LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一,它使超过2000个企业成为受害者,累计赎金超过1.2亿美元,并提出了总额达数亿美元的勒索要求。
早在今年年初,“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时,有分析表示,LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件,称为LockBit-NG-Dev,可能成为LockBit 4.0。就在今天,LockBit勒索软件团伙在其暗网泄密网站发布公告,正式宣布了LockBit 4.0版本的暗网网站。
LockBit勒索软件团伙的公告称,如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗?”,可以“注册(其提供的新的网站)并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥(ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA),据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名:
http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion
http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion
http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion
http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion
http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion
“暗网下/AWX”随机测试访问了以上暗网网站,发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是,进入新的暗网网站后需要用户名密码才能登录,同时提供了两个注册按钮,一个是使用BTC(比特币)注册,另一个是使用XMR(门罗币)注册。在网站最下方,显示称该团伙从2019年9月3日开始运作(We’ve been working since September 3, 2019),并显示了具体的计时。
本站(anwangxia.com)试图注册一个账号,但注册页面要求转账指定数额(价值777美元)的BTC或者XMR地址打款才能完成注册,因此尚未进一步测试。新暗网网站的注册页面写道,请在完成注册前保存付款链接,只有通过该链接,才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额(777美元)的款项,但不得少于指定金额。如果金额少于指定金额,注册将被取消。
对于使用BTC注册的用户,网页要求请发送0.007786 BTC至指定地址,并要求使用加密货币混合器支付注册费或发送脏比特币;使用XMR注册的用户,网页称只需发送3.765265 XMR至指定地址。注册页面表示,只要确认已经付款,注册者将立即获得LockBit勒索软件控制面板的访问权限,用户可以在此创建基于Windows、ESXi、Linux的加密程序(勒索软件),并与遭受攻击的受害者进行交流。
看起来,LockBit 4.0似乎将勒索软件即服务(RASS)的流程通过暗网网站后台集成化了,但同时也提升了成为其附属机构的门槛,即需要支付777美元的注册费用才能加入该团伙,然后才能使用该团伙最新版本的勒索软件。
FBI等国际执法机构针对LockBit的打击一直在持续进行,但LockBit背后的管理团队都位于俄罗斯等独联体国家,这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施,“暗网下/AWX”将拭目以待。
“暗网下/AWX”发现,一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似,也实施双重勒索,先从受害者那里窃取敏感数据,然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”,Chort在俄语中是“魔鬼”的意思,代表着这个勒索软件团伙的邪恶。
据本站(anwangxia.com)分析研究估算,Chort勒索软件团伙可能从2024年9月开始运作,因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日,网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者(Texans Can Academies,texanscan.org)帖子日期为10月29日,也就意味着该暗网网站的创建时间早于10月29日。
与其他勒索软件团伙一样,Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击,其暗网网站没有发布任何政治言论或社会宣言,只是在首页中写着“List of Companies wouldn’t want to be safe”(不想安全的公司名单)。
Chort勒索软件团伙攻击的7名受害者分析 截至目前,Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者,最新受害者的发布日期为11月22日。经初步判断,Chort团伙主要针对的都是美国目标:
