近期,网络安全公司CrowdStrike发布了2025年亚太地区网络犯罪形势报告《CrowdStrike 2025 年亚太及日本地区网络犯罪形势报告》,该报告基于CrowdStrike精英威胁猎手和情报分析师的一线情报,对这些威胁进行了权威的分析。该报告结合了对攻击者策略、地下经济和盈利趋势的分析,以及CrowdStrike分析师对恶意活动的追踪观察。报告显示,亚太及日本地区的网络犯罪变得更加猖獗、组织化,并且更多地受到人工智能的驱动。
报告称,亚太及日本地区的网络犯罪威胁形势正在迅速演变,其背后既有区域性威胁,也有全球性威胁。从利用中文进行被盗数据和非法服务交易的地下市场,到人工智能勒索软件攻击的日益猖獗,该地区的威胁行为者都在寻求新的方式来扩大和加速其行动。
最令人担忧的趋势之一是Chang’an、FreeCity、Huione担保等中文地下市场的持续存在,这些市场允许匿名交易被盗凭证、钓鱼工具包、恶意软件和洗钱服务。尽管屡遭打击,这些平台仍在明网、暗网和Telegram等加密通讯应用上继续运营。
人工智能现在已成为“大型猎杀”勒索软件攻击活动的核心工具,攻击者能够精准快速地攻击高价值组织。CrowdStrike观察到人工智能增强型社会工程和自动化恶意软件工具激增,其中印度、澳大利亚和日本是受影响最严重的国家之一。
两个新的勒索软件即服务 (RaaS) 组织——KillSec和Funklocker——与超过 120 起事件有关,泄露网站上公布了 763 名受害者的信息。制造业、科技业和金融服务业是攻击的主要目标。
该报告还揭露了一起发生在日本的金融诈骗活动,一些讲中文的犯罪分子劫持了日本的交易账户,实施拉高出货骗局。
攻击者通过抬高成交量较低的中国股票价格,利用被劫持的账户和回收利用的钓鱼基础设施操纵市场。窃取的数据随后在长安网上出售,进一步强化了跨平台犯罪生态系统的作用。网络犯罪服务已日益产业化,专业服务提供商为大规模行动提供支持。
CDNCLOUD提供安全可靠的托管服务;Magical Cat提供钓鱼即服务;Graves International SMS支持全球垃圾邮件活动。这些服务提供商帮助扩大了亚太地区的钓鱼、恶意软件传播和盈利规模。
可能讲中文的威胁行为者也在部署远程访问工具(RAT),包括ChangemeRAT、ElseRAT和WhiteFoxRAT。这些恶意软件通过搜索引擎优化 (SEO) 投毒、恶意广告和伪装成采购订单的网络钓鱼邮件传播,主要针对讲中文和日语的用户。
中文地下市场为网络犯罪活动提供工具和技术 报告称,尽管中国政府实施了互联网限制并严厉打击网络犯罪,但活跃的中文地下市场仍然是亚太地区网络犯罪活动的核心。这一生态系统为讲中文的网络犯罪分子(其中许多人因政府管控而将行动安全放在首位)提供了一个匿名的场所,让他们可以买卖被盗数据、钓鱼工具包、恶意软件和洗钱服务。
包括Chang’an(长安不夜城)、FreeCity(自由城)和Huione(汇旺)担保在内的最知名的中文支付平台,使得网络犯罪分子能够通过明网、暗网和Telegram等渠道匿名作案。汇旺担保以其透明度和信誉度在网络犯罪分子中树立了良好的口碑,在其运营期间促成的交易额估计高达270亿美元。
网络犯罪分子主要针对高价值目标。印度、澳大利亚、日本、台湾和新加坡受影响最为严重;制造业、科技、工业和工程、金融服务以及专业服务业受影响最为严重。2024年1月至2025年4月期间,共有763名亚太地区(APJ)受害者的名字出现在专门泄露勒索软件、数据盗窃和敲诈勒索信息的网站(DLS)上。
CrowdStrike Intelligence观察到,人工智能开发的勒索软件在亚太地区呈上升趋势。勒索软件即服务提供商KillSec和FunkLocker在其数据损失报告(DLS)中,亚太地区受害者数量明显偏高,分别占其受害者总数的35%和32%。在这些受害者中,大多数位于印度(FunkLocker为21%, KillSec为33%)。
网络犯罪服务提供商通过提供网络犯罪分子所需的工具、基础设施和支持,助力亚太地区的网络犯罪活动,使其能够扩大网络钓鱼、恶意软件传播和牟利规模。该报告分析了CDNCLOUD(防弹托管服务)、Graves International SMS(全球短信垃圾邮件服务)和Magical Cat(钓鱼即服务)。
在工具使用方面,CrowdStrike Intelligence已识别出疑似使用远程访问工具 (RAT)攻击中文和日文用户的网络犯罪分子。ChangemeRAT 、ElseRAT和WhiteFoxRAT等工具通过搜索引擎投毒、恶意广告和伪装成采购订单的网络钓鱼攻击等手段进行部署。
CrowdStrike追踪到在亚太地区运营的网络犯罪攻击者 报告称,CrowdStrike追踪到多个针对该地区的网络犯罪攻击者,以及四个活跃在该地区的网络犯罪攻击者,所有这些攻击者均以SPIDER为代号进行追踪。其中包括:
CHARIOT SPIDER:一个总部位于越南的恶意组织,已入侵微软 IIS 和 Adobe ColdFusion 网络服务器。 RADIANT SPIDER:一个利用表单劫持技术窃取支付卡数据的中国攻击者 SINFUL SPIDER:一个利用密码喷洒和漏洞利用攻击面向互联网应用程序的中国攻击者。 SOLAR SPIDER:利用金融主题的网络钓鱼攻击银行和外汇交易机构。 除了SOLAR SPIDER之外,这些攻击者主要采取机会主义策略,尚未发现他们有组织地针对该地区。虽然CrowdStrike Intelligence尚未发现亚太地区网络犯罪分子明确禁止针对该地区的攻击,但中文市场平台的规则及其对匿名性的强调表明,他们希望避免执法部门的关注。
CrowdStrike提醒,亚太地区的企业应优先防御这些攻击者,重点关注他们的战术、技术和流程(TTP),同时加强身份保护,保障云和SaaS环境安全,并做好应对勒索软件和社会工程威胁的准备。阅读完整的,全面了解该地区面临的网络犯罪威胁,并学习如何加强防御。
为显著提升公众对网络威胁的认知,总部位于瑞士的互联网隐私保护公司Proton正式推出全新“数据泄露观察站”。这一战略性举措直指互联网安全领域的核心痛点,旨在揭露暗网上被盗数据交易的严峻现实。
暗网凭证泛滥,风险空前 Proton披露,当前暗网网络犯罪市场上流通的被盗凭证已超过3亿条,其中49%包含明文密码,使企业和个人面临前所未有的安全威胁。这场大规模数据泄露浪潮清晰勾勒出以被盗个人与企业数据为基石的地下经济体系的急速扩张,令人忧心。
研究显示,小型企业已成为网络犯罪分子的首要猎物。五分之四的小企业在近期遭遇过数据泄露,单次事件平均造成超过100万美元的经济损失,足以令一家小公司陷入毁灭性危机。
报告不足,传统系统失灵 尽管数据触目惊心,但大多数数据泄露事件从未被公开报告。企业往往在攻击发生数月甚至数年后才意识到系统已被攻破,传统泄露通知机制严重滞后,难以提供及时有效的预警。
Proton的数据泄露观察站通过公开可访问的数据库,主动扫描暗网敏感数据交易,实现近乎实时的威胁暴露。最新研究表明,仅2025年一年,就有超过1000亿条记录遭到泄露,规模之巨前所未有。
