暗网网站

在早些年，信用卡欺诈论坛是网络犯罪最活跃的聚集地，向任何有钱人出售打包的被盗信用卡数据。但那只是过去的事情了，现在出现的最多的是在暗网上发现被盗密码和账户凭证、钓鱼漏洞工具包和恶意软件即服务平台等交易。 但这并不是说信用卡欺诈已经消失，“暗网下/AWX”近日获悉，一个名为B1ack’s Stash的暗网论坛刚刚免费赠送了100多万张被盗信用卡。专家推测，B1ack’s Stash论坛将免费发放卡片作为一种营销策略，决定发放免费样品旨在吸引新客户并在网络犯罪生态系统中获得知名度。 暗网论坛上免费发放被盗信用卡 D3Lab威胁情报主管Andrea Draghetti在2月21日发布的一份报告中透露，一家名为B1ack’s Stash的知名非法暗网市场和信用卡欺诈网站向其用户免费赠送了超过100万张被盗信用卡。该论坛管理员在一篇主题帖中宣布了本次数据泄露事件，声称泄露了一批由400万张免费信用卡组成的数据。 2月19日，暗网论坛B1ack’s Stash上发布了“包含超过100万张独特信用卡和借记卡的大量敏感数据”，实际上传了6个档案，共包含1,018,014张信用卡数据，其中，192,174张由欧洲金融机构发行。 据了解，这些信用卡数据包括高度敏感的信息，例如相关信用卡的主PAN（主账号）、到期日期、信用卡验证值CVV2以及安全码。但这还不是全部；还有持卡人的详细信息，例如他们的全名、地址、出生日期和电话号码以及电子邮件地址。该数据包含了几乎所有进行信用卡欺诈或针对持卡人发起网络钓鱼攻击所需的信息。 信用卡信息被盗用并被用作营销工具 “分析表明，这些数据很可能是使用网络窃取技术窃取的，”Draghetti表示，“这种方法涉及将恶意JavaScript代码插入受感染的电子商务支付页面，实时拦截用户输入的敏感数据。”被盗卡本身按类型（信用卡或借记卡）进行组织，并根据发卡银行和原产国进行进一步索引。“转储还包括磁条数据，允许犯罪分子创建物理卡克隆，”Draghetti警告说。 报告总结道：“网络盗窃仍然是电子商务平台和信用卡持有者面临的最普遍的威胁之一。” 这并不是犯罪企业第一次以这种方式传播被盗数据。“暗网下/AWX”曾经报道，被盗信用卡交易网站BidenCash之前曾使用过此类促销活动，向更广泛的犯罪受众推广该暗网市场。 因此人们普遍认为，这次发布信用卡数据，是为了吸引新用户加入B1ack’s Stash犯罪论坛。“在最初的免费发布之后，”Draghetti说，“还有更多的信用卡可供购买，每张售价通常约为25美元。” 地下信用卡交易市场正在茁壮发展 地下信用卡交易市场是网络犯罪生态系统的重要组成部分，它们为支付卡数据的买卖提供便利。曾经最受欢迎的信用卡交易网站之一是Joker Stash，其运营者选择于2021年2月退休，关闭了服务器并销毁了备份。报道称，Joker Stash的管理员通过其犯罪活动积累了价值10亿美元的比特币。 其后，信用卡欺诈网站如”Ferum Shop“、”UAS“和”Trump Dump“等在地下暗网市场中逐渐流行起来。 “BidenCash”于2022年4月推出，被认为是一家低调的信用卡商店。本站（anwangxia.com）多次报道，其运营者定期免费发布新鲜转储和促销批次的能力迅速提高了它的知名度。 2022年6月， BidenCash在一个网络犯罪论坛上发布了2019年至2022年期间超过790万张支付卡数据。然而，这些数据仅包含6581条泄露信用卡号的记录。

Dread是暗网最大的英文论坛，也是暗网最大最活跃的论坛，也是暗网存活时间较长的论坛。2月15日，Dread管理员HugBunter发布带有PGP签名的公告，庆祝Dread论坛的7周岁生日。 “暗网下/AWX”多次介绍，Dread是一个类似Reddit的暗网论坛，主要发布有关暗网市场的新闻和讨论。该暗网论坛由HugBunter于2018年初开发，并于2018年2月15日推出，长期以来，该论坛有2名管理员，分别使用化名Paris和HugBunter。Dread论坛参考Reddit样式进行开发，并在开发时充分考虑了隐私性和可用性。任何用户都可以申请创建自己的子版块，从而成为版主；版主控制允许发布哪些类型的帖子，如果他们认为用户违反了规则，他们可以禁止他们访问自己的版块。 Dread论坛的暗网V3地址是： http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion HugBunter发布的公告标题为“Dread生日快乐！整整七年！”，在公告中，该管理员表示，简直不敢相信，7年过去了，Dread仍然坚挺地站在这里。从他开发的一个小项目开始，Dread论坛成为了有史以来最大的暗网论坛，虽然前几年Dread经历了重重困难，但依旧能继续为暗网社区提供重要的服务。 HugBunter在公告中感谢所有Dread的工作人员、子论坛版主和用户，称是大家的支持让Dread论坛在每年面临最困难的问题时仍能保持正常运转。 HugBunter称，这篇公告写得很短，因为他比较忙，本来有很多计划要完成，但被本周的服务器问题和其他事情耽搁了。HugBunter请大家拭目以待，表示接下来会有很多令人兴奋的事情发生，这些事情将极大地改善这个平台，这将是其多年来所做的最大一次更新，将涵盖大家所关心的很多问题，对论坛质量的改善将是巨大的。 HugBunter最后再次感谢所有人的努力，让这个平台有了今天，感谢用户一直以来的支持，并提醒大家“注意安全”！ Dread论坛深受暗网网民欢迎最大的原因是Tor网络的匿名性，许多热门子版块都涉及非法或其他有争议的话题，网络犯罪分子确实会在某些子版块中讨论他们的活动。但Dread论坛其实也有许多无害的子版块，比如关于如何从事金融投资的子版块，还比如关于流行视频游戏的子版块。正如本站（anwangxia.com）总结，Dread暗网论坛是一个基于Tor网络的真正言论自由的平台。 HugBunter在公告中提到的重重困难，大概是指，在2022年到2023年期间，网络黑客利用Tor协议漏洞，针对Dread论坛和其他暗网市场发起了大规模拒绝服务攻击（DDoS），当时“暗网下/AWX”持续进行了跟进，并多次报道了Dread论坛的关站以及升级防护的措施直至成功回归。Dread论坛经过重新开发，变得更加稳定，主界面和UI完全重新设计，提供了更大的灵活性，于是深受暗网用户的欢迎。 在公告的回复中，许多用户都在庆祝Dread的7周岁生日，祝福Dread可以继续服务更多年，同时感谢管理员Paris和HugBunter的努力，希望再接再厉。对于Dread未来的发展，“暗网下/AWX”将继续关注。 更多暗网新闻动态，请关注“暗网下/AWX”。

尽管本站（anwangxia.com）在2024年底再再再次曝光了中文暗网里最恶名昭彰的诈骗网站——“华人自己的暗网担保交易市场”，然而在春节期间又又又有数人被其诈骗。经“暗网下/AWX”再次确认，该暗网诈骗网站最新使用了蛇年春节的新话术，于是又成功诈骗了多起。 多年来，针对该诈骗网站，“暗网下/AWX”已经曝光过8次，该暗网诈骗网站的曾用名是：“正版中文担保交易市场”，后由于被本站多次曝光，改成新名称：“华人自己的暗网担保交易市场”。 诈骗网站“华人自己的暗网担保交易市场”近期没有更换域名，依旧使用上次本站曝光的暗网V3域名： http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion “暗网下/AWX”曾多次预警，该暗网诈骗网站的提供的所有品目：“百万美元（视频认证）”、“支付宝安全转账”、“英国一手卡料出售CVV”、“超低价格卖BTC钱包”、“IPHONE手机低价批发店”、“华为系列产品专卖店”等等都是管理员自己添加的虚假商品，所有项目都是假的，所有的商品评价也都是管理员自己添加的，均是假的。只有傻乎傻乎相信该诈骗网站的受害者才是真的，一旦转了账，BTC不可能被追回来。 网友“Sim Haha”在“暗网下/AWX”的官方Telegram群组里询问该网站是否是假的，并表示已经充了30USD交了学费，幻想其会发货，立即有热心群友告诉他这是诈骗网站，已经存在好多年了。此外，有网友“Rich Man”在Facebook中咨询，被“华人自己的暗网担保交易市场”诈骗了，是否可以把钱追回来。 在这里，“暗网下/AWX”再次明确一下，骗子是不可能主动退钱的，哪怕被警方逮捕，因此转出的钱没有找回。但是，可以通过向API接口提供方进行举报的方法来举报该骗子，骗子使用了两个网站的收款接口服务：Blockonomics、Coinbase。 为什么该诈骗网站从元旦到过年期间的成功率比较高？ 网友们在群里称，该网站近期的话术又有了新的升级。骗子添加了时间从2024年12月22日到2025年1月10日的一系列话术：“第一场群聊会情况展示”、“卖家在线群聊会第2场（支付宝转账alitransfer）”、“卖家在线群聊会第2期截图展示”、“卖家群聊会第3场（Btc高价收购Btcbuyer）”、“第4场群聊会（3天赚15%BTC的oakmont）”、“群聊会第4场截图展示”、“群聊会第5场Iphonesale(iphone批发店)”、“卖家群聊会第6场（BTC交易所转账nikoqian）”，非常逼真的8篇话术，让受害者以为这是官方搞的真实活动，增加了信任度。 骗子精心设计了虚假的聊天截图，明眼人看来一眼识别出诈骗，这么粗陋的手法却蒙蔽了很多人的双眼： 并且过年前，该诈骗网站又换上了“蛇年大吉”的丑陋Banner，并推出了蛇年春节活动的话术：“蛇年春节回馈活动”，内容为： 又是新的一年，大家所期待的优惠活动开始咯！ 具体方案： 1、活动期间：见到本文字起-2025年2月12日24:00（北京时间） 2、凡在活动期间累计交易金额达到3000美元（含）以上者，（不论新老用户均可，平台内所有交易均可）获得活动期间内累计交易金额的6%的现金返现，活动结束后3日内打入平台钱包内，请满足条件的用户在2月25日24点前编辑交易记录的文字发送到站内邮箱admincn即可，我们会进行统计。 3、新用户交易红包：凡在活动期间内单次交易达到2500美元以上的新用户，将获得188美元返现红包一个，发放方式同上。新用户是指在2024年11月20日以后注册的用户，无论本活动之前是否有交易记录。老用户禁止参加此项活动，如发现有老用户新注册账号冒充新用户参与，将受到停止交易一个月的处罚。本活动与上一条活动可同时参与。 4、老用户红包：凡在2024年6月以后交易笔数达到5次以上者， 且活动期间内再有任意一笔超过500美元的交易，均可获得368美元的红包。发放方式同上。与第2条活动可同时参与。 5、本次新春活动与幸运大转盘优惠可叠加。 6、本站春节无休，网站24小时一直都会有人值班，商铺如果不营业的卖家会写出说明，没有说明的就是正常营业。根据目前卖家的回馈及往年的情况，所有店铺都将持续营业。 以上两个活动交相呼应，于是上当受骗的小白越来越多。针对该诈骗网站的曝光仍将继续，“暗网下/AWX”还将研究其引流的路径，正确为更多暗网小白挽回损失。 更多暗网新闻动态，请关注“暗网下/AWX”。

