拉里·布兰特(Larry Brandt)是互联网自由的长期支持者,他把钱放在用了将近20年的PayPal账户里。他用PayPal支付系统的主要用途是为运行Tor节点的服务器提供资金,对互联网流量进行路由,以保护隐私和避免国家层面的审查。现在Brandt的PayPal账户已被关闭,留下了许多悬而未决的问题,并显示出金融审查如何伤害世界各地的互联网自由事业。
Brandt于2021年3月首次发现他的PayPal账户受到限制。 Brandt向EFF报告:“我试图向托管公司支付我在芬兰的服务器租赁费用,但我的账户无法使用,我进入了我的PayPal个人页面,上面显示了一个巨大的垂直横幅,宣布我被永久禁止。他们没有试图通过电子邮件或电话通知我——只是通过横幅。”
Brandt无法直接通过PayPal解决问题,因此他联系了EFF。 多年来,EFF一直在记录金融审查的案例,在这些案例中,支付中介和金融机构关闭账户并拒绝为没有被指控犯罪的个人和组织处理付款。Brandt与EFF法律团队分享了几个月的PayPal交易,我们深入审查了他的交易,我们没有发现任何需要关闭他账户的不当行为的证据,我们将我们的担忧传达给了PayPal。鉴于Brandt账户上的绝大多数交易是为运行Tor节点的服务器付款,EFF对Brandt的账户因其支持Tor的活动而被专门关闭深表关切。
我们联系了PayPal寻求澄清,敦促他们恢复Brandt的账户,并让他们了解Tor及其在全球促进自由和隐私的价值。PayPal否认关闭账户与对Tor的担忧有关,仅声称“情况已经得到适当的确定”并拒绝提供具体解释。几周后,PayPal仍然拒绝恢复 Brandt的账户。
Tor项目回应了我们的担忧,在一封电子邮件中说:“这是我们第一次听说因为在Tor社区捍卫互联网自由而受到经济迫害,我们非常担心PayPal缺乏透明度,我们敦促他们恢复该用户的帐户。为Tor网络运行中继是全球数千名志愿者和中继协会的日常活动。没有它们,就没有Tor——而没有Tor,数以百万计的用户就无法访问不受审查的互联网。”
Brandt情况中特别令人担忧的因素之一是他的帐户关闭的自动化程度。在他的PayPal账户被关闭后,布兰特试图直接联系PayPal。正如他向EFF解释的那样:“我试图通过电子邮件和电话与他们联系很多次。PayPal 也从未回应。他们有一个在线的‘解决中心’,但我也从未与那里的任何人进行过对话。” PayPal条款将调解中心作为一种选择,但声称PayPal没有义务向其用户披露详细信息。
互联网公司只是没有动力去关心客户服务。 许多在线服务提供商让用户很难甚至不可能联系到人工来解决他们的服务问题。这是因为雇人解决这些问题的成本往往高于恢复被错误禁止的账户所节省的少量资金。互联网公司只是没有动力去关心客户服务。但是,虽然自动关闭账户和避免人与人之间的互动可能有利于公司的底线,但个人用户的体验却让人深感沮丧。 EFF与北加州的ACLU、新美国开放技术研究所和民主与技术中心都认可了Santa Clara原则,该原则试图引导公司在决定禁止用户或删除内容时以人权为中心。特别是,第三个原则是“公司应提供有意义的机会及时对任何内容删除或帐户暂停提出上诉。” 我们的倡导已经迫使Facebook、Twitter和YouTube等公司认可Santa Clara原则——但到目前为止,PayPal还没有。Brandt的账户在没有通知的情况下被关闭,他没有机会上诉,也没有明确说明是什么行为导致他的账户被关闭,也不清楚这是否与违反PayPal的条款有关——如果是的话,这些条款的哪一部分。
我们对Brandt这样的情况感到担忧,不仅是因为给一位用户带来了伤害和不便,还因为帐户关闭模式对社会造成了危害。当少数在线支付服务可以决定谁可以使用金融服务时,它们也可以确定在我们日益数字化的世界中存在哪些人和哪些服务。虽然谷歌和Facebook等科技巨头因其内容审核做法和错误地禁止账户而受到抨击,但金融服务并没有受到同样程度的审查。
