本月初,Tor项目官方宣布,他们欢迎不断壮大的洋葱服务社区的最新成员:国际人权非营利组织国际特赦组织(大赦国际)。
国际特赦组织正在推出 .onion 网站:
http://amnestyl337aduwuvpf57irfl54ggtnuera45ygcxzuftwxjvvmpuzqd.onion
许多国家利用审查制度阻止获取人权资源,包括国际特赦组织出版的人权资源。寻求访问Amnesty.org网站上这些资源的访问者现在可以安全可靠地使用暗网访问这些资源,访问者可以确保通过端到端身份验证到达所需目的地,同时消除与其会话相关的所有元数据,从而使他们的身份或互联网活动无法被跟踪。从位置隐藏到端到端加密,.onion 网站在最大化互联网用户的隐私和匿名方面特别有用,因为他们永远不会离开 Tor 网络。
国际特赦组织技术实验室负责人 Donncha Ó Cearbhaill 表示:“ .onion 网站为世界各地的个人提供了一种在安全可靠的在线环境中行使其隐私权、言论自由权、和平集会自由权以及结社自由权的途径。”。“通过将国际特赦组织的网站作为 Tor 上的安全 .onion 网站提供,更多的人将能够阅读我们的人权研究报告,并参与向权力表达真相和捍卫人权的重要工作。”
洋葱服务是目前安全的技术,因为没有互联网提供商或政府可以检测到 .onion 地址的连接或阻止对其的访问。洋葱服务的加密和去中心化性质使它们对举报人很有价值,可以确保免受监视并允许在互联网访问受限的地区访问信息。这就是为什么许多新闻媒体(如 BBC、《纽约时报》和德国之声)或社交媒体平台(如 Facebook 或 Reddit)以及消息服务和人权组织在 Tor 网络上设有 .onion 网站,以为其用户提供安全和未经审查的访问。
2022 年,Tor项目成立了洋葱支持小组,以解决洋葱服务利用不足和缺乏了解的问题,并进一步提高民间社会团体和人权组织对洋葱服务的采用率。Tor项目称,其非常高兴最受认可的人权组织之一采用了洋葱服务,为那些寻求信息、支持和宣传的人提供更大的在线保护。国际特赦组织选择提供其网站的洋葱版本,突显了这种开源隐私技术作为共同推进人权工作的重要工具所发挥的作用。Tor项目表示,鼓励其他人效仿并为 Tor 网络和 .onion 网站的更广泛接受做出贡献。
如果用户想了解有关洋葱服务的更多信息,并且有兴趣建立自己的 .onion 网站,请查看Tor项目的洋葱服务资源。用户还可以在Tor 项目论坛上提出问题并开始讨论。
Tor项目为洋葱服务部署提供高级支持,并就与 Tor 相关的所有事项对团队成员进行培训,共同开展围绕 Tor 网络和洋葱服务的宣传活动。
法兰克福总检察长办公室的中央打击网络犯罪办公室 (ZIT) 和德国联邦刑事警察局 (BKA) 的调查取得部分成功。在一项国际协调行动中,法兰克福总检察长办公室的中央打击网络犯罪办公室( ZIT) 和联邦刑事警察局 (BKA) 联合查获了非法暗网市场“Kingdom Market”(王国市场”)的服务器,成功于2023年12月16日关闭了暗网上的非法市场“Kingdom Market”。
美国、瑞士、摩尔多瓦共和国和乌克兰的执法当局在调查过程中与德国机构密切合作。
然而,“Kingdom Market”暗网市场的管理员尚未被抓获。但是,这个市场的客户最好还是要担心一下,警方会进行深入调查的。
“Kingdom Market”是一个非法暗网交易市场,至少自 2021 年 3 月起就存在,只能通过 Tor 网络和暗网上的隐形互联网项目 (I2P) 访问。该英语平台被用来交易非法商品。它的主要焦点是毒品贸易。
此外,恶意软件、犯罪服务和伪造文件也通过该平台进行广告宣传,以获取利润。市场上提供了超过 42000 种产品,其中约 3600 种来自德国。市场上有数以万计的客户账户和数百个卖家账户。
经过调查,警方确定犯罪商业平台“Kingdom Market”上注册了来自不同国家的数千个账户,暗网市场的用户使用比特币、莱特币、门罗币和 Zcash 加密货币来支付服务。“Kingdom Market”管理员收取3%的手续费作为平台上所有销售的佣金。
两天前,曾有疑似当局的执法人员或者恶搞的网友以“FallenKingdom”的昵称在暗网的Dread论坛上发表了致“Kingdom Market”全体居民的一份公告:
王国的居民们,
我们自豪地宣布,王国已经灭亡!
