最近几个月,DarkOwl分析师在暗网上发现了多个支持托管的去中心化市场,这些市场声称与锡那罗亚卡特尔有关联,是墨西哥臭名昭著的犯罪集团卡特尔的专用在线门户。
这些暗网市场提供毒品和杀手服务,就像他们在现实世界中一样,并试图通过声称得到各自领域“经验丰富”的参与者的支持来为其列出的商品增加合法性。
这些市场的出现被DarkOwl分析师发现,他们发现了一个趋势,即从吸引执法部门注意的大型市场转向较小的、不太公开的网站。
DarkOwl报告中提出的最明显的例子包括新的和旧的市场,由于环境市场条件的变化而变得突出。
下面提到的一些网站最近更新了新功能和用户友好的界面,试图吸引对非法产品感兴趣的受众。
Cartel de Sinaloa(CDS 市场) 据称与墨西哥犯罪集团“Cártel de Sinaloa”有关的市场。销售毒品、化学品、武器、恶意软件、洗钱和杀手服务,还拥有托管支付系统。
CDS 市场托管在 Tor 上,包括市场托管和提早完成 (FE) 选项。市场列出了以下商品和服务类别:巴比妥类药物、软件和恶意软件、雇佣服务、处方、阿片类药物拮抗剂、洗钱、人口贩运、分离、武器、类固醇、假冒、人体器官、苯二氮卓类药物、兴奋剂、摇头丸、欺诈、毒品用具、研究化学品、减肥等。其中许多类别可以在传统的暗网市场上找到,但这个市场包括购买人体器官和出租服务的选项。尽管存在这些特定的非法商品类别,而且 Cartel de Sinaloa 市场已经活跃了几个月,但在所描述的任何类别下提供或宣传销售的产品列表为零。
该市场宣传各种产品,包括毒品和雇佣杀手。但是,“商店”下的唯一选项是提交一份工作请求,其中包含“枪杀”、“刺伤”、“绑架”、“意外谋杀”等选项。提供的最昂贵的服务是狙击手工作,费用为 10,000 美元。表格上的价格包括美元货币并支持通过比特币付款。
Cartel Gulf Texas 该市场隶属于锡那罗亚帮派,承诺通过 USPS 从德克萨斯州拉雷多将毒品运送到世界任何地方。
Gulf Cartel Texas的Tor服务自2020年以来一直在线,其设计并不像使用Vision UI 产品发现的其他服务那样复杂,但会宣传可供购买的大量不同药物,巧合的是,“来自来自锡那罗亚卡特尔的山脉。” 德克萨斯海湾卡特尔 – 直接来自边境 – 包括免责声明:“警告诈骗者正在积极冒充我们,我们永远不会用糟糕的英语发送电子邮件或威胁你。”
Los Urabenos 与哥伦比亚准军事组织“Clan del Golfo”相关联,该市场销售纯(90%以上)可卡因和杀手服务。
在Tor上提供出租服务,并专门在其市场上销售高质量的纯可卡因。登陆页面的背景是一座火山,该网站旨在通过传统导航链接对用户友好,例如:“主页”、“关于我们”、“服务”和“联系我们”部分。该市场提供了一些带有标记照片的产品,包括 90% 以上的Fishscale哥伦比亚可卡因和84%的荷兰MDMA香槟水晶,并表示他们在去中心化市场被没收之前曾在Darkfox和DarkMarket上进行交易。他们对订单有非常严格的规定,包括没有直接或面对面的见面会,并宣传他们已经完成了400多个客户的750多个订单。
Cartel Jalisco Nuevo Generation (CJNG) 该市场与墨西哥的同名团伙有关联,号称是“世界上最值得信赖的散装可卡因销售商”。它支持海运或空运的空投,并接受比特币支付。
通过海运和空运提供匿名死货。他们宣传自帝国市场以来他们已经有数千笔销售,并接受通过比特币付款。该网站还声称:“所有销售额中的一部分将流向支持在线自由的非营利组织和组织。” CJNG被认为是美国最大的芬太尼供应商之一,就在 6 月底,60 多名军事卡特尔成员在社交媒体上发布了视频,他们自豪地展示了他们可以使用的各种防护装备、武器和车辆以进行持续运营.