但如果有的话,金融中介机构应该受到最严格的审查。获得金融服务直接影响一个人在现代社会中生存和发展的能力,并且是大多数网站处理付款的唯一方式。我们已经看到金融审查会对在线书商、音乐共享网站和举报网站Wikileaks造成严重破坏。PayPal已经犯了具有新闻价值的错误,例如自动冻结交易中提及“叙利亚”等字眼的账户。在这种情况下,PayPal暂时冻结了加拿大新闻媒体的帐户,因为该帐户有关叙利亚难民的文章已进入其年度奖项竞赛。
EFF呼吁PayPal为其客户做得更好,这首先要遵循Santa Clara原则。具体来说,我们呼吁他们:
发布透明度报告。透明度报告将显示PayPal应政府要求关闭了多少个账户,我们敦促他们另外说明他们因其他原因关闭了多少个账户,包括违反服务条款,以及有多少可疑活动他们提交的报告。其他在线金融服务,包括最近的Coinbase,已经开始发布透明度报告,PayPal没有理由不能这样做向用户提供有意义的通知。如果PayPal选择关闭某人的账户,他们应提供有关违反PayPal条款的哪一方面或账户被关闭的原因的详细指导,除非法律禁止或在怀疑账户接管的情况下禁止这样做。这是阻止公司过度依赖自动帐户暂停的强大机制。采用有意义的上诉程序。如果用户的PayPal账户被关闭,他们应该有机会向未参与关闭账户最初决定的人提出上诉。 Brandt同意部分问题归结为PayPal没有优先考虑用户的体验:“良好的客户服务和常识会建议他们打电话给我并讨论我的PayPal活动,或者至少给我发一封电子邮件告诉我停止. 这样公司就可以更好地做出关于禁止的明智决定。但我认为客户服务并不符合他们的最佳利益。”
提高金融审查模式的透明度将有助于人权倡导者分析金融中介机构中的滥用行为模式,民间社会的审查可以作为一种平衡力量,对抗那些没有动力去记账的公司。对于像Brandt这样的金融账户被立即关闭而没有任何上诉机会的例子,可能还有无数其他 EFF 没有听说过或没有机会记录的例子。 目前,Brandt并没有退缩。虽然他不能再使用PayPal,但他仍然致力于通过继续使用其他方式为世界各地的服务器付费来支持Tor网络,他敦促其他人思考他们可以做些什么来帮助支持Tor未来: “Tor对于需要匿名位置或人员的任何人来说都至关重要……我指的是中国、伊朗、叙利亚、白俄罗斯等地数以百万计的人,他们希望在国外进行交流,但禁止此类活动。我们需要更多的激励来增加Tor项目,而不是更少。” 有关中继操作和法律的许多常见问题的答案,请参阅EFF Tor 法律常见问题解答。
桌面版本Tor浏览器发布最新更新,此版本将 Firefox 更新到 78.11esr。此外,Tor 浏览器 10.0.17 将 NoScript 更新为 11.2.8,将 HTTPS Everywhere 更新为 2021.4.15,将 Tor 更新为 0.4.5.8。此版本包含对桌面版Firefox 的重要安全更新。
新版本的浏览器搜索框下包含停止支持V2版洋葱服务的提示:
Tor正在结束对第二版(v2)洋葱服务的支持,而v2洋葱网站也已被废弃。如果你是一个网站管理员,请立即升级到v3版洋葱服务。
不仅提示了Tor浏览器的用户,也提醒Tor站点的管理员更换V3域名。此外我们可以看到Tor的官方博客也做出了警告:
Tor 浏览器将在今年晚些时候停止支持第 2 版洋葱服务。请参阅之前发布的弃用时间表。尽快迁移您的服务并将您的书签更新到版本 3 洋葱服务。
根据该博客,Android下的Tor浏览器更新将于下周推出。
该博客的评论还提到,DuckDuckGo搜索引擎正在测试V3版服务,应该很快就可以访问DuckDuckGo的V3域名了。
广东省肇庆市封开县公安局 28日发布消息称,该县公安机关对钟某、林某以涉嫌侵犯公民个人信息罪依法将案件移送检察机关提起公诉。至此,一宗以非法获利为目的,侵犯公民个人信息近1亿条的违法犯罪案水落石出,等待违法犯罪嫌疑人的将是法律的严惩。
