据报道,西门子能源公司(德国慕尼黑;www.siemens-energy.com)和施耐德电气公司(法国吕埃尔-马尔迈松;www.se.com)这两家关键基础设施行业的工业控制系统(ICS)供应商已被网络犯罪团伙CL0P列为勒索软件受害者,但是否有针对性的攻击尚未得到证实。
该勒索软件团伙(也称为TA505)从2023年5月27日开始利用MOVEit Transfer(一款面向互联网的自动文件传输Web应用程序)中的漏洞,据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称,CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。
CL0P #ransomware group has added five new victims:
– https://t.co/b5TXXSO3oi
– Schneider Electric (https://t.co/icrsZ9CAwB)
– Siemens Energy (https://t.co/89TbkQ3YMn)
– UCLA (https://t.co/hoy9JuoHTT)
– Abbie (https://t.co/AtFS3GFSGi)#MOVEIT #Cl0p #DarkWeb #DeepWeb #CyberRisk pic.twitter.com/mTpLZdCzbW
— FalconFeedsio (@FalconFeedsio) June 27, 2023 西门子能源公司在一份声明称,它已了解这一预警,并将继续与政府合作伙伴和客户密切合作,以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队,我们还有一个ProductCERT组织,负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。
CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力,然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据,而受到美国联邦政府的审查。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在6月7日发布的联合网络安全咨询(CSA)中建议采取行动和缓解措施,以防范先前未知的结构化查询语言(SQL)注入漏洞(CVE-2023-34362)。
CISA表示:“CL0P出现于2019年2月,由CryptoMix勒索软件变体演变而来,在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS),这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。
CISA建议采取的防止或减轻影响的步骤包括,统计实体资产和数据清单、仅授予特定的管理权限,以及激活防火墙和路由器等网络基础设施设备上的安全配置。
此外,美国国务院根据正义悬赏的任务,于6月16日悬赏高达1000万美元,奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。
Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt
Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?
美国司法部周五宣布对33岁的米洛米尔·德斯尼卡(Milomir Desnica)提出指控,他是克罗地亚和塞尔维亚公民。他被指控在2019年底在暗网里推出“Monopoly市场”,担任该暗网市场的管理员,并通过所有销售中赚取的佣金获利。
2022年7月,华盛顿的一个联邦大陪审团对德斯尼卡提出了两项指控,并要求没收他所指控的罪行的所有收益。他被指控串谋分销和持有并意图分销50克以上的甲基苯丙胺,以及洗钱罪。这些罪名最高可判处终身监禁和20年有期徒刑。
针对德斯尼卡的案件是联邦调查局华盛顿外地办事处的高科技阿片类药物特别工作组和德国奥尔登堡中央刑事调查组(Zentrale Kriminalinspektion Oldenburg)网络犯罪小组联合调查的结果,该调查确定并定位了德斯尼卡。2022年11月2日,奥地利当局根据临时逮捕令逮捕了他。警方搜查了他的住所和车辆,没收了电子设备和现金。
