的前身,前不久该市场接管了暗网市场SuperMarket的账户。暗网市场SuperMarket也是一个新兴市场,也是一个从一开始就麻烦不断的市场。
“暗网下/AWX”梳理了这两个暗网市场的故事,在SuperMarket市场存在初期,由于XMR漏洞,造成了巨大的损失。人们普遍认为,在“Incognito Market”背后的运营者被捕后,“Father Bear”偷走了所有用户的资金,在看到给他的指控后,这让他心寒不已,再三猜测自己是否适合经营市场,然后继续偷走了中央钱包的资金。
后来,“Mama Bear”决定他们不再经营SuperMarket市场,并放弃数据库,以便用户能够通过DrugHub市场获得全额赔偿。
鉴于最近“Incognito Market”和“Kingdom Market”(这两个市场都曾是当时的头号暗网市场)的破产,给暗网的黑市带来了巨大冲击,掀起了轩然大波。由于暗网交易市场上本身充斥着破产和退出骗局,许多用户开始感到绝望。此举实际上是为了让许多用户重拾对这些市场的信心,并在DrugHub方面赢得更多信誉。
然而,近期暗网市场DrugHub又引发了一些争议,在暗网论坛Dread上,有用户称,DrugHub保护市场里的骗子供应商。“暗网下”分析,有可能该市场本身也是诈骗市场。
对此,暗网媒体@DarkWebInformer发布推文称,自从暗网市场SuperMarket选择退出骗局后,该市场的其中一位管理员与暗网市场DrugHub合作,称为那些在SuperMarket遭受损失的用户“弥补”损失。但@DarkWebInformer表示一直怀疑DrugHub是也是一个骗局,并提醒大家不要支持DrugHub,不要支持其供应商mrmonk。
Ever since SuperMarket exit scammed and one of the admins 'worked' with DrugHub to make things 'whole' for those who lost out at SuperMarket.. I've always been suspicious at how DrugHub is run.
DO NOT support DrugHub!!! 🖕
DO NOT support the vendor mrmonk!!!🖕 pic.twitter.com/p9KxcXxQtQ
— Dark Web Informer (@DarkWebInformer) July 10, 2024 暗网论坛Dread上针对mrmonk的举报帖子 Dread用户/u/zx21发布帖子“drughub的mrmonk对我进行了人肉搜索,我因为举报他是骗子而在/d/drughub上被禁言十年”,帖子称drughub欠其一个解释,为什么drughub要保护一个人肉搜索的骗子。
帖子描述道,他已经十多次举报供应商mrmonk是骗子,希望DrugHub能确认并引起重视,然而他却因在/d/drughub上发布关于/u/mrmonk的帖子而被禁言十年。
近期,DarkWebInformer推荐了一个经过验证的暗网交易市场”Nexus Market“,并介绍称该市场接受BTC和XMR,用户可以在这里购买“各种东西”。
根据”Nexus Market“的官方介绍,”Nexus Market“是一个可以信赖的下一代暗网市场,于2023年11月推出。半年多来,”Nexus Market“一直在持续发展,并在发展的过程中实现独特的功能,”Nexus Market“表示未来会基于市场建设一个论坛版块,用于交流。
根据介绍,”Nexus Market“提供7*24全天候客户支持,且有专门的争议处理团队,能在5-10分钟内响应,任何问题都会立即得到解决。”Nexus Market“正在邀请暗网客户来到该市场,自称接受比特币和门罗币付款,可以为客户提供难忘的体验。”Nexus Market“自称不收取押金费用,不收取买家费用,只收取5%的供应商费用。
”暗网下/AWX“简单探访了”Nexus Market“暗网市场,最基础的安全很到位,首先是常规的防DDoS的验证码页面,接着是防止钓鱼网站的暗网URL域名验证(Anti-Phishing)。值得一提的是”Nexus Market“设置的注册与登录验证码,很创新也很变态。简单注册后进入该市场,网站两种浏览模式(默认暗黑模式),样式很简洁大方,兼容移动端访问,网站响应速度尚可。用户初始进入该暗网市场后,跳出一个规则介绍的弹框:
👋 欢迎来到 NEXUS Market,很高兴您能加入我们!🌟
我祝愿您在我们的市场上有一个愉快的旅程,我们希望您能留在这里,我们将共同奠定一个成功企业的基础,让每个人都能从中受益,并在最短的时间内获得开展活动所需的一切帮助。
成为供应商有两种方法:
对于老供应商,只有在其他市场有销售记录且至少有250笔销售额的情况下才能成为供应商。 对于没有销售记录的供应商,选择新手供应商,需要一次性支付500美元的费用,该费用不予退还。 托管期为7-21天,这取决于供应商希望提供的托管金额,自托管期满起最多3天内可提出争议(如果托管期满,资金将在托管期内再保留3天,在这3天内,如果未收到订单,可提出争议)。
如有任何疑虑,请向支持团队提出申请,但在此之前请先查阅常见问题。
我们的用户可以从私人镜像中获益,任何供应商都可以立即从私人链接中获益,而买家只有在市场上首次下单后才能从私人镜像中获益。
我们的官方镜像是:
http://nexusabcdkq4pdlubs6wk6ad7pobuupzoomoxi6p7l32ci4vjtb2z7yd.onion