芬兰海关在周五的新闻稿中表示，数人因涉嫌维护暗网毒品交易市场“Sipulitie Market”或参与该网站的客户服务和管理而被拘留。Sipulitie市场匿名贩卖麻醉品、毒品和其他药品以及兴奋剂。 芬兰海关（当地称为Tulli）与瑞典警方、欧洲刑警组织和芬兰各警察部门进行了广泛合作。在初步调查期间，数人因涉嫌维护该网站或参与该网站的客户服务和审核而被拘留。 “Sipulitie Market”，芬兰语意为“Onion Road”，是一个芬兰语暗网交易市场，自2023年初推出以来，一直在暗网社区掀起波澜。这个暗网市场主要面向芬兰语用户，以其强大的安全措施和友好的用户界面脱颖而出，深受芬兰语人群喜爱。去年10月，”暗网下/AWX“曾独家报道，“Sipultie Market”已被国际联合执法行动关闭。 据报道，初步调查仍在进行中，今年春天，该案件将被移交至西芬兰检察区考虑起诉。该刑事案件将在北卡累利阿地区法院审理。 芬兰当局去年查封暗网市场“Sipulitie Market” 2024年9月，芬兰海关关闭了自2023年以来一直在加密Tor网络上运行的Sipulitie暗网市场的网络服务器，并查封了服务器内容。该暗网交易市场用于匿名贩卖麻醉品、麻醉药品、药物和兴奋剂。 2024年秋，芬兰海关与瑞典警方合作查封了Sipulitie暗网市场的服务器并获取了服务器上存储的信息，包括源代码、数据库以及日志等。据分析，Sipulitie网站拥有超过17000个注册用户账户，其中150多个是供应商账户。 最新的调查发现了Sipulitie市场背后的犯罪嫌疑人 在海关查获的材料中，调查人员发现了该暗网市场用户之间发送的消息、支付交易详情、用户联系方式以及购买和销售数据。海关已确定了这些用户账户背后的几名嫌疑人，并已针对这些人展开毒品犯罪的初步调查。 在被扣押之前，该暗网市场的管理员公开表示Sipulitie的营业额为130万欧元，这与海关在初步调查中确定的数字相符。调查过程中，警方共追查到近一百万欧元的犯罪所得。其中一些已被扣押，一些则作为担保品被没收。 “海关网络犯罪调查员在调查此案时表现非常出色。我们能够有效干预并发现通过互联网匿名交易非法商品和物质的情况，”芬兰海关执法局局长汉努·辛科宁（Hannu Sinkkonen）表示。 一名居住在芬兰东部的男子被怀疑是Sipulitie暗网市场的管理员。该男子涉嫌三项严重毒品犯罪，涉及维护毒品网站。 在对嫌疑人的房屋搜查中，调查人员从嫌疑人身上查获了IT设备和加密货币材料等物品，以及价值约15万欧元的加密货币作为犯罪所得。为了保证安全，已要求没收嫌疑人价值超过50万欧元的资产。 “Sipulitie Market”的管理员招募在暗网市场上运营的卖家来帮助他进行客户服务并为他们的工作提供报酬。海关已经确定了这些人的身份。首先，他们招募了两名来自新地区（Uusimaa）的男子。在该暗网市场被关闭前几天，来自新地区和中芬兰的3人工作小组开始提供客户服务。该工作小组由2名男子和其中1名男子的母亲组成。 暗网上已不存在芬兰语的暗网市场 芬兰海关怀疑“Sipulitie Market”的管理员还管理着Sipulimarket和Tsätti销售网站，两者都是销售非法物质和毒品的暗网市场，“暗网下/AWX”前期报道，Sipulimarket是“Sipulitie Market”的前身。海关于2024年9月在关闭Sipulitie的同时也关闭了Tsätti网站。 Sipulimarket于2020年被海关关闭。Sipulitie被关闭后，在加密的Tor网络上不再有芬兰语的暗网毒品交易市场运营。 曾经风靡芬兰的Sipulitie市场的用户体验非常棒 “Sipulitie Market”暗网市场曾使用过的暗网V3域名是： http://sipulifrfvh2zqzvivpubhafag722y4xf54l7fggsvai726ivz3y7gad.onion 由于界面直观，浏览Sipulitie市场非常轻松。该暗网市场上架的商品按类别组织有序，浏览和购买非常顺畅。此外，该暗网市场还强调购买流程和安全实践的透明度，从而增强用户信任。 该暗网市场的供应商可以选择接受XMR、BTC支付。供应商以EUR/USD/GBP/SEK法定货币设定产品价格，当用户下订单时，价格将根据当前XMR或BTC汇率转换为XMR或BTC。 最为重要的是，该暗网市场设计了强大的网站安全功能，Sipulitie市场通过多项措施优先考虑用户安全： 强制性双因素身份验证（2FA）：对于供应商来说是必需的，对于买家来说是建议的。 PGP加密：确保买家和供应商之间的保密通信。 托管系统：资金将被保留直至买家确认收到货物，从而降低欺诈风险。

