自Dread论坛管理员1月底称网站有可能在一周内恢复,又已经过去了一个月。转眼已到3月份,“暗网下/AWX”发现,随着Dread论坛的管理员又陆续更新了网站公告以及私人“金丝雀”(canary),并且其暗网网站状态已经显示绿色的“在线”(online)。
根据Dread暗网网站,在2月11日,其发布公告称:
现在的更新是故意的,由于进一步的问题,因为我试图急于求成,过度简化了打算重写的理论,我们已经留下了一些艰难的决定,这将使重新启动可能不符合我想提供的目标。DoS解决方法的概念正处于最后的测试阶段,只是由于与一些市场管理员的接触有限而被保留,我们希望确保他们的服务能够提供有机流量的可访问性。我目前正在将一些小的新功能/更新迁移到以前的Dread代码库中,我们将在这个时候以最好的能力重新启动。我现在正在避开Reddit,因为那里有大量的投诉和疑虑,这只会给我们所有人带来更多的头痛。我们正在努力工作,很快就会恢复我们所有人的平衡。
2月25日,新的公告称:
Dread现在已经在生产服务器上进行了私人测试。暂时邀请了服务管理员和一些Dread版主。我将在Reddit上发布更多有关信息。
2月28日,Dread管理员HugBunter更新金丝雀称依旧活着,并完全控制着Dread网络和相关服务。在Dread中断期间,将继续更新金丝雀专门发布在Dread的网络状态页面。但是如果其洋葱网络不可访问,他将通过/r/DreadAlert在reddit进行紧急更新。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
I, HugBunter am alive and free as of Tuesday, February 28th, 2023 and in full control of the Dread Network and related services.
I have signed this canary for publishing specifically on our network status page during the current outage.
Bitcoin block hash:
0000000000000000000503b050e7e39453cf479711c5c04df95f672de3300804
Emergency updates are available here or at reddit via /r/DreadAlert if our onion becomes unavailable.
网络犯罪论坛为网络犯罪者提供了一个协调、交换信息和进行非法交易的渠道。这些论坛通常托管在暗网上,但部分论坛也可以通过明网访问,是恶意活动的中心。网络犯罪论坛的典型结构包括一个专门的交易市场部分,为出售被盗证书、勒索软件即服务和恶意软件提供便利,而一个单独的部分则保留用于一般的网络犯罪讨论。
众所周知,俄罗斯是名副其实的网络犯罪活动之都。最近的分析表明,74%的勒索软件收入流向了与俄罗斯有联系的威胁行为者。除了以营利为目的的网络犯罪之外,俄罗斯在开展国家支持的网络战方面也有着有据可查的历史。
从威胁情报的角度来看,监控暗网中的网络犯罪论坛有助于监测企业即将发生的攻击的迹象,或者揭露出售的用户凭据,然后可以被渗透之前预先重置他们的帐户。本文“暗网下/AWX”介绍了2023年值得关注的暗网中的俄罗斯三大顶级网络犯罪论坛,企业需要重点对这些暗网论坛进行监控。
Exploit.in Exploit.in是运行时间最长的暗网黑客论坛之一,早在2005年就已启动。顾名思义,该站点的最初目的是为恶意行为者提供一个讨论各种漏洞的有效利用Exp的地方。Exploit.in自然地演变为包含关于其他类型的网络犯罪活动的讨论的论坛,从社会工程技术到破解密码算法的教程。
该论坛是一个以俄语为主的论坛,有一个市场板块,网络犯罪分子在这里交易被盗的信用卡信息、恶意软件,甚至是零日漏洞。Exploit.in还作为一个网络犯罪新闻网站。有趣的是,这个论坛既可以通过表网上的标准互联网浏览器访问,也可以使用Tor浏览器通过暗网访问。
但是,要访问论坛和参与讨论,威胁行为者要么支付100美元的自动访问费用,要么他们可以尝试获得免费访问权限,条件是他们已经在其他“友好”论坛上建立了声誉。虽然这些条件在技术上使Exploit.in成为一个封闭的论坛,但100美元的费用不太可能阻止公司注册虚假账户以监控威胁情报。
Exploit.in的明网地址:
https://exploit.in/
Exploit.in的暗网地址:
https://exploitivzcm5dawzhe6c32bbylyggbjvh5dyvsvb5lkuz5ptmunkmqd.onion
XSS.is XSS.is是另一个封闭的俄语论坛,可以在明网和暗网上访问。管理员承诺使用各种安全和匿名功能来保护注册用户,包括禁用所有用户登录和用户操作的IP地址日志,以及实施加密的私人消息。在XSS.is上注册没有太多障碍——新用户只需输入有效的电子邮件、回答基本的网络安全问题,然后等待网站管理员的批准。
