暗网网站

臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输（MFT）软件漏洞而受到攻击的公司名单。 Cl0p团伙在其暗网泄密网站上发布公告，重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行，并被Cl0p团伙积极用于渗透全球企业的网络。 该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁，但网络安全研究人员发现该补丁不够完善，系统容易受到攻击。 该漏洞使攻击者能够上传恶意文件，这些文件会被软件自动执行，从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁（版本5.8.0.24），但由于更新延迟或缓解措施不足，许多团伙仍然容易受到攻击。 Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击，目前至少有66家企业遭到攻击，受害者涉及物流、消费品和食品供应链等行业。 虽然仅披露了部分受影响企业的名称，但该团伙威胁说，如果赎金要求在1月21日之前得不到满足，他们将公布全部详细信息。 Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名，它使用多层次的压力来强迫受害者支付赎金。在本案中，该团伙提供了安全的谈判沟通渠道，并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙，例如2023年的MOVEit漏洞，当时数百家公司面临类似的威胁。 该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布，随后将陆续发布后续数据。 Cleo已意识到问题的严重性，并发布了最新公告，敦促客户立即应用最新补丁。该公司还延长了24/7支持服务，以帮助受影响的客户保护其系统。 然而，网络安全专家警告说，使用Cleo产品的企业必须保持警惕，因为攻击者可能会继续瞄准未修补的系统。 此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击，展示了利用零日漏洞进行大规模数据泄露的模式。 此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。 随着Cl0p继续针对Cleo用户发起攻击，受影响的公司面临着越来越大的压力，需要迅速做出反应，否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作，以减轻此类攻击的影响。 不断发展的形势清楚地提醒我们，像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。 Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/ Dear companies A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!! Cl0p announcement. We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.

11月，一个名为HELLCAT的勒索软件团伙声称已经入侵施耐德电气（Schneider Electric）的基础设施。当时该团伙表示，他们获得了该公司Atlassian Jira环境的访问权限，从而窃取了数据。该公司确认其开发者平台遭到入侵，其响应团队正在调查此事件。 然而，12月29日，网络犯罪分子在其数据泄露网站上公布了施耐德电气的被盗数据，声称该公司拒绝支付赎金。暗网上的帖子只包含一个巨大的（40GB）文件，据称其中包含有关项目、问题、插件的公司数据以及超过400,000行用户数据。 HELLCAT勒索软件团伙此前曾泄露据称属于约旦教育部、坦桑尼亚商学院的数据以及Pinger应用程序的私人通信。 HELLCAT勒索软件团伙的奇怪要求 关于这个自称HELLCAT的新勒索软件团伙，人们知之甚少，只知道它有一位名叫Grep的发言人。这位发言人首先声称法国跨国公司施耐德电气遭到该勒索团伙的攻击，并要求支付荒谬的赎金。此次入侵似乎是针对施耐德电气的一台开发服务器，攻击者窃取了多达40GB的存档数据。 11月7日，网络犯罪分子首次在HELLCAT的暗网泄密网站上的一篇帖子发布了勒索要求，几乎所有勒索软件团伙都使用这种模式来威胁受害者，并要求受害者在所盗数据被出售或发布的规定日期之前付款。 ”我们成功攻破了施耐德电气的基础设施，访问了他们的 Atlassian Jira 系统。此次入侵事件已泄露关键数据，包括项目、问题和插件，以及超过 400,000 行用户数据，总计超过 40GB 压缩数据。施耐德电气是能源管理和自动化领域的领导者，年收入超过400亿美元，现在面临着泄露敏感客户和运营信息的风险。为了确保删除这些数据并防止其公开发布，我们需要您以 Baguettes 支付 125,000 美元。“ 这项赎金要求很奇怪，居然要求以“法式长棍面包”（Baguettes）形式支付125000美元。威胁者表示，如果公司首席执行官公开承认数据泄露行为，赎金要求将减少50%。