随着导弹和无人机在以色列和伊朗之间飞行,黑客组织Handala在其暗网泄密网站和Telegram频道上发布了一系列以色列受害者的更新,证明网络战已经打响,该黑客组织正在对以色列政府部门及企业发动一系列网络攻击,这似乎是为了回应以色列对伊朗的导弹袭击或者呼应伊朗对以色列的导弹袭击。
Handal是一个臭名昭著的亲巴勒斯坦黑客组织,以巴勒斯坦抵抗运动的流行象征命名,最后一次活跃是在2025年2月,但“暗网下/AWX”发现,自6月14日起,该黑客组织在其暗网泄密网站上列出了十多名以色列受害者。
仅在6月14日,Handala黑客组织就在暗网泄密网站发布了4个以色列相关的受害者信息。该组织的暗网泄密网站地址是:http://vmjfieomxhnfjba57sd6jjws2ogvowjgxhhfglsikqvvrnrajbmpxqqd[.]onion
石油集团Delek集团及其子公司Delkol是Handala最新的黑客攻击活动中的第一名受害者,黑客声称窃取了超过2TB的数据。Handala在暗网泄密网站发布帖子“以色列燃料供应系统遭黑客攻击”,内容是:“你们的燃料系统暴露了,你们的机密也暴露了。超过2TB的机密数据不再掌握在你们手中。你们的加油站不堪一击。如果你聪明的话,就应该立即行动。立即加满油,否则你们就只剩下空荡荡的道路和寂静无声的飞机了。时间不站在你们这边。”
阿根廷无人机制造商AeroDreams是Handala最新的黑客攻击活动中的第二名受害者,黑客声称窃取了超过400GB的内部数据。Handala在暗网泄密网站发布帖子“Aerodreams已被入侵”,内容是:“他们曾为空军飞行,如今却躲藏在Aerodreams背后。这是一个秘密的掩护机构,负责敏感的无人机项目、精英飞行员训练和秘密后勤工作。他们原本认为不可触碰的东西……如今已被攻破。400GB的内部数据落入我们手中,很快,也将落入所有人手中……“
以色列建筑公司YG New Idan是Handala最新的黑客攻击活动中的第三名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“YG New Idan已被入侵”,内容是:“以色列战争部秘密机构YG New Idan Ltd已被入侵。该机构负责设计和建造你们的军事基地,现在,你们隐藏的一切都归我们所有。我们掌握着339GB的机密数据,它们很快就会泄露,让所有人都能看到。你们以为的……“
ISP 099 Primo Telecommunications是Handala最新的黑客攻击活动中的第四名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“以色列 099 ISP已被入侵”,内容是:“099 Primo Telecomunications LTD 现已成功入侵099 ISP的内部基础设施,该网络是数字网格的中心节点。已通过其官方邮件服务器发出超过15万封公开警告邮件!我们本可以切断访问 我们本可以屏蔽屏幕,压制…“
6月15日至今,该黑客组织还列出了以色列TBN(TBN Israel)、魏兹曼科学研究院(Weizmann Institute of Science)、莫尔物流(Mor-logistics)、加密货币交易所软件开放公司Agura B.C、以色列监控基础设施公司萨班系统(Saban Systems)、以色列陆路运输公司豪尔重型运输(Haor Heavy Transport)和 城际客运公司YHD Group等受害者。
Handala的背后是什么人 黑客组织Handala主要针对与以色列及其军方有关联的以色列实体或企业。该勒索软件团伙以使用各种策略、技术和程序来获取受害者访问权限而闻名,其中包括鱼叉式网络钓鱼。尽管有人认为该黑客组织是暗网勒索软件团伙,且与其他勒索软件团伙操作类似,将受害者信息发布在暗网泄密网站里,但不同的是,是其动机完全是出于政治目的,从未提出过任何赎金要求。
2024年CrowdStrike发生大规模宕机事件后,有人观察到该黑客组织组织使用自称来自这家网络安全公司的电子邮件,声称提供了问题解决方案。然而,黑客伪装成一个名为CrowdStrike.exe的文件,部署了一个恶意擦除程序,该程序能够从受感染的机器中删除整个目录。
该黑客组织的互联网流量似乎源自伊朗的IP地址,伊朗国际网站的一份报告将Handala黑客组织与伊朗情报部门联系起来。
