根据欧洲刑警组织官方网站消息,11月4日,罗马尼亚当局逮捕了两名涉嫌部署Sodinokibi/REvil勒索软件的网络攻击者。据称,他们对5000次感染负责,总共勒索了500万欧元的赎金。自2021年2月以来,执法当局已经逮捕了Sodinokibi/REvil的其他三个分支机构和两个与GandCrab有关的嫌疑人。这些是GoldDust行动的部分结果,该行动由17个国家、欧洲刑警组织、欧洲司法组织和国际刑警组织共同开展。所有这些逮捕行动都是在国际联合执法工作之后进行的,包括识别、窃听和扣押Sodinokibi/REvil勒索软件家族使用的一些基础设施,该家族被视为GandCrab的继承者。
欧洲成立反REvil团队 自2019年以来,多家大型国际公司面临严重的网络攻击,这些攻击部署了Sodinokibi/REvil勒索软件。法国、德国、罗马尼亚、欧洲刑警组织和欧洲司法组织于2021年5月成立了一个联合调查小组,加强了针对该勒索软件的行动。Bitdefender与执法部门合作,在No More Ransom网站上提供了一个工具,可以帮助Sodinokibi/REvil的受害者恢复他们的文件,只要是2021年7月前的攻击。10月初,在美国发出国际逮捕令后,Sodinokibi/REvil的一个分支机构在波兰边境被捕。这名乌克兰人被怀疑实施了Kaseya攻击,该攻击影响了多达1500家下游企业,Sodinokibi/REvil向其索要约7000万欧元的赎金。此外,2021年2月、4月和10月,韩国当局逮捕了涉及GandCrab和Sodinokibi/REvil勒索软件家族的三名关联方,涉及超过1500多名受害者。11月4日,科威特当局逮捕了另一名GandGrab关联公司,这意味着自2021年2月以来,共有7名与这两个勒索软件家族有关的嫌疑人被捕。他们涉嫌总共攻击了约7000名受害者。
Golddust与GandCrab的联系 自2018年以来,欧洲刑警组织一直支持一项由罗马尼亚牵头的调查,该调查针对GandCrab勒索软件家族,并涉及英国和美国等多个国家的执法部门。GandCrab是全球最多产的勒索软件家族之一,全球有超过100万受害者。这些联合执法努力的结果是,通过No More Ransom项目发布了三种解密工具,迄今已挽救了49000多个系统和避免了超过6000万欧元的未付赎金。调查还着眼于GandCrab的附属机构,其中一些被认为已经转向Sodinokibi/REvil。GoldDust行动也是根据之前针对GandCrab的这一调查线索建立起来的。
无需赎金即可解密 事实证明,网络安全公司、部门的支持对于最大程度地减少勒索软件攻击造成的损害至关重要,勒索软件攻击仍然是最大的网络犯罪威胁。许多合作伙伴已经通过No More Ransom网站为多个勒索软件家族提供了解密工具。Bitdefender积极支持这项调查,在整个调查过程中提供了关键的技术见解,同时为这两个高产的勒索软件家族提供解密工具,帮助受害者恢复他们的文件。KPN和McAfee Enterprises是另外给予支持的合作伙伴,他们也通过向执法部门提供技术专业知识来支持此次调查。
目前,No More Ransom拥有GandCrab(V1、V4和V5到V5.2版本)和Sodinokibi/REvil的解密工具。Sodinokibi/REvil解密工具帮助1400多家公司解密了他们的网络,为他们节省了近4.75亿欧元的潜在损失。为这两个勒索软件家族提供的工具实现了50000多次解密,网络犯罪分子为此要求支付约5.2亿欧元的赎金。