XSS.is上的内容涉及凭证访问、漏洞利用和有价值的零日漏洞的讨论和交易,这些漏洞不存在安全补丁。XSS.is上的其他独家私人部分需要付费才能访问。此前,XSS.is被广泛用于为勒索软件即服务团伙招募成员,但论坛管理员在2021年禁止了勒索软件话题。
这个俄罗斯网络犯罪论坛的名称源于一种称为跨站点脚本的Web应用程序漏洞。该网站从2013年开始被称为DaMaGeLaB,直到2018年一名管理员被捕,之后它被重新命名为XSS。
XSS.is的明网地址:
https://xss.is/
XSS.is的暗网地址:
https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion
RAMP 2.0 2021年RAMP 2.0(俄罗斯匿名市场)论坛的成立有一个有趣的背景故事,它是在臭名昭著的勒索软件团伙Babuk之前使用的域上启动的。
Babuk勒索软件行动对华盛顿特区大都会警察局和休斯顿火箭队的篮球队进行了勒索软件攻击。Babuk的威胁者以前曾使用这个暗网洋葱域名,在受害者拒绝屈服于他们的勒索要求时发布被盗数据。
从2012年到2018年,RAMP的前一个版本存在于一个不同的域名上,但它更多地是围绕着购买和销售非法产品。俄罗斯执法部门关闭了RAMP的第一个版本,但出现了一个新版本,重点是网络犯罪。受欢迎的论坛板块包括赎金软件集团的合作伙伴计划,恶意软件板块,以及另一个专门出售企业账户访问权的板块。
注册RAMP 2.0需要成为Exploit和XSS的活跃会员至少两个月。要进入RAMP 2.0,在这两个论坛的良好声誉也是必不可少的。论坛的语言选择已经从单纯的俄语发展到现在包括普通话和英语。
RAMP 2.0的明网地址:
https://ramp4u.io/
RAMP 2.0的暗网地址:
http://rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion
一周前,“暗网下/AWX”曾做出提醒,AlphaBay暗网市场的管理员失踪数周,供应商与使用2FA的用户无法登录。本周,“暗网下/AWX”发现,2021年重新启动的AlphaBay暗网市场已经完全无法访问,无论是通过Tor还是I2P。
dark.fail网站也更新了上周的警告:
警告:AlphaBay的管理员消失了,该网站可能退出诈骗。
tor.taxi也在其网站上写道:
PSA:AlphaBay高级管理员建议用户不要使用该市场。
AlphaBay的高级管理员TheCypriot在Reddit上发布了PGP签名消息,警告该市场的用户远离它,直到因其创建者DeSnake的缺席而产生的问题得到解决。在2月13日星期一发布的相当冗长的警告中,AlphaBay管理员TheCypriot向reddit的网友提供了一些关于市场通常如何运作的见解,为什么某些用户无法登录,也许最重要的是,为什么他们觉得暂时人们应该不要使用它。
TheCypriot称其是AlphaBay暗网市场的管理员,而不是控制者:
AlphaBay市场层次结构如下:
DeSnake – 所有者 – 私钥服务器访问权限,完全控制
TheCypriot – 管理员 – 管理日常的市场和运行时的工作人员。没有私钥或服务器访问权限,但拥有大部分管理权限
Tempest – 高级版主
Amades – 初级版主
Wxmaz – 初级版主
EvZen – 初级版主
Parsed – 诈骗观察和公关。难以置信的耐心,通常处理这些类型的事情
Peke – 论坛版主
我是市场的管理员。我不是主人。我无权解除市场上的2FA锁定。
“不要使用该市场,”TheCypriot在他的Reddit帖子中写道。“说起来容易,因为你想用市场也用不了。”TheCypriot接着解释了DeSnake维护的两个金丝雀之间的区别,并指出DeSnake明显未能更新第二个金丝雀导致市场无法读取和处理PGP签名消息。塞浦路斯人还说明了为什么他们不认为由此产生的问题是执法部门的行为:
“根据我多年来的经验,这不是LE。请自由讨论,你们中的许多人都会认为是,但只是没有迹象。如果是这样,那将是市场历史上计划和执行最糟糕的LE行动。他们甚至没有设置一个花哨的扣押屏幕……并不意味着它不是。”
根据TheCypriot帖子中提供的额外信息,DeSnake最后一次登录AlphaBay市场是在1月25日,也就是三周多前。该市场用户出现访问问题始于2月初,因为启用了2FA的用户(包括所有供应商)发现自己无法登录市场。TheCypriot还提到他们认为应该不是“退出骗局”,尽管不能完全排除这种可能性。
与Tor网络类似,I2P网络上正在遭受的DDOS攻击已经使访问I2P网络的站点变得困难。I2P网络的用户被要求升级到网络的最新版本2.1.0,该版本已将一些攻击者的节点列入黑名单,但大多数用户仍然无法访问。