CJNG市场上提供的产品包括有限的药物选择,例如可卡因、大麻和苯丙胺晶体碎片。该网站的新闻部分不是最新的,最后一次分享是在 2020 年 3 月;站点管理员包括Wickr和Jabber加密聊天帐户和安全电子邮件地址(带有PGP密钥),用于直接发送消息和购买。他们产品的一些图像,例如可卡因砖,顶部刻有一个徽章。
Ausline 一个专注于澳大利亚和新西兰观众的市场,由著名的暗网供应商建立,据称该供应商与名为“蝎子卡特尔”的哥伦比亚可卡因片生产商有直接联系。
几乎没有关于哥伦比亚任何“蝎子”卡特尔的开源信息,但在国际上,加拿大有一个红蝎子帮,在新闻文章中提到了另一个简称为海地的蝎子帮。在墨西哥,一个名为Escorpiones (Scorpions)的组织是在两名 CDG 领导人之间发生冲突后成立的,并且是 Antonio Ezequiel Cárdenas Guillén 的警卫,最后据报道在他死后与旋风结盟。
在我们继续讨论这个话题之前,让我们先了解一下暗网到底是什么。互联网世界下面有另一个世界,我们无法进入。一个用户只能看到互联网所拥有的一小部分东西。互联网世界还有另一层,我们的普通浏览器无法进入。这就是所谓的暗网。
以下是访问暗网的一些安全方法:
要访问暗网,您大部分时间都需要Tor。它是一个志愿者中继网络,用户的互联网连接通过该网络进行路由。用户在使用Tor时变得匿名,因为它促进了加密连接,可以代理位于世界各地的中继之间的所有流量。
您可以通过Tor浏览器访问Tor。在默认浏览器的隐身模式下使用VPN将隐藏Tor浏览器的下载。Tor允许用户通过暗网和明网进行浏览。然而,该浏览器应该只从官方网站下载。从其他来源下载可能会使恶意软件被下载到我们的系统。
然而,互联网提供商可以检测到Tor何时被使用。这是因为Tor节点的IP是公共的。尽管我们的身份仍然是匿名的,并且互联网服务提供商(ISP)可以解密我们的互联网流量,但仍然知道Tor正在被使用。
要想私下使用Tor,VPN是很方便的。此外,你可以使用Tor Bridges。
为了在暗网中保持安全,Tor的隐私和安全设置应始终设置为高。这将保护您免受恶意脚本和有效载荷的侵害,使你的设备受到脆弱的攻击。
您可以选择的另一项措施是下载Tails软件。Tails软件可以很好地与Tor浏览器配合使用,并包含许多支持我们目的的功能。
如果您有能力使用不同的机器/系统进行浏览,这样做会很有帮助。拥有专门用于浏览暗网的设备将帮助您保护主要设备免受攻击。
安全和谨慎的浏览总会有很长的路要走。你应该小心你点击的内容,恶意软件的威胁在暗网中太常见了。
为了在暗网上安全浏览,你可以采取的其他一些措施是,关闭所有你有账户的应用程序。从密码管理器到Netflix等流媒体平台,关闭所有与访问暗网无关的程序是一项安全措施。
在暗网下穿梭时,您应该遮盖住电脑的网络摄像头。应始终在您的设备上关闭位置访问。最重要的是,在您的设备上安装高质量的防病毒软件也很有帮助。
在浏览暗网之前,检查可能的IP泄漏是另一项重要措施。检查IP、DNS和WebRTC泄漏。要做到这一点,你必须打开你的VPN并前往ipleak.net和dnsleaktest.com。在那里你可以确定显示的IP地址是原始的还是由VPN提供的。
访问暗网网站聚合器和维基,找到实际的暗网网站链接,比依赖搜索引擎更方便。你也可以尝试合法网站的暗网导航,以访问更多靠谱的暗网站点,这里我们推荐暗网最大的中文导航:onion666.com。
根据Reboot SEO公司的数据,克罗地亚是2022年对暗网最感兴趣的国家,暗网兴趣评分为97.1分(满分100分)。近年来,克罗地亚的暗网犯罪增加了31%,今年到目前为止,共有30450次在线搜索,这相当于2022年克罗地亚每10万人中有1083名互联网用户在查询暗网。
捷克共和国排在第二位,暗网兴趣得分94.1(满分100)。在捷克共和国,有超过800万活跃的互联网用户,每10万人中有1027名用户每月搜索暗网。
爱尔兰是对暗网最感兴趣的第三个国家,其兴趣分数为91.2分(满分100分)。今年到目前为止,爱尔兰已经有38,360次对暗网的在线搜索,相当于每10万名互联网用户中有953次搜索。
排名第四的是匈牙利,暗网兴趣得分88.2分(满分100分),排名前五的是罗马尼亚,得分85.3分。
排名国家每10万名用户的搜索次数暗网兴趣得分 (/100)1Croatia1,08397.12Czech Republic1,02794.13Ireland95391.24Hungary92088.25Romania80485.36Slovakia75682.47Albania73179.48Greece71876.59Netherlands70873.510Italy69770.611Slovenia68367.612Norway64864.713United Kingdom64161.814Portugal62558.815Sweden61855.9 保护自己免受暗网攻击的5种方法 1.使用VPN VPN可以保护你的在线活动不受公司、政府和其他窥探者的影响。通过连接到外部服务器并采用其IP地址,您可以看起来与您正在使用的服务器位于同一国家/地区。例如,如果您在美国并连接到英国的服务器,该网站会认为您在英国。虽然VPN不会使您的在线活动无法追踪,但拥有额外的保护层可以让您有最好的机会保护您的数据安全。