不过实际上，有关“法式长棍面包”的玩笑声明只是个玩笑，勒索软件团伙正在寻求以一种注重隐私的加密货币——门罗币（Monero）进行支付。 施耐德电气就勒索软件事件发表声明 施耐德电气发言人发表了以下声明：“施耐德电气正在调查一起网络安全事件，该事件涉及未经授权访问我们位于隔离环境中的内部项目执行跟踪平台之一。我们的全球事件响应团队已立即动员起来应对该事件。施耐德电气的产品和服务未受影响。” Picus Security的安全研究员Hüseyin Can Yuceel表示：“勒索软件是一种商业模式，我们可以将这种奇怪的法式长棍面包需求视为一种营销噱头”，并补充说该勒索软件团伙要求支付门罗币加密货币赎金。 Hüseyin Can Yuceel继续表示，HELLCAT很可能是勒索软件犯罪领域的新玩家，他们“试图引起注意，并为未来的受害者和同伙建立信任，以便开展可能的勒索软件即服务行动。” Can Yuceel说，泄露被盗数据证明了他们的能力，如果Schneider支付赎金，“这将向其他人证明他们的能力和可信度。” 施耐德电气曾多次遭受勒索软件攻击 此次事件是施耐德电气在过去18个月内遭受的第三次重大网络攻击。2024年2月，Cactus勒索软件团伙声称对从该公司窃取1.5TB敏感数据负责。 去年，施耐德电气承认在MOVEit零日攻击活动期间，其成为Cl0p勒索软件团伙的攻击目标。 勒索软件攻击日益猖獗，给公司和组织带来巨大困扰。据报道，平均赎金要求已攀升至130万美元，某些变种甚至要求高达430万美元的解密密钥。 尽管强烈建议不要支付勒索软件要求以避免助长犯罪经济，但谈判后的平均经济损失仍然高达353,000美元。 HELLCAT勒索软件团伙的暗网泄密网站 HELLCAT勒索软件团伙的泄密网站的暗网V3域名是： http://hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onion 该团伙在暗网留下了联系方式（TOX：898923FE0699CFE1EFD17773425DECB080840877C29F883D389D6880B2B961737FACE98E82E4，Telegram: @HCSupp，XMPP: [email protected]），同时附上了每月更新的PGP签名的文件： —–BEGIN PGP SIGNED MESSAGE—–Hash: SHA512hellcakbszllztlyqbjzwcbdhfrodx55wq77kmftp4bhnhsnn5r3odad.onionThis is the signed address as of [27/12/2024]. This will be updated on [27/1/2025].—–BEGIN PGP SIGNATURE—–iHUEARYKAB0WIQQe7cVuFaMn5DMf9+EYB+TyQVtJqQUCZ24jKAAKCRAYB+TyQVtJqXzRAP9cXHXPOO++RgYC7cGyQIfkFW9SGg7lbOS5srA5GIjV3wEAqLuQxS6VTgIQG7uPCcQDDSzWrHqSN5GSf12n4g9TvAM==HKlM—–END PGP SIGNATURE—–

许久没有关注过这个暗网上最恶劣最肆无忌惮的老牌中文诈骗网站了，然而近期又又又有网友被骗了，虽然事后联系通知本站，告知此诈骗网站又换洋葱域名了，但是损失已经无法挽回。 “暗网下/AWX”已经预警过7次，该暗网诈骗网站现使用的网站名称为“华人自己的暗网担保交易市场”，而臭名昭著的曾用名也许大家更熟悉：“正版中文担保交易市场”。该暗网诈骗网站出售的苹果手机、华为手机、BTC钱包、CVV卡料以及各种地下服务都是假的，一旦转账，BTC有去无回。 “暗网下/AWX”多次提醒过的警告依旧：只要在暗网上看到名为“华人自己的暗网担保交易市场”的网站，不管是什么洋葱域名，无论用什么诈骗话术，必定是诈骗网站无疑。这么些年来，“暗网下/AWX”每曝光一次，该诈骗网站就会更换一次暗网域名。而之前使用的暗网网址要么已经被废弃，要么直接跳转至新的暗网域名。 诈骗网站“华人自己的暗网担保交易市场”新更换的暗网V3域名为： http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion 上次本站曝光的暗网V3域名仍在继续使用（访问后跳转新的洋葱域名）： http://waht6tybwp6tztk7qhhph7fc3njkjrbefcxxhxu2zo6oipny7buxulid.onion 目前，骗子已经给该诈骗网站更新了新的圣诞元旦样式的banner，该banner像素非常低，并不清晰，但是能够唬住暗网新手，于是这拙略的骗技，诈骗的成功率却很高。在上次本站（anwangxia.com）再次预警曝光后，纵观2024年，该诈骗网站已经使用了两次话术。 第一次诈骗话术是“六周年庆典回馈活动”： 又到了本站周年庆活动，老朋友们是不是很期待？六周年了，如果是养孩子也该上小学了。这六年来我们经历了很多，也认识了许多用户朋友，总之很感谢大家的一路跟随与支持。 老规矩，以下就是六周年庆典活动的方案，新老朋友按照自己的情况去狂欢吧！ 