http://nexusb2l7hog66bnzz5msrz4m5qxj7jbi7aah3r65uzydy5mew2fu3id.onion
http://nexusma2isutrqi4ineftrzqzui7tefsyeonxsttsnwzdxxpxay26eqd.onion
请点击此处检查这些链接是否与我们的 PGP 密钥签名的链接一致。
从功能而言,”Nexus Market“暗网市场也是集大成者,经”暗网下/AWX“测试,该市场支持用户后台,支持供应商发布商品,支持各式商品的交易,支持tickets客服,支持与供应商私信,最吸引用户的是其加密货币钱包同时支持比特币、门罗币、莱特币,充币与提币很便捷。
目前”Nexus Market“显示拥有14313个商品,商品分类包括”大麻和哈希、苯丙胺类、摇头丸、兴奋剂、类固醇、阿片类药物、分离剂、迷幻药、处方药、其他、数字类“,从商品分类看,该暗网市场似乎以毒品与药物为主,但是其实”数字类“商品的数量占多数,包括”伪造物品、假护照、其他物品、财务文件、服装、身份证/证件、执照和许可证、货币、电子产品 、假身份证件、黄金和珠宝、白银、欺诈、账户和银行流水、个人信息、CVV和卡、被盗数据库、黑客和网络安全、课程和教程 、网络安全和保护、黑客工具和设备、黑客服务、指南和教程、社会工程、电子书、主机托管、SOCKS、软件和恶意软件、VPN“,商品琳琅满目,让人很难相信这是一个建立仅几个月的暗网市场,”暗网下“从目前的数据无法判断所有商品的真伪。根据网站下方的提示,该暗网市场诞生才210来天。
”Nexus Market“的暗网V3域名为:
http://nexusabcdkq4pdlubs6wk6ad7pobuupzoomoxi6p7l32ci4vjtb2z7yd.onion
”Nexus Market“的暗网镜像域名:
http://nexusb2l7hog66bnzz5msrz4m5qxj7jbi7aah3r65uzydy5mew2fu3id.onion
http://nexusma2isutrqi4ineftrzqzui7tefsyeonxsttsnwzdxxpxay26eqd.onion
”Nexus Market“在暗网论坛Dread拥有子版块”/d/nexus“,供用户与供应商交流,子版块的存在也进一步验证了该暗网市场的可靠性。暗网交易市场都会靠谱到它突然倒闭的那一天,一般而言,突然倒闭的原因有三:退出骗局、警方查封、赚足退休。
在Dread论坛,曾有用户”letsplay“发表”Nexus Market是个垃圾市场(请勿使用)“的帖子,称他在”Nexus Market”的subdread上发了一个咨询帖,但管理员和版主都置之不理。他说任何试图用误导性信息尽可能延长资金托管时间的市场都可能是诈骗市场。虽然大多数卖家对此谈论不多,也不抱怨。他主要抱怨如果供应商选择21天作为托管定时器,市场规则会增加3天,使定时器变为24天,但市场从未在任何地方提到过这3天。管理员和版主回复了子论坛上发的很多帖子,却忽略了他想要的答案。 对此”Nexus Market”管理员“Alpha”很愤怒的回复称,如果您在市场里开个ticket,他们的支持团队会很快给出回复。他表示没有时间在Dread的子版块中回答一些愚蠢的问题,这些问题的答案其实可以在常见问题中找到。“Alpha”称不会在子版块中回答任何愚蠢的问题,谁要相信”Nexus Market“是市场骗局,那是他们自己的问题。从其他用户的回复看,”letsplay“的问题应该只是个例,不影响”Nexus Market“目前的声誉。
”Nexus Market“是否能保持靠谱下去,是否能够成长为暗网最大的交易市场,本站(anwangxia.com)将保持跟进。
更多暗网新闻动态,请关注”暗网下/AWX“。
2021年12月,暗网论坛Dread的版主”HeadJanitor“曾经发布一个主题帖子”接受门罗币(XMR)的VPS和云服务/托管提供商“,列出了一份全面的VPS和云服务/托管提供商列表,这些提供商要么(a)对Tor友好,要么(b)接受Monero(XMR),并且注重隐私。
近日,DarkWebInformer发推表示,时过境迁,虽然这篇文章已经发表了近3年,但仍有很大的现实意义。
当时”HeadJanitor“发布的列表(并提示了要求用户自行验证)如下:
1 https://www.trilightzone.org/ [privacy-based]
2 https://www.xmrvps.com/ [privacy-based]
3 https://ablative.hosting/ [privacy-based]
4 https://ablative.hosting/shared-single-hop-onion-hosting [privacy-based]
5 https://anycolo.net/
6 https://flokinet.is/ [privacy-based]
7 https://www.swisslayer.com/ [privacy-based]
8 https://koddos.net
9 https://www.privex.io/ [privacy-based]
10 https://www.epio.host/ [privacy-based]
11 https://incognet.io/ [privacy-based]
12 https://5wire.co.uk/
13 https://userbase.com/
14 https://nicevps.net/
15 https://cryptoho.st/ [privacy-based]
16 https://cryptwerk.com/