感谢你们的合作。
待续……
与此同时,一些名不见经传的暗网市场,如“Elysium Market”、“Dark Matter Market”、“SuperMarket”等市场的管理员或者推广者开始在Dread论坛上发帖,表示他们的市场欢迎“Kingdom Market”的难民们(客户与供应商)。
也有网友怀疑是由于网址旋转器(URL rotator)泄露了服务器的真实IP,论坛里半年前就已经提醒过了。
Dread论坛的管理员三天前发布了“王国市场可能已被执法部门查封”主题,称:
Dread 工作人员从一个值得信赖的方面得到消息,称有多人已被执法部门逮捕,他们的系统被查封,而这些人有足够的服务器权限进入王国的基础设施。我们不知道,也可能永远不会知道,这次被打击的严重程度。这是一个遗憾,但根据目前提供的信息,Kingdom Market从瘫痪中恢复的可能性基本上为零。
我会让评论开放几天,然后在有新消息之前将此子主题存档。
这样的事情偶尔会发生。请接受现实吧。如果你在 Kingdom 上订购时正确遵守了 OPSEC,你就不需要担心太多。如果没有,那就清理门户吧。
并在该消息得到德国当局证实后更新了BKA的链接:https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2023/Presse2023/231220_PM_Darknet_Kingdom_Market.html
暗网市场“Kingdom Market”在Dread论坛上的支持管理员“OhLongJohnson”也发表了最新的主题“来自 OhLongJohnson 的文字,KM 永远消失了。”,内容为:
亲爱的会员们
我很遗憾地告诉大家,管理员没了,市场没了,被查封了。
我现在很好,希望这一切能保持原样。
我要向所有社区和我们的会员道歉。太糟糕了,没有人会看到我们正在开发的新升级。我非常期待新升级版本的发布。这是我梦寐以求的工作。
非常感谢你们所有人,我爱你们,并将永远爱你们,我会记住的。我始终相信每个供应商都是善良的,并尽我所能为他们提供支持。我相信,每一个有“骗人”想法的供应商都可以成为真正的专业人士。我与许多买家和供应商建立了良好的关系,我感谢你们信任我,我也信任你们。我唯一遗憾的是,我无法与最近加入的新供应商进行更多交流。发生这样的事情,我感到非常难过。
我也很遗憾你们在市场服务器被查封后损失了金钱。我不知道查封了什么,也不知道数据库服务器位于何处。希望尽快恢复。
对不起,Kingdom让您失望了,对不起,您在市场关闭时损失了金钱。至少钱包和服务器不在同一个地方。
前天,“暗网下/AWX”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站,在经历与美国当局的暗网域名争夺战后,ALPHV勒索软件团伙选择推出了新的暗网onion域名。
ALPHV勒索软件团伙又名BlackCat,最初于2020年8月以“DarkSide”名义推出 ,然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。
该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归,但在Emsisoft利用漏洞创建解密器并查封服务器后,该勒索软件团伙于2021年11月再次关闭。
该团伙于2021年11月再次回归,这次的名称为“BlackCat/ALPHV”。从那时起,勒索软件团伙不断演变其勒索策略,并采取与英语附属机构合作的不寻常方式 。
这次事件一开始,ALPHV勒索软件团伙对外界宣称说,由于硬件故障,他们的暗网网站离线了。这种情况过去也发生过,所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示,他们已经转移了暗网泄密网站的服务器和博客。
然而,12月19日,美国政府就ALPHV勒索软件发布了一份官方声明,声称ALPHV勒索软件的基础设施已经被联邦调查局(FBI)查封,他们公布了针对 ALPHV 的解密工具,并与国际合作伙伴合作,已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出,一名秘密线人进入了 ALPHV 面板。然后,联邦调查局对 ALPHV 面板进行了…… “调查”,设法进入了 ALPHV 网络,获得了 946 个Tor 站点的公钥/私钥对,ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。
至此,FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名(http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion)的密钥,与ALPHV 勒索软件团伙开展了拉锯战。19日的时候,FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面,显示扣押图片以及以下信息:
这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下,与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。