2.使用免费的暗网扫描 如果您怀疑您的某个帐户(无论是个人帐户、电子邮件帐户还是银行帐户)已经被泄露,您应该做的第一件事就是运行免费的暗网扫描。暗网扫描将在暗网中搜索所有被盗数据列表中的个人信息。网络扫描不会揭示暗网上被盗的全部信息,但如果发现您的任何信息,它会立即通知您。
3.使用密码管理器 另一种为自己提供保护个人信息的最佳机会的方法是更改密码并使用密码管理器。我们中的许多人都犯了在所有账户中使用相同密码的错误,但这可能导致你的信息更容易被访问。你的在线账户的密码都应该是不同的,强大的,并且是独一无二的。例如,你的Instagram密码,不应该与你的亚马逊或网上银行密码相同。使用密码管理器是避免这种情况的一个简单方法。密码管理器为你生成安全的密码,所以你再也不用担心忘记另一个密码了。
4.启用双因素身份验证 你可以尝试保护你的在线账户免受暗网攻击的最好方法之一是使用双因素认证。第二个认证步骤使黑客更难进入你的账户,因为它结合了两个因素作为确认授权的方式,要么是你的用户名或密码,然后是你的电话号码,或者可能是指纹等实物。如果你的用户名或电子邮件地址被泄露了,这个额外的安全层将进一步保护您。
5.关闭账户并报告身份盗窃的证据 身份盗窃是世界上最常见的犯罪之一,每年都有越来越多的受害者。如果您在财务报表中发现任何可疑交易,或者如果您收到一封关于并非由您进行的登录尝试的电子邮件,那么迅速采取行动至关重要。通过关闭您的账户,向您的银行报告,以及向您的相关政府机构提交身份盗窃报告,您可以防止进一步的经济损失。
“数据安全没有单一的解决方案。真正的安全来自正确的软件工具的组合、增加您对网络威胁的了解以及建立安全的在线实践。黑客不断设计新的和创新的方法来访问您的数据,然后可以将其上传到暗网并出售。如果你想给自己一个最好的机会,防止你的信息最终出现在暗网上,或者如果你想出于好奇探索暗网,你应该使用VPN,因为它将隐藏你的IP地址,保护你的身份和位置。”
“即插即用”的兴起 这只是HP Wolf Security(惠普狼性安全团队)发现的蓬勃发展的网络犯罪经济中不计其数的例子之一。惠普公司的端点安全服务今天在《网络犯罪的演变》报告中发布了长达三个月的调查结果:“为什么暗网正在为威胁格局增压以及如何反击”。
该报告最严酷的结论是:网络犯罪分子正在以一种近乎专业的方式运作,以软件即服务的方式提供易于启动、即插即用的恶意软件和勒索软件攻击。这使得那些即使是最基本技能的人也能够发起网络攻击。
该报告的作者、惠普高级恶意软件分析师Alex Holland说:“不幸的是,成为一名网络犯罪分子从未如此简单。现在,只要花一加仑汽油的价格就能获得技术和培训。”
在黑暗的一面散步 HP Wolf Security威胁情报团队与暗网调查人员Forensic Pathways以及来自网络安全和学术界的众多专家合作,领导了这项研究。这些网络安全专家包括前黑帽子Michael “MafiaBoy” Calce(他在高中时就入侵了FBI)和萨里大学的犯罪学家和暗网专家Mike McGuire博士。
该调查涉及对3500多万个网络犯罪市场和论坛帖子的分析,包括33000个活跃的暗网网站、5502个论坛和6529个市场。它还研究了Conti勒索软件组织的泄露通信。
最值得注意的是,研究结果显示了廉价和容易获得的“即插即用”恶意软件工具包的爆炸式增长。供应商将恶意软件与恶意软件即服务、教程和指导服务捆绑在一起——76%的恶意软件和91%的此类漏洞的零售价格低于10美元。因此,当今网络犯罪分子中只有2-3%的人是高级程序员。
流行的软件也为网络犯罪分子提供了简单的入口。Windows操作系统、Microsoft Office和其他Web内容管理系统中的漏洞经常被讨论。
“令人惊讶的是,未经授权的访问是多么便宜和大量,”Holland说。“你不必成为一个有能力的威胁攻击者,你不必拥有许多可用的技能和资源。通过捆绑,您可以踏入网络犯罪世界的大门。”
该调查还发现了以下情况:
77%的网络犯罪市场需要供应商保证金(或销售许可证),费用可能高达3,000美元。
85%的市场平台使用托管支付,92%的市场平台有第三方争端解决服务,并且都提供某种形式的审查服务。
此外,由于暗网Tor网站的平均寿命只有55天,网络犯罪分子已经建立了在站点之间转移声誉的机制。一个这样的例子提供了网络犯罪分子的用户名、主要角色、他们最后一次活跃的时间、正面和负面的反馈以及星级评价。
