暗网纵论

Telegram创始人兼首席执行官帕维尔·杜罗夫（PavelDurov）的被捕可能会给该消息平台上精通加密的犯罪分子带来可怕的影响。现在，Telegram的用户、暗网社区的犯罪分子都在强烈谴责法国抓捕Telegram创始人。 8月24日，杜罗夫在巴黎附近的一个机场被捕，他乘坐私人飞机前往阿塞拜疆（据称是为了与俄罗斯总统弗拉基米尔·普京会面，但未能如愿）。法国检察官表示，杜罗夫被拘留是7月8日对一名“未透露姓名的人”展开的调查的一部分，该调查涉及多项与Telegram有关的罪行。 这些罪行包括贩毒、儿童性虐待材料（CSAM）、有组织诈骗、洗钱、分发数字黑客工具以及“未经认证声明提供旨在确保保密的密码服务”。这名未透露姓名的个人还被指控“拒绝​​根据主管当局的要求提供进行和操作法律允许的拦截所需的信息或文件”。 杜罗夫被指控“参与犯罪活动，意图犯下可判处5年以上监禁的罪行”，这凸显了其被捕的严重性。 法新社报道称，逮捕令由法国警察局下属的一个专门处理针对儿童的犯罪的分支机构OFMIN签发。OFMIN负责人Jean-Michel Bernigaud在LinkedIn上发帖称，逮捕令的关键在于Telegram“缺乏审核和合作……特别是在打击针对儿童犯罪方面”。 杜罗夫被捕后，Telegram发表声明称，“声称平台或其所有者应对平台滥用行为负责是荒谬的。”Telegram坚称其审核政策“符合行业标准，并且不断改进”。 杜罗夫是俄罗斯公民，同时拥有法国、阿联酋和圣基茨和尼维斯国籍。据报道，俄罗斯和阿联酋官员都曾寻求领事探视杜罗夫。8月26日晚，一名法国法官将杜罗夫的拘留期限延长至48小时，此后当局必须对他提出指控或释放他。 6月，杜罗夫曾告诉塔克·卡尔森，T​​elegram只有“大约30名”全职员工，其中很少有人负责监控Telegram近10亿用户的活动。毫不奇怪，Telegram的自由放任主义使其成为大多数政府不赞成的活动中心。 Telegram长期以来一直被认为是犯罪猖獗的平台，是一个几乎任何人都可以访问的地下市场。毒品、枪支、CSAM、黑客工具、被盗个人数据……只要有需求，无需学习如何使用Tor软件，所有东西都可以买到，而且主要使用数字资产进行支付。并且，Telegram也是暗网市场、暗网社区背后交流聊天的渠道，一度受到网络犯罪分子的欢迎，拥有相当多的粉丝量。 另外，Telegram已被证实也受到恐怖组织的欢迎，包括ISIS。据说印度的恐怖组织也是该平台的粉丝，本站（anwangxia.com）曾报道过，印度内政部和电子信息技术部最近被问及“可以对Telegram采取什么行动”，尽管据说这些报道主要集中在基于Telegram的恐怖活动、敲诈勒索和非法赌博上。2022年，第三届国际”不为恐怖行为供资“部长级会议在印度召开：滥用社交媒体、暗网、加密货币是印度提出的关键问题。 ”黑暗时代将是我们的未来“ ”暗网下/AWX“发现，杜罗夫被捕似乎激怒了一些暗网黑客以及俄罗斯恶棍。包括巴黎行政法院在内的多个法国政府网站都遭到了分布式拒绝服务（DDoS）攻击，在杜罗夫被捕后，这些网站一度离线，无法正常访问。 同样抗议逮捕杜罗夫的还有稳定币Tether（USDT）的首席执行官保罗·阿尔多伊诺（Paolo Ardoino），他称杜罗夫被捕“非常令人担忧”。阿尔多伊诺声称杜罗夫是因为“捍卫言论自由交流”而被拘留，并发文称“如果我们作为一个社会输掉了捍卫言论和通信自由的斗争，那么其他一切都将变得无关紧要，黑暗时代将是我们的未来。” 今年4月，Tether在Telegram旗下由杜罗夫开发的区块链”The Open Network“（TON）上推出了USDT。自那时起，TON上的USDT总量已升至近6.2亿美元，另有价值1.103亿美元的“已授权但未发行”的USDT。 USDT-on-TON的一个主要特点是该网络可直接访问法定货币入口。据说，在4月推出时，银行账户/银行卡出口通道已在开发中。 与Telegram一样，Tether也曾试图摆脱与犯罪活动的关联，但未能成功，USDT在暗网社区中广泛使用，联合国毒品和犯罪问题办公室（UNODC）等权威机构指出，USDT在有组织犯罪的银行架构中发挥了作用。 Telegram上的加密货币助长了犯罪 一些俄罗斯公众人物声称，逮捕杜罗夫是“针对TON加密货币，许多俄罗斯大商人都将其用作钱包”。 几年前，TON曾尝试在Telegram上直接发行名为GRAM的代币，但以失败告终。之后，TON推出了一种新的原生代币（Toncoin）。美国证券交易委员会（SEC）曾否决并阻止了GRAM计划，并警告Telegram通过首次代币发行来发行未注册的证券属于非法行为。Telegram最终退还了通过此次ICO筹集的资金，并于2020年6月与SEC达成了1850万美元的和解协议。 去年11月，Telegram将Toncoin整合到其用户界面中，允许Telegram用户之间直接付款，这导致该代币的价值飙升。这为不法分子的犯罪活动提供了一定程度的隐蔽性，使他们无需离开平台即可进行交易。 Telegram在俄语用户中很受欢迎——俄语用户占其总用户数量的近三分之一——这有助于说服俄罗斯金融机构和其他支付服务在该平台上建立自己的业务。 今年春天，Tonecoin的价值增长了四倍，因为Telegram推出了一项广告共享计划，允许平台的“内容创建者”在其频道中展示广告，以换取50%的广告收入（以Toncoin支付）。几个月后，Tether在TON上推出USDT，这更是火上浇油，更加点燃了Toncoin的价值。 杜罗夫被捕后，Toncoin的市值从170多亿美元暴跌至约135亿美元。此后，该代币的市值有所回升，但似乎每个人都在等待另一只鞋的落地。8月28日，基于TON的社区平台Tonk Inu在X上发布消息称，由于“$DOGS 导致的大量流量”，TON网络出现“出现中断”。 有人认为，杜罗夫的旅伴尤利娅·瓦维洛娃（Yulia Vavilova）自称是“加密教练”，她乘坐杜罗夫的飞机抵达巴黎，但从此杳无音讯。她可能在社交媒体上提前透露了杜罗夫将抵达法国的消息，这可能让法国检察官提前准备好相关逮捕文件。 不可能只是耸耸肩 暗网社区以Telegram作为通信平台，买卖各种犯罪服务与违法商品，但是Telegram从不进行任何审核，且不服从警方的调证。 