直击源头,破解报告难题 网络安全领域长期存在一个根本性问题:数据泄露报告严重不足。许多组织即使发现安全事件,也因担心声誉受损或面临监管处罚而选择沉默,或行动迟缓。
Proton的这一创新项目绕过传统报告瓶颈,直接监控网络犯罪分子在地下市场交易被盗凭证和个人信息的活动,从源头揭示真相。
该观察站是对Proton核心使命的深化拓展——致力于构建一个更私密、更安全的互联网。它建立在现有“互联网审查观察站”(Proton VPN观察站)的基础上,后者专注于追踪政府主导的互联网访问限制与VPN封锁行为。两大工具相辅相成,共同为用户提供对当今数字威胁的全景洞察——从企业数据泄露到国家支持的网络审查,全面巩固Proton作为数字自由重要捍卫者的地位。
小企业:百万美元级别的生存危机 许多企业在系统被入侵数月甚至数年后才察觉异常,这种延迟发现为黑客提供了充足时间,利用窃取的凭证实施二次攻击、金融欺诈或身份盗窃,造成连锁破坏。
Proton采取积极主动的防御策略,持续监控暗网论坛与犯罪市场。一旦企业数据在这些平台上架,即刻触发警报。观察站的最新研究已记录2025年十起重大数据泄露事件,影响横跨多个行业与国家。
2025年重大泄露事件一览 澳航(Qantas):泄露1180万条记录,包含姓名、出生日期、地址、电话号码和电子邮件地址。 法国Free电信:影响超过1900万用户,泄露内容包括IBAN银行账户信息等高敏感数据。 德国安联人寿保险公司:100万条记录外泄,涉及社会保障号码等关键身份信息。 印度SkilloVilla公司:遭遇史上最大规模泄露之一,3300万条个人联系信息流入暗网。 这些事件覆盖交通运输、电信、金融服务与科技等多个领域,波及全球各大洲。
泄露数据类型多样,威胁深度升级 泄露内容远不止基本联系信息。网络犯罪分子已获取密码、社会安全号码、银行账户详情、身份证号码等高价值数据,构成完整的“身份盗窃工具包”,为复杂账户接管和精准诈骗提供了强大支持。
揭开暗网神秘面纱,提前预警机制 数据泄露观察站与专业风险检测公司Constella Intelligence深度合作,持续监控暗网上被盗数据宣传与交易的非法场所。
通过精准追踪这些地下活动,Proton力争在目标组织尚未察觉前向受害者发出预警。观察站清晰列出:
近期泄露事件 泄露数据类型(如姓名、密码、财务信息) 受影响记录数量 Proton强调,其目标不仅是告知公众,更是教育用户认识网络犯罪真实规模。通过免费公开关键信息,该公司旨在:
加大企业隐瞒安全漏洞的难度 赋予用户保护数字身份的知识与能力 其“负责任披露”原则确保:在公开信息前,提前通知受影响组织,实现透明与建设性并重。
企业需从被动应对到主动防御 在数据泄露事件层出不穷的数字时代,Proton数据泄露观察站提供了一项至关重要的公共服务。通过清晰、客观的威胁态势呈现,为个人与企业配备了强大新工具,助力守护数字身份安全。
暗网3亿条凭证流通、1000亿记录泄露,仅是冰山一角。小企业动辄百万美元损失,个人隐私岌岌可危。Proton以技术与透明为武器,撕开地下黑市面纱,标志着网络安全从被动应对迈向主动预警与公众赋能的新阶段。在这场无声的数字战争中,知识与警觉已成为最有力的防线。
一份令人担忧的报告揭示,过去一年,来自九个英国政府域名的700多个电子邮件地址及其密码在暗网上泄露,引发了对纳税人敏感数据和关键基础设施(如电网)安全的广泛关注。更令人不安的是,报告记录了九次试图向“不法分子”出售英国军事机密和北约相关文件的案例,专家警告称,这可能“直接威胁国家安全”。在网络攻击日益猖獗的背景下,英国政府部门的网络安全漏洞暴露了其防御体系的脆弱性,亟需紧急行动以应对不断升级的威胁。
暗网泄露的严重威胁 威胁暴露管理平台NordStellar的报告指出,英国政府的网络安全战略存在“重大漏洞”,使其成为网络犯罪分子的首要目标。泄露的700多个电子邮件地址和密码涉及多个核心部门,增加了敏感信息流入暗网的风险。NordStellar产品负责人Vakaris Noreika警告称,这些泄露的凭证可能被黑客用于访问警察记录、公民数据库,甚至电网或供水等关键基础设施。尽管目前尚不清楚这些信息是否已被滥用,但潜在的重大数据泄露风险“正在迅速加剧”。
2022年,英国国防部因灾难性数据泄露,导致数千名阿富汗重新安置计划申请人的详细信息被泄露到网上,可能危及数千人生命。皇家联合服务研究所网络安全研究员加雷斯·莫特博士将此次事件称为“升级版阿富汗名单”,警告称类似泄露若涉及高度敏感数据,可能对国家安全造成深远影响,破坏公众对政府的信任,并引发政治和经济动荡。
政府部门成为攻击重灾区 去年,“暗网下/AWX”曾报道,暗网中充斥着泄露的英国国会议员的个人数据。报告显示,英国司法部是暗网泄露的重灾区,过去一年有195个密码暴露,其次是工作和养老金部(122个)和国防部(111个)。内政部、外交与联邦事务部、交通部、卫生和社会保障部、税务海关总署以及英国议会均未能幸免。这些泄露的凭证可能为黑客提供进入敏感系统的“初始攻击媒介”,尤其当账户仍处于活跃状态时,风险尤为严重。莫特博士指出,即便这些是“旧账户”的密码,单一活跃账户的泄露也足以让动机明确的黑客得逞。
2024年4月,法律援助机构遭受网络攻击,ShinyHunters犯罪团伙据称通过Telegram声称负责,窃取了2007年至2025年间通过数字服务申请法律援助的个人数据。攻击导致大量敏感信息被下载,凸显了政府机构在保护公民数据方面的脆弱性。
网络攻击的广泛冲击 英国政府并非孤立受害者,企业和公共机构同样深受网络攻击困扰。2024年6月,英国税务海关总署(HMRC)披露,诈骗分子通过网络钓鱼攻击冒充纳税人,从10万在线账户中窃取4700万英镑,罗马尼亚和普雷斯顿警方共逮捕14名嫌疑人。同年,托儿所连锁店Kido遭受攻击,数千名儿童的姓名、照片和地址在暗网上泄露,两名年轻男子被伦敦警察厅逮捕。此外,捷豹路虎、玛莎百货、哈罗德百货和合作社等企业也成为受害者,暗网勒索软件团伙Scattered Spider、DragonForce和Hellcat分别声称对部分攻击负责。
2024年9月,一名四十多岁男子因涉嫌对希思罗机场及其他欧洲机场发动网络攻击被捕,导致机场运营陷入混乱。英国国家犯罪局在调查玛莎百货、合作社和哈罗德百货攻击事件中逮捕了四人,显示政府和企业均面临日益复杂的威胁。
政府应对的挑战与进展 英国国家审计署(NAO)2025年1月报告警告,政府面临的网络威胁“严峻且迅速演变”,其GovAssure计划暴露了部门基础系统控制的“低成熟度”和网络弹性的“显著差距”。国家审计署署长加雷斯·戴维斯批评政府应对进展缓慢,强调需积极提升韧性以避免重大事件。信息专员办公室(ICO)发言人表示,政府部门作为公民数据的“强制性托管者”,必须采用强密码、多因素身份验证(MFA)和严格漏洞管理,以维护公众信任。国家网络安全中心(NCSC)则指出,俄罗斯黑客的“重大威胁”导致2024年严重网络攻击创历史新高。