近期，有网友向本站（anwangxia.com）发送一个名为Rootexploit的新暗网论坛，希望予以鉴定。按照惯例，“暗网下/AWX”进行了一次探访，发现Rootexploit是一个正在酝酿中的暗网论坛，虽然在X平台有一些宣传，但是该论坛目前依旧没有人气。 Rootexploit暗网论坛的暗网V3域名以root作为前缀： https://root67ae74xjxjhrsdde3fcoajocwn6hbk2mrgxmn2uq2pvvfgl7uqid.onion 初步看来，Rootexploit暗网论坛于2025年1月4日左右创建，建站时间比较短，毫无知名度。众所周知，暗网论坛Dread是专门对暗网市场、暗网论坛综合评估的专业论坛。在Dread进行搜索，并未发现Rootexploit网站的子版块或者有关Rootexploit网站的任何讨论。 “暗网下/AWX”尝试访问该暗网域名，发现与大多数暗网论坛类似，该网站亦是使用开源论坛程序XenForo搭建。XenForo是一款用PHP编程语言编写的互联网论坛软件包。该软件由前vBulletin首席开发人员Kier Darby和Mike Sullivan开发。XenForo的第一个公开测试版于2010年10月发布，稳定版于2011年3月8日发布。XenForo程序历史悠久，因此在十多年的历史沉淀后，鲜有漏洞，相对而言比较安全。 该网站需要注册才能进入访问，与大多数暗网网站不同的是，尽管是初建网站，注册功能居然设置了邮箱验证，即新用户需验证邮箱才能进入该论坛。经“暗网下/AWX”测试，发送验证邮件的邮箱地址是[email protected]，SMTP服务器IP为209.85.216.44。从这点看，该暗网论坛的管理员的OPSEC能力还需加强，强制验证邮箱，既暴露自身的信息，也容易暴露用户的真实信息。在暗网中发展，此为大忌。 Rootexploit暗网论坛主要分为三个大版块：Rootexploit的回声、黑客与漏洞利用、漏洞和CVE漏洞利用，其中“Rootexploit的回声”又包含Void公告、Void更新、Void更新日志和Rootexploit起源4个子版块，“黑客与漏洞利用”包含黑暗面工具库、逆向工程实验室2个子版块，“漏洞和CVE漏洞利用”包含GitHub漏洞库、CVE数据库、CVE漏洞利用教程3个子版块。 由于论坛新建，从主题帖看，目前该论坛仅有4篇主题帖，其中两篇为管理员发布：“更新日志-1：解决用户注册错误”、“Rootexploit 论坛更新 – 隐形 IRC”，均为论坛功能调整；另两篇为用户searchonion发布的有关木马相关的：“Nexus安卓银行木马僵尸网络”、“Spyroid Rat VIP V2 源代码”；从回复看，仅有7篇回复；从注册用户分析，目前该论坛仅有70名注册用户。 查看管理员发布的公告内容，“更新日志-1：解决用户注册错误”公告解决了用户注册时的验证码bug： 亲爱的 Rootexploit 会员 在论坛上报告错误会让我们很高兴，我们会马上解决这个错误，您现在就可以毫不犹豫地注册账户了。 更新日志： 永久删除注册部分的非人类 Recaptcha。 如果您发现任何错误或问题，请通过此邮件 ( [email protected] ) 向我们报告，谢谢。 “Rootexploit 论坛更新 – 隐形 IRC”公告宣布了新的聊天功能插件： 亲爱的会员 现在您可以在论坛中聊天了，这将使您更容易与人讨论和了解。 特点 与用户全球聊天 创建自己的公共聊天室 创建自己的私人聊天室 与用户进行私人对话 自动删除模式 安全性 不存储任何信息 不存储日志 信息完全加盐加密 采用端到端加密 查看首页的聊天室，内容较少，主要是一些求合作的广告，似乎还有中文！ 总体而言，由于Rootexploit暗网论坛是今年新创建的论坛，目前并没有访问价值，更无法判断是否为诈骗网站或者以后会不会退出骗局。至于该暗网论坛能否发展，“暗网下/AWX”将持续关注。

臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输（MFT）软件漏洞而受到攻击的公司名单。 Cl0p团伙在其暗网泄密网站上发布公告，重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行，并被Cl0p团伙积极用于渗透全球企业的网络。 该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁，但网络安全研究人员发现该补丁不够完善，系统容易受到攻击。 该漏洞使攻击者能够上传恶意文件，这些文件会被软件自动执行，从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁（版本5.8.0.24），但由于更新延迟或缓解措施不足，许多团伙仍然容易受到攻击。 Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击，目前至少有66家企业遭到攻击，受害者涉及物流、消费品和食品供应链等行业。 虽然仅披露了部分受影响企业的名称，但该团伙威胁说，如果赎金要求在1月21日之前得不到满足，他们将公布全部详细信息。 Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名，它使用多层次的压力来强迫受害者支付赎金。在本案中，该团伙提供了安全的谈判沟通渠道，并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙，例如2023年的MOVEit漏洞，当时数百家公司面临类似的威胁。 该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布，随后将陆续发布后续数据。 Cleo已意识到问题的严重性，并发布了最新公告，敦促客户立即应用最新补丁。该公司还延长了24/7支持服务，以帮助受影响的客户保护其系统。 然而，网络安全专家警告说，使用Cleo产品的企业必须保持警惕，因为攻击者可能会继续瞄准未修补的系统。 