如果您有关于Blackcat、其附属机构或活动的信息,您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交:he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion(需要 Tor 浏览器)。
有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息,请访问 https://rfj.tips/SDT55f。
然而,20日,当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名(http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion)时,出现以下页面,ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点,重新获得了对 URL 的控制,并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。
由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥,因此他们可以来回夺取对方的 URL,这一过程一整天都在进行。
不过,作为 ALPHV 解除扣押信息的一部分,该团伙宣布为其数据泄露网站推出一个新的暗网onion域名(http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion),FBI 没有该网站的私钥,因此无法扣押。
该勒索软件团伙声称,FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而,他们表示,另外 3000 名受害者现在将失去钥匙。
ALPHV勒索软件团伙还表示,他们正在取消对其附属机构的所有限制,使他们能够瞄准任何他们想要的组织,包括关键基础设施。附属机构仍被限制攻击独立国家联合体(独联体)国家,这些国家以前是苏联的一部分。
最后,ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%,这可能会说服他们转而使用竞争的勒索软件即服务。
ALPHV勒索软件团伙的声明:
大家都知道,联邦调查局拿到了我们博客的钥匙,现在我们来告诉大家是怎么回事。
首先,这一切是如何发生的,在检查了他们的文件后,我们了解到他们获得了其中一个 DC 的访问权限,因为所有其他 DC 都没有被触及,事实证明,他们以某种方式入侵了我们的一个主机,甚至可能是他本人帮助了他们。
一个国际执法机构小组查封了臭名昭著的勒索软件团伙 ALPHV(即 BlackCat)的暗网泄密网站。该勒索软件团伙暗网泄密网站上的一条消息现在写道:“联邦调查局查封了该网站,作为针对 ALPHV Blackcat 勒索软件团伙采取的协调执法行动的一部分。”
据splash报道,此次执法行动还涉及来自英国、丹麦、德国、西班牙和澳大利亚的执法机构。
在后来确认此次破坏行动的声明中,美国司法部表示,由联邦调查局(FBI)领导的国际打击行动使美国当局能够得以进入该勒索软件团伙的计算机,并查封 ALPHV 运营的“多个网站”。
FBI 还发布了一款解密工具,已经帮助了 500 多名遭受 ALPHV 勒索软件攻击的受害者恢复了系统。 (联邦调查局称,它与美国的数十名受害者合作,使他们免于支付总计约 6800 万美元的赎金要求。)
美国政府的声明中称,ALPHV 攻击并破坏了全球 1000 多名受害者的网络,赚取了数亿美元。据司法部称,该团伙的目标是美国的关键基础设施,包括政府设施、紧急服务、国防工业基地公司、关键制造业、医疗保健和公共卫生设施,以及其他公司、学校和政府实体。
根据美国政府的搜查令,联邦调查局(FBI)称,它与一个与勒索软件团伙关系密切的“秘密线人”进行了接触,该线人向探员提供了访问 ALPHV/BlackCat 用于管理该团伙受害者的附属面板的凭证。
美国国务院此前表示,将奖励那些提供“有关 Blackcat、其附属机构或活动”信息的人们。
美国副司法部长丽莎·莫纳科(Lisa Monaco)在讲话中表示:“在瓦解 BlackCat 勒索软件团伙的过程中,司法部再次对黑客进行了攻击。” “通过联邦调查局向全球数百名勒索软件受害者提供的解密工具,企业和学校能够重新开放,医疗保健和紧急服务得以恢复在线。我们将继续优先考虑处理破坏事件,并将受害者置于我们摧毁助长网络犯罪生态系统的战略的中心。”
欧洲刑警组织(Europol)发言人伊娜·米哈伊洛娃(Ina Mihaylova)证实该机构参与了此次行动,但拒绝进一步置评。
ALPHV/BlackCat 勒索软件团伙是近年来最活跃、最具破坏性的勒索软件团伙之一。ALPHV 被认为是现已解散的受制裁 REvil 黑客组织的继承者,它声称已经入侵了许多知名的受害者,包括新闻分享网站 Reddit、医疗保健公司 Norton 和英国的 Barts Health NHS Trust。
近几个月来,该勒索软件团伙的策略变得越来越激进。 11 月,ALPHV 向美国证券交易委员会 (SEC) 首次提出此类投诉,指控数字借贷服务提供商 MeridianLink 未能披露该团伙所称的“泄露客户数据和运营信息的重大违规行为”。