在德斯尼卡提出异议后,奥地利法院支持了美国的引渡请求,并于周五被引渡。预计嫌疑人将于周一在华盛顿特区联邦法院首次出庭,接受美国地方法院法官卡尔·尼科尔斯(Carl J. Nichols)的审讯。
美国司法部指控德斯尼卡审查和批准想要在”Monopoly市场“上出售毒品的个人的所有申请。检察官表示,所有供应商的申请都包括“他们想要销售的毒品的描述、库存的照片证明以及为通过’Monopoly市场‘完成销售后需支付佣金的协议”。
根据法庭文件,供应商通常同意与”Monopoly市场“运营者分享5%的收入。联邦调查局表示,”Monopoly市场“总共为供应商赚取了至少1800万美元的收入,这意味着该市场的运营者据称赚取了超过90万美元的佣金。
涉嫌在暗网经营”Monopoly市场“的男子被逮捕 ”Monopoly市场“是一个暗网市场,这意味着只能通过使用匿名Tor浏览器才能访问该电子商务网站。在其他毒品中,该网站还销售阿片类药物、兴奋剂、致幻剂和处方药。检察官表示,2021年,卧底的美国执法人员能够从”Monopoly市场“购买超过100克的甲基苯丙胺。
5月份,在欧盟执法机构欧洲刑警组织的协调下,一次代号为SpecTor的联合执法行动,查获了”Monopoly市场“的犯罪基础设施,并逮捕了288名嫌疑人。执法人员还缴获了超过5400万美元的现金和虚拟货币、850公斤毒品(包括安非他明、可卡因、MDMA、LSD和摇头丸)以及117支枪。
参与SpecTor的9个国家分别逮捕了多名嫌疑人:美国(153人被捕)、英国(55人)、德国(52人)、荷兰(10人)、奥地利(9人)、法国(5人)、瑞士(2人)、波兰(1人)、巴西(1人)。
欧洲刑警组织执行主任凯瑟琳·德·博勒(Catherine De Bolle)当时在会议上表示:“这次行动向暗网上的犯罪分子发出了强烈的信息:国际执法机构有手段和能力识别你的非法活动,并追究你的责任,即使是在暗网上。”
针对”Monopoly市场“的案件之所以成立,部分原因是德国当局于2021年12月扣押了”Monopoly市场“的基础设施,这使得警方能够开始识别供应商和客户。美国联邦调查局表示,在司法互助条约的支持下,它从德国收到了市场数据库和论坛数据库的数字取证副本。
通过加密货币追踪溯源,FBI找到幕后的运营者德斯尼卡 美国联邦调查局表示,在研究了德国执法部门查获的市场数据库(其中包括发送给供应商的票据)后,确定了德斯尼卡的身份。调查人员发现,所有发给供应商的票据都包含比特币或门罗币地址,供应商被要求将”Monopoly市场“运营者应得的佣金发送到该地址,虽然这些付款详细信息已在2021年10月22日之前的票据中删除,但在后来的票据中仍然存在。
联邦调查局分析了涉及”Monopoly市场“运营者明显使用的地址的大量交易。按月计算,所有收到的资金中,有一半似乎被转账到存储中,并显然保持不变,另一半被发送到不保留用户详细信息的加密货币交易所。司法部表示:“德斯尼卡随后将非法加密货币出售给塞尔维亚的点对点交易商,以换取法定货币-所有这些都是为了清洗非法毒品销售的收益。”
检察官周六提交给法院的一份支持拘留的备忘录报告说,FBI揭开德斯尼卡的真面目的部分原因是识别出“存入MoonPay.io交易所某钱包的两笔比特币存款,该钱包也收到了2020年7月的’Monopoly市场‘收益”。FBI从MoonPay加密货币交易所获得的记录,使其能够识别用于在MoonPay进行存款的谷歌支付帐户,并追溯到德斯尼卡使用的信用卡和Gmail地址。FBI表示,其中一个电子邮件帐户包含访问”Monopoly市场“的比特币钱包所需的12个单词的助记词。
检察官在备忘录中写道:“他通过各种社交媒体、个人电子邮件帐户以及访问‘Monopoly市场’比特币钱包所需的种子短语,与‘Monopoly市场’直接联系在一起。”
美国政府成立了一个新的打击加密货币犯罪的特别工作组,由来自不同联邦机构的五名调查员组成。
“暗网市场和数字货币犯罪特别工作组”成立于6月15日,旨在“瓦解和摧毁“那些利用数字货币提供的“匿名外观”进行贩毒、洗钱和其他犯罪的犯罪组织。
其活动暂时将仅限于亚利桑那州。
美国移民和海关执法局网站周二分享的一份新闻稿称:“随着这些犯罪活动和组织变得更加复杂,执法工具、资源和情报必须适应,不得不进行调整。”