Handala乐于在其暗网泄密网站上将战果吹嘘的非常大,这是黑客行动主义组织的惯用伎俩。于是有Handala的一些受害者声称该黑客组织夸大了其攻击成果,尽管之前的某些攻击也确实证实了黑客的说法。例如在2025年1月,Handala入侵了以色列幼儿园的公共广播系统,用于广播红色警报和宣传,以色列国家网络局后来证实了这一黑客攻击。
欧洲执法部门在一场史无前例的国际打击行动中,捣毁了暗网毒品交易市场“Archetyp Market”,这是一个规模庞大、长期存在的非法药物和合成阿片类药物暗网交易市场。此次行动由德国当局牵头,并得到了欧洲刑警组织(Europol)和欧洲司法组织的支持,逮捕了包括管理员与主要卖家在内的关键人员,查获了数百万美元资产,并摧毁了关键的数字基础设施。
欧盟范围内联合打击,终结Archetyp Market的运营 6月11日至13日期间,在欧洲刑警组织和欧洲司法组织的支持下,德国、荷兰、罗马尼亚、西班牙和瑞典等六国采取了一系列大规模协同执法行动,欧洲各地执法部门捣毁了历史最悠久的暗网市场“Archetyp Market”。执法行动主要针对该暗网平台的管理员、版主、主要供应商和技术基础设施,约300名警员被派往执行执法行动,以获取关键证据。
“Archetyp Market”作为一家运营了五年多的暗网毒品交易平台,一直不受监管地进行着毒品交易,悄然成为欧洲暗网毒品经济的支柱。该暗网平台在全球范围内积累了超过60万名用户,总交易额至少达2.5亿欧元,其中大部分是通过加密货币匿名交易的。该网站拥有超过1.7万个商品信息,是少数允许芬太尼和其他强效合成阿片类药物销售的暗网市场之一,加剧了这些药物在欧洲及其他地区日益严重的威胁。
此次调查的根源可以追溯到数年前,当局拼凑出一个由数字基础设施、匿名交易和假名供应商组成的复杂网络。德国联邦刑事警察局(Bundeskriminalamt)与法兰克福总检察长办公室(ZIT)网络犯罪中心合作,牵头开展了此次调查。欧洲刑警组织提供了关键情报并主持了协调会议,而欧洲司法组织则确保跨境法律程序的迅速执行。
调查人员追踪了加密货币的流动,渗透了供应商网络,并利用先进的数字取证技术对关键参与者进行了去匿名化处理。6月13日,超过300名警员在欧洲各地同步展开突击搜捕,最终收网。
此次行动导致该平台在荷兰的基础设施被关闭,其管理员——一名30岁的德国公民——在西班牙巴塞罗那被捕。与此同时,德国和瑞典对1名平台管理员和6名平台最高级别的卖家采取了逮捕措施,并扣押了价值780万欧元的资产。
根据德国警方提供的详细消息,嫌疑人在巴塞罗那的公寓,以及汉诺威、明登-吕贝克区和布加勒斯特各一处房产均遭到搜查。警方缴获了包括八部手机、四台电脑、34台数据存储设备以及总值
约780万欧元的资产在内的证据。荷兰国家警察局成功查封并关闭了荷兰一个数据中心用于运营犯罪平台的服务器基础设施。
此次由德国当局主导的行动标志着一个犯罪组织的终结,该组织曾帮助匿名交易大量非法毒品,包括可卡因、摇头丸、安非他明和合成阿片类药物。该平台的持久性、规模以及在犯罪界的声誉,使其与现已不复存在的暗网市场(例如梦幻市场和丝绸之路)相媲美,这两个暗网市场都因其在网络贩毒中扮演的角色而臭名昭著。
欧洲刑警组织牵头协调,并向暗网市场发出警告 欧洲刑警组织行动部副执行主任 Jean-Philippe Lecouffe 评论道: 通过此次行动,执法部门摧毁了暗网中历史最悠久的毒品交易市场之一,切断了世界上一些最危险毒品的主要供应线。通过摧毁其基础设施并逮捕其主要参与者,我们发出了一个明确的信号:那些从伤害中获利的人没有安全的避风港。
此次名为“深层哨兵行动”(Operation Deep Sentinel )的执法行动,是多年来深入调查该平台技术架构并识别其幕后黑手的一系列工作的结果。通过追踪资金流向、分析数字取证证据以及与当地合作伙伴的密切合作,当局最终对暗网上最活跃的毒品交易市场之一进行了决定性的打击。
欧洲刑警组织为国际调查的效率和有效性做出了贡献。该机构组织了多次协调会议,使各部门能够交换调查所需的关键信息。在行动日和初步调查期间,欧洲司法组织协调了司法协助和欧洲调查令的执行。
国际合作至关重要。美国国土安全调查局(HSI)、国税局刑事调查处和司法部等机构提供了法律和技术支持,罗马尼亚、瑞典和荷兰的警察部队则进行了地面突袭和数据截获。