AlphaBay的Tor网络网址为:
http://alphabay522szl32u4ci5e3iokdsyth56ei7rwngr2wm7i5jo54j2eid.onion
AlphaBay的I2P网络的网址为:
http://tnaefzkcnhryeusi7hdpqujqiqmnbtah3dmjcg3gvezohunjuxbq.b32.i2p
截至2月20日晚,AlphaBay暗网市场仍然无法通过Tor网络或I2P网络进行访问。
更多暗网新闻动态,请关注“暗网下/AWX”。
随着2023年的到来,2022年困扰着暗网市场和暗网论坛的DDoS攻击攻击依然存在、依旧疯狂。
2023年开始了与2022年困扰暗网市场和论坛的相同DDoS攻击。随着Dread论坛、The Majestic Garden、AlphaBay和大多数暗网市场不断受到攻击,用户不能太挑剔他们选择哪个暗网市场来购买他们正在寻找的东西。
令人惊讶的是,在过去的几个月里,大多数暗网市场仍在运行(除了2023年年初下线的DarkFox市场),暗网市场的排行榜与2022年6月相比变化也不是很大。
本文中,“暗网下/AWX”将列出2023年全球顶级暗网市场的名单,排名使用的指标包括真实商品列表的数量、用户和供应商的数量以及社区规模。
“暗网下/AWX”告诫大家,该名单里的暗网市场随时可能下线,可能是由于管理员的贪婪(退出骗局,侵吞用户资金),也可能是服务器被警察查封。如果需要测试这些市场,建议用户永远不要把钱放在市场钱包里,而是使用大多数市场都有的直接支付选项。
一、AlphaBay市场(AlphaBay Market) AlphaBay市场已于2021年8月由原AlphaBay市场联合管理员Desnake重新启动,并重新回到了暗网市场的舞台。此后,WhiteHouse市场、Cannazon市场、CannaHome市场、Dark0de市场、World市场和Versus市场等顶级暗网市场陆续关闭,AlphaBay市场再次成为最大的暗网市场。
AlphaBay拥有超过124万名注册用户、5万个列表和1.8万家供应商、活跃的客户支持服务以及活跃的论坛,且只接受门罗币(Monero)支付。
Tor网络上的AlphaBay市场,在从去年起由于长期遭受DDOS攻击,暗网站点已经关闭,目前支持通过I2P进行访问。
原本该市场可以持续霸占暗网市场榜首,甚至可能比原来的AlphaBay市场做的更大。但该市场的客户近期对AlphaBay暗网市场的状况感到担忧,因为AlphaBay暗网市场管理员Desnake失踪了超过五周,这导致AlphaBay暗网市场的供应商和启用了2FA的用户自2月6日起无法登录访问。
AlphaBay市场的暗网地址:http://alphabay522szl32u4ci5e3iokdsyth56ei7rwngr2wm7i5jo54j2eid.onion
AlphaBay市场的I2P网络地址为:http://tnaefzkcnhryeusi7hdpqujqiqmnbtah3dmjcg3gvezohunjuxbq.b32.i2p
二、Tor2Door市场(Tor2Door Market) Tor2Door市场和AlphaBay市场一样,极大地受益于前面提到的众多大型暗网市场的消亡,并与AlphaBay市场一起上升到暗网市场榜首。
该市场的设计比AlphaBay市场更简单,支持比特币与门罗币,注册和购买程序也更简单,它现在是周围最大的暗网市场之一。
在过去的几个月里,Tor2Door有3万个商品列表和超过2.5万个销售量,是希望使用比特币进行订购的用户人的首选之地。
Tor2Door市场在去年也遇到了很多DDoS攻击问题,并且经常离线很多次,因此访问它有时可能会出现问题。
Tor2Door市场的暗网地址:http://qgma4evyuxoqw6zolgk3y5nsjnd7mbzmuqvajlwop3jbakghe34puuad.onion
三、ASAP市场(ASAP Market) ASAP市场拥有5万个列表,与Tor2Door市场在顶级暗网市场榜单中共享同一位置。ASAP市场过去曾遇到很多问题,包括黑客攻击和长时间停机,包括提款和存款问题,但至少目前还活着。
如果忽略ASAP市场的那么多存在的问题,它非常多的供应商仍然有吸引力,所以你几乎可以找到任何你正在寻找的东西,特别是如果你没有在AlphaBay市场或Tor2Door市场找到它。
ASAPMarket管理员过去在其市场被黑客入侵且其资金被盗时有几种选择,比如选择“退出骗局”后重启一个新的市场,但他选择重新开放市场并使用自己的资金来弥补被盗的资金,所以一些用户可能觉得使用这个市场比其他大的暗网市场更安全,至少信誉有保证。
与Tor2Door和许多其他暗网市场一样,ASAP市场支持比特币和门罗币。
ASAP市场的暗网地址:http://52a66fzozetb4j2nucqpbr2aima7nnlwjv3v56xnbrfojgui6sc5hqyd.onion