此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击，展示了利用零日漏洞进行大规模数据泄露的模式。 此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。 随着Cl0p继续针对Cleo用户发起攻击，受影响的公司面临着越来越大的压力，需要迅速做出反应，否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作，以减轻此类攻击的影响。 不断发展的形势清楚地提醒我们，像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。 Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/ Dear companies A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!! Cl0p announcement. We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.

11月，一个名为HELLCAT的勒索软件团伙声称已经入侵施耐德电气（Schneider Electric）的基础设施。当时该团伙表示，他们获得了该公司Atlassian Jira环境的访问权限，从而窃取了数据。该公司确认其开发者平台遭到入侵，其响应团队正在调查此事件。 然而，12月29日，网络犯罪分子在其数据泄露网站上公布了施耐德电气的被盗数据，声称该公司拒绝支付赎金。暗网上的帖子只包含一个巨大的（40GB）文件，据称其中包含有关项目、问题、插件的公司数据以及超过400,000行用户数据。 HELLCAT勒索软件团伙此前曾泄露据称属于约旦教育部、坦桑尼亚商学院的数据以及Pinger应用程序的私人通信。 HELLCAT勒索软件团伙的奇怪要求 关于这个自称HELLCAT的新勒索软件团伙，人们知之甚少，只知道它有一位名叫Grep的发言人。这位发言人首先声称法国跨国公司施耐德电气遭到该勒索团伙的攻击，并要求支付荒谬的赎金。此次入侵似乎是针对施耐德电气的一台开发服务器，攻击者窃取了多达40GB的存档数据。 11月7日，网络犯罪分子首次在HELLCAT的暗网泄密网站上的一篇帖子发布了勒索要求，几乎所有勒索软件团伙都使用这种模式来威胁受害者，并要求受害者在所盗数据被出售或发布的规定日期之前付款。 ”我们成功攻破了施耐德电气的基础设施，访问了他们的 Atlassian Jira 系统。此次入侵事件已泄露关键数据，包括项目、问题和插件，以及超过 400,000 行用户数据，总计超过 40GB 压缩数据。施耐德电气是能源管理和自动化领域的领导者，年收入超过400亿美元，现在面临着泄露敏感客户和运营信息的风险。为了确保删除这些数据并防止其公开发布，我们需要您以 Baguettes 支付 125,000 美元。“ 这项赎金要求很奇怪，居然要求以“法式长棍面包”（Baguettes）形式支付125000美元。威胁者表示，如果公司首席执行官公开承认数据泄露行为，赎金要求将减少50%。不过实际上，有关“法式长棍面包”的玩笑声明只是个玩笑，勒索软件团伙正在寻求以一种注重隐私的加密货币——门罗币（Monero）进行支付。 施耐德电气就勒索软件事件发表声明 施耐德电气发言人发表了以下声明：“施耐德电气正在调查一起网络安全事件，该事件涉及未经授权访问我们位于隔离环境中的内部项目执行跟踪平台之一。我们的全球事件响应团队已立即动员起来应对该事件。施耐德电气的产品和服务未受影响。” Picus Security的安全研究员Hüseyin Can Yuceel表示：“勒索软件是一种商业模式，我们可以将这种奇怪的法式长棍面包需求视为一种营销噱头”，并补充说该勒索软件团伙要求支付门罗币加密货币赎金。 Hüseyin Can Yuceel继续表示，HELLCAT很可能是勒索软件犯罪领域的新玩家，他们“试图引起注意，并为未来的受害者和同伙建立信任，以便开展可能的勒索软件即服务行动。” Can Yuceel说，泄露被盗数据证明了他们的能力，如果Schneider支付赎金，“这将向其他人证明他们的能力和可信度。” 施耐德电气曾多次遭受勒索软件攻击 此次事件是施耐德电气在过去18个月内遭受的第三次重大网络攻击。2024年2月，Cactus勒索软件团伙声称对从该公司窃取1.5TB敏感数据负责。 去年，施耐德电气承认在MOVEit零日攻击活动期间，其成为Cl0p勒索软件团伙的攻击目标。 勒索软件攻击日益猖獗，给公司和组织带来巨大困扰。据报道，平均赎金要求已攀升至130万美元，某些变种甚至要求高达430万美元的解密密钥。 尽管强烈建议不要支付勒索软件要求以避免助长犯罪经济，但谈判后的平均经济损失仍然高达353,000美元。 HELLCAT勒索软件团伙的暗网泄密网站 HELLCAT勒索软件团伙的泄密网站的暗网V3域名是： http://hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion 该团伙在暗网留下了联系方式（TOX：898923FE0699CFE1EFD17773425DECB080840877C29F883D389D6880B2B961737FACE98E82E4，Telegram: @HCSupp，XMPP: [email protected]），同时附上了每月更新的PGP签名的文件： —–BEGIN PGP SIGNED MESSAGE—–Hash: SHA512hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onionThis is the signed address as of [27/12/2024]. This will be updated on [27/1/2025].