17 https://host-world.com/monero-vps [privacy-based]
18 https://abacohosting.com/
19 https://evolution-host.com/
20 https://qhoster.com/
21 https://whattheserver.com/
22 https://codify.global/
23 https://www.superbytehosting.com/
24 https://www.superbithost.com/ [privacy-based]
25 https://www.nexwave.ca/
26 https://www.hostingssi.com/
27 https://blazinhosting.net/
“暗网下/AWX”前年11月曝光了骗人的暗网市场BlackMart,介绍了该诈骗暗网市场的骗术很低级,配送页面、星级评价、担保商看起来像一个正常的暗网市场,其实都是骗子伪造的,这是一个迷惑性极强的网站。
最近,又有热心网友“justin”在评论中向“暗网下/AWX”举报“BlackMart”还在继续行骗,并且已经更换了新的暗网域名,他说:
所以我刚刚读了你关于BlackMart的文章,虽然有点晚了。我以65美元的价格购买了价值1000美元的PayPal,但总成本是140加元。我向BlackMart下订单的钱包发送了价值95美元的比特币。但一直没有收到任何东西,然后今天钱包就空了。请尽你们所能去宣传他们仍在运营和诈骗的消息。我还有交易的截图。这是他们现在使用的网站。
经测试,“暗网下/AWX”发现诈骗暗网市场“BlackMart”之前的暗网域名(blackma6xtzkajcy2eahws4q65ayhnsa6kghu6oa6sci2ul47fq66jqd.onion)已经无法访问,“justin”提供的新暗网域名可以正常访问,“BlackMart”新更换的暗网onion域名为:
http://blackma333zetynnrblc7uidfp2tewhtwpojxxvmty3n4cdsc7iyukad.onion
诈骗暗网市场“BlackMart”功能与上次的介绍相差不大,整体清新简洁的网站设计也没改变,只是Logo的颜色由橙色改成了绿色,除此之外,细节上也有几点变化。
一是虚假的星级评价不再只是英文,添加了各国语言。打开商品页面,映入眼帘的许多好评,有中文评价“做的好”,匈牙利语评价“非常好”,瑞典语评价“交货快”,罗马利亚语评价“交货快捷,礼品卡精选”,日本语评价“快速运输,很棒的礼品卡选择”等等。
二是新增了诈骗话术,页面商品介绍下增添了“买家保障”的提醒:如果您没有收到订单,可全额退款。如果商品与描述不符,可全额或部分退款。
三是该市场提供的所谓暗网担保网站(The Escrow)更加逼真。该诈骗市场的担保网站(escrowkwttyhfyab3clkln7lfveyg7pfdwsv5vner35mhg7oaqz5uiid.onion)的诈骗话术相当迷惑人:“The Escrow自2015年起为客户提供服务,是您全天候的深度网络购物合作伙伴。您的资金安全是我们的第一要务,因此我们全天候为您提供服务,确保您的交易安全无忧。”。
网友”justin“提供了其与诈骗网站站长的交涉的详尽截图,让我们一睹骗子的嘴脸:
1、网友”justin“下单,根据要求进行BTC转账,没有收到所谓的Paypal商品。
2、发送邮件至[email protected],告知已经按照要求转账,但没有收到商品。
3、骗子回复道,感谢订单,但是这个65美元商品出现技术问题,120美元与175美元的商品正常,请继续转账,然后顶多2小时就可以收到商品了。
4、网友”justin“发现被骗。
5、网友”justin“联系担保网站The Escrow,其要求在该网站再次下单,准备再次诈骗。
“暗网下/AWX”对该“justin”的购买PayPal被骗的比特币支付进行了分析:
1、支付地址为:1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT,交易hash为:cadde8547bda075484dd94207842e27bc8dbe11c68f476baf87f38b6d1ce437c,时间为:2022-03-31 08:47:15
2、该地址1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT仅诈骗了这一笔,共计0.00135690个BTC。
本站(anwangxia.com)已经将“BlackMart”的新暗网域名向合作伙伴“onion666暗网导航”进行了通报。“暗网下/AWX”将持续曝光暗网里的各种诈骗网站,感谢热心网友“justin”提供的截图与线索,希望被骗的其他网友都能站出来积极举报,请将截图发至[email protected]。
更多暗网新闻动态,请关注“暗网下/AWX”。
“道高一尺魔高一丈”,这是一个令网络犯罪群体振奋的故事,也是让世界最顶级执法机构尴尬的故事。
正如“暗网下/AWX”前期报道的,网络犯罪分子正计划全面恢复BreachForums网站。在美国联邦调查局(FBI)查封BreachForums基础设施并逮捕两名管理员仅两周后,暗网上最大的数据泄露论坛BreachForums再次重返明网和暗网。尽管FBI做出了十足的努力,但第二版BreachForums管理员之一ShinyHunters还是重新获得了明网域名,并开启了新的暗网域名。