四、Abacus市场(Abacus Market) 早在2021年,Abacus市场被命名为AlphaBet市场,是AlphaBay市场的另一个克隆版,但它的运气不好,它与新的AlphaBay市场几乎同时启动,遭到暗网社区的强烈反对,管理员决定重新命名市场为现在的名字。
Abacus市场已经获得了许多用户和供应商,同时支持比特币和门罗币,并拥有超过2万个列表。
Abacus市场的设计与原来的AlphaBay市场几乎相同,只是它的主题是蓝色的,而不是橙色的,所以使用原来AlphaBay市场的用户会有宾至如归的感觉。
Abacus市场的暗网地址:http://abacusnoepyuw5qqq5ymqsz56eh7eggxibpst3hve5siimmtz5kydtyd.onion
五、Vice City市场(Vice City Market) Vice City市场是最近DDoS攻击中受打击最严重的市场,过去几个月的大部分时间都在离线。在过去的几周里,管理员似乎已经设法解决了这个问题,Vice City市场又一次大部分时间在线。
但与任何其他暗网市场相比,Vice City市场的管理员似乎没有那么活跃,虽然有超过1万个商品列表,但是缺少市场必须的客户支持服务。并且该市场直到最近才添加了门罗币(Monero)支持。
Vice City市场的暗网地址:http://oxsfyfyf3rmxwzvsozhze4awcwtbomwd2butx7fvdkl2nfks4tmmo4qd.onion
AlphaBay暗网市场自从重启后一直深受客户信任,用户注册量在持续飙升商家超过1.7万,买家超过124万。从2022年下半年起,AlphaBay暗网市场长期遭受DDOS攻击,无法使用Tor浏览器访问,但是通过I2P可以正常访问。
但是近期“暗网下/AWX”发现,客户对AlphaBay暗网市场的状况感到困惑,因为AlphaBay暗网市场管理员Desnake失踪了超过五周,用于网站签名的金丝雀(canary)一直没有得到更新。这导致AlphaBay暗网市场的供应商和启用了2FA(双重验证)的用户自2月6日起无法登录访问AlphaBay。启用了2FA的用户收到错误提示消息“错误:数据签名失败”。
这是该暗网市场的设计机制,因此不是第一次发生,早在2022年,同样的问题就发生在AlphaBay暗网市场上,不过几天后DeSnake重新登录并更新了他的canary,当时这个问题得到了修复。
dark.fail近日在网站做出警告:”由于admin canary已过期,AlphaBay不接受存款。“,并发布推文称:
AlphaBay,最大的”暗网“加密市场,由于管理员的”金丝雀“(canary)过期而被打破。当其管理员DeSnake意外离开时,核心功能似乎被设计锁定。
用户无法存入加密货币,这种不寻常的情况感觉不像是故意退出的骗局。究竟是逮捕,骗局,还是管理员受伤?我们可能永远不会知道。
早在2021年和2022年AlphaBay市场重新启动时,DeSnake每天都很活跃,每小时回复用户一次,但到了2022年底,他已经不再那么活跃,并停止在Dread论坛上回复消息。
目前还不清楚DeSnake何时以及是否会重新上线来解决这个问题,到目前为止,供应商无法登录网站和处理订单,用户可能没有注意到出了问题,只是因为每次供应商试图登录时,他的资料中都显示他确实在线。
虽然一些用户仍然可以通过I2P访问AlphaBay,但由于canary过期,可以登录的用户无法生成新的XMR存款地址,尝试生成新地址时提示以下错误:
错误:管理员必须执行每月金丝雀以启用存款地址/PGP 登录消息的签名。该错误并不严重,但如果您看到此错误,请通过支持票据提醒我们,以确保管理员签署每月金丝雀,从而证明对AlphaBay基础设施的控制。
Reddit网友Boblegal发表了一些见解供网友们参考:
金丝雀是最新的,这不是手头的问题,正如之前所想的那样。尽管如此,2fa 问题需要 DeSnake(负责人)登录才能修复它(没有什么需要“修复”。据我所知,这是一个安全协议,他们需要他的许可级别才能签署)。至于可用的信息,仅此而已。但截至目前,DeSnakes 的手机已关机 – 其他管理员正在发表声明,例如“我们只能希望他决定本周去迪斯尼世界/露营旅行并关闭手机”。
这是一个非常非常简单的修复。但事实是,DeSnake 可能有 1 小时或 1 周不登录。我相信我们很好,就这么简单。非 2fa 账户的存款和取款已成功(5 分钟前确认)。
我建议人们取消 – 撤回 – 并暂时在其他地方找到你要找的东西。当然对于那些有能力的人。
Tor网络上的AlphaBay暗网市场的URL一直无法访问,目前所有用户都可以在I2P网络上访问该市场。
AlphaBay暗网市场的I2P网络为:http://tnaefzkcnhryeusi7hdpqujqiqmnbtah3dmjcg3gvezohunjuxbq.b32.i2p/
更多暗网新闻动态,请关注“暗网下/AWX”。
什么是金丝雀 PGP?