欧洲刑警组织的支持 欧洲刑警组织促进了信息交流,支持了GoldDust行动的协调,并提供了业务作分析支持,以及加密货币、恶意软件和取证分析。在行动日期间,欧洲刑警组织向每个地点部署了专家,并启动了一个虚拟指挥所来协调地面活动。国际合作使欧洲刑警组织能够简化与其他欧盟国家的受害者缓解工作。这些活动防止私营公司成为Sodinokibi/REvil勒索软件的受害者。
欧洲刑警组织的联合网络犯罪行动特别工作组(J-CAT)支持了这次行动。这个常设小组由来自不同国家的网络联络官组成,他们在同一个办公室开展备受瞩目的网络犯罪调查。
*参与国家:澳大利亚、比利时、加拿大、法国、德国、荷兰、卢森堡、挪威、菲律宾、波兰、罗马尼亚、韩国、瑞典、瑞士、科威特、英国、美国
*参与组织:欧洲刑警组织、欧洲司法组织和国际刑警组织
根据美国缉毒局官方网站的消息,上周,在布鲁克林的联邦法院,乔安娜·德·阿尔巴(Joanna De Alba)被美国地方法官多拉·伊里扎里(Dora L. Irizarry)判处96个月监禁,罪名是在“暗网上分销并意图分销非法毒品”。De Alba在暗网上分发了一系列非法毒品,包括芬太尼、海洛因、摇头丸、可卡因、甲基苯丙胺、羟考酮和美沙酮,以换取比特币和其他加密货币。De Alba于2021年4月认罪。
纽约东区联邦检察官Breon Peace和纽约分部缉毒局特别主管Ray Donovan宣布了这一判决。
“今天对De Alba判处的监禁表明,她秘密使用暗网分发芬太尼、海洛因和羟考酮等潜在致命药物以换取加密货币是失败的。”美国检察官Peace说,“这项调查和严厉的起诉表明,我们不会让暗网成为毒贩的避风港。”
“这一判决表明,贩毒者在暗网交易中并非不可触及。”缉毒局特工雷·多诺万(Ray Donovan)表示。“De Alba试图通过匿名隐藏,将芬太尼、海洛因和其他危险药物推入我们许多社区的家中,成为父母最可怕的噩梦。我赞扬DEA网络调查组纽约分部和美国纽约东区检察官办公室在整个调查过程中所做的值得称道的工作。”
互联网在“暗网”上包含麻醉品和其他违禁品的在线市场,这是互联网的一部分,位于传统互联网浏览器无法触及的范围内,只能通过旨在隐藏用户身份的网络访问。“华尔街市场”是一个全球暗网市场,要求其用户用数字货币,主要是比特币进行交易。
2018年6月至2019年5月期间,De Alba在华尔街市场上做广告并出售非法麻醉品。这些麻醉品包括阿片类药物——包括芬太尼(隐藏为羟考酮药丸)和海洛因——以及其他强效非法药物,包括羟考酮、可卡因、甲基苯丙胺、摇头丸和其他含有摇头丸的物质。De Alba采取了各种匿名操作和隐瞒身份的措施,包括使用网络别名“RaptureReloaded”、使用虚假的公司名称和送货地址,使用她已故丈夫的名字从供应商那里接收包裹,并使用她已故丈夫名下的信用卡为其货物的追踪提供资金。De Alba还指示客户通过加密的电子邮件和信息服务与她联系,并用加密货币向她付款。De Alba向美国境内的地址提供免费送货服务,并对所有订单进行免费跟踪。
De Alba参与了华尔街市场上的600多笔交易,她卖出了超过:840克海洛因、190克甲基苯丙胺、1,250粒摇头丸和280片羟考酮。De Alba还出售了750多种假羟考酮药丸——这些药丸实际上含有芬太尼,但被隐藏起来并伪装成羟考酮。De Alba收到了加密货币比特币和门罗币的付款,并获得了大约16.32BTC和400XMR,目前价值超过100万美元。
政府的案件由办公室的国际麻醉品和洗钱科处理。美国助理检察官Saritha Komatireddy和Francisco J. Navarro负责起诉。
俄罗斯媒体援引消息人士的话报道称,莫斯科的执法人员拘留了三名男子,他们涉嫌泄露了“反对派人物阿列克谢·纳瓦尔尼在随后调查中需要使用的”公民个人数据。
据塔斯社援引执法部门消息人士的话称,这三名在私人侦探机构工作的男子利用暗网向付费客户出售地址、电话号码和其他个人数据。据称,该团伙使用伪造的法庭命令和伪造的警察文件来获取信息。