针对BreachForums的执法行动于2024年5月15日开始,本站(anwangxia.com)做了及时详尽的报道,当时FBI在国际执法协调努力下查封了属于BreachForums网站的基础设施,包括所有域名。同时据称,FBI在此执法过程中逮捕了两名管理员。然而没过几天,BreachForums的主要管理员ShinyHunters(同时也是黑客)通过联系位于中国香港的域名注册商NiceNIC,在FBI眼皮底下成功夺回被扣押的明网域名“breachforums.st”,.st为圣多美和普林西比国家及地区顶级域(ccTLD)的域名。
ShinyHunters如何夺回明网域名 由于FBI已经掌握BreachForums的暗网域名私钥,之前的暗网域名处于与FBI的争夺战中,已经无法正常使用。因此该论坛已经为暗网采用了一个新域名(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion),同时也已使用原始明网域名(breachforums.st)重新上线。其他BreachForums相关的明网域名,包括escrow.breachforums.st、breached.in和另外两个停放域名,也已从FBI的扣押中收回。
ShinyHunters分享了一封电子邮件,声称这是联邦调查局网络部门的一名计算机科学家与域名注册商NiceNIC之间的正式对话。这封电子邮件提供了有关明网域名争夺事件的深入背景,并解释了ShinyHunters如何重新获得对被扣押域名的访问权限。
根据这封电子邮件,FBI的网络部门于2024年5月15日对BreachForums进行了一次行动,扣押了多个域名,包括在NiceNIC注册的域名breachforums.st。这些域名是通过法院下达的搜查令合法扣押的。
然而,在扣押几个小时后,breachforums.st域名被归还给原所有者ShinyHunters,而FBI的NiceNIC账户(注册为“bf_fbi”)被暂停。
随后,FBI要求NiceNIC重新激活其账户并归还被扣押的域名,理由是NiceNIC的服务条款禁止宣传网络犯罪。FBI敦促,如果无法归还域名,则应该将该域名解析的服务器更改为FBI拥有的服务器,或者应该暂停解析这些域名以防止进一步的伤害。
目前无法得知NiceNIC对FBI的回应。然而,该域名以原始形式归还给ShinyHunters的事实表明该公司没有遵循FBI的要求。
ShinyHunters在TG频道宣布了新的消息 5月28日,ShinyHunters先是在其Telegram频道发布了breachforums.st域名,Telegram的预览已经显示了该网站的介绍,证明该明网域名已经可以访问了,该域名赢得了很多红心点赞。
接着,15个小时后,ShinyHunters又发布新的公告“Registrations now open”,至此BreachForums完全恢复了被FBI查封前的状态,也恢复了往日的繁华。
电子邮件对话 FBI发给域名注册商NiceNIC的邮件:
我是联邦调查局网络部的计算机科学家,也是联邦调查局域名业务的主要联系人之一。本周早些时候,即2024年5月15日,联邦调查局针对非法论坛和市场“BreachForums”采取了行动。
一些公共网络安全机构注意到了这些行动,并发布了关于域名查封和随后的扣押页面的文章。在行动当天早上,FBI查封了与BreachForums相关的几个域名,包括由NiceNic托管的breachforums.st和其他域名。我们通过向位于美国的账户所有者送达法院命令的扣押令,合法地扣押了这些域名。
我们从该账户中查封的所有网站都用于窃取、出售和共享从世界各地受害者那里窃取的数据。最终,我们努力关闭BreachForums是为了防止该网站对全球无数受害者造成进一步的伤害。
然而,在域名被扣押几小时后,大约在太平洋标准时间5月15日晚上9点,我们注意到,breachforums.st域名已从我们的监管中释放出来,并归还给最初的威胁行为者。我们还注意到,我们无法登录FBI在NiceNic的官方账户,该账户使用电子邮件[email protected](用户名:bf_fbi)注册,这让我们相信该账户已被暂停。
因此,除了将合法查获的域名归还给FBI的NiceNic账户之外,我还想提供一些有关情况的补充信息,希望能推翻账户被暂停的决定。
此外,在您的域名注册服务条款中,您提到所提供的服务不会用于“促进黑客攻击、破解或其他网络犯罪或活动”,但这些都是BreachForums中常见的活动。
如果无法将域名归还给FBI,我们将根据您的服务条款请求将域名解析的服务器更改为FBI拥有的域名服务器,或通过客户保留(clientHold)以防止其造成进一步损害。目前持有这些域名的NiceNic帐户“vincenzotroia”无视并违反了贵公司的服务协议,继续托管这些域名。
我期待着您的回复–如果您能就这一情况提供任何帮助或指导,我们将不胜感激。
敬上,
S***
FBI的尴尬局面 至此,“暗网下/AWX”认为,联邦调查局的局面略显尴尬。尽管他们努力查封了BreachForums的域名并摧毁其基础设施,但该论坛能够迅速恢复其原始的明网域名。这一事实凸显了几个问题,包括国际执法、运营困难、跨国基础设施、安全漏洞、公众看法以及法律和程序问题。
这也解释了为什么尽管事情已经过去了两周,以至于网站已经恢复,联邦调查局或司法部仍未发布详细扣押情况说明的新闻稿。尽管如此,目前而言,这种情况对网络犯罪分子来说是双赢的,既没有损失,也赚足了眼球。不过联邦调查局和其他参与该行动的执法机构下一步将如何采取行动,也将至关重要。
不过,这也间接证明了新的BreachForums并非FBI的蜜罐,而SecretForums大概就是哗众取宠地蹭热度罢了。