Canary中的加密基于PGP密钥对。每个密钥对都有两个密钥,一个公钥和一个秘密密钥。要加密电子邮件,发件人需要收件人的公钥。收件人将使用他们的密钥来解密发件人发送给他们的消息。
加密货币混币交易所Kilos Exchange是设置在Tor网络上的加密货币交易所,从1月初开始窃取倾吞用户资金,“暗网下/AWX”曾在推特转推dark.fail的贴文进行提醒,现在终于得到确认。
暗网混币交易所Kilos已经稳定运行了几年,曾被认为是暗网上最值得信赖的混币交易所之一,并且被darkfail、tortaxi和darknetlive等可信赖的暗网导航收录。
自1月10日以来,Reddit上不断出现混币交易失败的报告,Kilos的客户指出,网站上的交易已标记为已完成,但并未从交易所收到任何资金。
其他客户在Reddit上指出,尽管在区块链上有足够的确认,但他们的交易被Kilos标记为无效,导致资金损失,对客户服务或管理员的查询零响应。Reddit上至少有十几起针对该交易所的用户投诉。
一位Reddit用户在r/darknet的子版块关于Kilos的讨论中称:“100%是退出骗局……所有明显的迹象都在那里。他们已经做到了‘一月份不收费’……多份报告称他们在遇到问题时屏蔽了人们,而且他们还建立了一个Telegram频道,很可能也是为了将来的诈骗。”
在通常被认为是暗网市场和相关暗网链接的可信赖洋葱链接聚合器tortaxi网站上,Kilos网站的链接以红色显示。单击该链接会重定向到tortaxi站点。该网站上的一条消息显示“PSA:Kilos Exchange 未完成加密交换!”
darkfail是一个类似的、值得信赖的洋葱链接聚合器,其顶部的消息内容类似:“警告:Kilos Exchange未完成加密货币交换,可能是骗局。管理员没有回应。”
1月13日,dark.fail在推特警告称:
根据许多报告,Kilos Exchange没有完成加密交换,可能是骗局。Kilos Exchange是一个托管在Tor网络上的无KYC交易所,曾经被收录在https://kycnot.me。
1月19日,dark.fail继续发表推文称:
自从Kilos Exchange停止处理交换以来,Kilos到目前为止已经收集了至少3个BTC,而XMR(地址:19Sr7qTezjYm1gyHWSZBK2Qgq6tzQnmKCC)的数量未知。
在暗网市场列表搜索引擎Grams关闭后,Kilos开始崭露头角,用类似的服务填补了它的空白。除了托管搜索引擎和交易所服务外,Kilos 还提供称为Krumble的比特币混合服务、称为KSwap的比特币门罗币和莱特币的混币服务(并提供KAAML功能,只需支付25美元的固定费用,确保不会触发洗钱规则)
Kilos的暗网地址URL在窃取用户资金后短暂无法访问,但现在已经恢复正常,似乎想继续诈骗。本周开始,被盗资金开始转移,主要转移到KuCoin和ChangeNOW,交易hash如下:
059102ca723b7fd0f641892bb9e76825b219c7370bbbf5cf297a9e6bf240f37f
1f8277210597d3262c5864ef5fb4cb54d3fdd8f0db0f137f4356cc90cb43c203
8d2cedfe99eea670cd64777e5fba4e8156707a90eefc6726df491f33245b0081
Kilos交易所的明网地址为:
https://kilos.exchange/
Kilos交易所的暗网地址为(请不要交易):
http://mlyusr6htlxsyc7t2f4z53wdxh3win7q3qpxcrbam6jf3dmua7tnzuyd.onion
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”一月初曾经报道,老牌中文暗网交易市场“暗中”遭受了大规模的DDOS攻击后,其管理员正在通过多种办法进行缓解,新增了多条线路。近期,“暗中”又完善了一些新的举措来对抗持续的DDOS攻击,增加了前端服务器做为跳板机线路,并且更新了网站代码。
”暗中“在其暗网网站首页发表寄语,寄语A针对普通用户,称:
针对普通用戶: 网站初次打开比较慢, 请耐心等待, 或换其它跳板机进入.
[有聪明的用户, 把跳板机地址全存书签, 进入时点”全部打开”, 哪个速度快进入哪个]
寄语B针对专业用戶,称:
针对专业用戶: 网站长期处于攻击之下, 几乎未有间断. 故网站入口处采用了更严格的措施, 导致注册与登录比较繁琐, 登录网站后不受影响.
网络攻击不足为惧, 1.洋葱路由会切断HTTP以外所有端口连接; 2. 洋葱路由对高并发线路有限制, 攻击效能对比表网十不足一.
针对本站的攻击从未停止, 但事实上本站的运行从未受到影响. 部分用户反映的打不开, 只是不愿意等待几分钟或者不愿意更换一个跳板机地址重新打开.
网站的困难也不小, 1.为确保用户安全, 摒弃JavaScript, 原生的PHP编码, 不采用高级人机验证.
2.洋葱路由无法溯源, 不能从用户来源上拒绝或者限制用户端发出登录的需求.
所以攻击者每次的模拟正常用户的登录注册, 服务器必须执行相关的数据库查询, 即业界所说的”硬抗攻击”.
不过困难可以用加大服务器数量来抵御,比如上方的跳板机即一个低配服务器, 分布全球, 无论攻击者从哪个角度攻击, 意义均不大.
欢迎对本站更多的攻击测试.
怠慢了网站用户, 但用户安全从未受到影响, 只要不被骗子拉入站外被社工心理控制, 资金都在自己账户中.