“纳瓦尔尼将从这三名男子获得的一些信息用于他的一项调查。”消息人士周一告诉塔斯社,三名犯罪嫌疑人名为彼得·卡特科夫(Pyotr Katkov)、亚历山大·泽连佐夫(Alexander Zelentsov)和伊戈尔·扎伊采夫(Igor Zaitsev)。
然而,该消息人士称,这些嫌疑人并不知道他们的客户之一是纳瓦尔尼。
莫斯科巴斯曼尼法院证实,这三人现在已被软禁,面临伪造文件和违反话单记录保密规定的指控。
虽然不知道泄露的信息究竟是用来做什么的,但匿名的Telegram频道Baza报道说,三名私家侦探获得了纳瓦尔尼团队用来调查他涉嫌中毒的电话数据。
去年8月,纳瓦尔尼在从西伯利亚城市托木斯克飞往莫斯科的航班上病倒。在被迫紧急降落在鄂木斯克后,他被送往医院。几天后,在家人的要求下,他被飞往德国,在柏林的慈善诊所接受治疗。
据在德国治疗他的医生说,纳瓦尔尼接触了神经毒剂诺维乔克,许多西方国家都指责俄罗斯是所谓的中毒事件的直接幕后黑手。
去年12月,来自荷兰调查团体Bellingcat、俄语媒体the Insider、美国CNN和德国明镜周刊的记者发表了一份报告,称纳瓦尔尼遭到俄罗斯联邦安全局 (FSB) 官员的袭击。该组织还声称他被跟踪了几个月。在暗网上获得的泄露数据库是调查的一个组成部分,包括电话地理定位数据和机票信息。
俄罗斯联邦安全局 (FSB) 否认了报告中提出的所有指控,称其为“有计划的挑衅,旨在诋毁联邦安全局及其雇员”,并指责记者与外国情报机构合作。
今年3月,莫斯科《生意人报》报道称,一名俄罗斯警察因涉嫌泄露该国旅行记录中央数据库的信息而被软禁,该数据库仅供执法部门使用。该报称,该警官从纳瓦尔尼的S7 2614航班上搜索数据,并将其“转移给了第三方”。
司法部副部长丽莎·摩纳哥周二表示:“暗网毒品收入已超过Covid-19疫情前的水平,其中大部分销售发生在社交媒体平台上。” 美国司法部周二宣布,在一项针对暗网非法贩卖毒品的大规模国际执法行动中,横跨三大洲的150人被逮捕并被指控从事贩毒和其他非法活动。
暗猎者(Dark HunTor)行动是在包括联邦调查局及其在澳大利亚和欧洲的同行在内的跨国机构的合作努力下进行的,目标是澳大利亚、保加利亚、法国、德国、意大利、荷兰、瑞士、英国和美国各地的暗网毒贩和其他犯罪分子。
暗网是互联网的一部分,无法被搜索引擎索引,必须通过使用特殊浏览器才能访问。由于执法部门难以监控,销售非法物品或服务的网站在暗网上大量涌现。
美国司法部和欧洲警察当局表示,他们逮捕了150名在暗网论坛上买卖毒品和武器的人,使用的证据来自1月份被取缔的世界最大的非法在线市场。
在为期10个月的行动中,执法机构在全球查获了超过3,160万美元的现金和虚拟货币以及大约234公斤毒品,包括安非他明、可卡因、阿片类药物和摇头丸。司法部表示,调查人员还收集了超过20多万粒摇头丸、芬太尼、羟考酮、氢可酮和甲基苯丙胺。
欧盟执法机构欧洲刑警组织副执行主任让-菲利普·勒库夫(Jean-Philippe Lecouffe)表示:“通过此类基于信息共享、合作伙伴之间的信任和国际协调的行动,我们正在向暗网上的这些犯罪分子发出一个强有力的信息:没有人可以逃脱法律的制裁,即使在暗网上也是如此。”
司法部副部长丽莎·摩纳哥(Lisa Monaco)周二在宣布此次行动时表示,仅在美国查获的数十万颗药丸中,90%含有危险的假冒阿片类药物和麻醉剂。
摩纳哥说:“我们来这里是为了揭露那些试图利用互联网的阴影在全世界兜售杀人药片的人。”
官员们称,暗猎者行动是多国机构针对阿片类药物和暗网犯罪联合执法历史上规模最大的缉获行动,仅在美国就逮捕了65人,其中许多人被控贩运含有非法和危险物质的毒品。