杜罗夫曾公开表示不会服从政府索要客户信息的要求（即来自非弗拉基米尔·普京领导的俄罗斯政府的要求），这使他成为“加密货币”群体的偶像。有些人将他比作”Tornado Cash“混币服务的开发者/联合创始人阿列克谢·佩尔采夫（Alexey Pertsev），后者与杜罗夫一样，声称自己“只编写代码”，不对客户如何使用该服务负责，但是地缘政治会扼杀他。 但今年春天，佩尔采夫被判处64个月监禁，因为他的“视而不见”论据未能打动主持审判的荷兰法官。杜罗夫在这次比较中可能比佩尔采夫更有优势，因为Telegram是一个真正的通信平台，而Tornado Cash（用法官的话来说）“不是一个被犯罪分子无意滥用的合法工具。” 但荷兰法院的言辞可能会让杜罗夫不安，他们指出，“在意识形态的幌子下，[佩尔采夫]不在乎法律和法规，觉得自己不可侵犯。”尽管当局和加密货币犯罪的受害者不断恳求，但佩尔采夫“选择对这种侵权待行为视而不见，不承担任何责任。” 致杜罗夫的备忘录：当这种“虐待”指的是儿童性虐待，而你的反应只是耸耸肩的时候，那么责任就会报复到你身上。

上周，一个勒索软件团伙可能将数十万人的个人数据泄露到了暗网上，该团伙在七月份窃取了哥伦布市的数据。 但暗网并不是人们可以偶然发现的地方。大多数人从未去过那里，也不知道如何访问那里。 下面是您需要了解的关于互联网中这一神秘部分的信息，对于大多数用户来说，它潜藏在未曾见过的地方。 什么是暗网以及如何进入暗网？ 暗网是互联网的一部分，只能通过专门的浏览器访问，该浏览器会隐藏通过它的数据。 俄亥俄州立大学计算机科学与工程系助理教授卡特·亚格曼（Carter Yagemann）表示，这个浏览器，即Tor浏览器，本质上是火狐浏览器（Mozilla Firefox）的修改版，它可以在六个随机节点之间传递从客户端（如个人电脑）发送到服务器（如网站）的信息。 这使得Tor浏览器具有匿名性，意味着用户和网站主机无法被追踪。 暗网是深网的一部分，深网包括谷歌等搜索引擎未索引的任何互联网部分。深网不需要使用Tor浏览器即可访问。亚格曼表示，深网只包含搜索引擎找不到的网站，例如公司内部网站或需要登录的网站。 他说：“例如，Facebook的部分内容可能被视为深网，因为正常用户可能无法访问这些内容。” 暗网也比普通网站更难找到。 用户必须知道一个由随机数字和字母组成的特定URL，该URL以.onion结尾，而不是更常用的后缀.com或.org。亚格曼表示，谷歌也没有相应的工具来索引所有这些地址。 暗网上有什么？它有什么用？ 亚格曼说，那些想要避免被监视的人主要使用暗网，其中通常包括犯罪分子。 他说，犯罪分子利用暗网进行毒品交易、雇凶谋杀、传播儿童色情内容等。 犯罪分子还利用暗网进行网络犯罪。今年 7 月，Rhysida勒索软件团伙入侵了哥伦布市的市政网络系统，最近他们试图利用暗网拍卖从哥伦布市窃取的6.5TB数据。然而拍卖似乎失败了，因此该团伙在其暗网泄密网站上泄露了超过3TB的内部敏感数据。 此外，暗网上还曾经存在一个类似亚马逊的在线暗网交易市场，主要用于销售毒品。它被称为丝绸之路（The Silk Road），根据researchgate.net上发布的丝绸之路截图，用户可以浏览“白俄罗斯”大麻、高级可卡因和25I-NBOMe（一种合成精神活性物质）等毒品的列表。 2013年，美国联邦调查局逮捕了该暗网网站的创始人罗斯·乌布利希（Ross Ulbricht，网上昵称“可怕的海盗罗伯茨”）并关闭了该网站，该暗网毒品市场随之被摧毁。 但这并没有杜绝暗网上的非法销售，根据兰德公司（RAND Corporation）的报告，在“丝绸之路”关闭数年后，2017年，一家非法暗网网站的销售额仍达2.19亿美元。 亚格曼表示，Tor浏览器的匿名设置也使暗网对间谍、躲避专制政府的活动人士或任何试图逃避审查或互联网限制的人很有用。 然而，暗网上并非全是犯罪和国家机密。 “暗网上发生的事情和日常生活中发生的事情是一样的。只是因为很难将暗网上的服务器归属于某个人，这个人可能更难被法律追究责任。”亚格曼说。

为了应对日益严重的数字贩毒问题，印度中央政府成立了暗网和加密货币特别工作组。该工作组将专门监控暗网上的可疑毒品交易。印度主要禁毒执法机构麻醉品管制局（NCB）是这项举措的先行者。 作为该国遏制毒品贩运的更广泛战略的一部分，NCB一直在密切追踪与购买毒品有关的加密货币支付情况。 2020年以来查处92起暗网相关案件 印度内政部国务部长尼蒂亚南德·拉伊（Nityanand Rai）表示，自2020年以来，印度已查处了92起使用暗网和加密货币进行毒品交易的案件。这些数据是在回答反对党议员何塞·K·马尼的议会质询时提出的，马尼询问了贩毒活动中越来越多地使用技术的情况。 年份涉及暗网和加密货币的案件数量涉及快递/包裹的案件数量2020032592021492502022082402023212412024 (截至 4 月)1135全部的921025资料来源：NCB 分数据来看，NCB在2020年报告了3起案件，2021年报告了49起，2022年报告了8起，2023年报告了21起，截至2024年4月报告了11起。但是，数据并未具体说明与暗网或加密货币有关的案件的具体数量。 在同一时期，还记录了1025起涉及包裹或快递员贩毒的事件。这凸显了贩毒者分发非法毒品所采用的各种方法。 除了监控之外，拉伊强调，还采取了各种预防措施，新成立的工作组在监督和分析可疑交易以防止贩毒方面发挥着至关重要的作用。 拉伊提出打击暗网贩毒计划 会议期间，拉伊概述了一项包含13个可操作要点的计划，旨在解决该国日益严重的贩毒和毒品恐怖主义问题，特别注重打击数字货币的滥用。 他说：“已经成立了一个暗网和加密货币特别工作组，以监控暗网上与毒品有关的可疑交易。” 与此同时，NCB启动了以数字取证、暗网活动和加密货币为中心的培训计划，以增强其更有效打击毒品犯罪的调查能力。 尽管印度政府采取了有针对性的方法来监控加密交易，但对加密货币格局的处理却引起了褒贬不一的反应。 财政部长尼尔马拉·西塔拉曼（Nirmala Sitharaman）在最近的2024年联邦预算演讲中没有提及加密货币，这导致现有的税收法规在另一个财政年度保持不变。 2024年早些时候，财政部下属的金融情报部门（FIU）就对币安等离岸交易所进行了严厉打击，原因是它们不遵守该国的《反洗钱法》。 