英国科学、创新和技术部表示,正通过新的网络弹性模型和即将推出的《网络安全和弹性法案》加强防御,重点保护能源和供水等关键基础设施。英国议会也强调其与NCSC的密切合作,通过用户教育和风险管理提升安全,但拒绝透露具体措施细节。
结论:紧急行动刻不容缓 700多个英国政府邮箱密码在暗网的泄露,以及军事机密和北约文件的非法出售企图,敲响了国家安全的警钟。从司法部到税务海关总署,政府部门的网络漏洞暴露了其防御体系的薄弱,增加了敏感数据和关键基础设施被攻击的风险。ShinyHunters、Scattered Spider等团伙的猖獗活动,以及2022年阿富汗数据泄露的惨痛教训,凸显了重大泄露可能引发的政治、经济和社会后果。
专家表示,英国政府必须加快落实强密码、MFA和漏洞管理等措施,完善GovAssure计划,并通过《网络安全和弹性法案》强化关键系统保护。公众对政府数据安全的信任岌岌可危,只有通过迅速而果断的行动,英国才能抵御暗网威胁,捍卫国家安全与公民权益。
近日,超过15个活跃的知名暗网勒索软件团伙集体宣布“退休”,他们在暗网网络犯罪论坛BreachForums上发帖表示,将停止运营,终止攻击行动,并利用手中的赎金“享受生活”。与此同时,该声明还提到了已被拘留的成员,他们向自2024年4月以来被各国执法部门逮捕的8名成员表示“悼念与歉意”,誓言将对当局进行报复,并努力争取释放他们。
这些勒索软件团伙通过暗网发布声明称,其“行动目的”已达成——即“揭露全球不安全的数字基础设施与系统”,而非单纯勒索。部分团伙甚至试图将自身行为描述为“促进信息安全研究”,虽然此类说法在业界引发广泛质疑。
据悉,包括Lapsus$、Scattered Spider、IntelBroker、ShinyHunters、TOXIQUEROOT等在内的15个以上的暗网勒索软件团伙确认参与此次“退出”,其中不乏曾攻击谷歌、美国航空、英国航空、开云集团、捷豹路虎、米高梅度假村和玛莎百货等知名企业的团伙。
“金色降落伞”和悄无声息的退出 这些勒索软件团伙坚称,担心他们消失是多余的,并表示:“如果你们担心我们,别担心……我们会用我们积累的数百万美元享受我们的‘金色降落伞’。其他人会继续研究和改进你们日常生活中使用的系统。我们会保持沉默。”
他们将退出描述为“享受金色降落伞”的机会,他们称现在将转为“沉默”,并表示“沉默现在将成为我们的力量”,一些成员计划靠积累的钱退休,而其他一些成员据称计划专注于安全研究,而不是攻击。
该声明语气强硬,指出仍被拘留的成员不会被遗忘,特别是对2024年4月被法国当局逮捕的4人表示慰问,称其为“牺牲者”。这些团伙誓言将努力争取释放这些成员,并暗示将对执法部门进行报复。
尽管“宣布退休”看似高调退出,但“暗网下/AWX”认为,这更像是一场策略性公关秀。Black Duck高级员工顾问Nivedita Murthy表示:“各组织应该对这些声明持保留态度。其中一些团体可能决定退出并享受他们的收益,但这并不能阻止模仿团体崛起并取代他们。”
一位匿名安全专家指出:“FBI并不会因为一句‘退休’声明就放弃全球追捕,后续逮捕行动仍将持续。”
此外,“暗网下/AWX”综合多个信源分析,此举可能是团伙内部重组、洗白或更换身份的前兆,未来不排除继续以相同名称或全新品牌继续开展攻击。“退休”声明长期以来一直是行动重置的幌子。黑客通过放弃旧名,躲避起诉,并以新面目重新出现。The Register和其他观察人士警告称,数十亿美元的损失使得黑客不太可能轻易消失。最好的情况是,这项声明标志着黑客行动的暂停。最坏的情况是,它掩盖了黑客为更复杂的攻击活动所做的准备。
无法判断如此多的勒索软件团伙突然“退出”的原因 虽然勒索软件团伙假装退休并在其他地方重组并不罕见,但如此多的团伙选择在同一时间和地点宣布告别,却颇为奇怪。这些公告至少看起来是真实的,因为它们是由这些团伙运营的官方Breachforums账户发布的,然后再转发到他们控制的Telegram账户上。
宣布退出的小型勒索软件团伙包括Trihash、Yurosh、yaxsh、WyTroZz、N3z0x、Nitroz、TOXIQUEROOT、Prosox、Pertinax、Kurosh、Yukari和Clown。IntelBroker是名单上较知名的勒索软件团伙之一,据信该团伙除了自行发起网络攻击外,还运营着BreachForums。目前尚不清楚此次所谓的退出是否会对BreachForums的未来发展产生影响。这些看似奇怪的小型勒索软件团伙可能与Scattered Spider有关,据报道,Scattered Spider的团伙结构更加灵活,允许其他团伙的黑客随时发动特定攻击。安全研究人员还指出,大多数这些勒索软件团伙都是在 8 月份才开始相互联系并与 Scattered Spider 互动,而这距他们宣布退出仅过去了几周。
进一步佐证“假退休”理论的是,警方对“ShinyHunters”和“Scattered Spider”成员的八次突袭和逮捕,只抓获了低级到中级的参与者,例如SIM卡交换计划中的“钱骡”和“走狗”。据信,这两个团伙的高层领导目前都尚未被抓获。
然而,“暗网下/AWX”认为,勒索软件团伙之所以采取这一伎俩,大概是出于对执法部门关注的恐惧和恐慌。Scattered Spider凭借其于5月份发起的社会工程攻击活动,成为今年最臭名昭著的黑客组织。该组织首先针对英国的大型零售商,随后蔓延至财富500强保险公司和澳大利亚航空公司Qantas等目标。据信 ShinyHunters也在开展针对本地SalesForce安装的平行攻击活动,但最近几周越来越多的证据表明,这两个团伙已经合作了一段时间。据报道,Scattered Spider刚刚有另外两名成员被逮捕,他们都是英国青少年,涉嫌参与2024年对伦敦交通局 (TfL) 的黑客攻击。
但无论目前的恐慌程度如何,黑客几乎肯定会组建或加入新的勒索软件团伙,卷土重来;至少历史经验表明会如此。所谓的“金色降落伞”和数百万美元的回报很可能只是个幌子,让人们误以为他们的退出是合法的,其意图只是在几周或几个月后以全新的品牌卷土重来。
对未来的担忧:警惕“退而不休”陷阱 勒索软件仍是全球网络安全的主要威胁。虽然此次“集体告别”令人瞩目,但安全专家提醒各大机构不要放松警惕。“退出”声明可能为障眼法,掩盖新一轮更隐蔽的行动。
专家预计,未来勒索攻击可能会以不同的名义进行,尤其是考虑到这些组织承认获取的巨额利润。预谋网络攻击的可能性仍然存在,这又增加了一层不确定性。
Bugcrowd创始人凯西·埃利斯(Casey Ellis)表示:“最好将此声明视为公关噱头,而不是真正的告别。”从历史上看,网络犯罪分子很少会像传统意义上那样退休。相反,他们会重塑形象、重组组织,或转向新的策略和行动,否则就会被抓获。
iCOUNTER情报行动合伙人戴夫·泰森(Dave Tyson)赞同埃利斯的观点,他说:“这绝不是退休,这只是犯罪正常生命周期的一部分。群体为了特定的目的聚集在一起,组成单位来执行他们的计划,并退出可定义的身份,以降低对集体或单位的关注。”