更多暗网新闻动态,请关注“暗网下/AWX”。
最近,BreachForums的竞争对手、另一个数据泄露论坛SecretForums的管理员Astounding在其Telegram连续发布多个公告,质疑第三版BreachForums是否是FBI的蜜罐。
名不见经传的SecretForums是个什么网站 SecretForums也是一个数据泄露论坛,在暗网与明网均可以访问,与BreachForums系列不同的是,SecretForums使用开源CMS程序XenForo搭建,而BreachForums系列一直使用的是开源CMS程序PHPBB。
根据SecretForums网站上的数据统计,该论坛拥有4000多用户,1000多主题帖,因此该网站具备一定的用户底数与访问量。在第二版BreachForums被FBI摧毁后,SecretForums宣布将给予前BreachForums会员与他们在网站上类似的排名。
SecretForums的明网域名是:
https://secretforums.net
SecretForums的暗网域名是:
http://secretsmt222qvdg6rcmgvx4dqqc2673yzyxjrrnabwklnn6qddyv5ad.onion
Astounding是Secretforums的管理员和Blackforums前所有者。本站(anwangxia.com)发现,Astounding连续三次在SecretForums的Telegram频道发布声明,质疑Baphomet以及新成立的BreachForums。当然,由于是竞争关系,也许是趁机打压BreachForums。但是在暗网下,一切皆有可能。
Astounding首次质疑被捕的BreachForums管理员Baphomet 5月17日,SecretForums在其Telegram频道发布公告”关于 Baphomet 和 BreachForums 的官方声明“,质疑Baphomet是FBI的线人,称Baphomet之前表达了协助管理Blackforums基础设施的强烈兴趣,还表示BreachForums存在安全问题。具体声明如下:
为什么我相信Baphomet是线人
大约五个月前,Baphomet 表达了协助管理 Blackforums 基础设施的强烈兴趣。 他多次请求建立堡垒服务器来帮助解析日志并解决安全问题。 但是,我从未授予任何人访问权限,也没有创建堡垒服务器。 我坚信我应该是唯一有权访问基础设施的人。 这项政策全年有效,我管理该网站一个月了。
需要澄清的是,其他管理员(包括 Lemonade、Eom 和 Lucy)都不拥有对Blackforums基础设施的完全访问权限。 我是负责其管理和安全的唯一个人。
当我在 Jacuzzi 2.0 中表达这一立场时,我收到了前论坛运营者ShinyHunters 的禁令。 这种反应增强了我对我的陈述的真实性的信心。
Breachforum 的安全问题
新的 Breachforum 存在切实的安全问题,该论坛将由 ShinyHunters 拥有,并根据旧备份构建。 Baphomet 作为该网站的开发者,对旧备份的使用提出了进一步的担忧。
如前所述,Baphomet 请求访问解析日志。 然而,值得注意的是,我们在任何情况下都不会保存我们网站的日志。 我们仅记录网站功能所需的关键信息,例如电子邮件地址、用户名和密码哈希值。 IP 仅从我们的反向代理记录,因为我们没有启用 X-Forwarded-For。
确保安全并记住保持您的运营安全达到标准以避免法律纠纷。
~Secretforums 管理员和 Blackforums 前所有者
Astounding在Telegram发布怀疑Baphomet的证据截图 5月23日,Astounding在Telegram频道发布了一些证明baphomet想要帮助维护服务器的聊天截图。
截图看出,2023年12月29日,Astounding说baphomet帮他修改了nginx配置,但并没有更改;2024年1月14日,baphomet要求Astounding创建一个堡垒服务器。
Astounding第三次发布与BreachForums相关声明 5月25日,Astounding在Telegram频道第三次发布了与BreachForums相关声明。称这是其第三次更新BreachForums声明,因为Aegis(”暗网下/AWX“注:BreachForums的另一位管理员)说其已经绝望了。
Astounding在声明中表示,管理员“ShinyHunters”从2024年5月8日的备份中发布了BreachForums的新版本。管理员不仅使用了旧的备份,还禁用了注册。如果大家回顾一下历史,2022年RaidForums还在的时候,FBI也做了同样的事情。他们禁用了注册功能,将网站变成了一个蜜罐。
目前尚未证实BreachForums是一个蜜罐,但Astounding称,必须让大家知道要格外小心,尤其是现在。他给BreachForums管理员“ShinyHunters”发了信息,但“ShinyHunters”不想对此发表评论。而另一位管理员“Aegis”则声称他绝望了。
Astounding还称,第三版BreachForums的暗网网站似乎非常死气沉沉,在过去60分钟内只有50位用户活跃。
第三版Breachforums的故事、SecretForums的故事、FBI蜜罐的故事,“暗网下/AWX”将长期保持高度关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