今年,广东省肇庆市封开县公安局开展了打击网络黑灰产业链条行动。1月份,封开县公安局民警在工作中发现辖区内有人利用网络贩卖公民个人信息,给辖区民众造成严重的人身及财产危害。3月10日,网警大队联合南丰、杏花派出所组织民警在佛山市南海区一举抓获涉嫌侵犯公民个人信息的犯罪嫌疑人3名,现场缴获作案电脑、手机、银行卡一批,以及犯罪嫌疑人非法获取的海量公民个人信息。
经查,自2020年起,嫌疑人钟某通过非法软件开始接触“外面的世界”,并利用该类软件非法获取大量公民信息,通过不法渠道贩卖获利。2020年11月,嫌疑人林某在得知其老友钟某有“来钱比较快”的渠道后,两人“一拍即合”开始同流合污。他们通过暗网、加密聊天软件在网络上以购买、非法软件下载等非法方式大肆获取公民信息,为逃避公安打击,犯罪嫌疑人所谓机关算尽,利用“泰达币”“以太坊”等虚拟货币进行资金结算,在明知他人购买公民个人信息可能用于诈骗等违法犯罪的情况下,仍然肆无忌惮地出售这些公民信息获利。短短几个月的时间,两人就通过非法手段获取海量公民信息近亿条出售获利近8万元。
粤封开公安破获利用暗网侵犯个人信息案 广东省肇庆市封开县公安局供图 公安机关在对犯罪嫌疑人被查扣的手机、电脑、U盘等电子设备进行固证过程中,发现被非法获取海量公民个人信息门类繁多:包括车主车辆、房产业主、个人通讯、学籍、网贷、网购、股票投资等等。这些个人信息一旦被他人用于违法犯罪活动,后果将不堪设想,此案告破后,等待犯罪嫌疑人的将是法律的严惩。
封开县公安机关提示每一位公民做好防护措施保护好个人信息防止泄漏,文明守法进行网络生活。
5 月中旬,Tor项目官方举办了一场名为 Dreaming at Dusk 的生成艺术作品的不可替代代币(NFT)拍卖,该作品由艺术家Itzel Yard ( ixshells )创建,并源自第一个洋葱服务 Dusk 的私钥。
该行动在Foundation上举行,最终以 500 以太坊 (ETH) 出价,拍卖时约为 200 万美元,收益将用于 Tor 项目以及我们改进和推广 Tor 的工作。
在一天之内筹集了大约 200 万美元打破了我们可以想象的所有个人捐赠记录,我们对这次拍卖的成功以及这对 Tor 项目非营利组织的意义感到非常谦卑和感激。
我们非常感谢所有参与并跟进的人,并希望更多地分享我们举办此次拍卖的原因、艺术家ixshells以及筹集的资金接下来会发生什么。
为什么要拍卖 NFT? 如果您一直关注 Tor 项目,您就会知道 2020 年对于该组织来说是艰难的一年(对于许多非营利组织、小型企业和个人而言)。我们做出了艰难的决定,于 2020 年 4 月裁员三分之一。除了 COVID-19 带来的挑战和 2020 年的经济变化之外,开放技术基金——Tor 项目和我们生态系统中其他努力的长期支持者和资助者——面临政治攻击,冻结了其资金并停止了我们的一个合同。
尽管面临这些挑战,我们在重新获得稳固的财务基础方面取得了长足的进步,其中很大一部分归功于2020 年年终活动(#UseAMaskUseTor) 和您在此期间的慷慨支持。我们还能够重新雇用几名员工,从那一刻起大约一年后,我们处于一个更好的位置。
尽管如此,这些中断清楚地表明,我们实现资金来源多元化的目标至关重要,拥有坚实的一般运营资金储备将有助于我们抵御未来的任何风暴,并使 Tor 项目在很长一段时间内成为强大的非营利组织。我们一直在寻找筹集此类资金的策略。
在过去的几个月里,Tor 社区成员讨论了将 NFT 拍卖作为筹款活动的想法——这样的努力是否有助于筹集一般运营资金并保持 Tor 的强大?在新闻自由基金会与爱德华·斯诺登( Edward Snowden) 的 NFT 拍卖取得如此史诗般的成功之后,名为“保持自由”的作品,在我们看到我们的特定观众对这次拍卖的反应积极之后,我们决定举办一场我们自己的拍卖。
NFT 和艺术家 我们想通过这个过程来纪念 Tor 的一段历史,随着 v2 洋葱服务的迅速弃用,我们决定纪念第一个 .