从寄语B可以看出,一是”暗中“网站长期处于攻击之下,一直没有间断过,但是事实上网站的运行从未受到影响,只要愿意等;二是网站入口处的代码进行了修改,采用了更严格的措施,导致注册与登录比较繁琐,登录网站后不受影;三是”暗中“使用了加大服务器数量来抵御攻击,并且其拥有足够的自信,甚至还欢迎更多的攻击测试。
”暗中“目前所有的跳板机地址列表:
http://xxxxxxxzxxbmwmggbeyt26t6nlgktj5le7crh4yat6ztfwqxn4uxvmad.onion
http://xxxxxxxx3a3kuuhhw5w7stk25fzhttrlpiomij5bogkg7yyqsng5tqyd.onion
http://xxxxxxxxneal7wz6nk2tuquh54pruer5nfgwtsdw4c4xk6jc2swaidad.onion
http://xxxxxxxxp56bqacrnumb4ouvxthknazytrz4hsxhth4mjnm3kihdtoyd.onion
http://xxxxxxxxqeuwvkrsesijvfcem4dtkpm77srgru2vrvk7dvm4hur3ymid.onion
http://xxxxxxxxss2wdceudprpxnmvjs5kwnlnfvun57koml6hkp6u7qwyhsyd.onion
http://xxxxxxxxxs6qbnahsbvxbghsnqh4rj6whbyblqtnmetf7vell2fmxmad.onion
http://deepmixaasic2p6vm6f4d4g52e4ve6t37ejtti4holhhkdsmq3jsf3id.onion
http://deepmixbf6xqt3m7kagmurdt4v43f2h3doc23h7hrkjlroovyjsvseqd.onion
http://deepmixjso4ero6h3psxskkb756offo3uznx4a44vuc5464mjkqwndyd.onion
http://deepmixl6jyyextuekqvufhaw3k4fv2zygcllo5lciupwdru6cb7xeqd.onion
进入网站后,发现”暗中“的管理员在1月31日又更新了他的情怀文章”2013一2023暗网中文论坛十年“:
近10年, 基本成为中文暗网的唯一, 中文语言者进入暗网, 也就是进入暗网中文论坛 – > 暗网交易市场.
2015-2016左右, 因站内用户的需求, 比特币交易媒介的兴起, 暗网中文论坛改制为暗网交易市场.
Dread论坛管理员HugBunter最近对他的暗网市场论坛何时恢复运行提供了一些消息,他1月3日曾在Reddit的r/DreadAlert分论坛上用PGP签名的消息发表声明称Dread论坛有希望在一周内回归,但并没有回归;1月21日星期六,HugBunter又在Reddit的r/DreadAlert分论坛上用PGP签名的消息公告了论坛恢复的进展。HugBunter在消息中表示,该论坛“应该会在下周上线”,这表明最迟会在月底上线。他还建议,在重新启动完成之前,他本人和联合管理员Paris不会再有任何更新,即不会再次发布消息公告。
Dread论坛是最大的暗网英文论坛,有数百名暗网交易市场的用户定期访问,并被视为暗网市场链接和信息的一个值得信赖的焦点。这个著名的论坛在2022年11月底因遭受DDOS攻击完全下线,此后漫长得时间里,Dread一直在被其管理员重新调整,使其更强大地抵御持续的DDOS攻击者的努力。
去年,未具名的攻击者曾多次发动DDOS攻击,拒绝服务攻击让Dread数天甚至数周无法访问,与此同时,多个暗网交易市场也遭受了DDOS攻击,显然攻击Dread论坛的与攻击多个暗网市场的是同一波人。但是,无论Dread还是遭受攻击的暗网市场,均拒绝屈服于攻击者的勒索要求。
HugBunter在Reddit上适度详细地描述了让Dread重新上线所涉及的挑战,听起来很疲惫,但他决心完成手头的任务。这些挑战包括重建论坛及其底层架构,使其能够保持高水平的安全性,同时使其更能抵御未来的DDOS攻击。
—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA512
January 21st, 2023
Edit: Re-signed, I timestamped it as 2022…
I’ve been clear on not wanting to provide any specific ETA and lets not forget that acronym starts with “Estimated”, I’ve had to be careful with this and it is still causing many of you to lash out at me, which is definitely not appreciated when I’ve spent almost every waking minute working on things that will make this downtime have been worthwile for everyone.