根据美国司法部的消息,一名宾夕法尼亚男子在不到两年的时间里完成了超过7,800次个体的暗网芬太尼销售,并被调查人员与美国各地数十起致命过量事件联系起来,他因在曾经的暗网市场AlphaBay上分发致命的芬太尼类似物而被判处无期徒刑。该事件导致俄勒冈州的三人过量,其中两人死亡。
38岁的亨利·科纳·科菲(Henry Konah Koffie)来自宾夕法尼亚州达比市,被判无期徒刑,并监外执行三年。
俄勒冈区联邦检察官娜塔莉·怀特(Natalie Wight)表示:“亨利·科菲的的客户——服用芬太尼过量的受害者,从他那里以高达40美元一克的价格在暗网上购买芬太尼,等待着送达,使用后不幸过量而死亡。今天,寻找芬太尼的人只需走到附近的街角,交一两美元即可购得相似数量。在很多方面,正是像亨利·科菲这样的暗网供应商为我们社区仍然困扰的芬太尼危机铺平了道路。”“我们知道任何判决都无法治愈失去亲人的家庭所经历的创伤,但我们希望今天的判决,以及我们知道亨利·科菲无法夺走更多无辜生命,将为他们带来某种程度的结束。”
负责监督太平洋西北地区国土安全部调查(HSI)行动的特别探员罗伯特·哈默(Robert Hammer)表示:“虽然任何刑罚都无法挽回因毒贩公然冷漠和赤裸裸的贪婪而失去的生命,但他将不再对全国各地的社区构成威胁。”“在不到两年的时间里,科菲利用暗网进行了数千笔毒品交易,这可能导致更多芬太尼过量死亡。通过我们与地方和联邦执法部门的众多合作伙伴关系,HSI 将继续进行调查,以揭露毒贩在销售致命非法麻醉品时试图使用的匿名方式,以避免被捕。”
美国邮政检查服务(USPIS)西雅图分区的检查主管托尼·加莱蒂表示:“在亨利·科菲的今天判刑中,我们看到了联邦和地方执法机构之间协作努力的巅峰。美国邮政检查局向波特兰警察局、国土安全调查局和美国检察官办公室表示感谢,感谢他们的宝贵合作,使这名死亡制造者在全国范围内被定罪。亨利·科菲的鲁莽行为,公然漠视他人的生命,应受到谴责,现在已经受到了惩罚。”“今天的判决是一个坚决的声明,这种行为不会逃脱惩罚。我们的心与受害者及其家人同在,希望这一结果能给他们带来一定程度的结束,并标志着康复过程的开始。”
波特兰警察局(PPB)局长鲍勃·戴(Bob Day)表示:“芬太尼在我们社区夺去了太多生命。我们要感谢我们的合作伙伴共同努力调查和起诉这个重要案件。打击我们社区中危险的非法毒品仍然是一项优先任务,因为我们努力防止进一步令人痛心和毫无意义的死亡。我也要向受害者及其家人表示深切的同情,希望今天的判决为他们带来些许安慰。”
根据法庭文件,在短短一年多的时间里,科菲以DNMKingpin(暗网毒品供应商)和后来在AlphaBay暗网市场上的Narcoboss供应商的身份,供应了导致三名波特兰居民过量致死的芬太尼。第一位受害者是一名19岁的波特兰州立大学学生,于2016年5月2日在摄入粉末芬太尼30分钟后过量。医护人员向该学生施用了纳洛酮并进行了呼吸援助,挽救了她的生命。调查人员采访了该学生的供应商,后者表示他向该学生供应了从AlphaBay上购买的DNMKingpin的粉末芬太尼。
一年后,即2017年5月6日,波特兰警察局(PPB)调查了波特兰东南部一名27岁男子的致命过量事件。受害者的室友告诉警察,受害者曾从AlphaBay上的Narcoboss供应商处购买芬太尼,后者将芬太尼标榜为“中国白”。一名室友进一步告诉警察,他和受害者曾一同从Narcoboss购买了40美元的一克芬太尼,而这一克芬太尼是从费城寄来的美国邮政服务(USPS)优先邮件信封中取出的。
三周后,即2017年5月29日,PPB响应了另一名27岁男子的致命过量事件,后者曾住在东北波特兰。警察在受害者的住所发现了一小瓶芬太尼和一本包含有关访问AlphaBay和比特币钱包信息的笔记本。他们还在受害者的垃圾桶中找到了一封来自费城的回邮地址的信封。
在2017年5月25日至6月21日期间,调查人员从Narcoboss那里进行了五次对粉末芬太尼的控制购买。所有五个订单都是从费城及周边地区的地址发货的。与此同时,威斯康星和宾夕法尼亚的调查人员在类似于从Narcoboss购买的那些被扣押的芬太尼包裹上找到并确认了科菲的指纹。
进一步的调查揭示,科菲在2016年4月6日至2017年5月23日期间,从中国和香港的分销商那里收到了14批共约七公斤的芬太尼。在2017年5月和6月,美国海关和边境保护局(CBP)拦截了寄给科菲的另外两批含有半公斤芬太尼的包裹。后来确定,科菲使用了一个名为Stampnik的在线邮资公司购买了超过5,700张邮资标签,用于将芬太尼寄往美国各地,包括在俄勒冈、威斯康星和宾夕法尼亚被扣押的包裹上使用的标签。
在不到两年的时间里,科菲使用AlphaBay暗网市场向美国各州的客户出售了约43磅的芬太尼,共进行了7,849次个体交易。除了科菲在俄勒冈造成的三起过量事件之外,调查人员还确认至少有其他27人从科菲那里订购了芬太尼,并在不久后过量身亡。科菲还与其他27起非致命过量事件有关。
2017年7月12日,科菲在俄勒冈地区被刑事起诉,罪名是分发导致重伤或死亡的控制物质。后来,于2021年4月21日,他被判犯有共谋分发控制物质、分发导致重伤的控制物质、分发导致死亡的控制物质以及分发控制物质等五项罪名。