币安曾是印度加密货币交易领域的主导者，但此次被处以罚款以恢复运营，标志着印度加密货币市场的监管发生重大转变。 尽管存在这些监管障碍，币安仍表示有意重新进入印度市场，但需获得印度金融当局的批准。 印度警方对加密货币取证技术进行培训 去年，印度透露，将在2022-2023财年为各网络犯罪和警察部门的官员提供加密货币取证和调查方面的培训。 此次培训旨在让执法人员掌握打击加密货币相关犯罪的必要技能。 在NCB的指导下，141名警官接受了专门针对暗网调查、加密货币的培训，以及关于数字足迹、从公开来源收集情报和社交媒体分析的研讨会。 此次培训是在区块链情报公司TRM Labs进行的一项调查显示的基础上开展的，该调查显示99%的执法人员需要接受更多加密方面的培训。 #Binance, in collaboration with Thai government agencies, hosted the first-ever blockchain and crypto training workshop for law enforcement in Thailand 🇹🇭 Topics: 🔸 Crypto fundamentals 🔸 Investigation techniques 🔸 Case studies 🔸 Crypto exchanges' roles in crime prevention. pic.twitter.com/ey0LDrrlpi — Binance (@binance) December 7, 2022 印度对加密货币的立场一直有些模糊。

根据FortiGuard Labs基于FortiRecon提供的威胁情报进行的最新分析，一年多来，越来越多的网络犯罪分子将今年即将举办的奥运会作为攻击目标。 FortiGuard Labs观察到为巴黎奥运会而收集的资源显著增加，尤其是针对法语用户、法国政府机构和企业以及法国基础设施提供商的资源。从2023年下半年开始，针对法国的暗网活动激增。 这种80%至90%的增幅在2023年下半年和2024年上半年一直保持一致。这些威胁的普遍性和复杂程度证明了网络犯罪分子的计划和执行能力，而暗网是他们活动的中心枢纽。 记录在案的活动包括：旨在加速数据泄露和收集个人身份信息（PII）的先进工具和服务日益增多；出售被盗凭证和被盗的VPN连接，以实现对专用网络的未授权访问；以及为巴黎奥运会定制的网络钓鱼工具包和漏洞利用工具的广告。其中还包括出售包含敏感个人信息的法国数据库，以及法国公民的组合列表（用于自动暴力破解攻击的被泄露用户名和密码的集合）。 鉴于俄罗斯和白俄罗斯未受邀参加今年的奥运会，亲俄组织的黑客活动也出现了激增，这些组织包括LulzSec、noname057(16)、Cyber​​Army Russia Reborn、Cyber​​ Dragon和Dragonforce，他们明确表示他们的目标是奥运会。来自其他国家和地区的组织也很活跃，包括Anonymous Sudan（苏丹）、Gamesia Team（印度尼西亚）、Turk Hack Team（土耳其）和Team Anon Force（印度）。 虽然网络钓鱼可能是最简单的攻击形式，但许多技术水平较低的网络犯罪分子不知道如何创建或分发网络钓鱼电子邮件。网络钓鱼工具包为新手攻击者提供了一个简单的用户界面，帮助他们编写令人信服的电子邮件、添加恶意负载、创建网络钓鱼域命并获取潜在受害者名单。文本生成AI服务的加入还消除了拼写、语法和图形错误，这些错误会让收件人将电子邮件设别为恶意电子邮件。 FortiGuard实验室团队还记录了大量在奥运会期间注册的错别字域名抢注现象，包括名称的变体（oympics[.]com、olmpics[.]com、olimpics[.]com等）。这些域名与官方售票网站的克隆版本相结合，将用户引导至虚假付款方式，但用户无法获得门票，钱也打了水漂。 法国国家宪兵队与奥运合作伙伴合作，发现了338个声称出售奥运门票的欺诈网站。根据他们的数据，其中51个网站已被关闭，140个网站已收到执法部门的正式通知。 同样，已发现多起以奥运会为主题的彩票诈骗案，其中许多都冒充可口可乐、微软、谷歌、土耳其国家彩票和世界银行等知名品牌。这些彩票诈骗的主要目标是美国、日本、德国、法国、澳大利亚、英国和斯洛伐克的用户。 此外，用于创建钓鱼网站和相关直播面板的编码服务、用于实现群发短信的批量短信服务以及电话号码欺骗服务也在增加。这些服务可为网络钓鱼攻击提供便利，传播错误信息，并通过冒充可信来源破坏通信，可能在活动期间造成重大的操作和安全挑战。 此外，信息窃取恶意软件旨在秘密渗透受害者的计算机或设备并获取敏感信息，例如登录凭据、信用卡详细信息和其他个人数据。威胁行为者正在部署各种类型的窃取恶意软件来感染用户系统并获取未经授权的访问权限。威胁行为者和初始访问代理可以进一步利用这些信息来执行勒索软件攻击，对个人和企业造成重大损害和经济损失。 FortiGuard Labs的数据显示，Raccoon目前是法国最活跃的信息窃取者，占所有检测的59%。Raccoon是一种有效且廉价的恶意软件即服务（MaaS），在暗网论坛上出售。它会窃取浏览器自动填充密码、历史记录、cookie、信用卡、用户名、密码、加密货币钱包和其他敏感数据。紧随其后的是Lumma（另一种基于订阅的MaaS），占21%，Vidar占9%。 2024年巴黎奥运会除了弘扬体育精神和体育竞技之外，还是一个高风险的网络威胁目标，吸引了网络犯罪分子、黑客组织和国家支持的行为者的关注。网络犯罪分子正在利用网络钓鱼诈骗和欺诈手段来利用毫无戒心的参赛者和观众。 假票务平台、欺诈性商品和身份盗窃手段可能会造成经济损失，并破坏公众对活动相关交易的信任。此外，由于法国的政治立场和国际影响力，2024年巴黎奥运会也是出于政治动机的团体的主要目标。 FortiGuard实验室预计，黑客组织将重点关注与巴黎奥运会相关的实体，以扰乱该赛事，攻击基础设施、媒体渠道和附属组织，扰乱赛事进程，破坏可信度，并在全球舞台上传播放大他们的信息。