活动期间（北京时间）：2024年5月30日0点-2023年6月20日24点 1、 单笔交易达到2300美元（含）以上者，可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信，你可以用A账号购买用A账号发信，或者用B账号发信，甚至不注册账号完全匿名购买都可以，只要提供以上两项，核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧，返现只奖励到平台钱包内，没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。 2、活动期间内累计交易10000美元（含）以上，返现累计总金额的6%。此奖励不与第1条重复奖励，如果领取过单次交易奖励的交易，将不能计算到累计交易金额之内。申请奖励方法与第1条相同，请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。 3、本次活动作为六周年庆典回馈，将与幸运大转盘同时进行，折扣码、返现同时进行，可叠加使用。 4、凡是注册时间超过一年（北京时间2023年5月30日前注册）的用户，满足单笔最大交易达到$500以上且交易次数在三笔以上者，可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。 5、无论你是陪伴我们走过几年时间的老朋友，还是刚接触的新用户，我们都祝愿在往后的日子里你能越走越顺，心想事成。 第二次诈骗话术是“2024双十一活动公告”： 活动时间：2024年10月04日0点-11月30日24点（北京时间） 活动细则： 活动一：无论新老用户，活动期内在本平台交易满3次，金额最大一次在1000美元以上者；或活动期间内进行了不低于10次交易，累计金额不低于300美元。即可获得400美元购物券，在购买1000美元以上任意商品时均可使用。购物券永久有效。 活动二：活动期内，凡交易金额满3000美元者，即可获得以50美元价格购买全新Iphone16 Max Pro 1T的资格，两个月内有效。或返现400美元到用户的平台钱包，没有使用限制。金融类虚拟类商品只计算该期间内金额最大的一次交易，实物类商品可以累计活动内交易金额。 首页大转盘优惠券与上述活动优惠可叠加使用。 感谢六年多以来新老用户的支持，祝大家购物愉快！ 这些公告中的诈骗话术内容是情深意切，看起来还真像那么回事，但这也是此诈骗网站能如此多成功诈骗的关键，没有江湖经验的小白必然会上当受骗。 除了公告的话术外，该诈骗网站还有一个子栏目，被称为“互动空间”，让傻子觉得似乎有很多真实用户在互动，其实都是管理员填充好的语料，且时间改成最新，极易让人迷惑。如目前两个互动较多的新话题：“最近有没有推荐的项目”、“学人家弄个买支付宝项目的即时帖”，都是骗子精心设置的话术。 目前为止，该暗网诈骗网站使用的邮箱并没有更改，依旧是：[email protected]，这也是警方可以开展调查的突破口之一。 当然，警方还可以有其他突破口，那就是支付途径，通过区块链进行链上分析。该诈骗网站曾经只接受比特币的付款，目前已经增加了多种加密货币：莱特币/以太坊，除了之前的Blockonomics的支付网关接口外，页面上显示还增加了Coinbase的支付接口。 尝试Blockonomics的支付接口，每次提交会给出不同的支付地址： BTC：1JAgdq6QshV1swq2rGa3ryAPML5dKLZzVD、1BXP8RArT65Yb59Q8qRchmPijCVRHHDaPQ ETH：0x265d21263644f7A9EDE1FfA3BB28955c71fF21CF、0xdA8AD05Fb93706fDAb741495405DCB2cB6362FDd LTC：ltc1q6yqzns0scnrs6rpg6wkxhkpusfh3rvpvrygpph、ltc1qt75p2h5hcsqgwh052mchm5z4m9j4kym2qpsjs0 由于是随机地址，以上加密货币地址均是空白地址，无交易信息，也就不具备参考价值。“暗网下/AWX”多次尝试Coinbase的支付接口，均显示错误提示“Unexpected Application Error!”，无法正常提交。 同样，在本次（anwangxia.com）曝光后，骗子定会继续更换暗网V3域名，“暗网下/AWX”将继续追踪，持续跟进曝光。 更多暗网新闻动态，请关注“暗网下/AWX”。

LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一，它使超过2000个企业成为受害者，累计赎金超过1.2亿美元，并提出了总额达数亿美元的勒索要求。 早在今年年初，“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时，有分析表示，LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件，称为LockBit-NG-Dev，可能成为LockBit 4.0。就在今天，LockBit勒索软件团伙在其暗网泄密网站发布公告，正式宣布了LockBit 4.0版本的暗网网站。 LockBit勒索软件团伙的公告称，如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗？”