因此,这15个勒索软件团伙的沉默应该被理解为一种伪装。一些成员无疑会转向邻近领域,例如漏洞利用开发或灰色市场“安全研究”。其他成员则会加入新的行动,带着多年攻击中积累的经验、策略和资金。网络犯罪行业不会消失;它会变异,而且每次变异往往比上一次更具韧性。
目前,各国执法部门尚未对这波声明做出公开回应。网络安全机构建议企业继续强化基础设施防护,提升应急响应能力,以应对未来可能出现的新变种或模仿攻击。
教育行业已成为全球网络犯罪的首要目标,而印度的高校和研究机构更是重灾区。根据Check Point Research(CPR)2025年最新数据,在过去六个月中,印度教育机构平均每周遭受8487次网络攻击,几乎是全球平均水平(4368次/机构)的两倍。这一惊人数字凸显了印度教育系统在数字化浪潮下面临的严峻安全挑战。从勒索软件到人工智能驱动的网络钓鱼,攻击者利用高校的开放网络和有限预算,窃取学生数据并在暗网上出售,威胁学术诚信与学生未来。面对这一危机,专家呼吁采取预防为主的策略,以保护数百万学习者的知识资本和教育生态的完整性。
印度教育行业为何成为攻击焦点 印度教育机构因其独特的数字化环境成为网络犯罪的温床。混合学习模式的普及、校园网络的互联互通以及学生和教职工的个人设备使用,极大地扩展了攻击面。CPR报告显示,印度教育行业的攻击频率远超其他领域:相比之下,印度其他行业组织每周平均遭受3278次攻击,高于全球基准1934次,但仍远低于教育行业的8487次。此外,许多高校缺乏专门的网络安全团队,预算限制使其难以部署先进的防御系统。2024年,印度教育部的调查显示,70%的公立大学网络安全预算不足IT支出的5%,远低于全球推荐的15%。
2024年,班加罗尔一所知名技术学院遭受勒索软件攻击,导致在线考试系统瘫痪数天。攻击者通过暗网出售窃取的学生个人信息,包括身份证号码和学术记录,勒索赎金高达500万美元。学校最终支付部分赎金,但数据恢复耗时两周,严重影响学期进程。此案凸显了印度高校在网络安全资源上的匮乏。
印度拥有超过4000万在校大学生和1000多所大学,数字化转型(如在线课程和考试门户)使其成为全球最大的教育市场之一。然而,开放的Wi-Fi网络和未加密的数据库为黑客提供了可乘之机。Darktrace的2024年报告指出,印度教育机构的未修补漏洞平均暴露时间长达90天,是全球平均水平的2倍。
攻击后果:从系统瘫痪到暗网交易 网络攻击的后果远超IT系统宕机,直接威胁学术运作和学生权益。勒索软件不仅导致考试延期和课程中断,还造成巨额经济损失。Sophos 2023年报告显示,高等教育机构的勒索软件赎金中位数高达660万美元,中小学为440万美元,但仅有30%的受害机构能在一周内完全恢复系统。更严重的是,数据泄露推动了暗网交易的激增,学生成绩单、个人信息甚至伪造的学位证书被公开售卖,助长了身份盗窃和学历欺诈。2024年,Chainalysis发现印度教育相关数据在暗网市场的交易额同比增长45%,成为全球增长最快的市场之一。
2022年,美国伊利诺伊州的林肯学院因勒索软件攻击导致系统全面瘫痪,最终无力承担恢复成本和声誉损失,在运营157年后永久关闭。类似事件在印度也有发生:2024年,德里一所私立大学因数据泄露导致学生记录在暗网流通,引发家长抗议和政府调查,学校招生率下降20%。
暗网平台如AlphaBay和Nemesis已成为学生数据交易的中心,价格从每条记录0.5美元到完整学历证书5000美元不等。这些数据不仅用于诈骗,还为人口贩运和金融犯罪提供了便利,凸显了教育数据泄露的广泛社会影响。
人工智能驱动的威胁升级 人工智能(AI)的滥用为网络攻击注入了新威胁。CPR报告显示,2025年7月,全球新增的18,000个教育相关域名中,每57个就有一个被标记为恶意。这些域名多由AI生成,用于伪装成考试门户、支付系统或学术平台,诱导用户泄露凭证。AI还被用于深度伪造网络钓鱼(如伪造教授的语音邮件)、大规模凭证盗窃以及快速开发针对零日漏洞的恶意软件。2024年,IBM X-Force发现,AI驱动的攻击能在漏洞公开后的10分钟内发起,远超传统攻击的速度。
2025年初,孟买一所大学的学生收到伪造的“考试缴费通知”邮件,链接指向一个AI生成的虚假支付网站。数千名学生输入了银行卡信息,导致集体身份盗窃事件,损失估计达200万美元。此攻击利用了ChatGPT类似技术生成的逼真邮件模板,凸显AI在网络犯罪中的破坏力。
随着生成式AI工具的普及,黑客无需深厚技术背景即可发起复杂攻击。2024年,Dark Web Intelligence报告称,暗网论坛上出售的AI生成恶意软件工具包价格低至50美元,降低了犯罪门槛,进一步加剧了教育行业的威胁。
专家建议:预防为主的防御策略 面对日益复杂的威胁,专家呼吁印度教育机构采取预防为主的网络安全策略。Check Point印度和南亚区董事总经理Sundar Balasubramanian警告:“AI驱动的攻击不仅窃取数据,还威胁数百万学生的学业连续性。”他建议采用AI驱动的防御工具、混合网格安全架构、云原生保护和实时威胁情报。此外,多因素身份验证(MFA)、定期系统修补、员工网络钓鱼培训和学生家长网络意识教育是关键措施。2024年,印度理工学院(IIT)试点MFA后,成功将钓鱼攻击成功率降低60%。
2024年,海得拉巴一所大学通过部署CrowdStrike的AI威胁检测平台,成功拦截了一起针对在线考试系统的勒索软件攻击。系统在攻击发起的30秒内识别并隔离恶意流量,避免了数据泄露和考试中断。此案例证明了主动防御在教育安全中的价值。
印度政府于2023年推出《国家网络安全战略》,要求教育机构在2025年前实现100% MFA覆盖。然而,截至2024年,仅40%的高校完成部署,中小学覆盖率更低,凸显实施差距。
结论:保护教育生态的迫切使命 印度高校每周遭受8487次网络攻击的严峻现实,揭示了教育行业在数字化转型中的脆弱性。从勒索软件导致的考试中断到学生数据在暗网的泛滥,网络犯罪不仅威胁学术运作,还侵蚀了学术诚信和学生未来的安全。AI驱动的攻击进一步放大了这一危机,使高校成为黑客的“高价值目标”。然而,通过多因素身份验证、AI防御工具、定期修补和全面培训,教育机构可以显著提升韧性。印度理工学院和海得拉巴大学的成功案例表明,预防为主的策略能够有效抵御威胁。
随着课堂日益数字化,网络安全已不再是IT部门的孤立任务,而是保护知识资本和数百万学习者未来的核心要求。政府、院校和行业必须协同合作,加大投入、弥合差距,确保教育生态免受暗网的侵蚀。只有通过技术创新与政策执行的结合,印度才能守护其教育系统的完整性,让学习者在数字时代安全前行。
近期,一份新的研究报告显示, 自从英国的《网络安全法》(Online Safety Act)生效以来,人们对审查、监视及其意外后果的担忧日益加剧。
《网络安全法》是英国议会为规范网络内容而制定的一项旨在保护儿童和成人网络安全的法案,该法案于2023年10月26日通过,赋予相关国务大臣指定、禁止和记录英国认为非法或对儿童有害的各种网络内容的权力。