—–BEGIN PGP SIGNATURE—–iHUEARYKAB0WIQQe7cVuFaMn5DMf9+EYB+TyQVtJqQUCZ24jKAAKCRAYB+TyQVtJqXzRAP9cXHXPOO++RgYC7cGyQIfkFW9SGg7lbOS5srA5GIjV3wEAqLuQxS6VTgIQG7uPCcQDDSzWrHqSN5GSf12n4g9TvAM==HKlM—–END PGP SIGNATURE—–

许久没有关注过这个暗网上最恶劣最肆无忌惮的老牌中文诈骗网站了，然而近期又又又有网友被骗了，虽然事后联系通知本站，告知此诈骗网站又换洋葱域名了，但是损失已经无法挽回。 “暗网下/AWX”已经预警过7次，该暗网诈骗网站现使用的网站名称为“华人自己的暗网担保交易市场”，而臭名昭著的曾用名也许大家更熟悉：“正版中文担保交易市场”。该暗网诈骗网站出售的苹果手机、华为手机、BTC钱包、CVV卡料以及各种地下服务都是假的，一旦转账，BTC有去无回。 “暗网下/AWX”多次提醒过的警告依旧：只要在暗网上看到名为“华人自己的暗网担保交易市场”的网站，不管是什么洋葱域名，无论用什么诈骗话术，必定是诈骗网站无疑。这么些年来，“暗网下/AWX”每曝光一次，该诈骗网站就会更换一次暗网域名。而之前使用的暗网网址要么已经被废弃，要么直接跳转至新的暗网域名。 诈骗网站“华人自己的暗网担保交易市场”新更换的暗网V3域名为： http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion 上次本站曝光的暗网V3域名仍在继续使用（访问后跳转新的洋葱域名）： http://waht6tybwp6tztk7qhhph7fc3njkjrbefcxxhxu2zo6oipny7buxulid.onion 目前，骗子已经给该诈骗网站更新了新的圣诞元旦样式的banner，该banner像素非常低，并不清晰，但是能够唬住暗网新手，于是这拙略的骗技，诈骗的成功率却很高。在上次本站（anwangxia.com）再次预警曝光后，纵观2024年，该诈骗网站已经使用了两次话术。 第一次诈骗话术是“六周年庆典回馈活动”： 又到了本站周年庆活动，老朋友们是不是很期待？六周年了，如果是养孩子也该上小学了。这六年来我们经历了很多，也认识了许多用户朋友，总之很感谢大家的一路跟随与支持。 老规矩，以下就是六周年庆典活动的方案，新老朋友按照自己的情况去狂欢吧！ 活动期间（北京时间）：2024年5月30日0点-2023年6月20日24点 1、 单笔交易达到2300美元（含）以上者，可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信，你可以用A账号购买用A账号发信，或者用B账号发信，甚至不注册账号完全匿名购买都可以，只要提供以上两项，核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧，返现只奖励到平台钱包内，没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。 2、活动期间内累计交易10000美元（含）以上，返现累计总金额的6%。此奖励不与第1条重复奖励，如果领取过单次交易奖励的交易，将不能计算到累计交易金额之内。申请奖励方法与第1条相同，请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。 3、本次活动作为六周年庆典回馈，将与幸运大转盘同时进行，折扣码、返现同时进行，可叠加使用。 4、凡是注册时间超过一年（北京时间2023年5月30日前注册）的用户，满足单笔最大交易达到$500以上且交易次数在三笔以上者，可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。 5、无论你是陪伴我们走过几年时间的老朋友，还是刚接触的新用户，我们都祝愿在往后的日子里你能越走越顺，心想事成。 第二次诈骗话术是“2024双十一活动公告”： 活动时间：2024年10月04日0点-11月30日24点（北京时间） 活动细则： 活动一：无论新老用户，活动期内在本平台交易满3次，金额最大一次在1000美元以上者；或活动期间内进行了不低于10次交易，累计金额不低于300美元。即可获得400美元购物券，在购买1000美元以上任意商品时均可使用。购物券永久有效。 活动二：活动期内，凡交易金额满3000美元者，即可获得以50美元价格购买全新Iphone16 Max Pro 1T的资格，两个月内有效。或返现400美元到用户的平台钱包，没有使用限制。金融类虚拟类商品只计算该期间内金额最大的一次交易，实物类商品可以累计活动内交易金额。 首页大转盘优惠券与上述活动优惠可叠加使用。 感谢六年多以来新老用户的支持，祝大家购物愉快！ 这些公告中的诈骗话术内容是情深意切，看起来还真像那么回事，但这也是此诈骗网站能如此多成功诈骗的关键，没有江湖经验的小白必然会上当受骗。 