FIN7是一个源自俄罗斯的神秘而持久的以经济利益为目的的威胁组织，自2012年以来一直活跃，针对各个行业领域发起攻击，并在酒店、能源、金融、高科技和零售等行业造成了重大经济损失。 据观察，FIN7团伙在多个暗网论坛上使用多个假名，可能是为了宣传一种已知被Black Basta等勒索软件团伙使用的工具。 2022年5月19日，名为“goodsoft”的用户在暗网论坛exploit.in上发布了一款AV杀手工具的广告，起价为4000美元，该工具针对各种端点安全解决方案。后来，在2022年6月14日，名为“lefroggy”的用户在暗网论坛xss.is上发布了类似的广告，价格为 15,000 美元。一周后，即6月21日，名为“killerAV”的用户在暗网论坛RAMP上发布了类似的广告，价格为 8,000 美元。 网络安全公司SentinelOne在一份报告中表示：“AvNeutralizer（又名AuKill）是FIN7开发的用于篡改安全解决方案的高度专业化工具，已在地下犯罪市场销售，并被多个勒索软件团伙使用。” FIN7团伙自2012年以来一直是一个持续性的威胁，从最初针对销售点（PoS）终端的攻击转向充当REvil和Conti等现已解散的勒索软件团伙的附属机构，之后又推出了自己的勒索软件即服务（RaaS）项目 DarkSide 和 BlackMatter。 该威胁行为者还曾经取名为Carbanak、Carbon Spider、Gold Niagara和Sangria Tempest（以前称为Elbrus）等名称，曾设立Combi Security和Bastion Secure等幌子公司，以渗透测试为借口招募不知情的软件工程师参与勒索软件计划。 多年来，FIN7通过重组其恶意软件库——POWERTRASH、DICELOADER（又名IceBot、Lizar或Tirion）以及通过POWERTRASH加载器提供的渗透测试工具Core Impact，展示了高度的适应性、复杂性和技术专长，尽管其部分成员已被逮捕和判刑。 根据Silent Push最近发布的报告，该FIN7团伙通过部署数千个模仿合法媒体和技术企业的“shell”域名，开展大规模网络钓鱼活动来传播勒索软件和其他恶意软件家族，这证明了这一点。 另外，这些”shell“域名偶尔会在传统的重定向链中使用，将用户发送到伪装成物业管理门户网站的欺骗登录页面。 这些域名抢注版本会在Google等搜索引擎上做广告，诱骗搜索热门软件的用户下载带有恶意软件的版本。被攻击的工具包括7-Zip、PuTTY、AIMP、Notepad++、Advanced IP Scanner、AnyDesk、pgAdmin、AutoDesk、Bitwarden、Rest Proxy、Python、Sublime Text和Node.js。 值得注意的是，此前eSentire和Malwarebytes曾在2024年5月强调过FIN7使用恶意广告策略的情况，其攻击链导致了NetSupport RAT的部署。 SilentPush指出：“FIN7在多个主机上租用了大量专用IP，但主要租用在Stark Industries上，这是一家流行的防弹（bulletproof）主机托管服务提供商，与乌克兰和整个欧洲的DDoS攻击有关。” SentinelOne的最新发现表明，FIN7不仅在网络犯罪论坛上使用多个角色来促进AvNeutralizer的销售，而且还对该工具进行了改进，增加了新的功能。 这是基于这样一个事实：自2023年1月起，多个勒索软件团伙开始使用针对EDR程序的更新版本，而在此之前，该程序仅由Black Basta组织独家使用。 SentinelLabs研究员Antonio Cocomazzi称，在没有更多证据的情况下，不应将AvNeutralizer在暗网论坛上的广告视为FIN7采用的一种新的恶意软件即服务（MaaS）策略。 “FIN7一直致力于开发和使用复杂工具来开展自己的业务，”Cocomazzi说道。“然而，向其他网络犯罪分子出售工具可以看作是他们实现多样化和创造额外收入的方法的自然演变。” “从历史上看，FIN7一直利用暗网市场来获取收入。例如，美国司法部报告称，自2015年以来，FIN7成功窃取了超过1600万张支付卡的数据，其中许多都在暗网市场上出售。虽然这在勒索软件时代之前更为常见，但AvNeutralizer目前的广告可能预示着其战略的转变或扩张。” “这可能是因为与以前的反病毒系统相比，现在的EDR解决方案提供了越来越多的保护。随着这些防御能力的提高，对AvNeutralizer等减损工具的需求也大幅增长，尤其是勒索软件运营商。现在，攻击者在绕过这些保护措施方面面临着更严峻的挑战，这使得此类工具变得非常有价值和昂贵。” 就其本身而言，更新后的AvNeutralizer版本采用了反分析技术，最重要的是，它利用名为“ProcLaunchMon.sys”的Windows内置驱动程序与ProcessExplorer驱动程序结合来篡改安全解决方案的功能并逃避检测。据信，该工具自2022年4月以来一直在积极开发中。 Lazarus Group也使用了类似版本的方法，这使得该方法更加危险，因为它通过将Windows机器中默认存在的易受攻击的驱动程序武器化，超越了传统的自带易受攻击驱动程序(BYOVD)攻击。 另一个值得注意的更新涉及FIN7的Checkmarks平台，该平台已被修改为包含一个自动SQL注入攻击模块，用于利用面向公众的应用程序。 SentinelOne表示：“FIN7在其攻击活动中采用了自动攻击方法，通过自动SQL注入攻击瞄准面向公众的服务器。此外，它在暗网论坛中开发和商业化AvNeutralizer等专用工具，大大增强了该组织的影响力。”