U.S. Attorney and Federal Law Enforcement Partners Announce Formalization of Darknet Marketplace and Digital Currency Crimes Task Force @DHSgov @DEAPHOENIXDiv @IRS_CI @USPISpressroom https://t.co/rpfowDMAdO
— US Attorney Arizona (@USAO_AZ) June 16, 2023 该交叉机构包括来自国土安全部(DHS)、国税局刑事调查组(IRS-CI)、美国缉毒署(DEA)、司法部(DOJ)和美国邮政检查局(USPS)的特工。
多年来,这五个机构都完成了一系列与加密货币有关的刑事调查,加密货币作为绕过传统金融体系制衡的工具,正在不断增长。
例如,去年,司法部追回了2018年从加密货币交易所Bitfinex盗窃的36亿美元比特币,这是历史上最大的一次金融扣押行动。同年晚些时候,该部门查获了与丝绸之路(Silk Road)相关的50,000个比特币(BTC),”丝绸之路“是一个现已不复存在的暗网市场,利用比特币促进毒品、武器和其他非法物品的交易。
“DEA致力于拯救生命,”DEA负责的特别探员Cheri Oz说。“隐藏在暗网中的毒贩将被这个特别工作组积极锁定并揭穿。”
与此同时,IRS-CI特别负责人Al Childress表示,他的部门“正在越来越多地投入更多的调查时间和特工专业知识来应对暗网和加密货币犯罪。”
根据Chainaanalysis的数据,虽然通过加密货币相关犯罪窃取的资金数额每年都在增长,但其在加密货币相关交易绝对总额中所占的份额持续下降。
此外,美国财政部去年在一份风险评估报告中证实,数字资产被用于洗钱的情况仍然远少于法定货币。
尽管如此,财政部还在4月份强调了与去中心化金融(DeFi)生态系统相关的“国家安全”风险,因为“窃贼”和“勒索软件行为者”也可以利用它来洗钱。
代码签名证书应该有助于验证软件发布者的身份,并提供加密保证,确保已签名的软件未被更改或篡改。这两种特性使得被盗或不正当获得的代码签名证书对网络犯罪集团具有吸引力,他们看重的是其为恶意软件增加隐蔽性和持久性的能力。
独立记者布莱恩·克雷布斯(Brian Krebs)近期发布了一项调查,在调查中,他多次对知名暗网用户“Megatraffer”进行了人肉,将他与过去十年中期居住在莫斯科的某个人联系起来。文章中称,这位俄罗斯资深黑客自2015年以来几乎垄断了以恶意软件为中心的代码签名证书的地下市场。
在文章开头,克雷布斯对“Megatraffer”在俄罗斯犯罪论坛Exploit.in上的帖子的审查后显示,“Megatraffer”于2015年开始在Exploit上交易被盗的代码签名证书。他的业务很快扩展到销售用于对设计为在Microsoft Windows、Java、Adobe AIR、Mac 和 Microsoft Office上运行的应用程序和文件进行加密签名的证书。
根据“Megatraffer”的说法,恶意软件供应商需要证书,因为许多防病毒产品对未签名的软件更感兴趣,而且从互联网下载的签名文件往往不会被现代网络浏览器内置的安全功能阻止。Krebs详细说明,在2016年,“Megatraffer”以每张700美元的价格出售独特的代码签名证书,并针对“扩展验证”或EV代码签名证书收取两倍多的费用(1900美元)。根据“Megatraffer”的说法,如果您想签署能够在较新的Windows操作系统中可靠运行的恶意软件或硬件驱动程序,则EV证书是“必备”证书。
“Megatraffer”继续在六个以上的其他俄语网络犯罪论坛上提供代码签名服务,主要以 Thawte 和 Comodo 等主要供应商偶尔提供的 EV 和非 EV 代码签名证书的形式提供。
据网络情报公司Intel 471称,从2009年9月到今天,“Megatraffer”一直是至少七个最大的暗网站点的积极参与者。在大多数情况下,他使用的电子邮件地址是“[email protected]”,这个电子邮件地址还与两个论坛账户中一个名为“O.R.Z.”的用户相联系。