德克萨斯州居民Kevin Olando Ombisi和Eric Bernard Russell Jr在一份10项罪名的起诉书中被指控销售假药、分销受控物质和洗钱。他们被指控使用暗网向包括田纳西州在内的各个司法管辖区出售和邮寄阿片类药物的混合物,有时将危险的麻醉品虚假地描述为更常规的药物,并将其出售给客户。
根据法庭文件,从2019年4月到2021年2月,德克萨斯州男子使用在线昵称“CARDINGMASTER”分发含有伪装成Adderall的甲基苯丙胺的药丸,以换取加密货币。他们邮寄的一些药丸上印有美国食品和药物管理局认可的“AD”字样,看起类似于Teva制药公司生产的药物。
根据联邦调查局的一份起诉书,这些人曾在暗网帝国市场上为Adderall投放广告。“美国超快运输免费的额外药丸促销”,促销活动中写着。卧底缉毒局特工从市场上购买了3次,发现这些药丸和Adderall一样是橙色的,并且带有似乎与处方安非他明上的标记相匹配的标记。但DEA对这些药丸的测试表明,它们不是苯丙胺,而是甲基苯丙胺,属于第二类受控物质。
在Covid-19疫情期间,暗网上的非法活动只会增加,因为越来越多的人利用它来获取毒品,在许多情况下,这些毒品含有危险的致命物质。
“他们现在在每个有智能手机或电脑的房间里,在每个拥有智能手机或电脑的家庭中运作,”行政长官安妮米尔格拉姆说,“这些是导致美国用药过量危机的药物。”
上周,阿根廷遭受了可能是最灾难性的数据泄露事件之一,因为在暗网上发现了一个包含阿根廷每个公民的国民身份证信息的政府数据库的访问权,并被出售。
National Registry of Persons包含政府颁发的每个国民身份证的图像,以及以文本格式打印在卡片上的所有信息,以便于搜索。黑客公布了该国44位名人的身份证照片和个人信息,作为入侵的证明,并提供收费查询任何阿根廷公民的数据。
政府数据库遭到破坏;不清楚数据是否被盗,或者内部访问是否应该受到指责 Registro Nacional de las Personas(RENAPER),即国家人员登记处,是一个由阿根廷内政部维护的中央政府数据库,被该国各机构广泛用于查询公民个人信息。该数据库包含对每张签发的国民身份证的扫描件,以及上面显示的信息的文本条目:全名、脸部照片、家庭住址、用于纳税和就业的国民身份证号码,以及内部系统使用的处理条码。
阿根廷政府不认为这是一次数据泄露事件,即外部人员侵入了系统并泄露了存储的数据。相反,他们认为有权访问政府数据库的内政部员工正在提供信息进行销售。该机构的一份新闻稿指出,有8名员工正在接受调查,以确定其可能扮演的角色。该机构还表示,就在攻击者在Twitter上发布搜索对象的照片之前,该机构的一个VPN账户被用来查询数据库。
这一理论与攻击者的暗网列表相吻合,该列表没有提供政府数据库的任何部分供出售。相反,该网站提供以每个名字为基础的查询服务,尽管它也声称可以完全访问该国4500万注册公民的信息。这似乎是一种非常耗费人力和风险的从漏洞中赚钱的方式,而且可以通过禁用被泄露的证书迅速切断。一个员工拥有一个特定的登录权限的理论,比一个外部方坚持试图无限期地使用一个被破坏的VPN来做持续的查询来赚钱更合理。
就他们而言,攻击者声称他们是局外人,他们已经泄露了政府数据库的全部内容。在袭击者的推特账户被关闭之前,他们发布了包括莱昂内尔·梅西和塞尔吉奥·阿奎罗以及总统阿尔贝托·费尔南德斯在内的44位阿根廷名人的个人信息。他们还声称他们可能会发布“一到两百万人”的信息作为证据,尽管该帐户似乎在此之前已被删除。攻击者声称他们确实破坏了VPN,但这是由于“粗心的员工”而不是内部威胁造成的。