警方已经对现已关闭的暗网市场“Archetyp Market”张贴了查封横幅,旨在劝阻潜在的暗网创业者。执法机构目前正在仔细审查已扣押的基础设施,以期识别更多参与者,并可能摧毁其他相关网络。更多信息以及针对地下经济的视频,请访问www.operation-deepsentinel.com在线查看。
参与或协助调查的国家部门 德国:法兰克福总检察长办公室 – 网络犯罪中心 (Generalstaatsanwaltschaft法兰克福 – ZIT)、联邦刑事警察局 (Bundeskcriminalamt) 荷兰:荷兰国家警察局(Politie) 罗马尼亚:国家警察 (Polişia Română) 西班牙:国家警察(Policía Nacional) 瑞典:瑞典警察局 (Polismyndigheten) 美国:国土安全调查局(HSI)、美国国税局刑事调查局(IRS-CI)、美国司法部(USDOJ) 欧洲刑警组织 欧洲司法组织 Dread有关Archetyp Market的帖子证实了变故 暗网市场Archetyp Market从6月11起开始离线,无法正常访问,当时许多人认为这有可能是一个退出骗局,但未经证实。
6月12日,Archetyp Market的管理员在暗网论坛Dread发布最新的帖子,标题为“Archetyp Market – What’s going on?” 中使用了破折号。他在所有带有破折号的帖子和信息中都使用了普通破折号。
Hey,
I got a lot of messages, I’m not going to answer everyone.
近日,有网友向“暗网下/AWX”反映,“onion666暗网导航”的明网与暗网网站已经许久无法访问且其Telegram群组频道均已经消失。经本站测试访问,“onion666暗网导航“的确已经消失,是因何原因目前尚未可知。
一般暗网网站的存活期不超过5年,“onion666暗网导航”也没躲过这个魔咒。根据本站(anwangxia.com)的跟踪报道,“onion666暗网导航“诞生于2020年初,到现在恰好是5年。刚成立的时候,该暗网导航名为”李斯特暗网网址导航“,后于2021年4月更名为“onion666暗网导航”,并同时推出了其twitter页面以及Telegram群组与频道,更新了多语言支持,开始大肆宣传,宣称自己是”全球最大的暗网网址导航“。
在“onion666暗网导航”成立的前两年,其背后的管理员非常努力地更新暗网网址、改进网站功能、积极推广网站,也是在此时,“onion666暗网导航”与“暗网下/AWX”建立了良好的合作关系,该网站的管理员能积极响应“暗网下/AWX”对一些诈骗网站的指控,做到及时标记为“Spam”。通过多语言的兼容,此时的“onion666暗网导航”也确确实实做到了全球最大的暗网导航网站,twitter页面拥有1万+的粉丝量,网站的评论区里充斥着中外网友们的回复与评论,这些评论都是通过其暗网网站进行的,因为该导航不允许在明网进行评论。
然而,自2023年下半年起,基本看不到“onion666暗网导航”更新新的暗网网址,且其官方twitter页面不再有新的推文,无法判断发生了什么,但“onion666暗网导航”已经沦为一个没有维护的站点,尽管如此,其管理员还是会延迟响应本站提出的标记请求。
再后来,由于“onion666暗网导航”没有自身的更新维护,“暗网下/AWX”虽长期关注,只是报道了一些Telegram群组里的诈骗事件。
直至年初,由于Telegram政策收紧,“onion666暗网导航”的Telegram群组与频道同时消失,当时有网友在“暗网下/AWX”的Telegram官方群咨询发生了什么,也许其群组里有群员触犯了Telegram的规则,也许其暗网网站自身触犯了Telegram的规则,也许是FBI的要求,大概只有Telegram自己清楚。
紧接着,“onion666暗网导航”网站也无法访问了,原因也无从得知。这并不是暗网市场,自然不会是“退出骗局”,那就剩两种可能,如果不是警方执法,那就是管理员选择退出。无论如何,也许这就是宿命,像其他许多的暗网网站一样,一切随风飘去、化为尘埃。
“onion666暗网导航”还会不会出现,“暗网下/AWX”将持续跟进。
更多暗网新闻动态,请关注“暗网下/AWX”。