开放式数据库监控公司Constella Intelligence发现邮箱地址[email protected]仅与少数几个密码相关联,但最常见的密码是字母组合“featar24”。对其进行反向搜索后,克雷布斯找到了一个邮箱地址“[email protected]”,Intel 471发现该地址在2008年也与昵称O.R.Z相关联,这个2008年在Verified.ru上注册的帐户。在此之前,[email protected]被用作“Fitis”帐户的电子邮件地址,该帐户在2006年9月至2007年5月期间处于活跃状态。此外,Constella Intelligence发现“featar24”密码关联到电子邮件地址[email protected],该地址与2008年Carder.su上的另一个O.R.Z.账户相关联。此外,[email protected]地址被用来创建一个名为“Fitis”的Livejournal个人博客,其头像是一只大熊。
“我是一个完美的罪犯。我的指纹每隔几天就会改变,无法辨认。至少我的笔记本电脑是肯定的。”Fitis在他的博客中写道。
2010年,在当时两家最大的垃圾邮件赞助商相互开战并且他们的内部文件、电子邮件和聊天记录落入许多国际研究人员手中之后,“Fitis”的身份被曝光。文件显示,Spamit联盟计划中收入最高的员工之一就是“Fitis”,他吸引了超过75个联盟成员(并从所有75名联盟成员的未来销售中获得佣金)来工作。他收到了一个WebMoney帐户的付款,该帐户的所有者在注册时出示了有效的俄罗斯护照,其姓名为Konstantin Evgenievich Fetisov,出生于1982年11月16日,在莫斯科注册。俄罗斯机动车记录显示,此人在同一莫斯科地址登记了两辆不同的车辆。
此外,注册到[email protected]电子邮件地址的最奇怪的域名是fitis.ru,根据DomainTools.com说这是在2005年注册给来自莫斯科的Konstantin E. Fetisov。
archive.org上的Wayback Machine在早年为fitis.ru收录了索引,其中大部分是空白页面,但在2007年的一段短时间内,该网站似乎无意中将其所有文件目录暴露给了互联网。其中显示了一个ICQ的号码为:165540027,英特尔 471发现该ICQ号码是“Fitis”之前在Exploit论坛中使用的即时通讯地址。
总部位于纽约市的网络情报公司Flashpoint发现“Megatraffer”的ICQ是Himba.ru域名的联系电话,Himba.ru是一项于2012年推出的广告联盟计划,英特尔 471发现Himba是一个活跃的广告联盟计划,直到2019年5月左右停止向其合作伙伴付款。
Flashpoint指出,2015年9月,Megatraffer在Exploit上发布了一则招聘广告,寻求经验丰富的编码人员来处理浏览器插件、安装程序和“加载程序”——基本上是远程访问木马(RAT),它们可以在攻击者和受感染的系统之间建立通信。
奇怪的是,克雷布斯几乎只字未提“Megatraffer”在2015年之后的命运和活动。他的调查更关注的不是Fetisov的个性,而是代码签名证书仍然是暗网上需求的商品这一事实。
一名来自美国马萨诸塞州的18岁男孩被指控试图通过在暗网上销售礼品卡(包括亚马逊和迪克的体育用品礼品卡),为恐怖组织“伊拉克和沙姆伊斯兰国(ISIS)”筹集超过1600美元——但该少年的父亲声称他的儿子一直被人“牵着鼻子走”。
美国马萨诸塞州检察官办公室周四发表声明称,来自马萨诸塞州韦克菲尔德的马特奥·文图拉(Mateo Ventura)周四首次在伍斯特美国地方法院出庭,他将面临故意隐瞒外国恐怖组织物质支持或资源来源的指控。
这名少年是韦克菲尔德纪念高中的学生,他被下令关押在监狱,等待下周三的保释听证会。
文图拉的父亲保罗在法庭外告诉记者,他的儿子因早产而在发育和学习方面存在问题,并补充说他在学校受到欺凌者的折磨。
他强烈否认这名少年支持伊斯兰极端组织。
“我儿子说,’爸爸,我不明白,我没有做错任何事’。”保罗·文图拉(Paul Ventura)描述了联邦调查局周四早上前来逮捕马特奥的那一刻。
“我儿子不是恐怖分子。”他补充道。
18岁的马特奥·文图拉(Mateo Ventura)周四被逮捕,罪名是在资助ISIS的计划中故意隐瞒对外国恐怖组织的物质支持或资源来源。
检察官表示,文图拉被指控参与一项计划,即在暗网上以低于面值的价格出售礼品卡,所得款项用于资助伊斯兰国。
根据一份宣誓书,在2020年8月至2021年8月期间,文图拉向他认为是ISIS支持者但实际上是卧底FBI特工的人发送了大约25张价值965美元的礼品卡。
那段时间,他还未成年。
检察官说,在18岁之后的1月至5月期间,文图拉向假冒的ISIS同情者提供了另外705美元的礼品卡。