攻击者则声称,他们是外来者,他们已经渗透了政府数据库的全部内容。在攻击者的推特账户被关闭之前,他们发布了44位阿根廷名人的个人信息,包括莱昂内尔·梅西和塞尔吉奥·阿奎罗以及总统阿尔贝托·费尔南德斯。他们还声称他们可能会发布“一到两百万人”的信息作为证据,尽管该帐户似乎在此之前已被删除。攻击者声称他们确实破坏了VPN,但这是由于“粗心的员工”而不是内部威胁造成的。
阿根廷国家政府网络安全的长期问题? 此次泄露是在2017年和2019年发生的“La Gorra Leaks”事件之后发生的,每次都涉及政府账户和数据库。最初的2017年事件是阿根廷安全部长的电子邮件帐户和推特遭到攻击,黑客发布了图像和文件的截图。该事件因其反应而不是因其漏洞而受到更多报道,因为报道黑客和政治反对派的安全专家仅仅因为在博客和社交媒体上发布了有关信息而遭到突击搜查。这种情况在2019年重演,当时一名未知黑客在暗网论坛和消息传递平台上泄露了700GB的政府数据库信息(约20万个PDF文件),这些信息让一些政治家和执法部门的专业人士感到尴尬。
政府本身也是安全问题的一个来源。2018年,联邦政府和布宜诺斯艾利斯市都试图通过措施,允许执法部门部署恶意软件作为刑事调查的一部分。这些法案因缺乏基本的隐私和安全保护而受到广泛批评,最终被放弃。
Egress的首席执行官托尼·佩珀(Tony Pepper)就阿根廷公民面临的风险发表了看法,如果他们的国家身份证可以在暗网中被任何愿意付费的人自由获取:“随着数百万人的数据处于危险之中,阿根廷公民现在是后续攻击的主要目标,如金融欺诈、复杂的网络钓鱼尝试和冒名顶替诈骗,旨在进一步窃取个人资料、身份甚至他们的钱财。”
其他一些安全专家也对保护这些极其敏感的政府数据库所需的改变发表了看法。据Gurucul的首席执行官Saryu Nayyar说:“这表明所有组织都需要使用分析和机器学习来寻找和标记网络上的异常活动。合法员工极不可能需要下载所有记录。一个好的分析解决方案应该利用实时数据来快速识别异常,从而可以在下载完成之前进行修复。”
阿根廷政府不相信这是一次#数据外泄#,即黑客渗透了系统并拖取了其存储的用户数据。相反,他们认为这是一个有授权访问系统的内政部雇员所为。
而Veridium的CRO Rajiv Pimplaskar认为生物识别技术是答案。:“国家身份识别系统应该基于知识的身份验证(KBA),如PIN或密码,并接受生物识别模式,如面部和指纹。 生物识别技术减少了凭证被盗和横向移动的风险,而横向移动会导致数据泄露的扩散。一些非接触式生物识别解决方案可以通过消费者的智能手机访问,可以实现各种远程注册和验证用例。 这种方式应该是独立于设备的,以便为所有公民提供一致的访问和用户体验,无论其手机的品牌和型号如何。”
Facebook周五对一名乌克兰人提起了数据盗窃案,指控他非法爬取Facebook的Messenger超过1.78亿用户的个人数据并在暗网论坛上出售。该黑客滥用Messenger通讯录导入功能在21个月的时间里爬取用户数据。该公司现在正在寻求法庭授权,禁止该男子使用Facebook网站,并对出售爬取数据的行为追究赔偿损失。
被告是一名来自乌克兰基洛沃格勒(Kirovograd)的程序员,名叫亚历山大-亚历山德罗维奇-索隆琴科(Alexander Alexandrovich Solonchenko)。据Facebook称,Solonchenko使用Facebook Messenger的通讯录导入功能非法收集数据。此功能与用户的手机通讯录同步,以便更方便地联系用户保存的号码。
有关的数据盗窃历时21个月,从2018年1月到2019年9月,使用一个模拟安卓环境的自动化工具,向Facebook服务器提供数百万个随机电话号码。对网站上关联帐户的实际注册号码的pingback帮助Solonchenko收集了数据。