正如Holland所指出的,这揭示了一种“盗贼之间的荣誉”心态,网络犯罪分子希望确保“公平交易”,因为他们没有其他法律追索权。勒索软件创建了一个“新的网络犯罪生态系统”,奖励较小的参与者,最终创建了一个“网络犯罪工厂线”,Holland说。
日益复杂的网络犯罪分子 自20世纪90年代初,业余爱好者开始聚集在互联网聊天室并通过互联网中继聊天(IRC)进行协作以来,网络犯罪领域已经发展到今天的DIY网络犯罪和恶意软件工具包的商品化。
今天,据联邦调查局估计,网络犯罪每年给世界造成数万亿美元的损失。仅在2021年,美国的网络犯罪损失就达到了大约69亿美元。
未来将带来更复杂的攻击,但网络犯罪也会变得越来越高效、程序化、可复制,并且“更无聊、更平凡”,Holland说。他预计,更具破坏性的数据拒绝攻击和越来越多的专业化,将推动更有针对性的攻击。攻击者还将专注于提高效率以提高投资回报率,而Web3等新兴技术将成为“武器和盾牌”。同样,物联网将成为更大的目标。
Holland表示:“网络犯罪分子越来越多地采用民族国家的攻击程序。”他指出,许多人已经放弃了“打砸抢”的方法。相反,他们会在侵入目标网络之前,对目标进行更多的侦察,从而最终将更多的时间花在受破坏的环境中。
掌握基础知识 毫无疑问,网络犯罪分子的速度往往超过企业自身的安全保护速度。网络攻击正在增加,工具和技术也在不断发展。
Holland称:“你必须接受,由于未经授权的访问如此便宜。你不能有这样的心态,即认为它永远不会发生在你身上。”
他强调说,尽管如此,企业仍有希望,也有很大的机会来准备和保护自己。关键攻击向量保持相对不变,这为防御者提供了“挑战各类威胁并增强弹性的机会”。
企业应该为破坏性的数据拒绝攻击、越来越有针对性的网络活动以及正在使用包括人工智能在内的新兴技术的网络犯罪分子做好准备,这些技术最终会挑战数据的完整性。
正如Holland所说,这归结为“掌握基础知识”:
采用多因素身份验证和补丁管理等最佳实践做法。
通过制定响应计划来减少来自电子邮件、Web浏览和文件下载等主要攻击媒介的攻击面。
优先考虑自我修复硬件,以提高弹性。
通过制定流程来审查供应商安全的程序和对员工进行社会工程教育,从而限制人员和合作伙伴带来的风险。
通过演练发现问题、进行改进并做好更充分的准备,为最坏的情况制定计划。
“把它想象成一次消防演习——你必须真正练习、练习、练习。”Holland说。
网络安全作为一项团队运动 企业之间也应该加强合作。Holland说,同行之间有机会“更实时地共享威胁情报”。
例如,企业可以利用威胁情报,通过监测地下暗网论坛的公开讨论,来主动进行水平扫描。他们还可以与第三方安全服务合作,发现需要解决的薄弱环节和关键风险。
惠普公司个人系统安全全球负责人Ian Pratt博士表示,由于大多数攻击都是“单击鼠标”开始的,因此每个人都必须在个人层面上提高“网络安全意识”。
他说,在企业层面,他强调了建立弹性和关闭尽可能多的常见攻击路线的重要性。例如,网络犯罪分子会在发布补丁时研究补丁,以对漏洞进行逆向工程,并在其他企业需要补丁之前快速创建漏洞利用。因此,加快补丁管理的速度是至关重要的。
同时,许多最常见的威胁类别——例如通过电子邮件和网络传递的威胁——可以通过威胁遏制和隔离等技术完全消除。无论是否修补漏洞,这都可以大大减少一个企业的受攻击面。
正如Pratt所说,“我们都需要做更多的工作来对抗不断增长的网络犯罪机器。”
Holland表示同意,他说:“网络犯罪是一项团队运动,网络安全保护也必须如此。”
网络安全研究人员详细介绍了勒索软件攻击者为掩盖其在线真实身份以及其网络服务器基础设施的托管位置而采取的各种措施。
“大多数勒索软件运营商使用其原籍国(如瑞典、德国和新加坡)以外的托管服务提供商来托管他们的勒索软件运营网站,”思科Talos研究员Paul Eubanks说。“当他们连接到他们的勒索软件网络基础设施以进行远程管理任务时,他们使用VPS作为代理来隐藏他们的真实位置。”
同样突出的是使用TOR网络和DNS代理注册服务,为其非法操作提供额外的匿名层。
但是,通过利用威胁参与者的操作安全失误和其他技术,这家网络安全公司上周披露,它能够识别托管在公共IP地址上的TOR隐藏服务,其中一些是与DarkAngels、Snatch、Quantum和Nokoyawa勒索软件集团有关的先前未知的基础设施。
虽然众所周知,勒索软件集团依靠暗网来掩盖他们的非法活动,从泄露被盗数据到与受害者谈判付款,但Talos透露,它能够识别“公共IP地址托管与暗网相同的威胁参与者基础设施”网。”
“我们用来识别公共互联网IP的方法涉及将威胁参与者的[自签名]TLS证书序列号和页面元素与公共互联网上的索引匹配。”Eubanks说。
除了TLS证书匹配之外,用于发现攻击者清晰网络基础设施的第二种方法是使用Shodan等网络爬虫将与暗网网站相关的网站图标与公共互联网进行对比。
以Nokoyawa为例,这是今年早些时候出现的一种新的Windows勒索软件,与Karma具有大量代码相似之处,托管在TOR隐藏服务上的站点被发现存在目录遍历漏洞,使研究人员能够访问用于捕获用户登录的“/var/log/auth.log“文件。