引言 恐怖分子的策略不断演变，反映出他们对可用资源和技术进步的务实适应。因此，脆弱性格局也在不断发展，不仅仅体现在传统的力量差异上，还体现在新型脆弱性的出现上。 互联网的普及加剧了这一趋势，促进了精通技术、自我激进化个人的招募和激进化。特别是暗网成为非国家行为者网络犯罪的温床。恐怖组织扩大了他们的网络能力，利用暗网进行招募、筹款和行动规划，这些活动由社交媒体和人工智能等新兴技术推动。暗网在虚拟空间中不断发展，被用于传播虚假信息，如在正在进行的巴以冲突中所看到的。 技术为这些组织的通信外联提供了前所未有的机会。恐怖组织正在使用创新方法和平台，在其成员、志愿者和新招募人员之间进行快速消息传递。除了自己的网站、电子杂志和出版社外，一些组织还活跃在Telegram、Facebook、Signal等平台以及其他聊天室和论坛上，这些平台使他们能够招募同情者和支持者并传播宣传。 本站（anwangxia.com）多次介绍，暗网与恐怖主义已紧密交织在一起，对全球现有的安全框架提出了新的挑战。 在当代恐怖主义中，传统方法和网络方法相互交融，技术既是力量倍增器，又是一把双刃剑。因此，反恐工作的努力需要将重点从阻止物理攻击扩展到对抗数字领域中传播的叙事战。 本文讨论了恐怖组织如何利用暗网招募人员、煽动极端主义和散布虚假信息，探讨了暗网在恐怖活动中的作用以及暗网的生态系统对国家安全的影响，强调了执法和监管机构在监测和打击暗网上的恐怖活动方面面临的挑战，强调了全球合作的必要性。通过案例研究的解读，为印度如何采取最佳做法来保护国家免受暗网影响提供了政策建议。 网络空间中的暗网 暗网和深网共同构成了网络空间的重要组成部分，覆盖了互联网的96%以上。2023年，暗网通过Tor每天平均有250万访问者。2023年9月，德国成为Tor用户群体最高的国家，超过了美国。其他Tor用户数量最多的国家是芬兰、印度和俄罗斯。 非法内容主导了暗网，占57%，包括加密货币账户、网上银行访问和电子钱包。数据泄露造成的经济损失显而易见，每起事件平均造成944万美元的损失。网络犯罪分子利用暗网的匿名性，以仅110美元的价格出售余额可观的信用卡详细信息。同时，恶意软件和分布式拒绝服务（DDoS）攻击的交易也十分猖獗，1000次威胁安装可获得1800美元的收益。 从人口统计学角度看，暗网用户主要是男性（84.7%）。这些用户中，大多数年龄在36-45岁之间，包括恶意内部人员、黑客分子和国家行为者，他们在全球范围内造成网络威胁。 正如“暗网下/AWX”多次报道的，尽管各国执法机构努力摧毁了像丝绸之路（Silk Road）和AlphaBay这样的暗网市场，但暗网中仍出现了诸如In The Box、Genesis Market和2Easy等继任者的兴起，这些暗网市场提供了从加密货币账户到伪造身份和违禁物品等非法商品。这些交易的匿名性给执法机构带来了巨大挑战。 暗网与恐怖主义 Tor、比特币和加密货币等技术创新使犯罪分子能够匿名操作，推动了暗网的扩张。暗网活动主要分为四类：网络安全、网络犯罪、机器学习和毒品贩运。 恐怖分子利用网络空间传播宣传，在社交媒体上发动信息战。利用互联网传播暴力极端主义利用暗网媒介进行恐怖主义宣传传播和招募，正如2019年新西兰基督城（Christchurch）枪击案所看到的那样。 恐怖主义宣传的传播涉及公开可访问的匿名代理服务器、像Tor这样的匿名化服务，以及用于进行金融交易的加密货币，所有这些都给网络监视和数字取证带来了挑战。安全的移动设备和加密通信应用程序（如Telegram或Signal）也为恐怖分子提供了安全的通联平台，使他们能够逃避检测。 伊斯兰国（ISIS）利用暗网进行宣传传播和行动协调，凸显了该平台对恐怖组织的吸引力。值得注意的是，《如何在西方生存：圣战者指南》（“How to Survive in the West: A Mujahid Guide”）等手册提供了关于互联网隐私和使用Tor的说明，展示了恐怖分子对技术进步的适应能力。该恐怖组织的媒体机构Al Hayat Media Centre在与ISIS相关的论坛上发布了访问其暗网网站的链接和说明，并通过其Telegram频道分发这些信息。 除了建立自己的网络平台外，恐怖分子还利用聊天室、即时通讯工具、博客、视频分享网站和社交媒体网络（如Facebook、MySpace、Twitter、Instagram和YouTube）进行培训和指导。暗网被积极用于传播极端主义内容和促进非法活动，从而促进恐怖分子的沟通和协调。例如，土耳其语暗网论坛Turkish Dark Web传播了关于制造爆炸物和武器以及如何使用生物武器的手册，促进了关于其效力和潜在应用的讨论。此外，志愿者还接受培训，学习如何使用暗网与全球恐怖分子网络进行沟通。 暗网的隐蔽使用 21世纪以来，利用暗网在恐怖活动中的使用已经有所演变。《理解恐怖网络》（Understanding Terror Networks）一书的作者马克·萨格曼（Marc Sageman）认为，暗网为恐怖分子互动创造了一个栖息地，并利用聊天室建立意识形态关系——这是激进化年轻人的重要工具。恐怖组织利用网络平台建立通信渠道，促进成员、追随者、媒体和更广泛公众之间的互动。恐怖组织将暗网和类似渠道视为最安全的通信手段。例如，尽管受到严格审查，但ISIS表现出了很强的适应能力，他们利用Diaspora和俄罗斯最大的社交网络VKontakte等鲜为人知的社交媒体平台。 最近的趋势显示，ISIS和其他圣战分子已经采用了最新的网络应用程序，使用户能够通过加密移动应用程序（如Telegram）向广大受众传播消息。ISIS、基地组织、哈马斯和真主党等组织出于不同原因使用Telegram，如寻找新成员、筹集资金、鼓励暴力和策划攻击。ISIS还利用社交媒体传播宣传材料，并创建了一份通信应用程序列表。 2015年，伊斯兰国（ISIS）向其追随者发布了一份技术教程，指导他们如何保护自己免受政府监视系统的侵害。它列出了一份基于聊天应用程序加密级别排名的应用程序列表。该列表将SilentCircle、Redphone和Signal等应用程序列为”最安全”；Telegram、Wickr、Threema和Surespot列为”安全”；微信（WeChat）、WhatsApp、Hike、Viber和Imo.im列为”不安全”。 像阿拉伯半岛基地组织（AQAP）、利比亚伊斯兰教法支持者（ASL）、努斯拉阵线（JN）和叙利亚伊斯兰军这样的恐怖组织也通过类似方式利用暗网。恐怖分子在暗网上的活动主要包括以下几类： 内部通信和外部传播：暗网为恐怖分子提供了安全的内部通信渠道，便于秘密信息交换和更广泛的联系，用于规划、组织、部署和执行恐怖行动。恐怖组织还利用暗网传播极端主义思想。 招募和培训：恐怖组织通过暗网招募新成员，并向世界各地的追随者提供培训，包括制造炸弹和执行恐怖袭击的课程，主要针对”独狼”袭击者。暗网提供的匿名性使反恐机构难以识别和阻止激进分子的努力变得复杂。 