2020年12月1日,他将收集到的数据放到了RaidForums论坛上,这是一个暗网上著名的用于交易被盗数据的网络犯罪论坛。根据文件,Solonchenko在这个论坛上以“Solomame”和后来的“barak_obama”的名义出售了多家公司的数据。
在招聘门户网站和电子邮件账户上使用这些相同的联系方式后,这家社交媒体巨头发现了Solonchenko的在线活动。Solonchenko曾担任自由程序员,还曾在2019年6月使用“DropTop”的商业名称在网上销售鞋子。
联系人导入功能于2019年被移除。2021年4月,5.33亿Facebook用户电话号码因相同功能的滥用而被泄露,并在同一个暗网黑客论坛上出售。然而,Facebook表示,当时的数据集是旧的,漏洞发生在两年前,在该功能被撤下之前。
REvil是臭名昭著的俄罗斯关联勒索软件团伙,据称对今年早些时候对Kaseya、Travelex和JBS的高调网络攻击负责。
在一个不知名的人劫持了他们的Tor支付门户和数据泄露博客之后,REvil勒索软件行动很可能再次关闭。
Tor站点今天早些时候下线,一名隶属于REvil行动的威胁行为者在XSS黑客论坛上发帖称,有人劫持了该团伙的域名。
该劫持首先由Recorded Future的Dmitry Smilyanets发现,并指出一个不知名的人使用与REvil的Tor站点相同的私钥劫持了Tor隐藏服务(洋葱域名),并且可能拥有这些站点的备份。
“但是自从今天莫斯科时间12点至17点10分,有人用和我们的密钥相同的密钥提出了登陆和博客的隐藏服务,我们的担心得到了证实,第三方有我们洋葱服务密钥的备份。“一个被称为“0_neday”的威胁行为者在黑客论坛上发帖。
该威胁行为者继续说,他们没有发现其服务器被破坏的迹象,但将关闭该行动。
然后,威胁行为者告诉附属机构通过Tox与他联系以获取解密密钥,这样附属机构就可以继续勒索受害者并在支付赎金时提供解密器。
要启动Tor隐藏服务(.onion域),您需要生成一个私钥和公钥对,用于初始化服务。 私钥必须是安全的,并且只有受信任的管理员才能访问,因为任何有权访问此密钥的人都可以用它在自己的服务器上启动相同的.onion服务。
由于第三方能够劫持这些域名,这意味着他们也可以访问隐藏服务的私钥。
今天晚上,0_neday再次在黑客论坛主题上发帖,但这次说他们的服务器被入侵了,无论是谁做的,都是针对威胁者的。
目前,尚不清楚是谁入侵了他们的服务器。
由于Bitdefender和执法部门获得了主REvil解密密钥的访问权并发布了免费的解密器,一些威胁行为者认为FBI或其他执法部门自其重新启动以来就可以访问服务器。
由于没有人知道发生了什么,也有可能是威胁行为者试图重新获得对行动的控制。
REvil可能会永久关闭 在REvil通过Kaseya MSP平台中的零日漏洞对公司进行大规模攻击后,REvil的运营突然关闭,他们面向公众的代表Unknown消失了。
在Unknown没有回来之后,REvil的其他操作者在9月利用备份再次启动了操作和网站。
从那以后,勒索软件业务一直在努力招募用户,甚至将联盟的佣金提高到90%,以吸引其他威胁者与他们合作。
由于这次最新的事故,目前论坛上的行动很可能将永远消失。
然而,对于勒索软件来说,没有什么好事会永远持续下去,他们很可能很快就会将它们重新命名为一项新业务。
近期,黑客在暗网上吹嘘窃取并泄露了高度敏感的文件,其中包含从悉尼一家医疗保健公司窃取的患者私人信息。
麦格理健康公司(Macquarie Health Corporation)周一证实,在这家私营公司遭到网络犯罪分子袭击后,其许多系统仍处于离线状态。麦格理健康公司经营着十几家私立医院,包括悉尼的Manly Waters私立医院。
在黑客入侵后,包含高度个人信息的医疗和法律文件被发布到暗网上。
据了解,其中一份多页文件样本详细记录了一名新南威尔士州妇女的病史、姓名和出生日期。