马特奥的父亲保罗·文图拉(PaulVentura)告诉记者,他的儿子不是恐怖分子,他被人“牵着鼻子走”了。
这位单身父亲说,他的儿子——有学习和发育问题——试图通过向特工展示在暗网上联系ISIS武装分子是多么容易来帮助FBI。
大多数卡片(每张价值从10美元到100美元不等)都来自Google Play商店。其他则来自GameStop、亚马逊和Dick’s Sporting Goods。
法庭文件显示,这名马萨诸塞州的青少年还在一款加密的消息应用程序上谈到了想要出国旅行并与ISIS作战的想法。
法庭文件显示,有一次,这名18岁的年轻人向卧底特工发送了一段录音,宣誓效忠当时的伊斯兰国领导人阿布·易卜拉欣·哈希米·库拉什(Abu Ibrahim al-Hashimi al-Qurash)。
据称,文图拉甚至购买了一张4月份前往开罗的机票,但他从未成功登机。
检察官说,Mateo向他认为是ISIS支持者的人发送了价值1670美元的礼品卡,但实际上该人是FBI卧底特工。
检察官称,今年4月,文图拉联系了FBI,提出向该机构通报埃及未来发生的恐怖袭击事件,以换取1000万美元和豁免权,但被联邦调查局拒绝了他的提议。
文图拉的父亲保罗·文图拉争辩说,他的儿子,他说他精通电脑,正试图通过向FBI展示美国人可以多么容易地在网上与恐怖分子联系来帮助FBI“并与他们合作”。
“[他是]百分百忠诚的美国人。百分之一百,”单身父亲说。“他不喜欢恐怖主义。他不喜欢。他喜欢了解它。”
如果罪名成立,文图拉将面临最高10年的监禁。
法庭文件显示,美国田纳西州的一名女子被指控从暗网付钱给一名杀手,以杀死她在Match.com上认识的徒步旅行伙伴的妻子,并在一款健身应用程序上跟踪该女子的行踪。
当她的朋友(在最近解封的法庭文件中以首字母D.W.命名)告诉她他将在去年秋天结婚时,Melody Sasser显然不喜欢这样。
根据日期为5月11日的宣誓书,她告诉该男子:“我希望你们都掉下悬崖死去。”
上个月,Sasser在美国东田纳西州地方法院被指控犯有雇佣谋杀罪,如果罪名成立,她将面临最高10年的监禁。
根据宣誓书,一个外部执法机构向阿拉巴马州伯明翰的国土安全调查部门举报了4月份涉嫌的阴谋。
法庭文件称,调查人员收到了在线用户“cattree”与暗网网站”在线杀手市场“(Online Killers Market)管理员之间的消息,该网站宣称提供“雇佣杀手”服务。
根据刑事诉讼,该网站的屏幕截图显示,“cattree”于1月11日下单谋杀。
官员们说,她分享了目标的名称、地址以及描述:“它需要看起来是随机的或意外的。或者是因为吸毒,不希望有长时间的调查。她最近搬去和她的新婚丈夫同住。”
根据刑事诉讼,Sassers被指控的行为发生在四个月的时间里,从年初到2023年4月27日。Sassers所谓订单的报价金额为9750 美元,并以比特币支付。
文件称,“Cattree”还上传了目标的照片,该人物的名字缩写为J.W.。
调查人员向目标居住的阿拉巴马州普拉特维尔市的警方发出警报,并派巡逻队前往受害者家中。
该文件称,当J.W.得知所谓的威胁时,她将“Sasser列为嫌疑人”,并说Sasser和她的丈夫在搬到阿拉巴马州之前是徒步旅行(远足)的朋友。
根据宣誓书,D.W.告诉调查人员,他和Sasser在约会网站Match.com上认识,她通过帮忙预订旅馆和休息点并在他离开时照看他的车辆来帮助他完成阿巴拉契亚步道的徒步旅行。
去年秋天,D.W.告诉Sasser他与J.W.订婚后,Sasser前往他在阿拉巴马州的住所。
J.W.报告说,她的车似乎被人用钥匙撬过,并且她接到了一个使用电子设备伪装声音的人打来的“不愉快的电话”。宣誓书称,“威胁”电话来自无法追踪的计算机生成的电话号码和互联网电话。
Sasser被指控在健身应用Strava上监控这对夫妇的行踪和活动,该应用已连接到他们的智能手表并共享位置数据。
当局称,“Online Killers Market”(在线杀手市场)声称在全球拥有12000名注册会员,提供的服务还包括“黑客攻击、绑架、勒索、泼酸毁容和性暴力”。 刑事起诉书称,该网站包括一个内部消息系统,供用户与接单杀手、管理员或其他用户联系。正是在那里,当局指控Sasser以“cattree”为昵称,曾多次向Online Killers Market发送消息,表达了对这项工作尚未完成的失望。