，可以“注册（其提供的新的网站）并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥（ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA），据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名： http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion “暗网下/AWX”随机测试访问了以上暗网网站，发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是，进入新的暗网网站后需要用户名密码才能登录，同时提供了两个注册按钮，一个是使用BTC（比特币）注册，另一个是使用XMR（门罗币）注册。在网站最下方，显示称该团伙从2019年9月3日开始运作（We’ve been working since September 3, 2019），并显示了具体的计时。 本站（anwangxia.com）试图注册一个账号，但注册页面要求转账指定数额（价值777美元）的BTC或者XMR地址打款才能完成注册，因此尚未进一步测试。新暗网网站的注册页面写道，请在完成注册前保存付款链接，只有通过该链接，才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额（777美元）的款项，但不得少于指定金额。如果金额少于指定金额，注册将被取消。 对于使用BTC注册的用户，网页要求请发送0.007786 BTC至指定地址，并要求使用加密货币混合器支付注册费或发送脏比特币；使用XMR注册的用户，网页称只需发送3.765265 XMR至指定地址。注册页面表示，只要确认已经付款，注册者将立即获得LockBit勒索软件控制面板的访问权限，用户可以在此创建基于Windows、ESXi、Linux的加密程序（勒索软件），并与遭受攻击的受害者进行交流。 看起来，LockBit 4.0似乎将勒索软件即服务（RASS）的流程通过暗网网站后台集成化了，但同时也提升了成为其附属机构的门槛，即需要支付777美元的注册费用才能加入该团伙，然后才能使用该团伙最新版本的勒索软件。 FBI等国际执法机构针对LockBit的打击一直在持续进行，但LockBit背后的管理团队都位于俄罗斯等独联体国家，这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施，“暗网下/AWX”将拭目以待。

“暗网下/AWX”发现，一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似，也实施双重勒索，先从受害者那里窃取敏感数据，然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”，Chort在俄语中是“魔鬼”的意思，代表着这个勒索软件团伙的邪恶。 据本站（anwangxia.com）分析研究估算，Chort勒索软件团伙可能从2024年9月开始运作，因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日，网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者（Texans Can Academies，texanscan.org）帖子日期为10月29日，也就意味着该暗网网站的创建时间早于10月29日。 与其他勒索软件团伙一样，Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击，其暗网网站没有发布任何政治言论或社会宣言，只是在首页中写着“List of Companies wouldn’t want to be safe”（不想安全的公司名单）。 Chort勒索软件团伙攻击的7名受害者分析 截至目前，Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者，最新受害者的发布日期为11月22日。经初步判断，Chort团伙主要针对的都是美国目标： 总部位于美国的教育机构Texas Can Academies（exanscan.org） 美国教育机构爱德华斯堡学校基金会（edwardsburgschoolsfoundation.org） 美国制造商Tri-Tech Electronics（Tri-TechElectronics.com） 位于美国的巴托县学校系统（bartow.k12.ga.us） 位于科威特的农业事务和鱼类资源公共管理局（PAAF，paaf.gov.kw） 位于美国的哈特威克学院（hartwick.edu） 位于美国的希博伊根市政府（sheboyganwi.gov） 其中，Chort团队已将City Of Sheboygan（sheboyganwi.gov）、Hartwick College（hartwick.edu）、PAAF（paaf.gov.kw）、Bartow County School System（bartow.k12.ga.us）、和Tri-Tech Electronics（Tri-TechElectronics.com）等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者：Edwardsburg Public Schools Foundation（edwardsburgschoolsfoundation.org）和Texans Can Academies（texanscan.org）的状态是“Not Available”，无法判断这两个目标是否已经支付了赎金，还是正在谈判中。 