臭名昭著的网络犯罪暗网论坛BreachForums卷土重来! 新的洋葱域名证实了其在暗网的复活,而明网网站可能会在未来几周的某个时候重新启动。
“暗网下/AWX”上周报道,第二版BreachForums的创建者Baphomet被FBI逮捕后,BreachForums管理员ShinyHunters声称已从FBI手中收回域名,并开启了第三版BreachForums的重建。
ShinyHunters既是黑客又是第二版BreachForums的管理员,他声称一直在为恢复BreachForums而努力。
第二版BreachForums于2024年5月15日被FBI扣押,据报道,管理员Baphomet被捕,并向FBI交出了后端服务器凭证,从而导致该论坛的数据、域名(包括暗网和明网域名)被FBI完全控制。
随后,ShinyHunters宣布从FBI处夺回了BreachForums明网域名(BreachForums.st)的访问权限,并在页面提供了跳转至其Telegram频道的链接。但是5月23日,ShinyHunters在新建立的Telegram频道发布公告称:“去你妈的警察,域名转移到了其他地方”(Fuck tha police. Domain transferred elsewhere.)这时候起,BreachForums明网域名(BreachForums.st)已经无法正常访问,似乎被当局转移控制了。
虽然目前美国联邦调查局和美国司法部都没有发布有关扣押BreachForums或任何与该事件相关的新闻稿,但是联邦调查局已承认查获此事,并敦促BreachForums数据泄露的受害者站出来填写表格以方便进一步调查。
5月24日,ShinyHunters在Telegram频道发布公告宣布了第三版BreachForums新的暗网域名:
http://breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion
公告称,新的暗网网站仍在测试中。 除了SMTP和CDN服务之外,请用户报告可能发现的任何其错误。公告提醒用户记得从URL中删除https,因为暗网域名没有使用证书。
New Tor domain for BreachForums is announced
According to the announcement, the site is still being tested.#DarkWeb #BreachForums #cybersecurity pic.twitter.com/XX6Hl9mQXl
— Dark Web Intelligence (@DailyDarkWeb) May 24, 2024 “暗网下/AWX”访问了新建立的BreachForums暗网网站,应使用的与第一版第二版相同的CMS代码(PHPBB),但目前不支持注册,“暗网下”(anwangxia.com)使用了第二版BreachForums中注册的账号密码,也未能成功登录,但是,据称第三版BreachForums使用的是第二版BreachForums的数据库的备份,而并非是一个全新的开始。
第三版BreachForums的多个暗网域名 ShinyHunters在第三版BreachForums的网站上发布了带有PGP签名的新canary公告,宣布了暗网的域名及镜像地址:
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
Next update by 06-25-2024.
Current:
breachforums.st
breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion
Mirrors:
breached4lhlibrqmzj7h2n4unu7wdzkg7gczcggufbqufwmmdraiyqd.onion
breachedetbw6gnud64wvuld3xkyrrbz5eijhvjbbix72izpegjdvcyd.onion
breachedhr2hxxranvbogkth63cpxwdcelsetui4uqavejvsqes4thid.onion
breachedm6qqmtc2ksrdhhtdr6o4erzudgx4blvkcxhyeruudtibizqd.onion
PGP Key: http://breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion/pgp.txt
Fingerprint: 1FC4 D0B1 DEE9 14BB 05B5 7FAB F1F1 B98A 51C9 89B3
”暗网下/AWX“昨天报道了执法当局计划在未来24小时内发布有关LockBit勒索软件团伙的新信息,正如之前的预告,24小时后,美国政府周二表示,美国、英国和澳大利亚已制裁并揭露了臭名昭著的勒索软件团伙LockBit的一名俄罗斯高级头目,并发布了全球悬赏通缉令,悬赏1000万美元。
根据英国国家打击犯罪局(NCA)的消息,德米特里·霍罗舍夫(Dmitry Khoroshev)被确定为勒索软件团伙LockBit的领导者之一后,将面临资产冻结和旅行禁令。LockBit是一个臭名昭著的勒索软件团伙,已通过加密货币方式向全球受害者勒索了超过10亿美元。
“这些制裁意义重大,表明像德米特里·霍罗舍夫这样在全球造成严重破坏的网络犯罪分子没有藏身之所。他确信自己可以保持匿名,但他错了。”英国国家打击犯罪局局长格雷姆·比格(Graeme Biggar)在一份声明中表示。
LockBit在2月份首次受到NCA、美国司法部、联邦调查局和欧洲刑警组织的干扰,在一场史无前例的行动中,该团伙的暗网网站被警方扣押,并利用该网站泄露了有关该团伙及其幕后人员的内部信息。