调查结果表明,不仅犯罪分子的泄漏网站可以被互联网上的任何用户访问,其他基础设施组件,包括识别服务器数据,也被暴露出来,从而有效地使获得用于管理勒索软件服务器的登录位置成为可能。
对登录成功的root用户登录信息的进一步分析表明,它们来自两个IP地址5.230.29.12和176.119.0.195,前者属于GHOSTnet GmbH,这是一家提供虚拟专用服务器(VPS)服务的托管服务提供商。
“然而,176.119.0.195属于AS58271,它以Tyatkova Oksana Valerievna的名义列出,”Eubanks指出,“操作员可能忘记使用基于德国的VPS进行混淆,并直接从其176.119.0.195的真实IP登录到与该Web服务器的会话。”
随着新兴Black Basta勒索软件的操作者通过使用QakBot进行初始访问和横向移动,并利用PrintNightmare漏洞(CVE-2021-34527)进行特权文件操作来扩大他们的攻击武器库。
更重要的是,LockBit勒索软件团伙上周宣布发布LockBit 3.0,并打出“让勒索软件再次伟大!”的宣传标语,此外还推出了他们自己的漏洞赏金计划,为发现安全漏洞和改进其软件的“绝妙的想法”提供1000至100万美元的奖励。
Tenable高级研究工程师Satnam Narang在一份声明中表示:“LockBit3.0的发布和漏洞赏金计划的引入是对网络犯罪分子的正式邀请,以帮助协助该组织寻求保持领先地位。”
“漏洞赏金计划的一个关键重点是防御措施:防止安全研究人员和执法部门在其泄漏站点或勒索软件中发现漏洞,确定包括会员计划在内的成员可能被人肉攻击的方式,以及发现该组织用于内部通信的消息软件和Tor网络本身的漏洞。”
“被人肉或被识别的威胁表明,执法工作显然是LockBit等组织非常关注的问题。最后,该组织正计划提供Zcash作为付款方式,这很重要,因为Zcash比比特币更难追踪,使研究人员更难监视该组织的活动。”
在过去的一年里,暗网数据市场在总量和产品种类上都有较大的增长。不出所料,随着供应量的增加,大多数商品的价格出现了大幅下跌。
隐私事务局(Privacy Affairs)的2022年暗网价格指数报告中揭示了这一点,该报告研究了2021年2月至2022年6月的暗网数据。数据收集方法包括扫描暗网市场、论坛和网站。
蓬勃发展的销售 报告发现,过去一年暗网销售的商品数量大幅增加。9000多家销售假身份证和信用卡的活跃供应商中的每一家都报告了去年数千笔交易的销售额。
此外,与2020年相比,2021年出售的虚假信用卡数据、个人信息和文件更多,并且种类有所增加,增加了被黑的加密货币账户和Uber等网络服务项目。
该报告还显示,随着暗网交易市场的成熟,运营该市场的犯罪分子开始模仿合法经济,使用类似于传统营销和零售业务的方法,例如针对被盗信用卡详细信息提供二合一交易。
没有新的市场领导者 去年10月之前,买家倾向于使用更成熟的网站,这些网站提供更多安全功能并专注于客户服务。
白宫市场(White House Market)显然是该制度中最活跃的网站,是明显的领导者,在暗网市场大约9000个活跃的供应商中,约有三分之一是由白宫市场托管的。
然而,在去年10月,网站管理员几乎没有做出任何解释,宣布他们将关闭该网站,该网站在宣布后不久就关闭了。尽管其他网站,尤其是ToRReZ Market和重新启动后的AlphaBay Market,已经开始填补这一空白,但目前还没有确定长期的暗网市场领导者,尽管AlphaBay市场可能暂时领先。
克隆的、被盗的信用卡 去年12月,大约450万张信用卡在暗网上出售。总体而言,被黑信用卡的价格下降了,在某些情况下甚至大幅下降。
信用卡详细信息的平均价格从美国、加拿大和澳大利亚的1美元到香港的20美元不等。然而,这些项目的总体价格趋势是下降的。
账户余额高达5000的信用卡详细信息价格从240美元降至120美元,账户余额高达1000美元的信用卡详细信息价格从120美元降至80美元。
被盗的网上银行登录账户中至少有2000个账户,也从120美元降至65美元。
其他示例包括,以色列黑客入侵的CVV信用卡详细信息从65美元跌至25美元,黑客入侵的(全球)信用卡详细信息CVV从35美元跌至15美元。
有些地方表现得更好,英国被黑的信用卡细节与CVV保持在20美元,美国的同样情况只下降了3美元,从20美元到17美元。
该公司表示,不良行为者更愿意出售信用卡的详细信息,而不是直接拿钱,因为这样做会带来不必要的风险。
该公司解释说:“他们做他们最擅长的事情,并通过将这些被盗数据出售给愿意通过暗网的加密市场或其他一些计划将这些细节转换为现金的重罪犯来赚取利润。”
“由于他们也大规模地窃取这种类型的数据,一些卡的数据可能由于各种原因而实际上无法使用,这也是价格中的一个因素。然而,考虑到他们大规模这样做,他们的利润相当高。”