筹款和金融交易：除了传统方法（如石油销售、走私和绑架）外，恐怖组织越来越多地利用比特币等数字加密货币和暗网进行筹款，包括比特币捐赠、网络勒索、人口贩运和器官贩运。例如，一个名为”在不留痕迹地资助伊斯兰斗争”（Fund the Islamic Struggle without Leaving a Trace）的暗网页面使用暗网钱包应用程序通过比特币接收捐款。最近，伊斯兰国呼罗珊省通过其杂志《呼罗珊之声》（Voice of Khorasan）要求追随者和同情者通过暗网捐赠门罗币（XMR）等加密货币，本站（anwangxia.com）多次介绍门罗币是匿名性最强的加密货币。2020年至2023年间，哈马斯收到了约4100万美元的加密货币，而巴勒斯坦伊斯兰圣战组织在同期收到了约9300万美元。 武器采购：暗网是恐怖分子采购枪支和弹药的市场，非法暗网交易网站如丝绸之路促进了这些交易。例如，EuroGuns是一个非法销售武器的暗网平台。恐怖分子还可以利用暗网获取双重用途元素（如化学品和生物药品），他们可能用这些元素来改进和制造生物武器。此外，在AlphaBay等网站上，恐怖分子可以购买《恐怖分子手册》（Terrorist’s Handbook）和《爆炸物指南》（Explosives Guide）等书籍。他们还可以从伪造文件服务等服务中获取假文件和护照。恐怖组织还可能通过暗网获取铀、钚和其他核材料。 购买非法毒品：在暗网市场（也称为加密市场）的各种非法交易中，毒品贩运经常通过暗网平台进行。根据国际麻醉品管制局（INCB）2023年年度报告，南亚拥有全球39%的阿片类药物消费者基础，印度正成为阿片类药物分销的焦点。 人工智能和暗网的使用：恐怖分子正在使用暗网创建深度伪造视频，这可以扩大他们的宣传传播范围。像Google Gemini和ChatGPT这样的工具允许轻松访问在家制造炸弹的手册。像“薰衣草”（”Lavender”）和“爸爸在哪里？”（”Where is Daddy?”）这样的人工智能程序也正在实现更精细和复杂的战争方法。 全球暗网活动格局及应对措施 联合国正在进行全面的研究努力和协作活动，以打击暗网的匿名性和复杂性，以及它对全球安全的深远影响，特别关注小型武器、轻武器、毒品等非法贸易和恐怖主义融资。值得注意的是，联合国裁军事务办公室（UNODA）已经研究了暗网平台如何促进非法武器交易以及为执法机构和全球安全机制带来了巨大挑战。然而，继第2178号决议（2014年）和第2396号决议（2017年）之后，联合国安全理事会（UNSC）并未通过任何讨论暗网日益增长的威胁的决议。印度担任G20主席国期间发表的《2022年德里宣言》（The Delhi Declaration 2022），是关于打击将新兴技术用于恐怖主义目的的最新提案。2022年，第三届国际”不为恐怖行为供资“部长级会议在印度召开，印度将寻求所有国家的合作，以应对打击恐怖主义融资方面的挑战。 联合国出版物还强调了利用暗网和社交媒体平台分销毒品的问题。与此同时，联合国人权理事会强调，随着全球网络安全威胁不断升级，暗网的重要性日益突出，正如2023年芝加哥大学模拟联合国MUNUC35出版物所阐述的那样。根据联合国儿童基金会（UNICEF）的估计，全球任何时候都有大约250万人成为贩运的受害者，其中儿童占近三分之一，因为大部分儿童贩运活动都是通过暗网进行的。

暗网不仅仅是一个匿名的领域，它还是一个提供大量非法商品的繁华中心。威胁行为者以各种方式利用暗网，例如： 犯罪论坛和市场：这些平台促进了各种类型的非法交易。威胁广告经常被犯罪分子用来在暗网上宣传他们的非法服务，从零售套现服务到信用卡业务，再到银行内部人员协助盗窃。 安全通信渠道：威胁行为者利用暗网进行安全通信。封闭且经过精心策划的社区、加密聊天群组和私人论坛使他们能够交换信息、协调攻击并共享工具而不被发现。 僵尸网络租赁和购买：在暗网上，威胁行为者可以租赁或购买不同规模和功能的僵尸网络的访问权限，从而使他们能够实施大规模网络攻击、窃取敏感数据或不受惩罚地从事欺诈活动。 还有很多其他的。 激动人心的欧洲足球锦标赛（又名2024年欧洲杯，UEFA）吸引了德国2000多万球迷和全球的数百万球迷。然而，这种兴奋也吸引了威胁行为者的注意，他们正在利用人们对该赛事的期待与关注来实现他们的邪恶目标。 “暗网下/AWX”注意到，Cyberint的一份新报告指出，针对该体育赛事的网络威胁激增。Cyberint的暗网监测显示，威胁行为者讨论的内容涉及欧洲杯、销售账户搜索、门票优惠、免费/廉价流媒体服务以及出售被泄露的客户凭据。 在初步洞察的基础上，Cyber​​int对2024年欧洲杯网络安全形势的详细研究突出表明，威胁行为者可利用的机会显著增加。随着欧洲最大的足球国家齐聚一堂，庆祝体育盛典，另一方面也揭示了日益严重的威胁形势，数百万人的热情和广泛的数字足迹为网络攻击创造了完美的风暴。 据报道，威胁行为者正在使用泄露的欧洲杯官网的客户凭证进行欺诈活动，例如接管账户和购买门票。他们还可以窃取敏感的个人信息、冒充账户所有者，获得资金或支付卡的访问权限。 自2024年以来，Cyber​​int已检测到超过15000多个泄露的欧洲杯网站的客户凭证，并且在暗网市场上发现超过2000个欧洲杯网站客户凭证正在出售。这些凭证通常通过“凭证收集恶意软件”窃取的，该恶意软件会感染受害者的机器，并将用户输入的内容（键盘记录）发送给C&C服务背后的控制者。 由于欧洲杯已将其锦标赛的流媒体转播版权出售给媒体网络，这为网络犯罪分子提供了一个创建非法内容网站的机会，可以提供免费直播和实时比分，以吸引没有有线电视或流媒体订阅的球迷。点击这些恶意网站上的链接可能会导致数据泄露或病毒感染。这些网站可能会导致受害者的计算机和网络被控制，并要求受害者支付赎金，或者控制系统以进行欺诈或间谍活动。访问这些网站还可能发生一种恶意软件攻击——路过式下载（Drive-by download）。 冒充欧洲杯官方应用程序的假APK应用 研究人员指出，冒充欧洲杯官方应用程序的移动应用程序在第三方应用商店中随处可见，通常包含恶意代码。这些商店监管较少，允许任何人上传未经授权的应用程序而不受监管。 威胁行为者上传未经授权的应用程序，通常包含恶意代码，使用户面临恶意软件和数据泄露的风险。这些应用程序使用欧洲杯品牌的名称和徽标，以欧洲杯的球迷、客户和志愿者为目标。 此外，2024年欧洲杯的球迷还越来越依赖第三方售票网站，这也为骗子提供了可乘之机。一些卖家利用球迷的热情，兜售假票或不存在的门票，通过社交媒体联系或创建精心设计的钓鱼网站来模仿合法的门票销售商。 另一种欺诈手段是门票抽奖，为粉丝提供获得免费门票的机会。威胁者可利用提供的详细信息锁定受害者进行诈骗，或将信息出售给出价最高者。 研究人员发现，在这种情况下，欧洲杯的网站可能是薄弱环节。 “一个值得注意的方面是欧洲杯官方网站uefa.com的错误配置。此类漏洞带来了切实的风险，可能成为威胁行为者发动攻击的门户，”研究人员在报告中解释道。 Cyber​​int建议谨慎对待未经请求的通信，验证网站的真实性，并使用安全的付款方式。为避免门票欺诈，请仅从授权来源购买门票，使用PayPal等安全支付平台，优先使用信用卡付款，避免直接银行转账或汇款，以防止2024年欧洲杯被“机会主义威胁行为者”破坏。