除了公告的话术外，该诈骗网站还有一个子栏目，被称为“互动空间”，让傻子觉得似乎有很多真实用户在互动，其实都是管理员填充好的语料，且时间改成最新，极易让人迷惑。如目前两个互动较多的新话题：“最近有没有推荐的项目”、“学人家弄个买支付宝项目的即时帖”，都是骗子精心设置的话术。 目前为止，该暗网诈骗网站使用的邮箱并没有更改，依旧是：[email protected]，这也是警方可以开展调查的突破口之一。 当然，警方还可以有其他突破口，那就是支付途径，通过区块链进行链上分析。该诈骗网站曾经只接受比特币的付款，目前已经增加了多种加密货币：莱特币/以太坊，除了之前的Blockonomics的支付网关接口外，页面上显示还增加了Coinbase的支付接口。 尝试Blockonomics的支付接口，每次提交会给出不同的支付地址： BTC：1JAgdq6QshV1swq2rGa3ryAPML5dKLZzVD、1BXP8RArT65Yb59Q8qRchmPijCVRHHDaPQ ETH：0x265d21263644f7A9EDE1FfA3BB28955c71fF21CF、0xdA8AD05Fb93706fDAb741495405DCB2cB6362FDd LTC：ltc1q6yqzns0scnrs6rpg6wkxhkpusfh3rvpvrygpph、ltc1qt75p2h5hcsqgwh052mchm5z4m9j4kym2qpsjs0 由于是随机地址，以上加密货币地址均是空白地址，无交易信息，也就不具备参考价值。“暗网下/AWX”多次尝试Coinbase的支付接口，均显示错误提示“Unexpected Application Error!”，无法正常提交。 同样，在本次（anwangxia.com）曝光后，骗子定会继续更换暗网V3域名，“暗网下/AWX”将继续追踪，持续跟进曝光。 更多暗网新闻动态，请关注“暗网下/AWX”。

LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一，它使超过2000个企业成为受害者，累计赎金超过1.2亿美元，并提出了总额达数亿美元的勒索要求。 早在今年年初，“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时，有分析表示，LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件，称为LockBit-NG-Dev，可能成为LockBit 4.0。就在今天，LockBit勒索软件团伙在其暗网泄密网站发布公告，正式宣布了LockBit 4.0版本的暗网网站。 LockBit勒索软件团伙的公告称，如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗？”，可以“注册（其提供的新的网站）并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥（ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA），据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名： http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion “暗网下/AWX”随机测试访问了以上暗网网站，发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是，进入新的暗网网站后需要用户名密码才能登录，同时提供了两个注册按钮，一个是使用BTC（比特币）注册，另一个是使用XMR（门罗币）注册。在网站最下方，显示称该团伙从2019年9月3日开始运作（We’ve been working since September 3, 2019），并显示了具体的计时。 本站（anwangxia.com）试图注册一个账号，但注册页面要求转账指定数额（价值777美元）的BTC或者XMR地址打款才能完成注册，因此尚未进一步测试。新暗网网站的注册页面写道，请在完成注册前保存付款链接，只有通过该链接，才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额（777美元）的款项，但不得少于指定金额。如果金额少于指定金额，注册将被取消。 对于使用BTC注册的用户，网页要求请发送0.007786 BTC至指定地址，并要求使用加密货币混合器支付注册费或发送脏比特币；使用XMR注册的用户，网页称只需发送3.765265 XMR至指定地址。注册页面表示，只要确认已经付款，注册者将立即获得LockBit勒索软件控制面板的访问权限，用户可以在此创建基于Windows、ESXi、Linux的加密程序（勒索软件），并与遭受攻击的受害者进行交流。 看起来，LockBit 4.0似乎将勒索软件即服务（RASS）的流程通过暗网网站后台集成化了，但同时也提升了成为其附属机构的门槛，即需要支付777美元的注册费用才能加入该团伙，然后才能使用该团伙最新版本的勒索软件。 FBI等国际执法机构针对LockBit的打击一直在持续进行，但LockBit背后的管理团队都位于俄罗斯等独联体国家，这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施，“暗网下/AWX”将拭目以待。