法庭文件显示,3月22日,“cattree”发来一条消息称,“我已经等了2个月零11天,工作没有完成”。
“2个星期前,你说它已经开始工作,将在一个星期内完成。该工作仍然没有完成。是否需要把它分配给其他人。会不会做,拖延的原因是什么。”根据刑事起诉书,她补充说:“什么时候能完成。”
管理员回应说,这项任务对于同意做这项工作的人来说风险太大。
管理员说:“我可以指派另外两名杀手来完成这项工作。”他指出,两人都想要更多的比特币来完成这项工作。在3月29日的消息中,“cattree”同意支付更多费用:“我将增加比特币。”
Sasser于5月18日被捕,目前被关押在监狱中,等待她于周四下一次出庭。
她的律师没有回复置评请求。
新罕布什尔州参议员参议员玛吉·哈桑(Maggie Hassan)正在牵头制定两党立法,以加强对非法毒贩的惩罚,并特别针对通过暗网进行的芬太尼国际销售。
同样是新罕布什尔州的众议员克里斯·帕帕斯(Chris Pappas)与来自南部边境的两名国会共和党人、来自德克萨斯州的参议员约翰·科宁(John Cornyn)和众议员托尼·冈萨雷斯(Tony Gonzales)一起共同发起并重新引入暗网拦截法案。
“暗网是非法贩毒的热点,让罪犯基本上无法追踪,这有助于加剧我们州和全国的芬太尼危机,”哈桑在一份声明中说。
“这项两党法案加强了打击暗网贩毒的力度,加大了对暗网贩毒的处罚力度。我敦促我的同事们与我们一起支持这项重要的立法,追究这些罪犯的责任。”
参议院情报委员会成员科宁(Cornyn)表示,如果该国要控制芬太尼源源不断地流入美国,这些改革是必不可少的。
科宁说:
“暗网为社会上最恶劣的罪犯提供了匿名性,并充当了芬太尼等致命阿片类药物的贸易中心。”
“《暗网拦截法》将采取几个关键步骤,帮助执法部门更轻松地找到和逮捕这些危险的毒贩,同时让国会了解他们的进展。”
帕帕斯说,他从这里的州、地方和县警察那里了解到,暗网是如何被用来将大量芬太尼贩运到新英格兰地区的。
帕帕斯说:“我直接从执法部门那里听说有人使用暗网采购毒品并将其运送到我们的社区,我们必须打击这种做法,并让毒贩对他们造成的伤害负责。”
冈萨雷斯说,阿片类药物危机正在“恶化”,他所在的德克萨斯州南部地区的社区都面临着影响。
冈萨雷斯说:“我很自豪能再次共同领导这项两党合作的工作,以帮助执法部门在暗网上逮捕违禁品经销商并将其定罪。”
该法案的规定包括:
——通过指示美国量刑委员会加强对那些在暗网上贩运非法毒品的人的刑罚量刑,增加对这些人的刑事处罚;
——加强并永久化阿片类药物和暗网犯罪联合执法(J-CODE)工作组,该工作组负责领导国际、联邦、州和地方协调打击暗网上贩毒的工作。
J-CODE创建于2018年,已在全球范围内逮捕了数百人,缉获了数千磅毒品,并关闭了多个暗网市场。
——指示司法部(DOJ)、国土安全部(DHS)和财政部在一年内向国会提交一份报告,详细说明加密货币在暗网上的使用情况,并就国会如何解决暗网中使用虚拟货币进行阿片类药物贩运的问题提出建议。
参议院国土安全委员会成员哈桑最近作为两党国会代表团的一员访问了墨西哥、危地马拉和洪都拉斯,与外国官员讨论了打击毒品贩运的努力。
联邦调查局通缉Matveev的海报 美国政府已起诉一名俄罗斯国民,指控他参与了针对美国执法部门和关键基础设施的勒索软件攻击。
美国当局指控Mikhail Pavolovich Matveev(在网上也被称为“Wazawaka”和“Boriselcin”)是开发和部署Hive、LockBit和Babuk勒索软件变体的“核心人物”,从公司、学校、医院和政府机构勒索了数亿美元。
消息称,这三个勒索软件团伙已将美国数千名受害者作为目标。据美国司法部称,LockBit勒索软件团伙已实施了1400多次攻击,发出超过1亿美元的赎金要求,并收到超过7500万美元的赎金。Babuk已经执行了超过65次攻击并收到了1300万美元的赎金,而Hive则针对全球1500多名受害者并收到了高达1.2亿美元的赎金。
Matveev也被认为与俄罗斯支持的Conti勒索软件团伙有联系。据信,这名俄罗斯国民声称对针对哥斯达黎加政府的勒索软件攻击负责,Conti黑客要求支付2000万美元的赎金,同时推翻哥斯达黎加政府。
新泽西州和哥伦比亚特区的起诉书称,Matveev参与了从三个不同的分支或附属机构(包括Babuk、Hive和LockBit)分发勒索软件的阴谋。