其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日，爱德华兹堡学校基金会表示，它遭遇了“网络中断”，导致课程被取消。10月18日，巴托县学校系统宣布，在“未经授权的外部来源”试图访问其部分“信息系统”后，它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此，“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。 Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站： http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion “暗网下/AWX”尝试访问了该站点，该暗网网站访问速度很快，首次进入时，页面上设置有数字验证码的认证，似乎为了防止DDoS攻击。 该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面，其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”（已公布）的受害者，Chort还嵌入了个人身份信息（PII）、发票和其他财务文件的图像，作为被盗数据的证据。 此外，主页的右上角有个“联系我们”的按钮，点击进去后的页面显示着“如需购买资料，请通过以下地址联系我们”（For purchase data please contact us from below addresses），并列出了Chort勒索软件团伙在Tox（EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1）、Jabber（[email protected]）和Telegram（@ChortGroup）的联系信息。经访问得知，该团伙于北京时间11月16日创建了Telegram频道，截至目前，该频道大约有62名订阅者。 Chort勒索软件团伙能存在多久，FBI何时能够摧毁它。“暗网下/AWX”将持续关注。

“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”，”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍，已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息，其中包括一家中国公司和一加位于德国的公司。 🚨 New #ransomware group: Vanir Group 🚨 Currently, the criminal group's list includes 3 victims: Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7 — HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施，该勒索软件团伙部署了新型恶意软件。 巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息，并在一份声明中表示，该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。 卡尔斯鲁厄市和巴登-符腾堡州的官员表示，他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。 巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙，并于8月发现了该团伙泄密网站的托管服务器，并于9月17日对其进行了查封。 “2024年8月，调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据，”他们说。 德国当局表示：“今天，犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管，并重定向到一个被屏蔽的页面。” 官员们没有回应记者的置评请求，即是否有人被捕，或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示，“通过封锁该页面，肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。” 目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面：“这个暗网网站已经被巴登-符腾堡州国家调查局查封，这是针对Vanir勒索软件团伙采取的执法行动的一部分。” “Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙，正如本站（anwangxia.com）之前报道：今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。 从此以后，该勒索软件团伙就没再活跃过。 “Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示，这是一个勒索软件即服务团伙，正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。 网络安全社区新闻网站Red Hot Cyber​​声称在7月采访了BlackEyedBastard，其中“Vanir Group”领导人阐述了该团伙的行动。