继华盛顿特区地铁警察局最近遭受勒索软件攻击之后,又发生了两起类似的事件,其中一起已被受害警察局正式承认。两起事件中,与警方调查人员、嫌疑人、线人、定罪证据、特工身份等有关的高度敏感的数据和文件遭遇灾难性泄漏。
首先是加利福尼亚州的 Azusa 警察局,这是一支负责覆盖 50,000 人口的部队。在最近的新闻稿中,该部门承认遭受了勒索软件攻击,导致敏感数据泄露。暴露的数据类型包括社会安全号码、驾照号码、加州身份证号码、护照号码、军人身份证号码、财务账户信息、医疗信息、健康保险信息以及通过使用自动车牌识别系统收集的信息或数据。
敦促 Azusa 的公民对传入的通信保持警惕,定期获取信用报告的副本,并立即向警方报告任何可疑情况。这起攻击实际上发生在 2021 年 3 月,但勒索组织在一个月后才决定将此事公之于众,他们公开了警方记录、调查细节和巡逻人员报告。
第二起案件涉及宾夕法尼亚州的 Clearfield Borough 警察局,“Marketo leaked data marketplace”勒索门户网站上公开称该警察局247GB的数据被窃取。勒索组织在提供了28.6MB数据的证据的同时,在暗网网站上发布了一条嘲讽信息:
他们在这里,正义和秩序的捍卫者,典型的美国警察,带着甜甜圈和咖啡,在他们的车外发呆。或者他们不是吗?现在,任何人都可以对克利菲尔德区警察局的这项工作和整个工作进行评判。这么多迷人的材料–罪犯照片、报告、财务报告、事件数据、事故和尸体的照片、案件和采访的音频和视频文件。正义的捍卫者们,你们能保护所有机密信息不被窥视吗?还是你们愿意做 “现场 “工作,每天把文件放在博客上?这似乎没有什么区别,反正你的数据是在公共领域。请所有相关人员愉快地观看吧。
Clearfield警方尚未确认任何针对他们的攻击,但骗子分享的28.6MB数据包似乎包含详细的细节。这是为什么极其敏感数据的实体应该始终以加密形式存储的一个例子。这样,即使不知道何时发生了黑客入侵,泄露的数据也将毫无用处,并且可以减轻泄露造成的损害。
“Marketo leaked data marketplace”的暗网地址:http://marketojbwagqnwx.onion
(图片来源:Getty Images/iStockphoto) 爱尔兰卫生服务执行局HSE警告各地的人们要保持警惕,因为担心来自 HSE 的敏感信息已在暗网上发布。
有证据表明,被称为Wizard Spider cartel的犯罪分子已经将病人的机密信息卖给了其他犯罪分子,他们现在将利用这些信息向爱尔兰公众勒索现金。
前卫生部长西蒙·哈里斯(Simon Harris)表示,周一将发布的更多患者数据可能是“真正的风险”。
他告诉RTE的政治周刊,数据转储已经开始。该部长说:“有证据表明,在某些情况下,这种情况可能已经发生,并且已经得到警察的证实。
“有一条非常重要的信息,真的很重要,如果有人联系您询问银行详细信息,请回绝。州政府绝不会通过电话或电子邮件与您联系,询问您的银行详细信息。
“根据我的经验,国家永远不会与你联系,提出向你还钱”。政府在一份声明中警告公众,如果有人与他们联系,声称拥有他们的数据,请联系警察。
声明中写道:“医疗数据的盗窃和披露将是一种特别卑鄙的犯罪,因为它涉及敏感信息。任何公开发布这些数据都是非法的。“
“政府敦促任何有理由怀疑自己是这一网络攻击的受害者的人,向他们当地的警察署或通过警察署保密热线进行报告。该热线每周7X24小时开放,电话是1800 666 111。”
黑客有什么数据? 据了解,任何曾经使用过HSE服务的人都有潜在的风险,人们担心一些病人,包括那些接受性传播疾病治疗的人,可能成为勒索的受害者。周日发布的一份政府声明称,黑客可以接触到 “敏感的个人信息”。
昨晚有人担心,黑客已经开始通过暗网将这些信息倾销到网上。顶级医生公共机构《爱尔兰医学时报》昨天收到了几份来自公众的报告,他们被一个自称来自医院的人叫到了看起来像都柏林的地方。打电话的人知道个人的出生日期、PPS号码和他们在医院的住院日期。