起诉书称,2020年6月25日,Matveev和他的LockBit同谋对新泽西州帕赛克县的一家执法机构部署了LockBit勒索软件。检察官表示,2022年5月27日,Matveev与Hive共谋对总部位于新泽西州默瑟县的一家非营利性行为医疗机构进行勒索。2021年4月26日,Matveev和他的Babuk团伙据称对华盛顿特区的大都会警察局部署了勒索软件(起诉书)。
根据周二宣布对俄罗斯国民实施制裁的美国财政部的说法,Matveev还与针对包括美国航空公司在内的众多美国企业的其他勒索软件入侵有关。
在2021年1月俄罗斯顶级网络犯罪暗网论坛的一次讨论中,据称为Matveev的另一个昵称“Wazawaka”表示,他没有计划离开“俄罗斯母亲”的保护,而且出国旅行对他来说不是一个选择。
“俄罗斯母亲会帮助你的,”Wazawaka总结道。“爱你的国家,你将永远摆脱一切。”
2022年1月,著名美国安全媒体KrebsOnSecurity发布了谁是网络访问代理人“Wazawaka”,从Wazawaka在俄语网络犯罪论坛上的许多化名和联系方式中找到的线索,追溯到来自俄罗斯阿巴扎(Abaza)的33岁的Mikhail Matveev(联邦调查局说他的出生日期是1992年8月17日)。
那个故事发布一个月后,一个看起来与Matveev的社交媒体照片相同的人开始在Twitter上发布一系列奇怪的自拍视频,他在这些视频中猛烈抨击安全记者和研究人员,同时使用同一个Twitter账户为一个广泛使用的虚拟私人网络(VPN)设备发布漏洞代码。
The Record澄清说,在2022年8月发表的采访中,Matveev自己证实,除了Wazawaka,他还使用了Babuk、BorisElcin、unc1756 和Orange等昵称,Matveev本人在接受采访时表示,他在俄罗斯过着“平凡的生活”,从未接触过执法机构。
检察官也指控Matveev在网络犯罪论坛上使用了令人眼花缭乱的绰号,包括“Boriselcin”,这是一个健谈而傲慢的人,同时也是Babuk的公众形象,Babuk是一个在2020年新年前夜出现的勒索软件附属程序。
此前的报道显示,Matveev的另一个身份包括暗网论坛RAMP的创始人“Orange”。RAMP是“Ransom Anon Market Place”的缩写,安全公司Flashpoint的分析师表示,该论坛的创建是“直接回应了‘几个大型暗网论坛在勒索软件团伙DarkSide的Colonial Pipeline攻击后禁止勒索软件集体在其网站上发布消息’”。
在暗网论坛XSS的一个又一个帖子中,可以看到Matveev所谓的别名“Uhodiransomwar”发布了五天后拒绝谈判的公司的数据库下载链接。
5月20日,在XSS论坛上,LockBit勒索软件团伙账号“LockBitSupp”评论了FBI将Mikhail Matveev列入国际通缉名单的消息,他认为登上FBI荣誉榜“很酷”,并希望这样做。
Matveev被指控共谋传送赎金要求,共谋破坏受保护的计算机,以及故意损坏受保护的计算机。如果罪名成立,他将面临超过20年的监禁。
与此同时,美国财政部已将Matveev添加到其非法金融交易人员名单中。此外,美国国务院悬赏1000万美元逮捕和/或起诉马特维耶夫,但只要他继续居住在俄罗斯,他就不太可能面临这两种情况。
根据美国司法部(DOJ)的消息,一名美国公民在密苏里州法院认罪,承认经营一个暗网销售盗刷支付卡的网站并出售属于该国数万名受害者的金融信息。
Michael D. Mihalo,又名Dale Michael Mihalo Jr.,在暗网上化名“ggmccloud1”,被指控建立了一个名为Skynet Market的暗网交易网站,专门从事贩卖信用卡和借记卡数据的交易。
2016年2月22日至2019年10月1日期间,Mihalo和他的同伙还在AlphaBay Market、WallStreet Market和Hansa Market等其他暗网市场上兜售他们的卡片。每个市场都要求用户以包括比特币在内的数字货币进行交易。
美国司法部在2023年5月16日发布的一份新闻声明中表示:“Mihalo组建并指挥了帮助他在暗网上出售这些被盗财务信息的团队。每个同谋都受益于Mihalo作为ggmccloud1的可信声誉,他们在暗网上建立了比他们单独出售更多的被盗金融信息。”
“Mihalo个人拥有、发送和接收与49084张被盗支付卡相关的信息,目的是将支付卡信息在暗网网站上贩卖,所有这些都是为了推动盗刷阴谋的实施。”