英国制裁大臣安妮-玛丽·特雷维利安(Anne-Marie Trevelyan)在一份声明中表示:“通过制裁LockBit的一位领导者,我们正在对那些继续威胁全球安全的人采取直接行动,同时揭露来自俄罗斯的恶意网络犯罪活动。”
勒索软件是对数据进行加密的恶意软件;LockBit及其附属公司通过胁迫目标支付赎金来解密或用数字密钥解锁数据来赚钱。该团伙的数字勒索工具已被用于对付世界上一些最大的企业。
LockBit犯罪集团 LockBit招募的附属机构是志同道合的犯罪团伙,LockBit招募他们使用这些工具发动攻击。这些附属机构实施攻击,并向LockBit提供一部分赎金分成,赎金通常以加密货币的形式要求,这使得追踪变得更加困难。
今年2月,美国宣布指控两名俄罗斯公民针对世界各地的公司和团体部署LockBit勒索软件。两人还受到美国财政部的制裁。
在被执法部门查获之前,LockBit的暗网网站展示了一个不断增长的受害者企业列表,几乎每天都会更新。 在这些企业名称的旁边还有数字时钟,显示距离每个组织支付赎金的最后期限还剩多少天。
周二,国际警察机构再次利用这一平台来对付该团伙本身,揭露霍罗舍夫的真面目,并发布了一张通缉令海报,承诺向提供线索逮捕霍罗舍夫的人奖励1000万美元。
根据周二公布的包含26项罪名的美国起诉书,霍罗舍夫从LockBit的活动中接收了至少1亿美元的比特币付款。
根据欧洲刑警组织的消息,这些措施是在2024年2月由英国国家犯罪局牵头采取的第一阶段行动之后采取的,导致LockBit的主要平台和其他关键基础设施受到损害。这些制裁是欧洲刑警组织和欧洲司法组织支持的协调行动的一部分,旨在严重损害LockBit勒索软件团伙的能力和信誉。
LockBit犯罪行为的真正影响此前尚不清楚,但从其系统获得的数据显示,2022年6月至2024年2月期间,使用其服务发起了7000多次勒索攻击。受攻击最多的五个国家是美国、英国、法国、德国和中国。
欧洲刑警组织发布了约3500份受害者情报包 执法部门目前拥有超过2500个解密密钥,并正在继续联系LockBit受害者以提供支持。
欧洲刑警组织一直在利用调查和第一阶段行动期间收集的大量数据来识别这些遍布世界各地的受害者。其欧洲网络犯罪中心(EC3)已向33个国家分发了约3500个包含LockBit受害者信息的情报包。
在欧洲刑警组织的支持下,日本警方、英国国家打击犯罪局和联邦调查局集中其技术专长,开发了用于恢复被LockBit勒索软件加密的文件的解密工具。
这些解决方案已在No More Ransom门户网站上以37种语言免费提供。
由NCA控制的泄密网站 在二月份夺取控制权后,执法部门重新设计了该勒索软件组织在暗网上的泄密网站,转而发布一系列文章,揭露针对LockBit采取的不同行动。
由NCA控制的泄密网站再次被用来发布一系列揭露该犯罪集团的信息。
可通过Tor浏览器使用以下链接访问该网站:
http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion
http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion
http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion
这项调查将继续查明附属机构——那些使用LockBit服务并进行攻击的人——并确保他们面临执法行动。
克洛诺斯行动 克罗诺斯行动(Operation Cronos)的国际工作组针对并破坏LockBit勒索软件团伙的协同行动正在进行中。以下机构是该工作组的成员:
法国:国家宪兵队(National Gendarmerie – C3N National Cyber Unit)
德国:石勒苏益格-荷尔斯泰因州刑事调查局(LKA Schleswig-Holstein)、联邦刑事警察局
荷兰:国家警察局(泽兰-西布拉班特网络犯罪小组、东布拉班特网络犯罪小组、高科技犯罪小组)、泽兰-西布拉班特检察官办公室
瑞典:瑞典警察局
澳大利亚:澳大利亚联邦警察(AFP)
加拿大:加拿大皇家骑警(RCMP)
日本:警察厅
英国:国家打击犯罪局(NCA)、西南地区有组织犯罪部门(South West ROCU)
美国:美国司法部(DOJ)、联邦调查局(FBI)纽瓦克分局
瑞士:瑞士联邦警察局(fedpol)、苏黎世州检察官办公室、苏黎世州警察局
LockBit勒索软件团伙管理员德米特里·尤里耶维奇·霍罗舍夫(Dmitry Yuryevich Khoroshev)的通缉令 姓名: Dmitry Yuryevich Khoroshev(德米特里·尤里耶维奇·霍罗舍夫)
别名: 无
出生日期:1993年4月17日
出生地:俄罗斯
国籍: 俄罗斯
国籍: 俄罗斯
正如“暗网下/AWX”之前预警过6次的,中文名为“正版中文担保交易市场”是纯粹的诈骗网站,通过”靠谱中文网址大集合“诈骗导航站进行引流后,吸引不明真相想贪小便宜的网友购买虚假商品,支付后就有去无回。近期,有网友提醒,在2月份经本站第6次曝光后,该诈骗网站又一次更换了新的暗网V3域名,这次不仅更换了域名,而且终于修改了网站的名称,不再叫”正版中文担保交易市场“了。
根据“暗网下/AWX”之前的预警:只要在暗网上看到名为“正版中文担保交易市场”的网站,不管是什么域名,无论用什么话术,必定是诈骗网站无疑。大概该预警影响了该诈骗网站的业绩,亦或者是上次曝光的时候“暗网下/AWX”确认该诈骗网站多年来一直自称”正版中文担保交易市场“,这次它被迫修改了使用6年的网站名称“正版中文担保交易市场”,新的名称为”华人自己的暗网担保交易市场 – 一个小高端中文类淘宝安全买卖平台“。未来,“暗网下/AWX”将以其新网站名称”华人自己的暗网担保交易市场“来称呼该诈骗网站。