近日,有网友向“暗网下/AWX”反映,“onion666暗网导航”的明网与暗网网站已经许久无法访问且其Telegram群组频道均已经消失。经本站测试访问,“onion666暗网导航“的确已经消失,是因何原因目前尚未可知。
一般暗网网站的存活期不超过5年,“onion666暗网导航”也没躲过这个魔咒。根据本站(anwangxia.com)的跟踪报道,“onion666暗网导航“诞生于2020年初,到现在恰好是5年。刚成立的时候,该暗网导航名为”李斯特暗网网址导航“,后于2021年4月更名为“onion666暗网导航”,并同时推出了其twitter页面以及Telegram群组与频道,更新了多语言支持,开始大肆宣传,宣称自己是”全球最大的暗网网址导航“。
在“onion666暗网导航”成立的前两年,其背后的管理员非常努力地更新暗网网址、改进网站功能、积极推广网站,也是在此时,“onion666暗网导航”与“暗网下/AWX”建立了良好的合作关系,该网站的管理员能积极响应“暗网下/AWX”对一些诈骗网站的指控,做到及时标记为“Spam”。通过多语言的兼容,此时的“onion666暗网导航”也确确实实做到了全球最大的暗网导航网站,twitter页面拥有1万+的粉丝量,网站的评论区里充斥着中外网友们的回复与评论,这些评论都是通过其暗网网站进行的,因为该导航不允许在明网进行评论。
然而,自2023年下半年起,基本看不到“onion666暗网导航”更新新的暗网网址,且其官方twitter页面不再有新的推文,无法判断发生了什么,但“onion666暗网导航”已经沦为一个没有维护的站点,尽管如此,其管理员还是会延迟响应本站提出的标记请求。
再后来,由于“onion666暗网导航”没有自身的更新维护,“暗网下/AWX”虽长期关注,只是报道了一些Telegram群组里的诈骗事件。
直至年初,由于Telegram政策收紧,“onion666暗网导航”的Telegram群组与频道同时消失,当时有网友在“暗网下/AWX”的Telegram官方群咨询发生了什么,也许其群组里有群员触犯了Telegram的规则,也许其暗网网站自身触犯了Telegram的规则,也许是FBI的要求,大概只有Telegram自己清楚。
紧接着,“onion666暗网导航”网站也无法访问了,原因也无从得知。这并不是暗网市场,自然不会是“退出骗局”,那就剩两种可能,如果不是警方执法,那就是管理员选择退出。无论如何,也许这就是宿命,像其他许多的暗网网站一样,一切随风飘去、化为尘埃。
“onion666暗网导航”还会不会出现,“暗网下/AWX”将持续跟进。
更多暗网新闻动态,请关注“暗网下/AWX”。
臭名昭著的LockBit勒索软件团伙的暗网网站遭遇严重入侵。5月7日,攻击者破坏了其暗网基础设施,并泄露了包含敏感操作细节的综合数据库,曝光了其勒索细节的聊天记录。
此次黑客攻击对全球最猖獗的勒索软件团伙之一造成了重大打击。
首先发布该事件的是“Rey”:
https://twitter.com/ReyXBF/status/1920220381681418713 现在,访问LockBit暗网网站(http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd[.]onion)的访客会收到一条挑衅性的信息:“不要犯罪,犯罪是坏事,来自布拉格的xoxo”,同时还附上了一个下载链接,用于下载名为“paneldb_dump.zip”的文件,其中包含MySQL数据库存储文件。
Lockbit的暗网网站确系被黑客入侵 在与该事件发现者Rey的Tox对话中,被称为“LockBitSupp”的LockBit运营者证实了此次泄密事件,并表示没有私钥泄露或数据丢失。
安全研究人员已经确认泄露数据的真实性,其中包含有关勒索软件团伙操作的宝贵信息。其中“paneldb_dump.zip”压缩文档包含了从LockBit暗网网站管理后台的MySQL数据库转储的SQL文件。
该数据库包括59975个用于支付赎金的唯一比特币钱包地址、从去年12月到今年4月下旬LockBit勒索软件团伙背后的运营者与其受害者之间的4442条赎金谈判信息,以及为特定攻击创建的自定义勒索软件版本的详细信息。
分析该数据库,其中包含20个数据表,包括:
‘btc_addresses’表包含59,975个唯一的比特币地址。 “builds”表包含关联方为攻击创建的各个构建。表中的行包含公钥,但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。 “builds_configurations”表包含每个构建使用的不同配置,例如要跳过哪些ESXi服务器或要加密的文件。 “chats”表非常有趣,因为它包含从12月19日到4月29日勒索软件操作与受害者之间的4442条谈判消息。 “users”表列出了75位有权访问联盟后台管理面板的管理员和联盟会员,Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。 后续泄露者又曝光了12张截图,其中包括LockBit的暗网服务器里多个shadow文件、PHP代码的截图以及其暗网网站后台管理的界面截图。通过以下截图可以管中窥豹,一览勒索软件内部的秘密:
比特币地址库与用户表都是执法部门的金矿 HudsonRock联合创始人兼首席技术官Alon Gal称此次泄密事件是“执法部门的金矿”,可以极大地帮助追踪加密货币支付并将攻击归咎于特定的威胁行为者。
也许最令人尴尬的是,此次泄密暴露了一个包含75名管理员和联盟附属人员的纯文本密码的用户表,这可能被执法部门用以识别发动勒索攻击的黑客。
泄露的SQL数据库显示LockBit的暗网服务器正在运行PHP 8.1.2,该版本存在严重的远程代码执行漏洞,编号是CVE-2024-4577,可用于在远程服务器上实现远程代码执行。网络安全研究人员推测,这次攻击可能与PHP 8.1.2存在的这个高危漏洞(CVE-2024-4577)有关。
LockBit试图淡化此事件 LockBit试图淡化此事,该团伙在其暗网泄密网站上用西里尔文发布的一条消息中声称:“5月7日,他们入侵了带有自动注册功能的精简版管理面板,窃取了数据库,没有一个解密器受到影响,也没有任何被盗的公司数据受到影响。”该团伙愿意支付报酬,以获取有关此次入侵事件的布拉格黑客“xoxo”相关的信息。
此次黑客攻击发生在名为“克洛诺斯“(Operation Cronos)的执法行动一年之后,克罗诺斯行动是一场国际联合执法行动。当时“暗网下/AWX”做了详细报道,执法机构于2024年2月暂时破坏了LockBit的基础设施,包括托管数据的暗网泄密网站及其34台镜像服务器、从受害者那里窃取的数据、加密货币地址、1000个解密密钥以及管理面板。
虽然该团伙在此次攻击后成功重建并恢复运营,但其声誉已遭受重创,随着这次最新的入侵事件的发生,这对LockBit本已受损的声誉又造成了进一步的打击。研究人员指出,该团伙近期的许多受害者索赔请求都来自之前的攻击或其他勒索软件团伙的索赔。
对于LockBit而言,此次泄密事件可能带来毁灭性的打击,可能会破坏其附属联盟的信任并进一步阻碍其运营。LockBit勒索软件团伙2023年初在全球造成了约44%的勒索软件事件。
“暗网下/AWX”获悉,近期,德国巴伐利亚州刑事警察局(BLKA)与德国中央网络犯罪检控局(ZCB)合作,在德国联邦刑事警察局(BKA)的支持下,捣毁了一个名为“Pygmalion”的大型暗网毒品交易市场,查获了该暗网商店使用的多台服务器和洋葱域名。经过数月的调查,该暗网商店的基础设施被摧毁,数人被捕。
目前该暗网商店的暗网域名已经被警方查封,访问Pygmalion商店之前使用的所有暗网域名后均会显示当局发出的扣押通知,告知访问者该暗网网站已被查封。扣押通知中写道:“这些犯罪内容已由联邦刑事警察局(BKA)代表巴伐利亚州网络犯罪检控中心(ZCB)查封。”
缉毒调查与大规模逮捕行动 BLKA于2025年4月24日发布的新闻稿显示,警方调查的重点是居住在巴伐利亚州的七名嫌疑人,他们被指控在全球范围内大规模包装和运输毒品。
该调查基于图林根州刑事警察局进行的单独调查的信息。通过深入的数据分析,BLKA专家能够建立巴伐利亚州、图林根州和北莱茵-威斯特法伦州犯罪之间的联系,并揭示多层次的犯罪者结构。最终在诺伊堡和艾希施泰特地区确定了包装商和托运商的物流网络。
在因戈尔施塔特刑事调查部门和邮政服务提供商的密切合作下,多批含有毒品的邮件在送达前被查获,这些邮件原本打算寄往世界各地的收件人。
2025年2月7日,BLKA警察部队在防暴警察和上巴伐利亚北部警察总部的支援下,根据先前获得的逮捕令逮捕了4名嫌疑人,包括3男1女,年龄在24岁至56岁之间。他们涉嫌组成一个负责包装和运送毒品给全球买家的团伙。逮捕行动分别在艾希施泰特区和多瑙河畔诺伊堡镇进行。