英国政府在《网络安全法》正式生效时声称 ,它将使英国成为“世界上最安全的网络国家”。《网络安全法》表面上旨在保护儿童并遏制网络有害内容,因此它有提出了许多网络服务提供商与网民无法接受的要求,如要求对成人网站进行年龄验证,对客户端的加密信息进行扫描等。
《网络安全法》授权监管机构要求WhatsApp和Signal等即时通讯服务在加密消息之前对用户设备进行客户端扫描,以查找违禁内容(例如 CSAM),这可能会破坏端到端加密,一旦该技术变得“可行”,当局就可以通过该法案获得访问私人通信的途径,此类扫描将使“每个人的私人数据都遭到持续的大规模监控”。因此,WhatsApp和Signal都威胁称,如果被迫遵守该法,它们将退出英国。目前,欧盟27个国家中有15个国家支持“聊天控制”提案,该提案将强制要求即时通讯服务提供商扫描私人消息中的CSAM。
然而,“暗网下/AWX”发现,英国《网络安全法》的生效带来了诸多影响,研究显示,与法律相关的博客文章以及使用VPN访问受限内容的指南的浏览量增长了56%,VPN使用正在飙升,越来越多的人正在搜索虚假身份证件、暗网访问方法以及种子下载服务。
英国VPN的使用量激增 尽管初衷看似良好,但研究报告发现,早期数据表明,该法案非但没有遏制用户的风险行为,反而促使用户做出更危险的行为。该法案推出后,虚拟专用网络(VPN)的使用量立即飙升,NordVPN的购买量增长了1000%,ProtonVPN的下载量增长了1800%。
该法案生效当天,VPN使用教程与使用指南的点击量也激增了943%。目前,世界上其他178个国家中,有8个国家已经完全禁止使用VPN,另有34个国家实施或曾经实施过VPN限制。
尽管英国官员目前坚称不会禁止VPN,但他们已承诺将对推广规避工具的提供商采取行动。报告警告称,英国可能会考虑对VPN进行年龄检查,甚至采用深度包检测技术,这是俄罗斯使用的一种策略。
报告总结道:“虽然任何减少(虐童内容)传播的尝试都值得称赞,但很明显,英国的《网络安全法》伴随着许多令人担忧的侵犯隐私的做法。”
这些担忧包括年龄验证系统带来的身份盗窃和欺诈风险、对公民的实时监控、VPN使用的潜在限制,以及强迫用户通过年龄验证系统意味着那些试图规避限制的人可能会发现自己面临不安全的替代方案、诈骗和威胁。
英国的暗网活动量也在上升 英国人在线互动方式的转变不仅仅局限于VPN,谷歌趋势数据显示,虚假身份证件、暗网访问和种子下载服务的搜索量急剧上升,而未实施年龄验证的色情网站的流量则翻了两三倍。因此可以看出,这种趋势惩罚了那些遵守规定的网站,同时迫使用户转向安全性更低的替代方案。
随着法律和年龄验证系统的实施,要求用户提交敏感的身份证件数据,隐私问题也日益严重。报告列举了一些不安全数据库泄露数千份“了解你的客户”(KYC)文件的例子,这些文件可能被网络犯罪分子利用进行身份欺诈。
在暗网上,对伪造和被盗英国证件的需求已经上升,暗网论坛和暗网市场上出现了大量提供大量驾驶执照和护照的报价,这引发了连锁反应。这些人可能在暗网上寻找身份证件进行转售或进行大规模身份欺诈。BreachForums论坛上的一则广告免费提供510份护照,这些护照很可能来自过去的数据泄露事件,虽然这些护照显然无法实际使用,但是可以用于线上认证。
销售假护照的暗网交易市场以“快速获取国际身份”为诱饵,吸引了无数寻求非法跨境流动的买家。这些伪造或通过欺诈获得的旅行证件在加密论坛上被宣传为“无法检测”或“可通过机场扫描”,价格从数千美元到上万美元不等。
然而,在2025年,全球边境安全系统凭借近场通信(NFC)技术和公钥基础设施(PKI)的普及,正以前所未有的效率揭露伪造护照的真相。现代护照的电子芯片内嵌加密签名,结合生物识别技术和全球数据库,构成了几乎无法突破的防线。暗网购买的假护照不仅无法通过现代化安检,还可能导致持有者面临拘留、起诉甚至终身入境禁令。这种技术与监管的协同作用,让伪造护照的“神话”在现实面前迅速破灭。
暗网市场的虚假承诺 暗网卖家通过夸大宣传和虚假展示吸引买家,声称提供“功能齐全的欧盟护照”或“政府原版芯片护照”。这些护照通常是被盗的空白证件、粗糙涂改的旧护照,或基于数字模板的伪造品。尽管视觉上可能以假乱真,但它们无法通过现代边境的多层验证。国际民航组织(ICAO)制定的9303号标准要求护照芯片存储持证人信息(如数字面部图像、指纹或虹膜数据)并由签发国认证机构进行加密签名。暗网伪造者无法获取主权国家的私钥,因此其芯片要么缺失,要么无法通过验证。
案例: 2024年6月,一名29岁旅客试图使用暗网购买的伪造法国护照通过法兰克福机场的电子通关门(eGate)。护照的凹版印刷和全息图几乎与真品无异,但芯片未能通过欧盟国家公钥目录(NPKD)验证。系统立即报错,旅客被转交边防警察。进一步检查确认该护照为伪造品,旅客因文件欺诈被拘留并面临德国法律指控。此案凸显了暗网销售的假护照在现代技术面前的无力,芯片验证在数秒内即可暴露真相。
补充背景: 暗网市场如Dream Market和Wall Street Market通过加密聊天群组和论坛(如Telegram或Tor网络)推广这些产品,部分卖家甚至提供伪造的扫描视频,营造真实感。然而,2024年欧洲刑警组织(Europol)的报告显示,超过90%的暗网购买的伪造护照在首次边境检查中被拦截,凸显其实际效用接近于零。
航空公司与技术驱动的严密筛查 航空公司因承担遣返费用和罚款的责任,成为边境安全的第一道防线。根据国际航空运输协会(IATA)的规定,航空公司必须通过“旅客信息预报”(API)和“旅客姓名记录”(PNR)系统在登机前验证护照信息。许多航空公司已部署手持式NFC阅读器和紫外线检测设备,预检护照的芯片和安全特征。暗网购买的假护照因缺乏有效数字签名或与数据库不匹配,通常在值机阶段即被发现。即便侥幸通过,边境的生物识别和数据库交叉核查也几乎确保其失败。
案例: 2023年末,一名加拿大旅客试图使用暗网购买的中美洲护照,在多伦多皮尔逊国际机场的美国海关预检站被拦截。API系统发现其护照号码与美国数据库不符,触发二次检查。NFC扫描显示芯片缺乏有效加密签名,确认其为伪造品。旅客被逮捕,加拿大媒体将此报道为跨国欺诈案例。此案表明,航空公司与边境系统的无缝整合让伪造护照无处遁形。
补充背景: 根据IATA数据,2024年全球航空公司因伪造证件导致的罚款超过5亿美元,促使行业加速采用先进验证技术。例如,汉莎航空和新加坡航空已试点AI驱动的证件分析工具,可检测护照的微观安全特征,进一步降低欺诈风险。
ICAO 9303与PKI的不可逾越壁垒 现代护照验证的核心是国际民航组织 (ICAO) 9303 号文件,这是机读旅行证件的全球标准。ICAO 9303标准和PKI体系要求护照芯片存储的加密数据必须通过全球公钥目录验证签名有效性。伪造者虽可复制芯片数据,但无法伪造签发国的私钥,导致芯片在主动身份验证或芯片认证协议中失败。此外,生物识别技术(如活体检测和面部匹配)与全球数据库的实时比对,进一步提高了检测精度。暗网销售的假护照因无法满足这些要求,几乎无一例外地在边境被拒。