“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”，”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍，已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息，其中包括一家中国公司和一加位于德国的公司。 🚨 New #ransomware group: Vanir Group 🚨 Currently, the criminal group's list includes 3 victims: Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7 — HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施，该勒索软件团伙部署了新型恶意软件。 巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息，并在一份声明中表示，该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。 卡尔斯鲁厄市和巴登-符腾堡州的官员表示，他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。 巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙，并于8月发现了该团伙泄密网站的托管服务器，并于9月17日对其进行了查封。 “2024年8月，调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据，”他们说。 德国当局表示：“今天，犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管，并重定向到一个被屏蔽的页面。” 官员们没有回应记者的置评请求，即是否有人被捕，或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示，“通过封锁该页面，肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。” 目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面：“这个暗网网站已经被巴登-符腾堡州国家调查局查封，这是针对Vanir勒索软件团伙采取的执法行动的一部分。” “Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙，正如本站（anwangxia.com）之前报道：今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。 从此以后，该勒索软件团伙就没再活跃过。 “Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示，这是一个勒索软件即服务团伙，正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。 网络安全社区新闻网站Red Hot Cyber​​声称在7月采访了BlackEyedBastard，其中“Vanir Group”领导人阐述了该团伙的行动。

Akira是一个勒索软件团伙（ransomware-as-a-service），在勒索软件圈子的知名度越来越高，其暗网泄密网站本月公布的新受害者数量创下了纪录，而且还有更多受害者在增加。为了一探究竟，“暗网下/AWX”尝试对Akira的暗网泄密网站进行了访问。 Akira的暗网泄密网站的V3地址是： https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion Akira团伙的暗网网站 Akira团伙的暗网泄密网站以日本赛博朋克漫画命名，其风格类似于20世纪80年代流行的单色计算机命令行界面。在”暗网下/AWX“看来，该网站的风格与”Vanir Group“的暗网泄密网站界面很相似，设计成一个Linux系统的终端，黑底绿字，操作也与终端相仿，看起来像一个客户访问Linux终端（guest@akira:~$）。 打开Akira团伙的暗网网站，与其他勒索软件团伙的暗网泄密网站一样，映入眼帘的也是一段恐吓文字： 您在这里。这意味着你现在正遭受网络事件的困扰。将我们的行动视为对您的网络漏洞进行一次计划外的强制审计。请记住，要让这一切消失，需要付出合理的代价。 不要急于评估发生了什么–是我们害了你们。