在对五处房产的联合突击搜查中,警方缴获了超过53公斤的毒品及非法药物,包括约30公斤甲基苯丙胺、2公斤海洛因和4公斤可卡因。此外,还缴获了约15万片受德国《药品法》管制的药片。
尤其引人注目的是这些毒品的专业储存和管理:许多毒品已被预先分装到约7000个真空密封袋中,准备分发。据官员们估计,这些被缴获的毒品零售价约为七位数欧元。
暗网商店“Pygmalion”的用户数据被警方获取 BLKA的网络贩毒调查部门(FARO)正在密切开展进一步调查。通过对查获的通信介质进行初步取证分析,调查人员发现了大量详细的记录,包括可追溯到2024年4月的客户数据和订单历史记录。初步取证分析显示,犯罪者保留了详细的会计记录,从中可以获取自2024年4月左右以来的至少7250份订单信息和相关客户数据。
这些信息不仅可以作为对被捕嫌疑人和其他被告的定罪证据,还可以识别提交订单的客户,也就是这些毒品的买家。
在此背景下,调查部门再次指出,通过互联网购买毒品——无论是在明网还是暗网——都不能免于刑事起诉。与许多此类暗网商店经营者的说法相反,订单数据通常会保存数年。这些数据通常构成刑事调查的宝贵证据链。
广泛的调查仍在进行中。被告人面临严重的刑事后果。由于犯罪行为涉嫌团伙化、有组织、专业化,且涉案毒品数量巨大,他们面临5至15年的监禁。
图林根州刑事警察局此前调查收集的数据揭示了此次行动的规模。一旦确定了巴伐利亚州、图林根州和北莱茵-威斯特法伦州的犯罪活动之间的联系,当局就能绘制出包括包装商、托运人和协调员在内的内部结构。
暗网市场的运营者提示:“低调行事” 在此次下架事件之后,一条据称是该暗网市场的运营者发布在Pastebin的消息通过重定向从现已关闭的“Pygmalion”暗网商店传播开来。消息内容如下:
Hey dear customers,
You’ve already heard it from the BKA: Our shop has been seized. Normally, this wouldn’t even be possible since we’re behind Tor—but Pygmalion had access to the server. This means customer data is likely now in the hands of the authorities.
To everyone who placed orders around April 2024 or later:
3月底,中文暗网里较大的交易市场“暗网中文论坛”,又名“暗网中文交易市场”(简称“暗中”或者“中暗”),突然无法正常访问,当时业内均认为其卷走用户账号里的加密货币后跑路了。不过没多久,“暗网下/AWX”看到,“暗中”很快又活了过来,并且俨然一片生机勃勃,广告与商品发布也多了起来。“暗中”活过来以后,国外安全公司Group-IB称“暗中”、“长安”等中文暗网交易市场存在许多诈骗行为。
“暗中”再次复活,探访该交易市场的变化 早在去年,本站(anwangxia.com)曾经报道,“暗中”的市场交易货币已经从比特币切换为莱特币,“暗中”网站对使用莱特币(LTC)作为交易货币进行了解释:
网站已经切换为莱特币做交易货币
经过一段时间的试行, 基本确定莱特币网络的稳定运行. 莱特币作为交易货币, 有很多优点.
去中心化
非私人机构运行的区块链网络, 不会有单位或者组织, 能通过莱特币的转款交易确定发送人.
价值公认
莱特币是 2011年 从比特币网络分离出来, 已经稳定运行了13年, 继承了比特币的区块链公共账本去中心化的特性.
区块链安全
莱特币与狗狗币合并挖矿, 攻击者想通过双花交易进行攻击, 需耗费的成本介于莱特币与狗狗币的组合之上, 攻击者得不偿失.
莱特币是 2011年 从比特币网络分离出来, 已经稳定运行了13年, 继承了比特币的区块链公共账本去中心化的特性.
转账速度快
莱特币区块链是针对比特币区块的改进, 两分钟左右一个区块, 基本上10分钟就确定转账完成.
公认的最佳交易货币
全球的加密货币支付类转账中, 莱特币占比18%左右, 在全球最大跨国支付网关 Bitpay 中, 莱特币的使用率更高达40%以上.
隐私保证
莱特币的NWEB功能, 直接切断任何单位组织企图对莱特币地址的区块链查询.
为什么不采用比特币
转账速度太慢, 转账费用高.