俄罗斯暗网市场Hydra 近期,Flashpoint和Chainalysis联合发布了一份关于俄罗斯暗网市场Hydra的报告,调查显示,尽管Hydra是非法存在的,但是近年来交易量激增,并且拥有蓬勃发展的加密货币生态系统。
俄罗斯暗网市场Hydra的V2版本暗网域名为:http://hydraruzxpnew4af.onion
在2015年成立之初,Hydra以销售毒品而闻名,但随着时间的推移,该市场已扩大到交易包括被盗的信用卡数据、包括身份证在内的伪造文件、假钞和网络攻击服务以及其他产品。
年交易量逐年攀升,从2016年的估计940万美元到2020年的至少13.7亿美元。 加密货币经常被网络犯罪分子用于地下市场,以保持一定程度的匿名性,并购买商品和洗钱收益,如通过盗窃、非法商品销售或勒索软件支付获得的资金。
然而,研究人员所分析的底层区块链技术仍然可以揭示一些关于交易率的信息。该团队表示,在最近三年中,Hydra同比增长了大约624%,使其有可能成为目前更受欢迎的犯罪市场之一。
该市场仅为俄语用户提供服务,至少在目前,它已经避免了短时间的停机或被执法部门没收的情况。 Hydra让其用户保持一致,对卖家有严格的要求,这可能是该市场非法成功的一个重要方面。至少从2018年7月开始,Hydra运营商要求至少成功销售50笔后才允许提款,而且必须保持一个包含至少10,000美元的电子钱包账户。
报告记录了被认为与Hydra有关的超过1000个独特的存款地址和高达700万美元的交易,当谈到与Hydra之间来回交易的加密货币交易所时,Chainalysis认为许多“高风险”,因为它们不执行“了解您的客户(KYC)”法规。大多数位于俄罗斯,总体而言,只有一小部分交易是通过通常与合法交易相关的加密货币平台进行的。
根据该报告,提款也是通过 “完全或主要在俄罗斯和对俄罗斯友好的东欧国家 “的支付服务和交易所进行。Hydra要求卖家将其利润转换为法币、俄罗斯货币。尽管对卖家施加了铁拳,但Hydra账户仍然备受追捧。
研究人员说,近来出现了一个新的子市场,以获得已建立的卖家账户,以及试图绕过Hydra的法币提款要求的用户–只是为了分得利润。商店的售价高达10,000美元。
执法机构已经查封和关闭了从丝绸之路到黑暗市场等黑暗网络市场。然而,至少在目前,Hydra继续为非法商品和服务的销售提供便利。
今年1月,欧洲刑警组织关闭了DarkMarket,这是一个为大约50万用户之间的交易提供便利的平台。一名澳大利亚公民被怀疑是该网站的运营商,此后被逮捕。
在Tor Project官方多次提醒即将放弃支持V2版本的暗网onion域名后,Facebook终于推出了自己的V3的onion域名,新域名虽然不及V2版本的域名酷炫,但是依旧是facebook打头,还是显示出了身份,一目了然。
V2旧域名:https://facebookcorewwwi.onion
V3新域名:https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion
在这里,暗网下/AWX提醒广大暗网网站的运营者紧跟Facebook的步伐,在7月15日之前完成新老版本域名的更替,以应对Tor的升级,更好的保障网络的安全。
Facebook的官方声明如下:
今天,Facebook推出了一个新的Tor洋葱服务,以取代我们现有的洋葱服务facebookcorewwwi.onion。这个新的洋葱服务可在https://www.facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7kx5tfyd.onion。
如果你通过Tor使用Facebook,并使用我们现有的洋葱服务facebookcorewwwi.onion,请访问我们的新洋葱服务,并将该链接加入书签。
为什么我们要做这个改变:Tor的洋葱服务已经存在超过15年了,在这段时间里,数学和密码学已经迅速发展。由于这个原因,Tor发布了一个更新、更安全的洋葱服务版本,由更现代的加密技术驱动。 我如何知道我使用的是正确的洋葱服务?我们的旧洋葱服务有一个非常好记的名字,”facebookcorewwwi”,而我们的新洋葱服务没有。因此,在访问Facebook时,确保你有正确的洋葱服务是很重要的。