科菲在其他两个司法管辖区还受到联邦起诉。2017年8月1日,宾夕法尼亚西区的联邦大陪审团对科菲提起了四项分发控制物质的罪名。2017年9月20日,宾夕法尼亚东区的联邦大陪审团对科菲提起了两项罪名,指控他在离儿童游乐场不到1,000英尺的地方分发控制物质。这两起案件都尚未结案。
此案由 HSI、USPIS 和 PPB 调查,联邦调查局、俄勒冈州-爱达荷州高密度贩毒区 (HIDTA) 特遣部队、海关及边境保护局、费城警察局和宾夕法尼亚州警察局提供了协助。该案由俄勒冈州地区助理联邦检察官斯科特-M-凯林(Scott M. Kerin)、帕拉克拉姆-辛格(Parakram Singh)和安德鲁-T-何(Andrew T. Ho)负责起诉。
2017 年 7 月 20 日,司法部与联邦调查局(FBI)、美国缉毒署(DEA)、HSI 和美国国税局刑事调查局(IRS-CI)合作,查获并关闭了 AlphaBay,该网站当时是网上最大的犯罪市场。在被查封时,AlphaBay 已在暗网上运营了两年多,被用于在世界各地销售非法药物、被盗和伪造的身份证件和访问设备、假冒商品、恶意软件和其他黑客工具、枪支和有毒化学品。
根据“暗网下/AWX”之前的介绍,供应商Narcoboss使用的AlphaBay暗网市场是早期的第一个AlphaBay暗网市场,该暗网市场于2017年7月中旬被警方关闭。2021年,原AlphaBay暗网市场的二号管理员Desnake又重启了AlphaBay暗网市场,但是也于今年年初突然无法访问。
尽管加利福利亚州的三城医疗中心(Tri-City)在 17 天前就恢复了运营并开始运行,但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。
本周早些时候,一位网络安全专家在 X(以前称为 Twitter)上的一条推文中指出,臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录,在暗网这个互联网上的匿名角落经常买卖此类信息。
INC Ransom has listed Tri-City Medical Center: a San Diego County-based hospital that was forced to divert ambulances after a #ransomware attack last month. 1/3 pic.twitter.com/iXK8GjfNZL
— Brett Callow (@BrettCallow) December 7, 2023 该帖子包含八页印刷版的“证据”,据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的,这次攻击严重影响了该公立医院区的运营。11 月 27 日,该医院报告说,它已再次开始接受所有救护车的运送,并正在进行攻击期间推迟的选择性手术。
公布的记录包括两份事先授权表,用于要求医疗保险公司批准特定病人的特定手术,表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录,但没有说明攻击者掌握了多少记录。
该公告发布在该勒索软件团伙的暗网泄密网站上,虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在,但为了避免传播被盗信息,本文不分享具体访问地址。
勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统,因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。
黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如,斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者,他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露,严重影响了其运营。斯克里普斯表示,虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了,但斯克里普斯医院表示医疗记录仍然是保密的。
但很明显,暗网网站上弹出的通知表明黑客仍在试图勒索该医院。
总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示,此类帖子的目的是向组织施加压力,要求他们支付赎金,以避免规模更大、更具破坏性的数据转储。而且,即使企业支付了首次赎金请求,也不一定意味着不会进行第二次尝试。
一个勒索软件团伙盯上了著名的爱德华七世国王医院(King Edward VII’s Hospital),并威胁称,除非支付价值 30 万英镑的比特币(10 BTC)赎金,否则将公开王室成员的私人健康数据。
该团伙以有毒的热带蜈蚣命名为“Rhysida”,声称获得了敏感信息的宝库,包括“X光片、顾问的信件、登记表、手写的临床记录和病理表格”。
黑客已经在其暗网泄密网站上发布了一份声明,称“时间只有 7 天,请抓住机会竞拍独家、独特、令人印象深刻的数据。打开钱包,准备购买独家数据。我们只卖一手,不转售,您将是唯一的拥有者!”