超过三分之二的英国国会议员的数据已被泄露到暗网。这相当于目前在下议院任职的政客的70%左右，包括那些应该负责英国网络安全的政客。 这一令人震惊的数据来自领先的数字风险公司Constella Intelligence和端对端加密邮件服务ProtonMail背后的厂商——隐私提供商Proton的联合调查。根据他们的记录，在650名议员中，共有443名的个人信息在黑客攻击或入侵中被泄露，这些信息是从议员使用议会电子邮件地址注册的第三方服务中收集的。 事实证明，在账户安全方面，英国议员的表现也远不如欧洲和法国政客。不到一半的欧洲议会议员（44%）受到影响，据报道，只有18%的法国国民议会和参议院议员的个人信息被泄露。Proton是一家总部位于瑞士的安全软件供应商，也是市场上最好的VPN服务提供商之一，现在它呼吁下一届英国政府最终“认真对待网络安全问题”。 “在当今的数字环境中，强大的网络安全实践至关重要，尤其是对于那些身居要职的人而言。考虑到国会议员拥有的访问权限，一个泄露的密码可能会导致严重的国家安全漏洞，”Proton账户安全主管Eamonn Maguire表示。 研究人员发现，暗网中曝光了216个与被泄露的国会议员账户相关的纯文本密码，令人震惊的是，仅一名国会议员就泄露了多达10个密码。政客的议会电子邮件是涉及泄露的最大数据，在暗网上被曝光了2110次。虽然被泄露的议员信息平均被曝光4.7次，但最常被攻击的议员遭受了多达30次泄露。 这些数字令人担忧，因为泄露的电子邮件和密码可以成为人们在线账户的万能钥匙。犯罪分子利用人们在不同账户中使用相同密码的习惯，采用“凭证填充”的手段，在各种不同平台上尝试输入数千个被盗密码和电子邮件地址。 社交媒体资料也受到影响。Instagram个人资料被泄露16次，LinkedIn个人资料被泄露117次，X账户被泄露21次，Facebook账户被泄露21次。这尤其危险，因为社交媒体平台包含大量个人信息。 不过，如此惊人的数字并不令人惊讶。越来越多的组织和个人成为网络攻击和数据泄露的目标。2024年1月，“所有数据泄露之母”泄露了12TB的数据，约260亿条记录。现在几乎每天都有新的数据泄露报告，最新一次涉及25000名BBC员工的个人信息。 对许多正常人来说，风险都很高，但对政治家等位高权重的人来说，风险就更高了，因为一旦泄密，就可能关系到国家安全问题，尤其是在网络战日益猖獗的今天。 关于这一点，Maguire表示：“对于任何公众人物来说，保持警惕都是必不可少的，以保护个人和国家安全，我们呼吁大选后的新政府认真对待网络安全，并呼吁所有议员采取更好的账户安全措施。” 每个人都可能成为攻击目标 这不仅仅是国会议员、记者或其他有影响力的人物所担心的问题——每个人都可能成为目标。目标可能不同，但参与黑客攻击的手段不会改变。 “许多人低估了自己的脆弱性，但现实是，每个人都是网络犯罪分子潜在的目标，”Maguire说。 这就是为什么Proton呼吁国会议员——但这可以扩展到我们所有人——采取一些措施确保在线账户尽可能安全。 作为一条经验法则，Proton建议国会议员避免使用自己的议会电子邮件地址注册第三方服务。 使用可靠的密码管理工具也很有好处，它可以帮助您找到强密码并记住它们——Proton有自己的免费Proton Pass。电子邮件别名也很方便，可以在注册时掩盖真实的电子邮件账户，注册数据警报软件可以在您的信息泄露时及时通知您。

“丝绸之路”（Silk Road）是一个地下数字黑市平台，曾因使用比特币进行洗钱活动和非法毒品交易而广受欢迎。 “丝绸之路”（Silk Road）被认为是第一个暗网市场，于2011年推出，最终于2013年被FBI关闭。它的创始人是罗斯·威廉·乌布利希 (Ross William Ulbricht)，他目前因在“丝绸之路”中所扮演的角色而被判无期徒刑。 本文将探讨“丝绸之路”、它是如何运作的以及它对比特币行业的影响。 什么是“丝绸之路”？ “丝绸之路”（Silk Road）是一个在暗网上运营的非法在线市场，它使用比特币（BTC）促进交易。 罗斯·乌布利希（Ross Ulbricht）于2011年创立了该平台，作为买卖毒品和假身份证等非法商品的市场。 “丝绸之路”这个名字的灵感来自于连接亚洲、欧洲和中东的贸易路线的历史。尽管“丝绸之路”在2013年被执法部门关闭，但它帮助了其他暗网市场的兴起，在暗网上创造了繁荣的非法市场经济。 “丝绸之路”是如何运作的？ “丝绸之路”（Silk Road）在暗网上运行，通过Tor浏览器访问，通过IP地址隐藏和加密技术确保用户能够访问暗网上的网站，从而保证匿名性。 在其运行过程中，用户在Tor上搜索Silk Road并被引导至需要用户名和密码才能访问的注册屏幕。 登录后，供应商和客户利用“丝绸之路”使用比特币进行点对点交易。购买的物品随后被运送到其他地址，例如邮政信箱，以逃避检测。 “丝绸之路”为用户提供了非法商品和服务，包括黑客服务、违禁能量饮料、盗版软件等数字商品以及伪造许可证等伪造品。虽然该网站上也出售书籍和艺术品等合法商品，但毒品占销售额的大部分，到2013年占产品总量的70%。 与主流电子商务平台一样，“丝绸之路”用户还可以对产品和供应商进行评分和留下评论，从而在市场内建立信任和可靠性。 “丝绸之路”的兴衰 罗斯·乌布利希（Ross Ulbricht）于2011年建立了“丝绸之路”暗网市场，并采用了化名“恐惧海盗罗伯茨”（Dread Pirate Roberts）。 