供应和需求 根据隐私事务局的说法,这个数据证明了暗网的数据越来越便宜。
“发生这种情况是因为黑客收集了大量数据,黑客组织越来越多,因此供应商也越来越多。暗网市场更像是一个真实的市场,新的供应商进入市场并试图以更低的价格出售,证明了供需公式。”
AlphaBay据称是世界顶级的暗网市场。但它遵循一个奇怪的规则:俄罗斯、白俄罗斯、哈萨克斯坦、亚美尼亚和所有“与吉尔吉斯斯坦有关的活动”都被排除在外。
为什么要排除在外:一位选择以DeSnake为昵称的AlphaBay主要管理员兼工作人员称,排除规则与最近因入侵乌克兰而对俄罗斯及其盟国实施的制裁无关。
“不将这些国家纳入运营的原因很简单。有一条黄金法则:你不要在你睡觉的地方拉屎。”该工作人员说。
DeSnake暗示AlphaBay背后的团队位于独立国家联合体(CIS)的一个成员国中,该组织是在1991年苏联解体后形成的,并希望在该区域政府间组织的交织的法律下避免任何刑事犯罪行为。
独联体包括俄罗斯和前苏联国家,如亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦和乌兹别克斯坦。
“通用策略” DeSnake指出这种策略“对业内人士来说很常见”,并表示有证据表明,这种做法“可以追溯到很多年前,其他论坛、聊天室、(恶意软件)群组”和其他犯罪组织。
正如网络安全公司Malwarebytes在2021年的一篇文章中指出的那样,“勒索软件真的,确实不想在俄罗斯或独联体成员国运行,而且也从来没有。”
Malwarebytes研究的顶级勒索软件都没有在任何一个独联体国家运行,尽管在进行研究时在世界其他地区积极运行。
如果勒索软件错误地在与独联体国家相关的组织中运行,该团队通常会道歉并免费交出解密密钥。在一个这样的例子中,勒索软件组织Avaddon的代表在发现一家受害公司在亚美尼亚有一个分支机构后,向其道歉并提出修复其系统。
其他风险 正如Malwarebytes所解释的,俄罗斯与美国没有引渡条约,这意味着俄罗斯网络犯罪分子只要不在独联体国家犯罪,就没什么可担心的。
DeSnake承认,用户可能会利用暗网和门罗币的匿名性来规避限制,但如果他被发现并被禁止,供应商将面临失去押金的风险。
该员工还表示,AlphaBay不会协助此类交易,这意味着不会提供争议解决服务。
自我承认 在一些采访中,DeSnake非常大胆地声称,即使被查获,他的工作PC也不会牵连他。
但所有隐私匿名技术和运营保护可能不如简单的地理保护那么重要。DeSnake声称位于非引渡国家,超出了美国执法部门的范围。在给“WIRED”发的消息中,AlphaBay的新老板描述了他曾在前苏联生活过,他之前曾在最初的AlphaBay论坛上给用户写过俄语消息。
长期以来一直有传言称AlphaBay与俄罗斯或俄罗斯人有某种联系。AlphaBay暗网市场一直禁止出售从前苏联国家的受害者那里窃取的数据,这是俄罗斯黑客的共同禁令,旨在保护他们免受俄罗斯执法部门的审查。
根据加密货币侦探、区块链分析公司Elliptic最近发布的一份报告,最大的meme加密货币狗狗币(Dogecoin)在暗网中的影响力越来越大,狗狗币越来越多地与恐怖主义融资、庞氏骗局和儿童性虐待等一些非法活动相关联。。
这家总部位于伦敦的区块链分析公司已发现与非法活动有关的价值“数百万美元”的狗狗币交易,其在报告中透露,埃隆马斯克推广的这个meme代币已成为不良行为者促进数百万交易的热门选择。
Elliptic发现加密货币在一些提供毒品和被盗数据的流行暗网市场上被广泛接受。
虽然绝大多数此类活动包括欺诈、诈骗和庞氏骗局,但也包括最严重的犯罪类型,包括恐怖主义融资和儿童性虐待材料供应商(CSAM)。
犯罪分子在狗狗币于2013年成立后不久就开始使用它。2014年,有一个名为“Doge Road”山寨版丝绸之路暗网市场。这个现已倒闭的暗网市场的所有者在其创建后不久就带着其他人的钱跑了。
2021年,由于比特币的快速增长,比特币的模仿变得更受黑恶势力的欢迎。在暗网和外部的CSAM供应商数量虽小但数量不断增加,现在他们收到了比特币。Elliptics仅识别出3000美元的狗狗币,这是一笔小数目。
牛市为无数围绕meme加密货币的骗局和各种庞氏骗局创造了肥沃的土壤。去年8月,土耳其检察官开始调查一项狗狗币挖矿计划,据称该计划骗取了投资者高达1.19亿美元的资金。
该报告称,在过去几年中,狗狗币已被用于各种恶意软件活动。一些暗网市场和恶意软件活动也接受狗狗币。Elliptic发现Just-Kill等暗网服务仍然接受狗狗币,而其他人不再接受它。
除了恐怖分子外,极右翼极端组织似乎也喜欢加密货币,包括狗狗币。这些团体、极右翼博客网站、新闻和视频共享平台在无法使用传统方法时使用狗狗币筹集资金。
Infowars等极右翼极端分子在极右翼的全球主义斗争新闻网站已经筹集了超过1,700美元的狗狗币。
这一发现类似于去年金融行动特别工作组关于极右翼团体使用比特币和隐私币等加密货币的披露。