声明表示:
为您提供独一无二的文件!
来自皇室的数据!
大量病人和员工资料。
一次性出售!
爱德华七世国王医院是一家独立的慈善医院,拥有值得骄傲的皇家赞助历史,位于伦敦哈雷街医疗区内。
跟声明一起展示的还有许多疑似内部文件的截图,拼在一起,但是比较模糊。目前该文件销售的时间仅剩一天左右。
一个多世纪以来,英国王室一直使用爱德华七世国王医院的服务。
已故的伊丽莎白女王和她的丈夫菲利普亲王在女王 2021 年去世前曾长期在该医院接受治疗,他们都是曾在那里寻求治疗的著名王室成员之一。
夏天,约克公爵夫人莎拉接受了手术,并在医院住了好几天。
2012年,威尔士王妃凯特在第一次怀孕期间因严重孕吐也在该医院接受治疗。
当时,一名澳大利亚 DJ 致电医院,获取并广播了当时剑桥公爵夫人的健康详细信息。
医院被迫就侵犯隐私行为做出道歉。
现在,随着最新的网络威胁的出现,王室在保护其私人医疗信息方面面临着另一个挑战。
这次网络攻击促使英国情报机构立即采取行动,英国政府通讯总部(GCHQ)和警方对该黑客组织展开调查。
英国国家网络安全中心(NCSC)的发言人表示:“我们正在与爱德华七世国王医院合作以了解影响。”
然而,现阶段,如果数据确实被盗,当局能采取的措施也只有一定程度。
前军事情报上校菲利普·英格拉姆(Philip Ingram)指出,被盗信息可能被复制并出售给其他网络犯罪团伙,从而加剧国家安全风险。
“困难在于攻击已经发生,许多知名客户将自行采取风险缓解措施。从某种程度上来说,损害已经造成。”英格拉姆说。
该医院上个月证实了这起网络攻击,表示已立即采取措施减轻该事件的影响,并已启动内部调查。
虽然医院没有确认攻击幕后黑手的身份,但表示只有不到 1% 的患者受到影响。
它表示,受影响的个人已被告知数据滥用的潜在风险。
该医院首席执行官贾斯汀·维尔 (Justin Vale) 向受影响的患者保证,将立即采取措施遏制这一事件,全面调查显示,包括一些个人健康信息在内的少量数据被复制。
该医院表示:“虽然这主要是良性的医院系统数据,但也拷贝了少量的患者信息。”
这一事件加剧了人们对国家重要资产安全的担忧。国家安全委员会最近就国家和与国家结盟的团体对这些资产构成的持续威胁发出了警告。
勒索软件攻击,包括最近Rhysida针对大英图书馆的勒索软件攻击,都被强调为一个突出的威胁。
根据欧洲刑警组织官网的消息,2023 年 11 月 13 日至 18 日期间,欧洲各国执法当局在东南欧协调一致的”EMPACT联合行动日“(EMPACT JAD SEE) 期间联手打击枪支贩运、毒品贩运、移民走私和人口贩运以及高风险犯罪网络。在欧洲刑警组织(Europol)、欧洲司法组织(Eurojust)、欧盟边境管理局(Frontex)、国际刑警组织(INTERPOL)和一些国际机构*的支持下,欧洲共有 26 个国家参加了这些大规模的协调行动活动。
”EMPACT联合行动日“是根据情报主导的方法规划的,警方、海关、移民机构和边境管制机构联合行动。西班牙负责协调行动活动,而欧洲刑警组织负责协调有关各方之间的行动信息交换。
”EMPACT联合行动日“包括加强对欧盟外部边界的检查以及在相关国家开展特别行动。欧洲各国参与打击有组织犯罪的警察、宪兵、边防卫队、海关当局和参与打击全欧洲有组织犯罪的国家单位在这次”EMPACT联合行动日“中进行了合作。参与当局的22,000多名官员共同努力,采取了情报主导的方法和跨境行动协调。行动由在北马其顿斯科普里设立的国际协调中心进行协调,代表这些当局的官员在该中心为国际合作提供便利,并对当地的行动需求做出回应。
信息交流与共享促成了121起针对犯罪网络的新案件的立案。欧洲刑警组织协调了”EMPACT联合行动日“期间的业务信息交流,并支持业务协调。欧洲刑警组织还在现场部署了专家,为现场行动人员提供实时分析支持。荷兰向希腊和黑山的过境点部署了两支配备特殊扫描设备的小组。Frontex 向外部边境部署了专家和设备。
”EMPACT联合行动日2023“的全球结果:
22,488 名警员参与 启动调查 163 项 检查实体总数 288,774 个 检查人数 215,273 人 检查车辆 67,277 辆 检查邮政包裹 5,225 个 搜查场所 999 个 发现非法入境事件 2229起 逮捕 566 人(218 人与偷运移民有关,186 人与贩毒有关,69 人与贩运枪支有关,89 人与其他犯罪有关) 发现伪造文件 114 份 缉获包括:
310 种武器(84种自动武器、65把手枪、59把步枪、22把榴弹发射器、16把左轮手枪、7把卡宾枪、6把霰弹枪、4把改装武器、2把气枪、其他、42把其他) 20,206 枚弹药 近1吨毒品,包括 626 公斤可卡因、近 300 公斤大麻、海洛因和大麻植物 ”EMPACT联合行动日“协调的网络巡逻 网络巡逻是在 2023 年 11 月 13 日至 18 日 ”EMPACT联合行动日“ 运行阶段设立的。网络巡逻的重点是监控和调查明网和暗网的不同网站、论坛和市场以及消息应用程序和应用程序上的活动。社交媒体网络。业务活动的目的是侦查非法贩运枪支的活动,并收集有关已确定目标的进一步信息。在线调查还侧重于有助于实地行动的重现活动。
英国国家图书馆、世界上最大的图书馆之一大英图书馆已确认遭受勒索软件攻击,导致内部数据被盗。
10月下旬,大英图书馆首次披露,它正在经历一场不明的网络安全事件,导致其位于伦敦和约克郡的网站出现“重大技术故障”,导致其网站、电话线以及访客Wi-Fi和电子支付等现场服务瘫痪。
两周过去了,大英图书馆的故障仍在持续。然而,该图书馆现已确认,此次中断是“由一个以此类犯罪活动著称的组织”发起的勒索软件攻击造成的。大英图书馆表示,一些内部数据已在网上泄露,“似乎来自我们的内部人力资源档案”。
这一确认是在大英图书馆被列入Rhysida 勒索软件团伙的暗网泄露网站数小时后得到的。暗网上显示的这份清单声称对此次网络攻击负责,并威胁要公布从大英图书馆窃取的数据,除非支付赎金。该团伙索要价值超过74万美元的比特币。
Rhysida勒索软件团伙尚未透露从大英图书馆窃取了多少数据或哪些类型的数据,但该团伙共享的数据样本似乎包括就业文件和护照扫描件。
上周,Rhysida 成为 CISA 和 FBI 联合警告的主题,警告称该组织利用面向外部的远程服务(如 VPN)来入侵教育、IT 和政府部门的组织。该通报还警告称,5 月份首次发现的 Rhysida 与Vice Society 勒索软件团伙有相同之处,后者是一个以勒索医疗保健和教育机构的勒索软件攻击而闻名的黑客组织。
Sophos 研究人员 Colin Cowie 和 Morgan Demboski 在最近的一份关于Rhysida的分析中写道:“值得注意的是,根据勒索软件组织的数据泄露网站,Vice Society 自 2023 年 7 月以来就没有发布过受害者信息,而这正是Rhysida开始在其网站上报告受害者的时间。”
勒索软件团伙解散、重塑品牌或创建新的恶意软件变种的情况并不少见,通常是为了逃避政府制裁或避免被执法部门逮捕。
周一,大英图书馆在 X(前 Twitter)上分享的一份声明中表示,“没有证据”表明其客户的数据遭到泄露,但建议用户更改密码作为“预防措施”,特别是如果用户在多个服务中使用相同的密码。
目前尚不清楚大英图书馆是否有技术手段来确定客户数据是否被盗取。
大英图书馆尚未透露它是如何被入侵的、有多少员工数据被盗,或者是否收到了黑客的通信或赎金要求。截至本文发布时,图书馆网站仍处于离线状态。
大英图书馆在最新声明中表示,可能需要数周甚至更长时间才能从勒索软件攻击中恢复过来。声明称:“我们预计在未来几周内恢复许多服务,但一些中断可能会持续更长时间。”
“与此同时,我们采取了有针对性的保护措施,以确保我们系统的完整性,并且我们将在[国家网络安全中心]、伦敦警察局和网络安全专家的支持下继续调查此次攻击。”
We’re continuing to experience a major technology outage as a result of a cyber-attack, affecting our website, online systems and services, and some onsite services too. We anticipate restoring many services in the next few weeks, but some disruption may persist for longer.