您能做的最好的事情就是按照我们的指示恢复您的日常工作，通过与我们合作，您可以将可能造成的损失降到最低。 那些选择不同道路的人将在这里受到公开羞辱。本博客的功能非常简单，只需在输入行中输入所需的命令，即可获取全球企业希望保密的最多汁信息。 请记住 没有我们的帮助，您将无法恢复。您的数据已经消失，无法追踪到最终存储地点，也无法被除我们之外的任何人删除。 与”Vanir Group“暗网网站类似，Akira网站的伪终端里可以输入5个命令：输入”help“等命令，可以查看所有命令列表；输入”leaks“命令，可以查看所有被黑的受害者信息；输入”news“命令，可以查看关于即将发布的数据的新闻；输入”contact“命令，可以给Akira团伙发送消息；输入”clear“命令，可以清除当前屏幕显示。 由此看来，Akira的暗网泄密网站主要包含3个功能：一是“新闻”功能（/n），用于勒索最近的受害者；二是“泄露”功能（/l），用于在勒索失败后公布数据；三是”联系“功能（/m），用于与勒索软件团伙进行联系。 其中联系功能，可以提交”email/icq/jabber/tox id/telegram“，意味着勒索软件团伙会使用这些联系方式进行联系。 Akira勒索软件团伙发布了大量受害者信息 本站（anwangxia.com）测试输入”news“命令，发现从2023年4月25日至2024年11月20日的大约一年半时间里，Akira勒索软件团伙共发布了319个受害者，并详细描述了泄露的是什么数据；输入”leaks“命令，经统计，公开泄露了数据的受害者共有128个。因此”暗网下/AWX“判断，除了还在勒索谈判期的，也许已经有上百个受害者支付了赎金。 美国联邦调查局称，Akira勒索软件团伙于2023年3月出现，他们为黑客提供平台，通过窃取和加密数据来勒索受害者。FBI表示，在运营的第一年，Akira通过大约250次攻击赚取了4200万美元。 该团伙在出现后不久就进行了大量的网络攻击，令专家们相信该组织是由经验丰富的勒索软件攻击者组成。去年该团伙发动了一系列攻击，包括对云托管服务提供商Tietoevry的攻击。 勒索软件团体通常会在受害者公布被盗数据前，给他们几天或几周时间支付赎金，具体时间取决于谈判结果。Akira的暗网泄密网站在8月至10月期间公布的数据比平时少，导致11月份列表数量突然激增的原因可能有多种，比如越来越多的新附属公司利用该暗网网站勒索受害者，或者是Akira管理员选择隐瞒之前的泄密事件。 新受害者大多来自总部位于美国的商业服务行业公司以及两家公司总部位于加拿大的公司，其他受害者来自德国、英国和其他国家。“暗网下/AWX”将受害者的名字与网址与过去几年追踪的所有勒索软件团伙发布的受害者进行了对比分析，证实这些被攻击的对象都是首次出现的新受害者。 LockBit今年早些时候公布了类似数量的受害者信息，试图淡化其受到执法部门攻击的情况，LockBit“在其旧网站被查封后，将旧受害者信息与新受害者信息混在一起”。 据英国国家打击犯罪局称，LockBit列出的许多受害者都是被重新发布的旧攻击，而其他受害者则是虚假或被错误归因的攻击，据称影响了一家大型企业，而事实上只影响了一家非常小的子公司。

Kycnot.me是一个导航网站，专注于隐私保护。该网站推荐了值得信任的不需要KYC的支持比特币、门罗币支付的各种服务的网站，包括但不限于去中心化交易所、VPS或主机供应、AI聊天等服务。 ”暗网下/AWX“看到，3年前，Kycnot.me网站的开发者hoiru在Reddit介绍了他创建该网站的理由，他想帮助保护加密货币的原始精神，希望这个网站对那些试图远离KYC执行页面但仍希望能够使用、交易和购买加密货币的人有用。 Kycnot.me非常注重用户的隐私与安全，该网站不需要Javascript，所有内容均在服务器端直接输出，意味着用户可以在禁用Javascript 的情况下使用 kycnot.me。Kycnot.me也没有追踪器，不会从前端建立任何第三方连接，不会收集任何类型的用户数据。 ”暗网下/AWX“探访了该网站，Kycnot.me网站的功能很简单，主页仅有3种过滤器：类型（所有、交易所、服务），关键词搜索文本框（名称、描述、关键字），货币（btc、xmr、ln、fiat、cash），其中货币支持多选，整体一目了然。 针对列表中的每一个网站，Kycnot.me给出了4个KYC级别，从0到3，级别越高，则KYC越严格。且对于hoiru亲自测试过的服务，会专门标记带有勾号的蓝色徽章。但是经过验证的服务并不意味着可以盲目使用该服务，它只是意味着在验证时该服务没有执行KYC同时不是骗局。 Kycnot.me表示，该网站拥有一款人工智能工具，使用了OpenAI的GPT4-turbo模型，可自动审查所有不同服务的服务条款 (ToS)。它会分解ToS内容，突出要点，并将其翻译成易于理解的语言，并简化对任何服务ToS的理解。 Kycnot.me网站的介绍称，加密货币的出现是为了彻底改变我们支付商品和服务的方式，旨在消除对控制我们经济的银行和政府等中心化实体的依赖。 然而，执行KYC（了解您的客户）的交易所的运作方式与传统银行类似。用户需要提供身份证明，例如身份证照片，才能使用这些交易所。此外，大多数交易所都是中心化的，这意味着用户不拥有自己的密钥。简而言之，这意味着加密货币属于交易所，而不是用户。这些要求违背了加密货币的去中心化和自主主权的性质。 