你可以通过以下几种方式找到我们的新洋葱服务:1、访问这篇博文,可在facebook.com/facebookcorewwwi上找到;2、访问facebook.com/onion-service,它显示了我们的洋葱服务名称,以便你可以保存它;3、当访问我们的洋葱服务时,你也可以通过检查你是否通过HTTPS连接来验证其真实性;点击URL栏中的挂锁图标将显示一个证书,该证书应该显示它是颁发给 “Facebook, Inc.”。
现有的V2洋葱服务何时会停止工作?我们的旧洋葱服务 “facebookcorewwwi “将继续工作到7月1日,届时访问者将不再能够通过这个洋葱服务登录Facebook。7月之后,这个地址将显示一个页面,告诉用户访问我们的新洋葱服务。根据Tor的时间线,facebookcorewwwi将在9月完全停止工作。
Tor Project的官方时间线https://blog.torproject.org/v2-deprecation-timeline
属于被指控攻击Colonial Pipeline的勒索软件组织的暗网页面已经关闭。 涉嫌攻击的DarkSide组织已经告诉其他黑客,它在执法压力下关闭了。去年年底才浮出水面的Darkside是攻击Colonial Pipeline的幕后黑手,该公司被迫关闭了在美国东半部大部分地区运送汽油、柴油和航空燃料的网络,引发了美国部分地区的燃料短缺。一些证据将DarkSide的行动与俄罗斯和其他东欧国家联系起来。
美国网络安全公司“FireEye”公司旗下的“Mandiant”金融犯罪分析高级经理Kimberly Goody称,多名黑客引用了5月13日与DarkSide关联公司共享的一份公告,称该组织失去了对其博客和支付服务器的访问,并将关闭。
美国网络安全公司“Recorded Future”的威胁情报分析师Dmitry Smilyanets表示,他在勒索软件网站上发现了一条来自“Darksupp”的俄语评论。评论写道,“几个小时前,我们无法访问我们基础设施的公共部分,即博客、支付服务器以及CDN服务器”。“Darksupp”被描述为“DarkSide”的运营者。与此同时,已无法通过TOR访问暗网上的“DarkSide”网址,显示的通知称找不到。“Recorded Future”称,“DarkSide”的运营者还说其加密货币赎金已被从它的服务器中取走。
另一篇发表在网络犯罪情报公司Intel471的博文称,“DarkSide”在周四向其勒索软件业务伙伴发布的信息中称,“鉴于上述情况和来自美国的压力,成员计划被关闭。保持平安并祝你好运”。
Kimberly Goody称,目前尚未独立证实这些说法,其他一些人也有一些猜测,认为这可能是一场退出骗局。不过一些安全专家警告称,该组织可能只是试图拿钱逃跑,消失在公众视野。
目前猜测的焦点是谁关闭了“DarkSide”的服务器。一些人怀疑是美国军方的网络司令部。因为美国第780军事情报旅在“记录未来”的报告出炉后不久就在Twitter上进行了转发。此前周五的国会听证会上,在被问及是否会对“阴暗面”采取行动时,网络司令部司令保罗·中曾根表示不会讨论该部门的行动。
此外,根据数字风险保护公司“数字阴影”(Digital Shadows)的一份研究报告,在网络犯罪分子中很受欢迎的俄语论坛XSS的版主在一篇帖子中表示,他们将删除所有提到勒索软件的内容。另外两个勒索软件组织Avaddon和Sodinokibi在另一个论坛上表示,他们将限制黑客使用他们的服务可以攻击的内容。根据“数字阴影”的报告,Avaddon表示,它将不再允许针对医疗组织、公共教育或慈善机构的攻击。
DarkSide在暗网上至少有八个域名或网站。其中一个是面向公众的网站,由DarkSide及其雇佣的黑客用来羞辱那些无视或拒绝该组织赎金要求的受害者,其他七个网站被该组织用来托管他们所窃取的数据。这七个域名中有四个也被关闭了,另外三个正在加载空白的白页,其中一个只是写着:”Darkside CDN”。CDN是指内容分发网络。