近期,路透社、英国《金融时报》和其他媒体援引消息人士的话称,有俄罗斯背景的暗网勒索软件团伙LockBit对中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称,中国工商银行已经支付了赎金,但目前没有得到核实确认。
在勒索软件攻击中,黑客通常锁定(加密)受害企业的系统,并索要赎金来解锁系统(解密),通常还窃取敏感数据以达到勒索的目的。
中国工商银行美国分行遭勒索攻击 上周四,中国工商银行(ICBC)美国分行遭受了勒索软件攻击,扰乱了美国国债市场的交易,这是今年黑客勒索赎金的一系列受害者中的最新一起。
当时,中国资产规模最大的商业银行的美国子公司工银金融服务公司表示,正在调查这起破坏其部分系统的网络攻击事件,并在数据恢复方面取得进展。
中国外交部上周五表示,该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示,工行一直密切关注此事,并尽最大努力做好应急处置和监管沟通;工商银行总行及全球其他分支机构的业务保持正常。
几位勒索软件专家和网络安全分析师表示,名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手,该团伙有俄罗斯背景,通常在其暗网网站上发布受害者姓名。
交易市场的参与者表示,该攻击事件的影响相对较小,但引发的担忧并不小。
Lockbit团伙成员称工行已经支付了赎金 Lockbit勒索软件团伙代表本周一在一份声明中表示,中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金,不过路透无法独立核实该声明。
Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社:“他们支付了赎金,交易完成。”
据路透社报道,这次黑客攻击的范围如此之大,以至于该公司的企业电子邮件都停止运行,迫使员工改用谷歌邮件。
此次勒索软件攻击发生之际,人们对26万亿美元的国债市场的弹性更加担忧,该市场对于全球金融管道至关重要,并且可能会引起监管机构的审查。
一位发言人在一份声明中表示:“我们提醒会员及时采取所有保护措施,并立即修补关键漏洞。”他补充道:“勒索软件仍然是金融部门面临的最大威胁之一。”
为什么工行要支付赎金 近几个月来,Lockbit对世界上一些最大的企业进行了黑客攻击,在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。
据美国官员称,在短短三年内,它已成为全球最大的勒索软件威胁。
在美国,该勒索软件团伙的破坏性最大,影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。
政府长期以来一直建议不要向勒索软件团伙支付费用,以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要,因为加密货币难以追踪,而且接收者匿名。
一些公司已经悄悄支付了赎金,以求尽快恢复正常运营,并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择,只能付费。
工行黑客事件使用了美国政府曾曝光的攻击方式 美国财政部官员说,Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰(Citrix)上个月在其NetScaler技术中披露的一个关键漏洞,即“CitrixBleed”漏洞。
所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。
该漏洞本身是一个缓冲区溢出问题,可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备(例如 VPN 虚拟服务器或ICA或RDP代理)时,它会影响NetScaler的本地版本。
该漏洞的严重性评分为9.4 分(CVSS 3.1 等级最高为10分),为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用,攻击复杂性低,无需特殊权限,也无需用户交互。
与此同时,鉴于大规模利用活动的报道,美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南,敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。
大规模的“CitrixBleed”漏洞利用 自8月份以来,威胁行为者一直在积极利用该漏洞,这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话,因为即使在更新后,认证会话仍有可能继续存在。
安全研究员凯文-博蒙特(Kevin Beaumont)指出,中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。
“目前仍有超过5000个企业尚未修补#CitrixBleed漏洞,”博蒙特说,“它允许完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部访问并单击一样简单,它为攻击者在另一端提供了完全交互式的远程桌面。”
最近几周,针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势,公开的漏洞技术细节至少助长了部分攻击活动。
ReliaQuest本周的一份报告表明,目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称,在11月7日至9日期间,观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。
ReliaQuest表示:“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出:“在获得初步访问权限后,攻击者迅速对环境进行枚举,重点是速度而不是隐蔽性。”ReliaQuest表示,在某些事件中,攻击者窃取了数据,而在其他事件中,他们似乎试图部署勒索软件。
互联网流量分析公司GreyNoise的最新数据显示,至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞,这一数字较10月底的约70个有所下降。