“暗网下/AWX”发现，一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似，也实施双重勒索，先从受害者那里窃取敏感数据，然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”，Chort在俄语中是“魔鬼”的意思，代表着这个勒索软件团伙的邪恶。 据本站（anwangxia.com）分析研究估算，Chort勒索软件团伙可能从2024年9月开始运作，因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日，网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者（Texans Can Academies，texanscan.org）帖子日期为10月29日，也就意味着该暗网网站的创建时间早于10月29日。 与其他勒索软件团伙一样，Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击，其暗网网站没有发布任何政治言论或社会宣言，只是在首页中写着“List of Companies wouldn’t want to be safe”（不想安全的公司名单）。 Chort勒索软件团伙攻击的7名受害者分析 截至目前，Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者，最新受害者的发布日期为11月22日。经初步判断，Chort团伙主要针对的都是美国目标： 总部位于美国的教育机构Texas Can Academies（exanscan.org） 美国教育机构爱德华斯堡学校基金会（edwardsburgschoolsfoundation.org） 美国制造商Tri-Tech Electronics（Tri-TechElectronics.com） 位于美国的巴托县学校系统（bartow.k12.ga.us） 位于科威特的农业事务和鱼类资源公共管理局（PAAF，paaf.gov.kw） 位于美国的哈特威克学院（hartwick.edu） 位于美国的希博伊根市政府（sheboyganwi.gov） 其中，Chort团队已将City Of Sheboygan（sheboyganwi.gov）、Hartwick College（hartwick.edu）、PAAF（paaf.gov.kw）、Bartow County School System（bartow.k12.ga.us）、和Tri-Tech Electronics（Tri-TechElectronics.com）等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者：Edwardsburg Public Schools Foundation（edwardsburgschoolsfoundation.org）和Texans Can Academies（texanscan.org）的状态是“Not Available”，无法判断这两个目标是否已经支付了赎金，还是正在谈判中。 其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日，爱德华兹堡学校基金会表示，它遭遇了“网络中断”，导致课程被取消。10月18日，巴托县学校系统宣布，在“未经授权的外部来源”试图访问其部分“信息系统”后，它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此，“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。 Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站： http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion “暗网下/AWX”尝试访问了该站点，该暗网网站访问速度很快，首次进入时，页面上设置有数字验证码的认证，似乎为了防止DDoS攻击。 该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面，其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”（已公布）的受害者，Chort还嵌入了个人身份信息（PII）、发票和其他财务文件的图像，作为被盗数据的证据。 此外，主页的右上角有个“联系我们”的按钮，点击进去后的页面显示着“如需购买资料，请通过以下地址联系我们”（For purchase data please contact us from below addresses），并列出了Chort勒索软件团伙在Tox（EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1）、Jabber（[email protected]）和Telegram（@ChortGroup）的联系信息。经访问得知，该团伙于北京时间11月16日创建了Telegram频道，截至目前，该频道大约有62名订阅者。 Chort勒索软件团伙能存在多久，FBI何时能够摧毁它。“暗网下/AWX”将持续关注。