案例: 2025年初,一名旅客在迪拜国际机场试图使用伪造的欧洲护照入境。芯片验证失败,且其外貌与存储的生物特征模板不符。红外线和紫外线检查进一步暴露了缺失的安全纤维和篡改痕迹。旅客被拘留并面临阿联酋法律的严厉处罚。此案显示,全球高安保机场的多层验证体系让伪造护照毫无立足之地。
补充背景: ICAO报告显示,截至2025年,全球超过90%的国家已采用基于PKI的电子护照,覆盖近20亿本流通证件。国际刑警组织的被盗和丢失旅行证件数据库(SLTD)每天处理数百万次查询,显著提升了边境拦截效率。
执法行动与暗网市场的持续博弈 全球执法机构正通过联合行动和先进技术打击暗网中护照贩卖犯罪。欧洲刑警组织和国际刑警组织通过潜入暗网市场、监控加密货币交易和分析通信记录,成功破获多个伪造团伙。尽管新卖家不断涌现,但买家面临的风险远超预期。区块链分析工具可追踪加密货币支付,而卧底行动常将买家引入执法陷阱。每次拦截不仅挫败欺诈企图,还为后续调查提供情报,逐步瓦解供应链。
案例: 2023年末,一名美国男子因从暗网订购伪造护照被捕。国土安全调查局(HSI)通过潜入供应商网络,追踪了交易和物流链。买家误以为收到的是有效证件,实则落入执法圈套。此案被FBI作为典型案例宣传,警告公众暗网交易的法律风险。
补充背景:“暗网下/AWX”多次报道,2021年以来,欧洲刑警组织(Europol)协调的多个联合执法行动关闭了数个销售伪造护照、证件等文件的暗网市场,查获数千本伪造证件和被盗空白护照。近期,美国和荷兰警方查封出售假身份证与假护照的暗网市场VerifTools。区块链分析公司Chainalysis报告称,2023年在暗网通过比特币和门罗币完成的伪造护照交易超过1亿美元,但80%的交易最终被追踪,凸显匿名性的局限。
使用假护照的代价与后果 暗网购买的护照不仅无用,还带来严重后果。持有者可能面临逮捕、刑事指控、巨额罚款,甚至终身入境禁令。在某些国家,持有伪造护照本身即构成重罪。国际数据库的生物特征共享进一步放大风险,即使初次未被发现,未来旅行也可能触发警报。此外,暗网交易本身并不安全,买家常成为诈骗或执法行动的目标,经济和声誉损失难以挽回。
案例: 2024年末,一名东欧旅客试图使用暗网购买的伪造护照飞往英国。API系统在值机前即发现护照号码与英国数据库不符,边境当局迅速介入。旅客被拦截并遣返,其信息被列入国际监视名单。此案显示,现代边境系统的预检机制让伪造护照几乎无法进入目标国家。
补充背景: 根据国际移民组织(IOM)数据,2023年因使用伪造证件被遣返的旅客超过10万人,部分案例涉及人口贩运和有组织犯罪。销售假护照的暗网市场的存在加剧了这些问题,促使联合国安理会在2024年通过决议,呼吁加强全球反欺诈合作。
结论:技术壁垒与合法途径的必然选择 “暗网下/AWX”认为,销售假护照的暗网市场的虚假承诺在现代边境技术的重压下无处遁形,NFC、PKI和生物识别技术构建了多层次的验证体系,暗网伪造者无法突破加密签名和数据库核查的壁垒。从法兰克福到迪拜,从多伦多到新加坡,全球机场的实时检测让伪造护照寸步难行。航空公司的严格筛查和执法机构的联合行动进一步压缩了欺诈空间,每次失败的尝试都为系统提供更多情报,强化了全球安全网络。
对于寻求国际流动的个人,暗网购买的护照不仅徒劳,还带来毁灭性后果——逮捕、起诉和终身禁令远超其短暂的诱惑。合法途径,如入籍、居留许可或官方更名程序,虽需时间和努力,却是唯一可持续的解决方案。在ICAO标准和全球合作的护航下,边境安全体系确保了真实性与透明度。暗网或许贩卖身份的幻象,但机场的扫描器揭示了真相:伪造护照的冒险注定以失败告终。
7月底,根据“暗网下/AWX”的报道,在法国警方和欧洲刑警组织的协调下,臭名昭著的俄语暗网论坛XSS[.]is的明网域名被摧毁,其中一名管理员“Toha”被捕,当局指控Toha通过勒索软件获利超过700万欧元,并协助进行恶意软件、被盗数据和非法访问的交易。然而,警方对XSS的打击并未让地下网络犯罪销声匿迹。
近日,暗网威胁情报研究团队KELA发布研究报告称,尽管XSS在暗网上仍然在线,但关于其控制者身份的困惑加剧了人们的怀疑,怀疑它可能是执法部门的蜜罐。这种日益增长的不信任感促使许多网络犯罪分子与XSS保持距离,导致大规模网络犯罪分子迁移到名为DamageLib的新平台。
XSS论坛管理员“Toha”被逮捕 2025年7月22日,乌克兰当局在欧洲刑警组织的支持下,逮捕了一名38岁的男子,他涉嫌担任大型俄语网络犯罪论坛XSS[.]is的管理员。此次逮捕是在法国当局、欧洲刑警组织和乌克兰执法部门领导的多年调查之后进行的。XSS论坛自2013年以来一直活跃,前身为DaMaGeLaB,长期以来一直是被盗数据、恶意软件和勒索软件工具交易的中心,拥有近5万名注册用户。该论坛拥有一套信誉系统来促进安全交易,并严格禁止攻击独联体国家。
被捕的XSS管理员是“Toha”,他自2005年以来一直是网络犯罪界的核心人物,在多个大型俄语论坛的发展中发挥了关键作用。“Toha”是Hack-All的创始成员之一,该组织后来更名为Exploit[.]in。2017年,在DaMaGeLaB的管理员“Ar3s”被捕后,他们接管了DaMaGeLaB,继续主导地下网络犯罪活动。2018年,Toha将DaMaGeLaB更名为XSS[.]is,进一步巩固了其在网络犯罪领域的领先地位。
自Toha被捕以来,关于其身份以及XSS论坛未来走向的谣言和猜测愈演愈烈。研究人员认为该威胁行为者与别名“Anton Avdeev”有关。然而,执法部门迄今为止尚未发表任何声明,这可能是由于仍在进行调查并试图识别参与该论坛活动的其他人员。
XSS论坛新管理者的管理操作引发恐慌 研究称,尽管在暗网中,洋葱版本的XSS论坛仍然在线,但人们越来越多地猜测它已经成为执法蜜罐,而新的、声誉较低的版主的任命加剧了这种担忧。
在XSS论坛的明网域名被查封并关闭期间,该论坛的暗网域名仍然可以访问。但是大抓捕已经形成了较大威胁,XSS论坛成员开始恐慌地清理他们的帖子和消息,2025年8月3日,XSS论坛的新管理员宣布他们已成功将所有基础设施迁移到新服务器,并推出了新的明网域名(XSS[.]pro)和暗网网站,因为他们担心洋葱网站也已被查封。他们还表示,论坛的后端和Jabber服务器尚未被查封。
继发表声明后,新管理员封禁了之前的版主,并任命了新版主“Flame”(注册于2020年,只发了53条帖子)、“W3W”(注册于2025年8月4日)和“locative”(注册于2022年,是现任版主团队中声誉最高的),负责管理讨论帖和组织事务,同时继续维护论坛基础设施。这一举动立即在该论坛近5.1万名会员中引发了广泛的不信任,论坛成员纷纷对此表示强烈担忧和愤慨,主要是因为新版主无论是在论坛内外都缺乏声誉或知名度。另外,新版主们开始封禁长期用户,原因是他们发布了令人担忧的帖子和负面评论,这进一步引发了论坛成员的新一轮猜测和讨论。
成员们开始担心老用户或信誉良好的用户缺乏活跃度,并提到只有少数几个用户活跃,分别是“c0d3x”、“lisa99”、“stepany4”和“proexp”。KELA可以确认,参与讨论的老用户名单比较少,除了上述名称外,还有“waahoo”、“antikrya”和“p1r0man”。