但不管是“正版中文担保交易市场”,还是”华人自己的暗网担保交易市场“,简而言之都是暗网中中文名为”担保交易市场“的网站,因此,“暗网下/AWX”新的预警是:anwangxia郑重提醒,只要在暗网看到中文名为“担保交易市场”的网站,不管是什么域名,无论用什么话术,必定是诈骗网站无疑。
诈骗网站“华人自己的暗网担保交易市场”新更换的暗网V3域名为:
http://waht6tybwp6tztk7qhhph7fc3njkjrbefcxxhxu2zo6oipny7buxulid.onion
上次本站曝光的暗网V3域名仍在继续使用(访问后跳转新域名):
http://wzry3iytdxtrnrybuy76cizdubucwqbhifdvfg25yblsxyt6llllfmqd.onion
暗网V3域名很简单就可以生成,零成本,因此“暗网下/AWX”每曝光一次,该诈骗网站就会更换一次暗网域名。而之前使用的暗网网址要么已经被废弃,要么直接跳转至新的暗网域名。
此外,骗子给该诈骗网站更新了新的春天样式的banner,鲜花绿草,配上”春天,你好!“,使网站显得相当土里土气。但是就是这拙略的骗技,居然在4月份成功诈骗了5笔,共0.07个比特币,约合4500美元。
在上次诈骗话术”龙年春节回馈活动公告!“被“暗网下/AWX”曝光后,骗子已经几个月没有发布新的诈骗话术,但应是为下一次发布诈骗话术广告做准备。
虽然目前还没有新的公告话术,但是在一些虚假商品的评论里,依旧在制造新的好评。如虚假商品”100%安全支付宝转账“,打着天上掉馅饼的描述”3000美元起做,你支付3000美元,36小时内获得4350美元对应的人民币。也就是你能赚45%。这是你帮助我们洗钱应得的报酬,当然,你是绝对安全的。“,骗了许多人3000美元,并在4月14日成功骗到一笔价值3000美元的比特币。在虚假商品下方,骗子臆造了许多”好评”,最新的4月4日的好评:“清明假期第一天参与这个项目,早上下单晚饭时间到账了。卖家太给力,这个不赞真的不行!逆天改命的好项目呀!”这些都是骗子的骗人话术,让上当受骗者在转账之前深信不疑。
同样,在本次(anwangxia.com)曝光后,骗子定会继续更换暗网V3域名,“暗网下/AWX”将继续追踪,持续跟进曝光。
更多暗网新闻动态,请关注“暗网下/AWX”。
The Intercept是一家美国在线非营利新闻组织,发布文章和播客。根据维基百科,The Intercept由记者Glenn Greenwald、Jeremy Scahill和Laura Poitras创立,由First Look Media于2014年2月在eBay联合创始人Pierre Omidyar的资助下推出,自2014年创刊以来一直以英文出版。
2016年8月,The Intercept推出巴西版“The Intercept Brasil”,以葡萄牙语编辑,针对巴西政治新闻,由巴西当地记者团队制作。The Intercept Brasil还提供英文版新闻的翻译版本。
The Intercept最初报道了爱德华·斯诺登发布的文件。联合创始人格林沃尔德和波伊特拉斯随后因公众对该组织的领导和方向存在分歧而离开。2023年1月,它从First Look Institute分离出来,成为一个独立的非营利组织。
加密货币交易所FTX创始人Sam Bankman-Fried曾希望给The Intercept提供325万美元资助,但是当Bankman-Fried破产时,The Intercept只收到了50万美元。根据其主编的说法,资金短缺“将使The Intercept的预算出现重大缺口”。
The Intercept声称坚定地致力于在有新闻价值和符合公众利益的情况下,发表基于敏感材料的报道。他们的创始原则之一是,举报对于追究强势机构的责任至关重要;事实上,The Intercept的成立部分原因是为前美国国家安全局承包商员工爱德华·斯诺登披露的信息提供新闻平台。
2021年4月,The Intercept推出新的Tor洋葱匿名服务,即暗网的V3域名,The Intercept的读者可以通过Tor网络更安全、匿名地浏览该网站。
另外,如果读者希望匿名与The Intercept沟通,可以使用名为SecureDrop的方法。通过访问The Intercept的SecureDrop服务器,用户可以向The Intercept的记者发送消息或敏感材料,而无需透露自己的身份,The Intercept的SecureDrop也使用的是洋葱服务,需要在暗网下进行访问。
The Intercept的技术工程师micah.lee([email protected])同时也是开源工具OnionShare的作者。“暗网下/AWX”曾经介绍过OnionShare,OnionShare可以使任何人都可以轻松使用洋葱服务来共享文件、设置匿名投递箱、托管一个简单的网站或启动临时聊天室。
The Intercept的暗网V3域名:
https://gm64cjz7un7ucso4yegkssuqfzmg7ctn7mkb66c7l6sj7gzyo6syphid.onion
The Intercept的明网域名:
https://theintercept.com
The Intercept开设的SecureDrop的暗网V3域名:
http://lhollo6vzrft3w77mgm67fhfv3fjadmf7oinmafa7tbmupc273oi7kid.onion