美国官员周四宣布,联邦调查局(FBI)查封了一个名为Hive的臭名昭著的勒索软件团伙使用的计算机基础设施,其用来发布受害者信息与入侵证据的暗网网站已经被显示为FBI的设置的gif横幅图片。
臭名昭著的Hive勒索软件团伙 自2021年6月以来,Hive勒索软件团伙已向全球各地80多个国家/地区的医院、学校、金融公司和关键基础设施等1500多名受害者勒索数亿美元。FBI将Hive列为5大勒索软件威胁之一——无论是因为它的技术复杂性,还是因为它可能对受害者造成的伤害。
Hive勒索软件攻击已经对世界各地的受害企业的日常运作造成了重大干扰,并影响了对COVID-19新冠疫情的应对。在一个案例中,一家被Hive勒索软件攻击的医院不得不采用传统的模拟方法来治疗现有患者,并且无法在攻击后立即接收新患者。
Hive勒索软件团伙使用勒索软件即服务(RaaS)模式,其中包含管理员(有时称为开发人员)和分支机构。RaaS是一种基于订阅的模式,开发人员或管理员开发勒索软件,并创建一个易于使用的界面来操作它,然后招募分支机构对受害者部署勒索软件。分支机构确定目标并部署这种现成的恶意软件来攻击受害者,然后从每次成功的赎金支付中赚取一定比例。在受害者付款后,分支机构和管理员将赎金分成进行八二分成,即分支机构可以赚取80%,而管理员可以分到20%。
Hive勒索软件团伙的分支机构采用了一种双重勒索的攻击模式。首先,他们渗透了受害者的系统,在加密受害者的系统之前,分支机构将传出或窃取敏感数据。接下来,分支机构部署恶意软件,加密受害者的系统,使其无法使用。最后,该团伙寻求受害者支付赎金,以获得解密受害者系统所需的解密密钥,并承诺不公布被盗数据。Hive勒索软件团伙经常针对受害者系统中最敏感的数据来增加支付压力,Hive通过其部署在暗网里的Hive泄密网站公布了不付款的受害者的数据。
Hive分支机构的目标是关键基础设施和美国一些最重要的行业。
在2021年8月的一个案例中,Hive分支机构在美国中西部一家医院拥有的计算机上部署了勒索软件。当COVID-19新冠疫情在世界各地的社区中激增时,Hive勒索软件攻击使这家医院无法接收任何新患者。医院还被迫依赖患者信息的纸质副本。它只有在支付赎金后才能恢复其数据。
Hive勒索软件团伙在加利福尼亚州中区的最新受害者是在去年12月30日左右被攻击的。它在佛罗里达州中区的最新受害者是在大约15天前被攻击的。在运营的第一年,Hive向受害者勒索了超过1亿美元的赎金,其中许多是医疗保健行业。
联邦调查局渗透了Hive勒索软件团伙的网络 去年夏天,来自坦帕分部的联邦调查局特工在刑事分部计算机犯罪和知识产权科以及佛罗里达州中区检察官的支持下渗透了Hive勒索软件团伙的网络,并开始破坏Hive勒索受害者的企图。
例如,FBI破坏了针对德克萨斯学区计算机系统的Hive勒索软件攻击。该局向学区提供解密密钥,使其免于支付500 万美元的赎金。
同月,FBI阻止了对路易斯安那州一家医院的Hive勒索软件攻击,使受害者免于支付300万美元的赎金。
FBI还成功阻止了对一家食品服务公司的攻击。该局向该公司提供了解密密钥,并使受害者免于支付1000万美元的赎金。
自去年7月以来,FBI向全球300多名受害者提供了援助,帮助阻止了大约1.3亿美元的赎金支付。
联邦调查局局长Christopher Wray在新闻发布会上表示,自7月以来,FBI官员对所谓的Hive勒索软件组织的计算机网络进行了反击,拥有了他们的最高的访问权限,盗取了他们的解密密钥,并将其传递给受害者,最终避免了超过1.3亿美元的赎金支付。FBI将继续使用任何可能的手段对网络犯罪进行反击。
自2022年7月潜入Hive的网络以来,联邦调查局已经向受到攻击的Hive受害者提供了300多把解密密钥。此外,联邦调查局还向以前的Hive受害者分发了超过1000个额外的解密密钥。最后,该部门今天宣布,在与德国执法部门(德国联邦刑事警察和Reutlingen警察总部-CID Esslingen)和荷兰国家高科技犯罪小组的协调下,它已经控制了Hive用来与其成员沟通的服务器和网站,破坏了Hive攻击和敲诈受害者的能力。
Hive勒索软件团伙的暗网网站被查封 Hive勒索软件团伙使用一个暗网网站来发布受害者信息与入侵证据,该网站的暗网域名是:http://hiveleakdbtnp76ulyhi52eag6c6tyc3xw7ez7iqy6wc34gd2nekazyd.onion。
托管Hive暗网网站、并存储其网络关键信息的两台位于洛杉矶的后端服务器已被FBI找到并没收。FBI还获得了法院的授权,可以夺取对Hive暗网站点的控制权并使其服务不可用。
目前,访问Hive的暗网网站,出现一个大的gif图片,跳动着分别用俄文和英文显示如下信息:
联邦调查局查封了这个网站,作为联邦调查局、特勤局和许多欧洲政府机构针对Hive Ransomware的协调执法行动的一部分。
美国司法部副部长Lisa O. Monaco告诉记者:“简单地说,我们使用合法手段攻击了黑客。”
美国正在加紧对勒索软件团伙的打击 周四的公告是司法部一系列打击海外勒索软件团伙的最新举措,这些团伙锁定美国公司的计算机,破坏了他们的运营,并要求数百万美元解锁系统。司法官员没收了数百万美元的勒索软件付款,并敦促公司不要向犯罪分子付款。