隐私交易时, 需要对比特币进行混币, 采取几十次的交叉混合, 过程中发生的转账时间太长, 产生的费用甚至超过了该地址上比特币价值的本身.
表面上混币机构收取了大量手续费, 实际上混币的操作不仅不赚钱, 甚至赔掉了本金.
隐私保护程度不高
无法对区块链数据进行隐藏, 尤其是在比特币网络拥堵的最近几年, 无法进行足够的混币交叉.
结果导致用户的比特币, 一旦进入交易所就被监控. [现在所有的交易所数据都在司法机关的监控下], 给网站和用户带来大量的损失.
为什么不采用 USDT?
私人发行货币, 无安全保障.
USDT 由泰达公司发行, 非去中心化, 泰达公司可以以任何理由冻结(票据作废, 抵押物不退还就是没收), 近两年全球被泰达公司以涉黑为由没收的USDT价值10亿以上.
在BreachForums论坛毫无征兆的突然销声匿迹后,自称为BreachForums管理员Anastasia创建了模仿BreachForums的论坛Breached[.]fi,并称该网站与已关闭的breachforums[.]st有关,但“暗网下/AWX”已经鉴定这是一个仿冒的虚假网站。这几日,有关Breached[.]fi的戏剧性故事很多。
一、Breached[.]fi似乎被黑 一个名为“krekti”的威胁行为者在一个暗网论坛上发布了一篇帖子,声称https://Breached.fi的数据泄露,泄露的数据库语句包含属于Anastasia的重要账户信息,其中包括:
电子邮件 密码哈希值和盐 IP、登录信息和用户表其他数据项 从该泄露数据看,“Anastasia”在数据库里的邮箱是”[email protected]“。
二、Breached[.]fi创建者发布的假消息 在Breached[.]fi创建时,“Anastasia”称BreachForums论坛再次被查封, 管理员被捕,导致该论坛关闭。“Anastasia”的最后一条信息称:
IntelBroker和Shiny已被逮捕 预计联邦调查局将很快发表正式声明 Anastasia已“辞职”,并宣布BreachForums论坛“永远关闭” 最后一次数据库备份时间是2025年4月10日 论坛的基础设施(源码数据库)以2000美元的价格出售 才创建几天,假冒论坛的管理员就宣布出售,这骗局显得比较低端。该管理员还表示自己已退出该论坛,并考虑永久关闭BreachForums论坛。
查询Breached[.]fi这个新域名的Whois记录,发现该域名创建于2025年4月17日,注册商为immateriali[.]sm。本站(anwangxia.com)发现,假冒网站Breached[.]fi同步也在Tor网络创建了一个暗网网站:http://72qsaxh7zurdhttakrjp6trnhgwozb6oszk7rzyfl6twrfzjxzazdzqd.onion,经测试目前Breached[.]fi的明网与暗网网站都无法打开。
有人说,在经历了多年的销售被盗数据、企业漏洞和高调泄密之后,暗网上的这一著名论坛似乎即将结束。不过”暗网下/AWX“认为,尽管执法部门在打击网络犯罪生态系统方面不断取得进展,但猫鼠游戏远未结束,似乎BreachForums的戏剧将永远流传下去……
几天前,BreachForums论坛在暗网与明网均陷入瘫痪,“暗网下/AWX”已经提醒小心谣言及诈骗信息了,但未曾想到,除了谣言诈骗,还有假冒网站,一个新的所谓替代网站“breached[.]fi”突然出现,甚至威胁情报研究者都认为这是BreachForums论坛更换的新明网域名,但这个网站大概只是一个新的蜜罐。
之前“暗网下/AWX”得到的关于的消息:“目前的情况通报如下:Shiny删除了他的Telegram,但没有对任何版主说过一句话。Hollow昨天还在线,但没有理会任何信息,并更改了最后一次在线时间的设置。目前,Shiny和Hollow都应被视为Sus,直到有更多信息出现。”
事实上,之前就有网友在Telegram提醒:“Breachforums似乎暂时瘫痪了,没有替代品或新的域名。不要上当受骗或被骗入蜜罐。注意安全。”然而,无数黑产从业者对BreachForums论坛的需求是趋之若鹜的,有网友在Telegram群组大声呼唤:“我需要breachforums”。
于是一个假冒网站“breached.fi”应运而生,宣称自己就是Breachforums的新域名,新网站Owner是Anastasia,并发布了一个公告:
亲爱的社区成员:正如你们许多人所注意到的,BreachForums的基础设施突然下线了。
这是由于一个意外问题造成的,主要是因为之前负责管理基础设施的Shiny已经失联,我们无法联系到他。
鉴于此,我们决定彻底重建。我们已经准备好了一个全新的基础设施,并将使用全新、干净的源代码库。这确保了之前版本中不存在任何未知的后门或漏洞(无论有意或无意)。
安全和稳定是我们未来的首要任务。新论坛即将上线。
感谢您的耐心等待和持续支持。