然而,庞氏骗局、盗窃和欺诈似乎是狗狗币最大的非法用途。Elliptic声称已经确定了50多起犯罪分子套现数百万美元狗狗币的案件。
Elliptic的报告指出,观察到“价值数百万美元的狗狗币交易”与从庞氏骗局到儿童性虐待材料等非法活动相关联。
常见的例子包括去年与土耳其庞氏骗局有关的1.19亿美元狗狗币被盗。2020年,中国政府还在60亿美元的PlusToken庞氏骗局中查获了超过2000万美元的狗狗币。
2021年7月,以色列国家反恐融资局针对84个被认为与哈马斯集团有关的加密地址发布了扣押令,其中一个钱包包含40,235美元的狗狗币。
今年,狗狗币的价格从历史最高点下跌了惊人的91.39%,但它仍然是世界十大加密货币之一。
特斯拉首席执行官埃隆马斯克是狗狗币最突出的支持者,他近期在推特表示将继续支持狗狗币。狗狗币价格在过去三天上涨了42%,目前正在从最近的回调中恢复。
据风险管理和威胁情报公司Digital Shadows报道,暗网上有超过240亿个被盗的凭证,其中一些凭证非常薄弱,只需一秒钟就能破解它们和它们所保护的账户。
尽管暗网充斥着被盗凭据,但上传新凭据的速度令人担忧。根据Digital Shadows最近的一项研究分析,消费者仍继续使用容易猜到的密码,互联网黑暗角落的欺诈者可以获得大约246亿个登录名和密码组合。
根据这家威胁情报公司的计算,自2020年以来,暗网中可获得的被泄露的凭证数量增加了65%。这些被盗凭证中约有67亿个具有唯一的用户名和密码配对,比2020年增加了17亿个。独特的凭证意味着该凭证组合在其他数据库中没有重复。
2019年,网上被泄露的凭证数量达到顶峰,当时Digital Shadows整理了超过103亿个凭证。自那时起,该数字在随后的两年里一直徘徊在50亿大关左右,该公司预计2022年这一数字将继续保持。
PerimeterX公司的首席营销官Kim DeCarlis称:“Web 应用程序的访问前提是有效的用户名和密码,了解暗网上可用的凭证对的数量,令人大开眼界。”
这些发现来自Digital Shadows的《2022年账户接管报告》,这项研究考察了标题攻击类型的原因。ATO攻击需要目标疏忽基本的网络安全,无论是通过系统错误配置、成为网络钓鱼的牺牲品,还是简单地设置一个弱口令。
例如,重复使用或创建易于猜测的密码类似于晚上不锁家门。它可能并且可能会导致账户被接管,进而导致身份盗窃、金融盗窃、社交媒体垃圾邮件等。
“一旦找到有效的用户名和密码对,网络犯罪分子就可以使用这些凭据登录,并接管合法帐户,通常在许多网站上,因为密码重复使用很常见。”DeCarlis补充道。
“因为凭证是准确的,罪犯很有可能顺利进入账户。由于大多数网站在登录后没有安全检查,他们可以自由地浏览和滥用账户,没有任何问题。这种滥用可能包括转账、兑现积分或购买易于转售的产品。”
使用凭据也是建立初始访问权限的首选方法。Digital Shadows估计,近50%的ATO攻击将凭证作为初始访问媒介,其次是网络钓鱼(近18%)、漏洞利用(近6%)和僵尸网络(不到1%)。
强密码应该是避免大多数ATO攻击的基本规则,这是不言而喻的。然而,123456是最常见的密码,占67亿个唯一泄露密码中的0.46%或30,679,190个。这意味着每200个密码中几乎有一个是123456。诸如“qwerty”或“1q2w3e”之类的键盘组合也很常用。
名次 密码出现的次数112345630,679,190212345678917,087,7823qwerty10,589,34041234510,368,6185password8,987,7536qwerty1235,722,54771q2w3e5,306,4218123456785,207,7499DEFAULT4,507,715101111113,766,387 此外,前50个最常用的密码中有49个可以在不到一秒的时间内被破解。
这些被泄露的凭证大多在暗网市场上被交易,交易价格取决于账户的年龄、买方的信誉和提供的数据文件的大小。密码文件是否加密或以纯文本形式存在也会影响价格。接下来是凭证填充和其他入侵工作。
DeCarlis进一步称:“网络威胁格局已经改变。曾经独立且截然不同的Web攻击在网络犯罪的持续和综合循环中聚集在一起。一种攻击助长另一种攻击,传播和延长了攻击生命周期,在消费者的数字之旅中无处不在——而网络应用程序是主要目标。”
“在这种情况下,由于凭据被盗已经发生,数字企业应该寻找一种方法来阻止下一步:网络犯罪分子试图验证用户名和密码的凭据填充攻击。对在线企业来说,明智的做法是寻找解决方案,在已知的受损凭证被使用时进行标记,并强制采取诸如简单的密码重置等行动。”
“超越”密码似乎才是未来的明智选择。用户可以利用密码管理器、多因素身份验证和身份验证器应用程序,直到无密码成为全球主流。
DeCarlis总结道:“企业需要考虑连续的登录后验证。现在是时候把目光投向登录以外的地方,以确保用户事实上是他们所说的人,并且正在做他们在账户中应该做的事情。”