在悉尼和墨尔本经营12家私立医院的麦格理健康公司(Macquarie Health Corporation)于上周四首次披露了黑客攻击事件,并在周一发布了更新信息:
Macquarie Health Corporation (MHC) 仍在遭受与网络事件相关的重大影响。
感谢我们的员工在我们的许多系统保持离线状态下继续提供以患者为中心的护理的辛勤工作。
对于这种中断可能造成的任何不便,我们深表歉意,并感谢我们的员工、患者和临床医生在这种情况下的耐心等待。
黑客在一个暗网网站上的帖子中声称,他们窃取了6700多人的个人数据。
“患者的医疗数据……财务文件、银行余额、税收减免。”黑客们声称已经获得了一长串文件的清单。
犯罪分子还声称获得了“超过1000个”密码的访问权限,包括PayPal、亚马逊和Facebook等服务的密码。
除个人数据外,黑客声称已经从该公司窃取了超过119,000个内部文件,大小总计225GB。
新南威尔士州警方的一位女发言人说,他们不知道这一事件,并准备着手调查。
由欧盟和欧洲委员会的CyberEast联合项目组织的在线犯罪收益区域会议于2021年10月4日至5日使用网上在线活动举行。该会议启动了该地区的一系列国内活动,深入探讨了网络犯罪调查和金融调查/情报之间的合作问题,并特别关注某些类型的由信息和通信技术促成的欺诈、虚拟货币和暗网。
CyberEast是欧洲联盟和欧洲委员会的一个联合项目,由欧洲委员会根据欧洲睦邻友好工具(ENI)在东部伙伴关系(EAP)地区实施。
参与国:摩尔多瓦、亚美尼亚、白俄罗斯、格鲁吉亚、阿塞拜疆和乌克兰。
该项目旨在通过符合《布达佩斯网络犯罪公约》及相关文书的立法和政策框架,加强司法和执法当局的能力以及机构间合作,并提高在刑事司法、网络犯罪和电子证据方面的有效国际合作和信任,包括服务提供商和执法部门之间。
近100名网络犯罪调查员和检察官、金融调查和金融情报官员、安全专家(CSIRTs、国家安全部门)以及来自东部伙伴关系地区的私营部门实体(银行组织和互联网服务提供商)参加了这次活动。
除了与国际专家就这些主题进行深入讨论,以及在活动期间从东部伙伴关系国家收集的意见,区域会议还介绍了金融调查、虚拟货币和暗网培训课程,该课程将于2021年10月和11月作为系列国家培训向东部伙伴关系国家推出。
会议的所有材料,包括活动期间进行的现场在线投票,都可以从以下链接中获取。
CyberEast项目
犯罪收益在线材料
CyberEast项目开展以下活动: 一、立法和政策框架以及遵守《布达佩斯公约》,包括通过:
– 通过国家评估评估《布达佩斯网络犯罪公约》的遵守情况
– 为制定/更新网络犯罪战略和行动计划做出贡献
– 编写关于网络犯罪和网络安全的国家和地区报告趋势和威胁
– –刑事司法当局和政策制定者的高级别区域和国家会议,以评估关键问题
二、加强司法和执法当局的能力以及机构间合作,包括通过:
– 评估机构设置、能力、能力、培训需求以及机构间合作差距和区域网络犯罪单位的机会
– 有助于更新和/或为网络犯罪部门制定培训计划
– –关于网络犯罪调查和数字取证的培训课程、案例模拟练习和模拟试验
– –制定网络犯罪/事件报告和计算机安全事件响应小组 (CSIRT) 与刑事司法当局共享数据的商定程序
三、加强在刑事司法、网络犯罪和电子证据方面的有效国际合作和信任,包括服务提供商和执法部门之间的合作,包括通过:
– 为涉及网络犯罪和电子证据的刑事案件制定司法协助请求准则
– 研讨会、培训和模拟用于提高 24/7 联络点的技能、设置和能力
– 网络犯罪部门和检察官关于使用模板用于数据保存和订户信息的国际请求的培训课程
– 案例模拟练习开发网络犯罪国际合作的技能
– 支持执法和刑事司法当局之间的合作协议