暗网研究人员推测,鉴于这次攻击造成了国际社会的轰动,关闭网站可能是DarkSide为躲避执法部门而做出的努力。
暗网和网络研究公司DarkOwl的联合创始人Mark Turnage说:”DarkSide很可能会安静下来,重新塑造自己,正如我们在过去观察到的其他暗网勒索软件运营商,当他们成为执法部门的目标后都会暂时停止行动。“
“我们是非政治性的。我们不参与地缘政治”,DarkSide表示,”我们的目标是赚钱,而不是为社会制造问题。从今天起,我们引入节制,检查我们的合作伙伴,想要加密的每家公司,以避免未来的社会后果。”
DarkSide的暗网网址有:
http://darksidedxcftmqa.onion
http://darksidfqzcuhtk2.onion
在遭受网络攻击后,Colonial表示正在逐步重新开放其管道系统-德克萨斯州和纽约之间最大的燃料网络 根据彭博社的报道,因勒索软件攻击而被迫关闭运营的Colonial Pipeline公司向黑客组织支付了近500万美元,以重新启动其燃料管道。
Colonial Pipeline公司经营着美国最大的汽油管道,在攻击发生后几个小时就用加密货币支付了赎金,这一点后来也得到了多家媒体的证实。勒索组织DarkSide被认为是这次黑客攻击的罪魁祸首,并被推到了国际聚光灯下。
2021年5月10日,联邦调查局宣布对Colonial管道的攻击是由DarkSide勒索软件变体引起的,这迫使该公司停止了管道的运作,以便Colonial能够对该事件进行全面调查。虽然一般人可能是第一次听到DarkSide的名字,但威胁情报公司英特尔471自去年首次向地下网络犯罪宣布其产品以来,一直在追踪与该黑客组织有关的人。
虽然早在2020年8月就被发现在野外,但DarkSide的开发者于2020年11月在流行的俄语黑客论坛XSS上 “首次亮相 “该勒索软件,宣传他正在寻找合作伙伴,试图采用联盟 “即服务 “模式。不久之后,该勒索软件被发现是众多攻击的幕后黑手,包括针对欧洲和美国的制造商和律师事务所的几起事件。
英特尔471分析出的一些攻击手法、技术和程序来自DarkSide家族,攻击方式存在相似性,首先通过利用Citrix、远程桌面网络(RDWeb)或远程桌面协议(RDP)等脆弱软件获得初始网络访问权限,进行横向移动并窃取敏感数据,最终部署勒索软件;或者在地下论坛上购买访问凭证,进行暴力破解,利用垃圾邮件活动传播恶意软件或购买流行的僵尸网络,如Dridex、TrickBot和ZLoader,利用PowerShell后门在企业网络中进行侦察和持久化,武器库通常包括Cobalt Strike和Metasploit框架、Mimikatz和BloodHound。
DarkSide组织没有宣布对Colonial Pipeline的攻击负责,也没有公开泄露属于该公司的任何数据。然而,在2021年5月10日,该组织发布了一份公告,暗示其可能参与了这次攻击。运营商在公告中承诺,他们将在未来引入 “节制”,仔细检查每个DarkSide附属公司想要加密的公司,”以避免未来的社会后果”。运营商还声称,该组织严格受金钱驱使,不隶属于任何政府机构。
这不是DarkSide运营商第一次试图为他们的行动进行公关宣传。10月,该组织在其博客上宣布,它将把收集到的部分赎金捐给国际儿童组织(致力于消除贫困的非营利性儿童赞助组织)和水项目(旨在向撒哈拉以南非洲国家提供清洁水的非营利组织)。
“我们认为,他们所支付的一些钱将用于慈善事业是公平的,”博客网站上的文章写道。”无论你认为我们的工作有多糟糕,我们很乐意知道我们帮助改变了某些人的生活。”
目前还不知道DarkSide是否在最初的捐款之外继续资助慈善机构。
勒索软件的普及和日益成熟与能源控制系统的老化相结合,是一个复杂的问题。随着黑客们通过勒索软件的运作成功,更多的网络犯罪分子可能会想加入这一行动,因为网络安全行业蓬勃发展,与其他犯罪(即针对银行账户)相比,回报更高。负责关键基础设施的公司必须明白,不安全的系统对地下网络犯罪分子来说是一个诱惑的勒索目标,而积极主动的防御措施将大大有助于防止未来发生类似Colonial Pipeline的事件。