“这种全面的账户保护方法将以减少扣款、降低呼叫客户服务、减少IT资源的压力、保护品牌声誉和收入的形式得到回报。”
易于使用的工具通常可通过犯罪市场以最低成本或免费获得,即使是不熟练的脚本小子也可以轻松破解弱密码。
简单地在10个字符的基本密码中添加一个“特殊字符”(例如 @# 或 _)会使破解密码变得更加困难,因此使一个人成为攻击受害者的可能性大大降低,而犯罪分子则进行攻击更容易被破坏的帐户。
Digital Shadows的高级网络威胁情报分析师Chris Morgan表示,尽管行业试图超越密码作为身份验证机制,但凭据泄露的问题仍然很紧迫,并且随着时间的推移变得越来越严重。
Morgan说:“犯罪分子有无穷无尽的被破坏凭据清单,他们可以尝试,但使这个问题更加严重的是薄弱的密码,这意味着许多账户可以在短短几秒钟内使用自动工具猜出来。“
Morgan补充说:“在过去的18个月里,我们Digital Shadows已经提醒我们的客户注意670万个暴露的凭证。这包括其员工、客户、服务器和物联网设备的用户名和密码。”
在欧洲,由于Covid-19疫情而实施的管制规则被放松的同时,毒品的使用也在增加,而且将已经达到新冠疫情流行前的水平。欧洲有越来越多的非法物质,包括合成物质,而阿富汗正在增加罂粟产量。
暗网毒品市场正在下滑,并被社交网络和即时消息通讯程序所取代。与此同时,欧洲合成毒品的产量正在增加:欧盟供应的此类毒品越来越多,2020年至2021年期间,一些欧洲城市的可卡因、快克、苯丙胺和甲基苯丙胺的消费量有所增加。
这些是《2022年欧洲毒品报告:趋势与演变》中提出的一些观点,这份文件警告说,在欧洲大陆毒品消费、生产和分销的这种日益复杂的情况下,有必要增加关于当前乌克兰战争将对这个“世界”产生的影响的不确定性,重点是正在接受治疗或需要治疗的乌克兰吸毒者的情况。
在欧洲毒品和毒瘾监测中心(英文缩写为EMCDDA)近期发布的60页的《2022年欧洲毒品报告:趋势与演变》中,描绘了欧洲现有的每种毒品(使用者年龄、市场上的最高和平均售价、平均消费、死亡率、治疗等),并留下了一些警告信息。
例如,据估计,欧盟有8350万人——29%的成年人(15至64岁)至少使用过一次非法药物,其中男性(5050万)报告的使用率高于女性(3000万)。
至于选择最多的麻醉剂,这仍然是大麻(2200万成年人表示他们在去年使用过),其次是兴奋剂。
在对过去一年的消费趋势的分析中,EMCDDA文件强调了这样一个事实,即随着全球Covid-19疫情流行引发的限制在全世界范围内的放松,毒品的使用有所增加,现在已经与新冠疫情流行前的时期持平。
暗网的衰落 报告中提出的新问题之一涉及贩运市场的变化。根据提供的数据,暗网将失去“力量”,这可以通过当局的行动、与贩运相关的欺诈行为的存在,甚至与毒品交付相关的问题来解释。
可以肯定的是,当局的估计指出,到2021年底,暗网上的“毒品业务”的收入已经从2020年的每天100万欧元下降到每天3万欧元。
根据所提供的分析,“利用”这种下降的是社交网络和即时通讯工具,它们可能是“更安全、更方便的供应来源”。
市场正在以这样的速度运作,观察站提请注意,每周都有一种新的精神活性物质(NPS)出现——目前该机构监测的有880种。
该文件中提到的一个新情况是,2020年在欧洲销售的大部分合成的坎西酮(从植物Catha edulis中提取的兴奋剂)都起源于印度。根据欧洲毒品和毒瘾监测中心的说法,一个新的生产地点可能表明市场对各国实施的控制进行了调整,这会导致市场供应出现问题。
在报告随附的声明中,EMCDDA主任亚历克西斯·古斯迪尔(Alexis Goosdeel)提请注意“传统毒品从未如此容易获得,且新的强效物质不断出现”这一事实。目前,“几乎任何具有精神活性的东西都可以成为毒品,因为合法和非法物质之间的界限已经模糊不清。”
在康复和治疗方面有很多工作要做 该文件提请注意,各国未能实现在欧洲为注射吸毒者增加治疗和减少伤害服务的目标。
根据2020年提供的数据,只有捷克共和国、西班牙、卢森堡和挪威保证达到了世界卫生组织设定的目标,即“每年为每个吸毒者提供200支注射器,并使40%的高危阿片类药物使用者接受阿片类药物激动剂治疗,这是防止药物过量的保护因素”。
有问题的国际局势 该文件仔细研究了两个国家及其局势:阿富汗和乌克兰。首先,观察站提请注意,尽管该国自今年以来禁止生产、销售和贩运非法药物,但罂粟种植园仍然存在。
一个有问题的情况,甚至可能对国家的财政状况产生影响,因为为了寻找收入来源,可能会出现向欧洲贩运可卡因的诱惑,作为对所经历的困难的回应。
同样在这个国家,正在检测到生产甲基苯丙胺的赌注,这可能是目前自给自足的欧洲市场的供应方式。再加上在传统海洛因贩运路线地区进行的担忧,使当局处于警惕状态。
关于乌克兰,警告指出有必要支持该国因当前战争而在欧洲寻求庇护的吸毒者,同时有必要为他们提供心理压力护理方面的支持。