– 开发标准模板和获取私营部门实体持有的数据的程序的讲习班
– 支持公私合作对话
Facebook及其相关平台Instagram和WhatsApp在全球范围内中断的情况下,其超过15亿用户的数据现在正在暗网上出售,引起极大恐慌,公司股价暴跌近5%,百亿市值瞬间蒸发。
在Twitter上发现的屏幕截图显示,据称在暗网上出售15亿Facebook用户的个人数据的帖子,只能通过称为Tor的特殊浏览器访问。
据专注于隐私研究的安全公司PrivacyAffairs报告称,2021年9月下旬,某知名黑客论坛上的用户发布了一个公告,声称拥有超过15亿Facebook用户的个人数据。数据目前在该黑客论坛平台上出售,有意向的买家有机会购买全部或部分数据。
据论坛发帖人称,所提供的数据包含以下Facebook用户的个人信息:姓名、性别、所在地、电子邮箱、电话号码、用户身份。
据称,一名潜在买家的报价为每100万个Facebook账户5,000美元,这将使整个Facebook用户数据集价值超过750万美元。
在随后的帖子中,卖家声称代表一家致力于从Facebook获取数据的大公司。卖方补充说,该公司是合法的“爬虫公司”,已运营至少四年,拥有超过18,000名客户。
帖子里提供的样本表明,数据确实似乎是真实的。PrivacyAffairs用已知的Facebook数据库泄漏对它们进行交叉检查,没有发现存在匹配,这意味其提供的样本数据是独一无二的,而不是转售之前已经泄露的数据。
网络爬虫 根据该帖子,卖家声称是通过网络爬取而不是对Facebook进行黑客攻击或破坏个人用户的帐户来获取数据的。网络爬虫是一个使用机器人从网站中提取公开可用内容和数据的过程,并将爬取的内容组合成新的列表和数据库。
然而,卖家利用黑客论坛来吸引客户并没有缓解人们的担忧,哪怕该公司声称泄露数据的15亿Facebook用户不会因此受到影响。
虽然从技术上讲,没有任何帐户受到损害;但这些数据最终可能落入不择手段的互联网营销人员手中以及网络犯罪分子手中,影响会是巨大的。
宕机事件 屋漏偏逢连夜雨,差不多同个时候,Facebook平台包括WhatsApp和Instagram突然无法访问。Facebook公司表示,它“意识到有些人在访问Facebook应用程序时遇到问题”,并且正在努力恢复访问权限。
然而,宕机持续了近6个小时,这种运维事故在国际大型互联网公司Facebook发生是很难让人理解的。解决问题后,Facebook也发布了解释公告:协调数据中心之间网络流量的主干路由器上的配置更改导致了通信中断。
Cloudflare也发博客调侃,并分析事故原因为BGP配置错误,导致DNS解析出现故障:
10月4日16:50UTC左右,1.1.1.1公共DNS服务器提供商Cloudflare注意到Facebook、WhatsApp和Instagram的域名突然停止解析,社交巨头的所有IP都无法抵达,就好像Facebook的数据中心同时从互联网上断开。Facebook通过BGP向其他网络广播其存在,在16:40UTC,Facebook发出了一系列路由变更,问题跟着产生了,它停止广播其DNS前缀路由,DNS服务器下线,Facebook相关域名停止解析随后影响到其他DNS服务器,Facebook事实上从互联网上消失了。21:00UTC左右,Facebook重新广播其路由信息,到21:20UTC其服务恢复正常。
为什么问题持续了如此长的时间?根据社交网络上未经证实的消息:在路由问题发生之后,能物理接触系统的工程师与有权限登陆系统的工程师与知道如何解决问题的工程师之间存在协调方面的问题。
受宕机事件影响,Facebook股价一度跌至5.9%,收跌4.9%,创6月3日以来的四个月最低,市值一夜蒸发643亿美元(约合人民币4147亿元)。