被告的一名同伙Taylor Ross Staats担任“卡片检查员”,确保出售的财务信息仍然有效,并且没有被相关金融机构注销。
据估计,Staats通过这些服务至少赚取了价值21000美元的比特币。2022年12月14日,他承认在行动中扮演的这一角色,犯有一项共谋实施接入设备欺诈的罪行。他将面临最高五年的监禁。
司法部补充说,现年40岁的伊利诺伊州人Mihalo从这些计划中获得了价值超过100万美元的加密货币。
被告已承认一项共谋实施访问设备欺诈罪,最高可判处五年徒刑,以及一项访问设备欺诈罪和六项洗钱罪,每项罪名最高可判处10年徒刑入狱时间。他还被勒令没收所有非法所得。
根据他的认罪协议条款,Mihalo还被勒令没收他通过犯罪获得的任何个人财产,包括价值数百万美元的加密货币、金融账户和不动产,并同意对由法官在量刑时确定的数额。
美国司法部刑事司助理检察长Kenneth A. Polite,Jr.、密苏里州西区检察官Teresa A. Moore、FBI网络司助理局长Bryan Vorndran和FBI负责特工Charles Dayoub堪萨斯城办事处宣布了这一消息。
联邦调查局堪萨斯城外地办事处调查了此案。
美国刑事司计算机犯罪和知识产权科的高级律师Louisa Becker和密苏里州西区的美国助理检察官Matthew Blackwood正在起诉此案。司法部国际事务办公室提供了重要帮助。
美国司法部还感谢加拿大皇家骑警的执法同事在此案中提供的协助。
本月早些时候,美国当局还关闭了Try2Check暗网市场,这是一个流行的俄罗斯平台,网络犯罪分子使用该平台来确认被盗信用卡信息的合法性。
经过几年的发展,Tor项目近期的Git显示,其已经成功地将其“工作量证明”(PoW)功能合并到Tor软件包的主要分支中。这意味着,在发布下一个Tor软件补丁并在节点中广泛实施后,困扰网络多年的拒绝服务(DoS或DDoS)攻击应该会大大减少。
Tor网络在2022年的大部分时间里都受到持续的DDoS攻击的困扰,这不仅导致几个主要的暗网市场以及暗网论坛在数周或数月内无法访问,而且还产生了更广泛的影响,即几乎所有用户都觉得整个Tor网络的速度在变慢。然而,此类攻击对Tor来说并不是什么新鲜事,多年来,如何缓解这些攻击的解决方案一直是开发人员争论的主题。
2020年8月,Tor项目发布了一篇博文,解释了如何使用“工作量证明”的实施来使试图对网络进行DDoS攻击的攻击者付出更高的代价。2022年10月,在此类攻击达到临界水平后,Tor项目发布了工作量证明技术实施的状态更新,并于2023年3月17日正式引入了一项技术提案。近日,该提案的努力被合并到了Tor的主要代码库中,尽管这些变化将对DDoS攻击产生什么防护效果还有待观察。
While Proof-Of-Work has been traditionally used to power blockchains, it was originally suggested for DoS protection. Tor devs have been exploring the space and we believe that such a system could work wonders against the DoS attacks the network is currently experiencing. (7/8)
— The Tor Project (@torproject) September 9, 2020 Tor项目于2020年9月发布推文称:
“虽然工作量证明传统上一直用于为区块链提供动力,但最初建议用于DoS保护。Tor开发人员一直在探索这个空间,我们相信这样的系统可以在抵御网络目前正在经历的DoS攻击方面创造奇迹。”
工作量证明的概念是在1999年首次提出的。它于2002年在一篇题为“Hashcash–拒绝服务防护措施”(Hashcash – A Denial of Service Counter-Measure)的论文中正式纳入Adam Back的hashcash系统。Hashcash旨在通过要求电子邮件发件人执行少量计算工作来防止垃圾邮件;其“证明”已添加到电子邮件标题中。然后可以通过可验证的方式确定包含此类标头的电子邮件不包含垃圾邮件。
尽管hashcash仅在今天的少数实现中使用,但著名的工作量证明在2009年被比特币采用,用于比特币挖矿。目前使用工作量证明进行区块链挖矿的其他流行加密货币包括狗狗币、莱特币和门罗币。