看起来有点像官方声明,只不过,这是一个假冒网站。DarkWebInformer(@DarkWebInformer)在X里提醒:
BreachForums的PGP无法与breached[.]fi上的金丝雀(canary )进行验证。请自行承担使用风险。请始终遵循“信任但要验证”的方法。您可以随时使用我的PGP验证工具。
BreachForums PGP (below) cannot be verified with the canary on breached[.]fi. Use at your own risk. Always follow the Trust, but verify methodology. You can use my PGP Verification tool whenever you want. It does not send anything back to me. https://t.co/Jp3wE3c6oq
—–BEGIN… https://t.co/B5GNOEHlQn pic.twitter.com/ucVbDwjP5B
— Dark Web Informer – Cyber Threat Intelligence (@DarkWebInformer) April 19, 2025 对此,vxdb(@vxdb)在第一时间转发假冒网站的公告后随即删除了他的推文,并发布道歉推文:“我发表的关于Anastasia公告的帖子是在一个假冒的breakforums网站上发布的。我本该尽职尽责,确认该域名是否合法。我向您道歉,我已经删除了原帖。”
在每日的常规访问中,“暗网下/AWX”发现,暗网中最臭名昭著的数据泄漏平台BreachForums已经无法访问。经历了多次被执法机构查封后,目前的BreachForums已经是第三版BreachForums,本站(anwangxia.com)去年曾经详细介绍了三个版本的BreachForums以及它的五位运营管理员。
这次无法访问的原因是什么?“暗网下/AWX”试图在Telegram以及X上的威胁情报专家那里寻找答案,目前获得了两个答案,此外还有一个诈骗消息。
传言一:BreachForums遭受了持续的DDoS攻击 名为“Dark Storm Team”的组织在其Telegram频道以及X上声称对BreachForums论坛(breachforums[.]st)发起了DDoS攻击,并给出了全球无法访问的证明:https://check-host.net/check-report/24feb258kb46
We visited Breach forums platform
❌https://t.co/qC8K6eGU3k 🌟https://t.co/r2O4wD4Ls3
For fun.#DARKSTORM
— Dark Storm Team (@EssamGgggg) April 15, 2025 关于BreachForums论坛遭受DDoS攻击的消息不绝于耳,“暗网下/AWX”认为这种可能性也比较高,因为在明网或基于Tor的暗网网站都没有显示扣押横幅,这不符合FBI的行事风格,如果被查封,一般情况下,执法部门要么将其当作蜜罐来继续运行,要么会修改DNS指向显示扣押横幅的页面。
此外,BreachForums论坛的明网域名(breachforums[.]st)的Name Server目前指向了“ns1.ddos-guard.net”与“ns2.ddos-guard.net”,也似乎证明了其背后的技术团队正在采取措施来抵抗目前正在遭受的DDoS攻击。
传言二:BreachForums再次被查封,IntelBroker已被逮捕 Telegram频道中流传的另一个未经证实的说法称,BreachForums论坛可能已再次被执法部门关闭。其中一个群组中发布的一条消息称,BreachForums论坛中的现任管理员IntelBroker已经被逮捕。同一帖子还称,该论坛将会在一个新的域名下重新启动。
正如前面所说,访问该网站并没有显示FBI经典的“查封”页面,意味着该网站可能只是被下线,而不是被正式查封。
虽然消息来源的可信度仍不确定,但该Telegram频道宣称将很快会分享更多细节,虽然“暗网下/AWX”认为该消息不可靠,但还是让我们拭目以待。
开设第四版BreachForums论坛的谣言是典型的诈骗 另外,广泛流传的图片显示:BreachForums论坛已经被关闭,所有管理员也被逮捕;目前第四版BreachForums论坛已经重新开启,但是关闭了注册,如果需要重新注册,需要支付门罗币(XMR),支付后可以联系开设账号。
这是一个明显的诈骗消息,“暗网下/AWX”提醒广大网友注意甄别。BreachForums论坛未来会怎样,“暗网下/AWX”将持续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。