另外,XSS论坛的新管理员将社区的知名成员“Stallman”添加到版主列表中,此举也引起了论坛用户的担忧。Stallman活跃于各种现有和之前已停用的知名论坛,包括Exploit、XSS、RAMP(Stallman也是RAMP的管理员)、Rutor和Runion,主要专注于漏洞和勒索软件,也就是Stallman在事实上领导勒索软件社区,这一发展引发了人们对新的XSS管理及其潜在动机的新疑问。此外,Stallman上任后,有传言称新的XSS管理员将允许在XSS上发布勒索软件并进行讨论,而这些此前是被禁止的。
XSS论坛的市场版块在整个月内保持活跃,不断推出新的产品和服务。然而,正如论坛中其他论坛成员在有管理员的讨论区中提到的那样,这些新产品和新服务来自新注册且未经验证的成员。此外,针对独联体国家/地区的服务开始变得更加频繁,而且没有受到监管,这也引起了用户的不满,因为XSS一直以严格禁止针对独联体国家的服务而闻名。
XSS论坛的新管理者对存款的处置引发争议 另一个引起XSS论坛社区关注的热门话题是存款(网络犯罪分子为了提高声誉而自愿存入账户的金额)及其支付情况。在专门为此问题创建的讨论帖中,新任管理员表示他们没有足够的资金来偿还所有存款,目前提现请求总额为7.015942 BTC(788,254美元)和480.527 LTC(54,673美元),这些金额将分配给那些要求返还押金的用户。此外,成员们开始讨论,押金债务总额估计约为50-55 BTC(6,170,873美元),他们认为这可以算作整个论坛的成本。值得注意的是,Stallman公开反对这一想法,坚持认为应该先提取版主的押金,然后再支付剩余金额。
2025年8月28日,论坛管理员声称已将部分存款金额转给了要求提现的用户。名单上的一些威胁行为者也在同一帖子中确认资金已转入他们的钱包。
新的XSS论坛管理者对近600万美元有争议的用户存款的处理进一步削弱了信任,也进一步促使前XSS版主推出一个新的竞争平台。
XSS论坛的访问量急速下滑 困惑和恐惧促使相当一部分用户急于寻求替代方案,在XSS出现动荡期间,由于参与者寻求替代方案,Exploit论坛流量激增近24%,而XSS论坛访问量则大幅下降。
XSS论坛上的网络犯罪分子正在讨论如果确定XSS已经被攻破,他们可能会转向何处,其中主要提到了Exploit(但一些论坛成员猜测Exploit也可能是一个蜜罐)、RAMP和Verified论坛。
根据SimilarWeb的统计数据,Exploit论坛在XSS被查封后流量激增,本月总访问量增长了23.99%。然而,在7月24日达到峰值之后,Exploit的流量开始恢复正常水平,而XSS论坛的访问量则急剧下降。值得注意的是,用户也避免访问明网域名XSS[.]pro。
DamageLib的出现与崛起 XSS论坛的一些前版主推出了他们自己的基于洋葱的论坛DamageLib,并向XSS论坛成员发送私信,邀请他们加入新论坛,并声称XSS已被完全控制。DamageLib目前仅存在于暗网版本中;包括“cryptocat”、“fenix”、“sizeof”、“zen”、“stringray”、“rehub”等在内的版主声称,他们不打算支持明网版本的论坛。
KELA的研究显示,DamageLib在成立的第一个月内发展迅猛,截至2025年8月27日,DamageLib拥有33487名用户(占XSS全部50853名注册用户列表的近66%)。然而,目前的统计数据表明,新创建的DamageLib论坛的用户在整个月内仅发布了248个主题和3107条公开消息。根据KELA的内部统计数据,在XSS论坛被查封前的一个月(2025年6月23日至2025年7月23日),威胁行为者共发布了超过14400条公开消息。研究人员表示,这表明,虽然用户在新平台上注册,但整个地下社区仍然保持着谨慎的态度。
最初,注册完全匿名,版主和管理员直接要求新成员避免使用XSS相关的信息,以防止可能的追踪。然而,在最近的帖子中,他们表示能够恢复用户数据,并创建了所谓的“幽灵账户”,首先是为了防止已知用户的冒充,其次,允许那些想要恢复声誉的用户通过验证流程并重新获得昵称的访问权限。不出所料,这一流程引发了担忧。不过,据KELA观察,一些成员,例如“Spy”和“paranoid,已经恢复了他们的昵称。
版主的合法性及其动机令新注册会员感到担忧。在一个专门讨论论坛新闻的帖子中,一位用户请求版主从其Exploit账户发送消息,以确认其身份和所作的声明。2025年8月2日,昵称“Fax”的用户表示,Exploit论坛版主“Quake3”向其发送消息,确认DamageLib版主之一“Rehub”已确认XSS版主团队确实是DamageLib论坛的幕后推手。
此外,KELA观察到一些著名的XSS成员使用他们原来的昵称活跃在当前的XSS和DamageLib论坛上,包括“antikrya”和“Ar3s”(由于缺乏对DamFageLib的验证,KELA无法确认他们是否为同一威胁行为者)。后者证实该论坛是由前XSS版主团队创建的,而“antikrya”主要表达了隐藏昵称毫无意义的观点。
DamageLib的版主和管理员在其他帖子中表示,他们正在考虑屏蔽论坛的商业版块,因为“Toha”在被捕前不久就曾考虑过这个方向。此外,关于允许勒索软件相关讨论和报价的讨论也在DamageLib上进行,并获得了社区的积极反馈。
根据KELA的报道以及“暗网下/AWX”的实际访问探查,目前,这两个暗网论坛的用户群高度重叠,地下犯罪社区更关注论坛平台本身的发展现状、是否正在被警方调查、各自管理者的身份和合法性,以及用户存款的去向,这些方面也是网络犯罪分子决定去留的关键。
在暗网中的网络攻击威胁中,美国始终是首要攻击目标,美国企业遭受了太多的网络攻击。
威胁情报公司SOCRadar的最新报告显示,过去12个月内,来自暗网的针对北美地区的威胁中,超过五分之四(82%)针对的是美国。
“暗网下/AWX”发现,这份重磅网络安全情报报告揭露了美国数字安全脆弱性的严峻现实,美国首当其冲地受到了针对北美的暗网犯罪活动的冲击。
SOCRadar最新的威胁情报分析揭示了一个惊人的统计数据:过去一年,针对北美目标的所有暗网威胁中,82%都瞄准了美国资产。这家网络安全公司将这种惊人的集中度归因于美国“更大的数字足迹和更具吸引力的目标”。
在审视暗网勒索软件运作时,威胁形势变得更加严峻。这份长达26页的评估报告显示,犯罪集团的勒索活动主要集中在美国本土,88%的勒索软件攻击都针对美国境内的组织与机构。“高价值企业、庞大的数字网络和更丰厚的经济利益,很可能吸引攻击者涌向美国市场。”报告如此分析。
尽管加拿大(9.7%)和墨西哥(1.8%)遭受攻击的频率明显较低,但报告仍警示:“所有国家都必须保持警惕,积极加强网络安全防御以应对勒索软件威胁。”
研究人员认为美国企业安全风险多,且更愿意支付赎金 明尼苏达州伊甸普雷里市网络安全服务公司Fortra的高级威胁研究员约翰·威尔逊如是说:“美国网络空间的最大优势已成其致命弱点,美国创新速度更快、应用更迅速、规模更大——这恰恰是全球黑客蜂拥攻击美国的原因。”