乌布利希对“丝绸之路”的愿景是建立一个促进匿名在线商务并在交易非法商品时保护用户身份和自由的平台。该暗网市场迅速发展，吸引了超过10万名用户。 2013年，FBI介入并关闭了”丝绸之路“的暗网网站。在美国参议员查尔斯·舒默（Charles Schumer）的领导下，美国缉毒局和司法部共同努力，对“丝绸之路”案件进行了彻底调查，并最终查清了“丝绸之路”一案，成功将其关闭。 乌布利希随后被捕，并被指控犯有洗钱、电脑黑客攻击、共谋贩运毒品以及为保护“丝绸之路”秘密而煽动谋杀等罪行。 在两年的运营期间，Silk Road累计收入约12亿美元，佣金总额达8000万美元。联邦调查局扣押了“丝绸之路”用户的加密货币钱包，缴获超过14.4万枚 BTC，当时价值2800万美元。 在宣判前，乌布利希写信给法官，表示他相信丝绸之路赋予了个人选择的自由。尽管进行了辩护，乌布利希还是被判了5项刑期，其中包括两项不得假释的终身监禁和1.83亿美元的罚款。 “丝绸之路”对比特币有何影响？ 乌布利希被捕后，比特币在两小时内从140美元跌至110美元，但一小时后又恢复至130美元。 联邦调查局指出，针对乌布利希的行动并不构成比特币非法。这次逮捕表明，比特币并不是犯罪分子掩盖其交易的好方法，因为区块链记录了所有交易。因此，尽管没有银行账户，比特币地址上也没有附上姓名，但他们仍然可以被追踪。这可能有助于区分比特币和犯罪活动。 虽然“丝绸之路”的传奇事件玷污了比特币在媒体中的声誉，但它也给加密货币带来了巨大的曝光度。 它展示了比特币在现实世界场景中的功能，即无需传统金融机构即可在全球市场上维持和转移价值的能力。 “丝绸之路”还存在吗？ 暗网上最初的“丝绸之路”暗网市场已不再运行。然而，它成为后来出现的其他暗网市场的蓝本，其中许多暗网市场仍然使用Tor进行匿名化，并使用比特币（或门罗币等隐私币）进行交易。 尽管“丝绸之路”已关闭，但其中很大一部分加密货币收益仍下落不明。2020年，从与“丝绸之路”相关的比特币地址中发现了价值约10亿美元的比特币交易。后来透露，美国政府执行这些转移是作为民事没收诉讼的一部分。据报道，相关比特币是“个人X”通过黑客攻击丝绸之路窃取的。 “丝绸之路”使用过的暗网V2域名 http://silkroad6ownowfk.onion http://silkroad7rn2puhj.onion 总结 “丝绸之路”是暗网市场的蓝本，这些暗网市场后来居上，主导了暗网上的非法交易。犯罪分子不断调整并找到新的途径来提供他们的产品，从毒品和武器到黑客为大规模网络攻击而觊觎的用户数据。 随后出现的暗网交易平台大多被执法机构发现并关闭。然而，它们的顽强生命力表明，在这个数字时代，应对网络犯罪是一项持续的挑战。

廉价的勒索软件正在暗网论坛上出售，以供人们一次性使用，使得缺乏经验的自由职业者无需与附属机构进行任何互动就能参与网络犯罪。 网络安全公司Sophos情报部门的研究人员发现，2023年6月至2024年2月期间，有19种勒索软件在四个暗网论坛上出售或宣传正在开发中。 Sophos X-Ops在暗网上发现的19个垃圾枪勒索软件变种——廉价、独立生产、构造粗糙。这些垃圾变种的开发者正试图颠覆传统的基于联盟的勒索软件即服务 ( RaaS ) 模式，该模式在勒索软件领域占据主导地位近十年。 他们将这些网络犯罪工具比作“垃圾枪支”——20世纪六七十年代充斥美国的廉价进口手枪。虽然这些武器往往不可靠，但它们具有某些优势，例如进入门槛低和可追溯性低。 这些相同的优势也适用于勒索软件入门套件市场上的潜在网络犯罪分子。研究人员观察到的廉价勒索软件品种的价格范围从20美元到0.5美元比特币不等，或在发布时约为13000美元。平均价格中位数为375美元。 这种一次性网络犯罪工具与”勒索软件即服务“模式不同，因为其中不存在希望从利润中分一杯羹的附属机构。 研究人员表示：“远离现代勒索软件复杂的基础设施，垃圾邮件勒索软件使犯罪分子能够以廉价、轻松且独立的方式参与行动。” “他们可以以小公司和个人为目标，而这些公司和个人不太可能有足够的资源来保护自己或有效应对事件，同时也不会让其他人分一杯羹。” 虽然这种自由听起来很有吸引力，但与廉价的无证手枪的情况一样，也存在风险：即工具本身要么有缺陷，要么“作为骗局的一部分存在后门”。 然而，在潜在的犯罪分子看来，“这些可能是可以接受的风险——尤其是因为使用垃圾勒索软件最终可能会为著名的勒索软件团伙带来更有利可图的利用机会，”他们写道。 这些工具在野外的功效尚不清楚。可供调查人员监控的基础设施很少，而且目标很可能是小型企业或个人，因此几乎不会引起关注。此外，攻击者也没有泄漏被盗数据的网站。 据观察，至少有一种出售的名为”EvilExtractor“的工具去年在针对美国和欧洲的攻击中被使用过，暗网论坛上还有人声称其他三种变种也被成功使用过。 Sophos X-Ops威胁研究总监Christopher Budd强调了这些垃圾工具给防御者带来的挑战。 “这些类型的勒索软件变体不会像Cl0p和Lockbit那样索要数百万美元的赎金，但它们确实可以有效地对抗中小企业，对于许多刚开始‘职业生涯’的攻击者来说，这已经足够了。虽然垃圾勒索软件的现象仍然相对较新，但我们已经看到其创建者发布的帖子，讲述了他们扩大运营规模的野心，并且我们还看到其他人发布的多篇帖子谈论创建自己的勒索软件变体。” “由于攻击者正在针对中小型企业使用这些变体，并且赎金要求很小，因此大多数攻击可能不会被发现和报告。这给防御者留下了情报空白，网络安全界必须填补这一空白，”他说。 出售勒索软件的暗网论坛上的讨论显示了操作的业余性质。与知名度较高的暗网网站不同，这些论坛上似乎没有愚蠢的问题，“这些人渴望发展自己的能力，为自己分一杯羹。” 研究人员观察到用户请求并分享勒索操作指南的副本，其中包括著名勒索软件运营商Bassterlord编写的勒索软件手册。 一名用户在论坛上发帖称，他们正在尝试一些新的东西：“有针对性的网络钓鱼以获得立足点，然后收集尽可能多的有价值的数据并运行勒索软件。” 他们写道：“那么有没有人知道，从可能的收益、缺乏备份、立足的机会等方面来看，哪些是可能的好目标？” “此外，我们非常感谢任何有关此类行动的建议，因为这是我第一次。”