Kycnot.me希望为人们提供值得信赖的替代方案，让他们无需透露身份即可购买、兑换、交易和使用加密货币，从而保护隐私权。 为什么Kycnot.me网站只推荐支持比特币和门罗币的网站？该网站表示是因为：比特币是去中心化货币的最初火花，一个拥有强大社区的坚实项目，是最知名和最普遍的加密货币；而门罗币可互换、设计私密、速度快且费用低廉，同时是最古老的加密货币之一，拥有非常活跃的社区。Kycnot.me还称，虽然并没有添加其他加密货币，但列出的大多数网站也可能接受其他加密货币，例如以太坊或莱特币。 为了增加访客的信任，Kycnot.me通过一些方法努力做到尽可能透明： 开源代码——提供提交历史记录和评分算法的完整披露。 每个页面上的评论部分，可在自托管的Comentario实例上使用。 所有更改均记录在变更日志中 查看任何服务的分数细目：bisq 示例 开放API获取所有网站服务数据 开放评分算法。所有服务均采用相同算法，这意味着评分不是主观的。 测试证明：提供PGP签名的证明，证明hoiru亲自测试过该服务。要查看证明，请点击服务页面中服务名称旁边的“已验证”徽章。 明网域名： https://kycnot.me 暗网v3域名： http://kycnotmezdiftahfmc34pqbpicxlnx3jbf5p7jypge7gdvduu7i6qjqd.onion I2P域名： http://kycnot3724gujekedbe6pwoejfbnggdv26losox25iaokev5ctaq.b32.i2p

暗网毒品交易市场“Sipultie Market”已被国际联合执法行动关闭，该暗网网站为匿名用户销售购买非法毒品提供了便利。”暗网下/AWX“获悉，此次查封行动是芬兰海关、欧洲刑警组织、瑞典警方、波兰执法部门和网络安全公司Bitdefender的网络安全研究人员的合作成果。 执法机构证实，“Sipultie Market”的网络服务器已被查封，Tor网站（http://onionxsyeiqfjqrksdmaycpuh5cuc43gsx3wnw5dto7qgdp5udabroad.onion）已被展示扣押信息，相关调查仍在进行中。 芬兰海关（当地称为Tulli）已经接管了“Sipultie Market”的服务器并没收了其中的内容，同时宣布：“调查过程中，Sipulitie、Sipulimarket和Tsätti管理人员的身份已经被发现。” ”Sipultie Market“，意为“Onion Road”，自2023年2月开始运营以来，一直在暗网社区掀起波澜，被用于“犯罪活动”，例如匿名购买毒品。这个暗网市场同时面向芬兰语和英语用户，但主要面向芬兰语用户，以其强大的安全措施和用户友好的界面而在暗网中脱颖而出。 ”Sipultie Market“是在它的前身”Sipulimarket“于2020年被警方捣毁后成立的。”Sipulimarket“于2019年4月开始运营，后芬兰海关与波兰当局合作，于2020年12月关闭了该暗网网站。被警方关闭时，”Sipulimarket“赚了200多万欧元。芬兰当局认为，这两个市场都由同一个管理员管理。芬兰海关声称，毒枭在关闭一个暗网市场并开设另一个暗网市场之间没有停歇。 而且，从2022年直到最近，同一个管理者还在暗网运营了一个专门用于毒品销售的独立聊天平台Tsätti，目前该暗网网站也被关闭。 芬兰当局关闭了”Sipultie Market“和Tsätti网站，并在网站上贴出扣押横幅，告知访问者关闭网站的操作。 虽然芬兰当局没有透露谁是这些暗网市场的幕后黑手，但当局声称，这次突袭揭露了参与贩卖毒品的各方身份，调查人员声称已经确认了网站管理员、版主、供应商和消费者的身份。一般情况下，在接管”Sipultie Market“的服务器后，服务器管理者、市场管理员、客服人员以及卖家和买家的身份都可以被识别出来。 虽然没有关于暗网市场”Sipultie Market“营业额的权威数据，但管理员本人曾在暗网上吹嘘该市场带来了约130万欧元（140万美元）的收入。 芬兰海关执法局长汉努·辛科宁（Hannu Sinkkonen）在新闻稿中表示，国际合作是此次行动成功的关键。“芬兰海关使用多种不同方法有效干预了暗网上的犯罪活动。国家和国际层面的当局之间的顺利合作是打击网络犯罪的关键因素。”辛科宁说。 虽然这个暗网市场的地位不同于”丝绸之路“，但仍然可能会对暗网毒品市场造成重大破坏——而且它并不是最近唯一被关闭的市场。”暗网下/AWX“已经报道了众多被警方关闭的暗网市场。2022 年，世界上最大的暗网市场Hydra Market被德国执法部门关闭。 Hydra Market在全球拥有超过1700万客户，仅2020年的营业额就超过13.5亿美元，因此它的关闭可能会让暗网用户感到恐慌，并在一定程度上使暗网市场的格局多样化。 然而，执法部门的调查和行动仍在继续。2024年3月，德国警方查封了暗网市场”Nemesis Market“的基础设施，该市场自2021年以来一直在为毒品销售提供便利。 2024年5月，”Incognito Market“的涉嫌所有者和经营者在纽约被捕，据估计，他售卖了价值超过1亿美元的毒品。 本月初，荷兰警方逮捕了暗网毒品市场”Bohemia/Cannabia Market“的管理者，该市场在2023年9月的巅峰时期创造了超过1200万欧元（1310万美元）的收入。