“数字时代的成功显然附带了’暴露面扩大’的警示牌。”他补充道。
格兰特·伦纳德(Grant Leonard)是位于亚利桑那州斯科茨代尔的托管检测和响应服务公司Lumifi Cyber的现场首席信息安全官,他表示,美国是一个科技先进且技术发达的国家,拥有数千万活跃网民,他们共享信息和开展业务的方式使容易其成为犯罪分子的目标,并且美国企业支付勒索软件黑客赎金的意愿可能也高于其他国家。
“遗憾的是,许多美国企业仍在支付赎金,”洛杉矶渗透测试、事件响应及托管IT服务公司Xcape的董事会成员戴蒙·斯莫尔补充道,“美国可能很快效仿其他国家出台禁令,同时要求企业构建更强大的安全基础设施,而讽刺的是,部分推动力竟来自保险公司——它们在承保网络安全险时强制要求企业配备此类设施。”
美国拥有强大的金融基础设施,这也使其成为网络敲诈者的目标。“加密钱包与法定货币的互联性,使威胁行为者能够更快、更高效地将攻击转化为经济收益,”全球网络安全公司Cypfer执行主席杰森·霍格表示。该公司专注于事件响应、勒索软件恢复、数字取证及网络风险管理。
他进一步解释道:“两大因素加剧了这一现象:其一是美国聚集了众多大型高利润企业;其二是这些企业无论从员工规模还是消费者基数来看都极为庞大,需要构建复杂的基础设施支撑运营与商业活动,而移动设备和数字接口的高互联性反而增加了攻击入口。”
“此外,监管压力和声誉风险暴露促使企业为快速解决问题而支付赎金。”他补充道。
犯罪分子对美国发动了大量的网络钓鱼攻击 困扰美国网络的网络犯罪猖獗已达到一个新的严重程度,网络钓鱼攻击以前所未有的程度攻击了大量美国目标。
最新情报数据显示,美国承受了北美地区内超过61%的网络钓鱼攻击,这一巨大差距令北美地区的邻国相形见绌,加拿大记录了该地区约38%的网络钓鱼活动,而墨西哥仅遭遇了0.41%的欺骗活动。
在令人不安的战术演变中,SOCRadar调查人员还发现网络犯罪分子已经开始利用可信的安全基础设施来加强他们的行动。令人震惊的是,目前有71.1%的恶意网络钓鱼网站部署了HTTPS加密协议,而使用标准HTTP连接的网站只仅有28.9%。
报告指出:“这看似矛盾,因HTTPS常与安全网站关联。但攻击者如今利用HTTPS欺骗用户认为网站安全,浏览器中的绿锁图标可能带来虚假信任感。”
芝加哥密码管理和在线存储公司Keeper Security首席执行官达伦·古奇奥内表示:“在美国,钓鱼攻击正变得越来越精准,攻击者利用社会工程学和人工智能增强的数据抓取技术,实施高度定制化的攻击活动。”
“钓鱼即服务平台通过快速部署攻击活动推动了这一趋势,进一步降低了网络犯罪分子的入门门槛,”他表示,“这些犯罪分子不仅依赖窃取的凭证,更通过社交操控手段突破身份保护机制。”
“深度伪造视频在此领域尤为令人担忧,”他继续指出,“人工智能模型使这类攻击手段更快速、更廉价且更具破坏力。随着攻击者手段日益精进,采用多因素认证和生物识别等更强大、动态的身份验证方法将成为抵御这些日益复杂威胁的关键。”
总结 随着暗网活动的加速,美国企业仍然处于网络攻击的战场之中,网络犯罪分子利用数字发展中的每一个漏洞对美国发动多重类型攻击。无论在北美还是全球范围内,仅通过更新防御措施来应对通用威胁战术的传统安全策略,已不足以保护敏感信息和系统。
专家警告称,在暗网威胁造成无法弥补的损害之前,企业必须时刻保持警惕、加强自身的网络安全防护以及开展跨行业合作,借助人工智能分析攻击手段,并挖掘出自身可能被外部黑客利用的特定弱点。
网络安全公司Rapid7的研究显示,暗网上正在出售企业网络访问权,卖家是初始访问经纪人(IAB),他们在地下市场上出售初始访问权限(IAV)。IAB通常是最有经验的黑客。买家可能是技术不太熟练的黑客,他们难以获得真正的访问权限,也可能是技术熟练的黑客,他们希望节省时间直接开展业务。关键在于:网络犯罪是一门生意。
对网络犯罪分子买卖企业网络访问权限的非法暗网市场进行的新分析揭示了如何出售被控制的企业初始访问权限(通常价格不到1000美元),以及防御者可以采取哪些措施在早期阶段阻止这一过程。
Rapid7的威胁情报研究人员分析了数百条由初始访问经纪人(IAB)发布的帖子,这些帖子提供了对各行各业和地区的企业受感染网络的访问权限。他们的研究结果表明,“初始”访问权限并不一定等同于最低限度的访问权限;在许多情况下,这种访问权限代表着深度入侵。
Rapid7的研究人员分析了2024年7月1日至2024年12月31日期间三大论坛(XSS、BreachForums和Exploit)中的访问代理业务,分析得出三个结论:提供选择的访问包选项数量、最受欢迎的访问包以及主要定价和价格范围。
绝大多数访问代理销售(71.4%)提供的不仅仅是特定的访问向量;它们还包括一定程度的特权,而在近10%的销售中,它是包含多个初始访问向量和/或特权的捆绑包。虽然平均售价略高于2700美元,但近40%的产品价格在500至1000美元之间。VPN、域用户和RDP是最常见的访问类型。
近四分之三的IAV销售提供了不同初始访问向量(IAV)的选择,而10%的销售提供了不同IAV的组合包。最常见的IAV包括VPN(23.5%)和域用户(19.9%)(两者均以缺乏或不足的多因素认证为特征),以及RDP(16.7%)。
Rapid7分析论坛活动的主要目的是更好地了解“地下网络犯罪分子不断变化的策略和优先事项”。同时,论坛的历史也证明了执法部门干扰的有效性。由于缺乏简单的方法来识别和预警经纪商论坛上出现的受害者,执法部门肩负着更大的责任,需要破坏整个IAB生态系统。随着执法机构取缔并控制这些暗网论坛,人们真的怀疑这些论坛是否是他们进行非法交易的安全场所。
Rapid7高级副总裁兼首席科学家Raj Samani表示:“这份报告显示,最初的访问经纪人并非只想找到一条进入企业网络的单一途径,然后迅速撤离——他们正在尝试探索已渗透的网络。而且他们经常会成功。”“通过这样做,IAB可以为买家提供管理员权限、多种访问类型,或两者兼而有之。当威胁行为者使用从经纪人那里购买的访问权限和特权凭证登录时,很多繁重的工作已经为他们完成了。因此,问题不在于你是否暴露,而在于你是否能在入侵升级之前做出反应。”
“别搞错了,”Antony Parks(Rapid7威胁情报部门负责人,该报告的研究人员之一)表示,“处于这种困境的企业实际上遭到了经纪人和买家的双重入侵,而且他们的安全解决方案始终无法检测到任何一种非法访问。所有这些,在经纪人离开之前,他们究竟偷走了什么——假设他们真的离开过的话。那很可能是因为经纪人和买家都希望能够进入最终目标。虽然进入第三方可能带来丰厚的利润,但要接触最终目标仍然需要付出额外的努力。”
Rapid7的报告还重点介绍了企业可以采取的自我保护措施,包括强制执行多因素身份验证(MFA),尤其是在VPN、RDP和访问关键基础设施的用户账户上。企业还应考虑投资威胁感知型检测和响应,包括将访问信号与可疑活动关联起来的统一平台。此外,企业还需要定期进行红队演习,以识别暴露路径,例如废弃账户、默认凭证和可从外部访问的RDP服务。