在2021年5月,由于疑似俄罗斯网络犯罪分子的勒索软件攻击,向东海岸输送燃料的主要管道运营商Colonial Pipeline关闭了好几天,勒索软件的流行对美国官员来说变得更加紧迫。由于人们囤积燃料,这次中断导致多个州的加油站排起了长队。
尽管勒索软件经济仍然有利可图,但有迹象表明,美国和国际执法部门的严厉打击正在削弱黑客的收入。根据加密货币跟踪公司Chainalysis的数据,2022年勒索软件收入从2021年的7.66亿美元降至约4.57亿美元。
网络安全专业人士对Hive被攻破表示欢迎,但一些人担心,另一个组织将很快填补Hive留下的空白。
谷歌旗下网络安全公司Mandiant的副总裁John Hultquist告诉CNN:“Hive服务的中断不会导致整体勒索软件活动的严重下降,但它对一个通过攻击医疗系统而危及生命的危险组织是一个打击。”
Hultquist说:“不幸的是,处于勒索软件问题核心的犯罪市场确保了Hive的竞争对手将在他们不在的情况下随时提供类似的服务,但他们在允许他们的勒索软件被用于攻击医院之前可能会三思而后行。”
联邦调查局局长Christopher Wray表示,联邦调查局将继续追踪Hive勒索软件背后的人,并试图逮捕他们。目前尚不清楚这些人所在的位置。卫生与公众服务部将Hive描述为“可能说俄语”的群体。
FBI的调查以及Hive网络攻击的技术方法 2022年7月,FBI根据联邦搜查令,首先获取了Hive数据库的访问权限,能够识别所有的受害者并获取对应的解密密钥。FBI将这些解密密钥分发给了世界各地的受害者,收到这些密钥的受害者证实,他们已经感染了Hive勒索软件,并且他们能够使用这些解密密钥解锁他们的文件。
2023年1月11日,美国调查人员获得了位于加州洛杉矶的两个服务器和一个VPS的镜像。同时荷兰警方也获取了两台荷兰服务器的同步备份镜像。服务器上均有Hive的三个暗网网站的代码数据和泄漏站点数据的副本。
此外,据美国网络安全和基础设施安全局(CISA)称,Hive勒索软件团伙的分支机构通过多种方法获得了对受害者网络的初始访问权,包括:通过远程桌面协议(RDP)、虚拟专用网络(VPN)和其他远程网络连接协议的单因素登录;利用FortiToken漏洞;以及发送带有恶意附件的钓鱼邮件。
在暗网最大论坛Dread关站更新期间,Incognite团队(Incognite Team)推出了一个新的暗网论坛“自由论坛”(Libre Forum),并表示“随着Libre Forum的推出,我们希望为社区提供一个讨论他们想法的替代方案,而不用担心被专制起诉。”
Incognite团队号称挑战独裁,就像kryptonite挑战超人。Incognite团队称,其建立了最先进的创新来帮助争取民主,实现真正的美国梦,提供梦想的生活,在那里没有窥探,没有约束,没有官僚主义的繁文缛节,并能够选择真正想要的东西的自由。
Incognite团队称其致力于提供服务,进一步扩大自由和反监视的界限。针对“政府和权威机构监控网民的日常生活,颁布侵犯网民自由的法律”的情形,Incognite团队努力用其技术进行反击,并努力在这里做出改变。
Incognite团队在暗网运营着一个暗网市场:Incognito Market,其号称该暗网市场“以最好的安全性、友好的界面和简化的用户体验购买您想要的任何东西。真正的自由贸易从这里开始。”
Incognito Market的暗网网址是:
http://incognito2sjotqmbkys7wivkpq7d4a4tkpweoiqefk7mpf7uvyfalad.onion
http://incognito75yd2w2qylg7xadz2rd7o2peqt5gcvmd2irxqbqj7c6exid.onion
http://incognitolonzsx5xjswcbuchyasvwnq5tqxvmprys2mpopsmyn3p5id.onion
http://incognitox3vs5grdnmh52k35m64vib5fsbdrxzilujjptiqzeyrxhid.onion
Incognito Market的I2P网址是:
http://incogniteqtvrg4oydx7rif7yntws5rkhvbqprrbabwwfrmd3j2a.b32.i2p
Incognito Market的明网跳转网址是:
https://incogbot.io
在Dread论坛因DDoS攻击被迫关闭网站进行更新,并且持续数月之后,Incognite团队推出了自己的暗网论坛Libre论坛,以抢夺Dread论坛的暗网用户份额。
Libre论坛作为一个从头开始编码的新论坛,自称希望为暗网社区提供一个自由讨论暗网网友想法的替代方案。他们仍然处于建站的初期,所以有很多东西值得期待。这个论坛有一个漂亮的用户界面和完备的功能,访问速度相对而言还算快。
Libre论坛的暗网网址是:
http://libreeunomyly6ot7kspglmbd5cvlkogib6rozy43r2glatc6rmwauqd.onion
如果其暗网服务受到DDoS攻击,以上网址无法访问,Incognite团队还提供了明网网址:
https://forum.incogbot.io