总部位于美国的教育机构Texas Can Academies(exanscan.org) 美国教育机构爱德华斯堡学校基金会(edwardsburgschoolsfoundation.org) 美国制造商Tri-Tech Electronics(Tri-TechElectronics.com) 位于美国的巴托县学校系统(bartow.k12.ga.us) 位于科威特的农业事务和鱼类资源公共管理局(PAAF,paaf.gov.kw) 位于美国的哈特威克学院(hartwick.edu) 位于美国的希博伊根市政府(sheboyganwi.gov) 其中,Chort团队已将City Of Sheboygan(sheboyganwi.gov)、Hartwick College(hartwick.edu)、PAAF(paaf.gov.kw)、Bartow County School System(bartow.k12.ga.us)、和Tri-Tech Electronics(Tri-TechElectronics.com)等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者:Edwardsburg Public Schools Foundation(edwardsburgschoolsfoundation.org)和Texans Can Academies(texanscan.org)的状态是“Not Available”,无法判断这两个目标是否已经支付了赎金,还是正在谈判中。
其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日,爱德华兹堡学校基金会表示,它遭遇了“网络中断”,导致课程被取消。10月18日,巴托县学校系统宣布,在“未经授权的外部来源”试图访问其部分“信息系统”后,它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此,“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。
Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站:
http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion
“暗网下/AWX”尝试访问了该站点,该暗网网站访问速度很快,首次进入时,页面上设置有数字验证码的认证,似乎为了防止DDoS攻击。
该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面,其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”(已公布)的受害者,Chort还嵌入了个人身份信息(PII)、发票和其他财务文件的图像,作为被盗数据的证据。
此外,主页的右上角有个“联系我们”的按钮,点击进去后的页面显示着“如需购买资料,请通过以下地址联系我们”(For purchase data please contact us from below addresses),并列出了Chort勒索软件团伙在Tox(EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1)、Jabber([email protected])和Telegram(@ChortGroup)的联系信息。经访问得知,该团伙于北京时间11月16日创建了Telegram频道,截至目前,该频道大约有62名订阅者。
Chort勒索软件团伙能存在多久,FBI何时能够摧毁它。“暗网下/AWX”将持续关注。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
Akira是一个勒索软件团伙(ransomware-as-a-service),在勒索软件圈子的知名度越来越高,其暗网泄密网站本月公布的新受害者数量创下了纪录,而且还有更多受害者在增加。为了一探究竟,“暗网下/AWX”尝试对Akira的暗网泄密网站进行了访问。
Akira的暗网泄密网站的V3地址是:
https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
Akira团伙的暗网网站 Akira团伙的暗网泄密网站以日本赛博朋克漫画命名,其风格类似于20世纪80年代流行的单色计算机命令行界面。在”暗网下/AWX“看来,该网站的风格与”Vanir Group“的暗网泄密网站界面很相似,设计成一个Linux系统的终端,黑底绿字,操作也与终端相仿,看起来像一个客户访问Linux终端(guest@akira:~$)。
打开Akira团伙的暗网网站,与其他勒索软件团伙的暗网泄密网站一样,映入眼帘的也是一段恐吓文字:
您在这里。这意味着你现在正遭受网络事件的困扰。将我们的行动视为对您的网络漏洞进行一次计划外的强制审计。请记住,要让这一切消失,需要付出合理的代价。
不要急于评估发生了什么–是我们害了你们。您能做的最好的事情就是按照我们的指示恢复您的日常工作,通过与我们合作,您可以将可能造成的损失降到最低。
那些选择不同道路的人将在这里受到公开羞辱。本博客的功能非常简单,只需在输入行中输入所需的命令,即可获取全球企业希望保密的最多汁信息。
请记住 没有我们的帮助,您将无法恢复。您的数据已经消失,无法追踪到最终存储地点,也无法被除我们之外的任何人删除。
与”Vanir Group“暗网网站类似,Akira网站的伪终端里可以输入5个命令:输入”help“等命令,可以查看所有命令列表;输入”leaks“命令,可以查看所有被黑的受害者信息;输入”news“命令,可以查看关于即将发布的数据的新闻;输入”contact“命令,可以给Akira团伙发送消息;输入”clear“命令,可以清除当前屏幕显示。
由此看来,Akira的暗网泄密网站主要包含3个功能:一是“新闻”功能(/n),用于勒索最近的受害者;二是“泄露”功能(/l),用于在勒索失败后公布数据;三是”联系“功能(/m),用于与勒索软件团伙进行联系。
其中联系功能,可以提交”email/icq/jabber/tox id/telegram“,意味着勒索软件团伙会使用这些联系方式进行联系。
Akira勒索软件团伙发布了大量受害者信息 本站(anwangxia.com)测试输入”news“命令,发现从2023年4月25日至2024年11月20日的大约一年半时间里,Akira勒索软件团伙共发布了319个受害者,并详细描述了泄露的是什么数据;输入”leaks“命令,经统计,公开泄露了数据的受害者共有128个。因此”暗网下/AWX“判断,除了还在勒索谈判期的,也许已经有上百个受害者支付了赎金。
美国联邦调查局称,Akira勒索软件团伙于2023年3月出现,他们为黑客提供平台,通过窃取和加密数据来勒索受害者。FBI表示,在运营的第一年,Akira通过大约250次攻击赚取了4200万美元。
该团伙在出现后不久就进行了大量的网络攻击,令专家们相信该组织是由经验丰富的勒索软件攻击者组成。去年该团伙发动了一系列攻击,包括对云托管服务提供商Tietoevry的攻击。
勒索软件团体通常会在受害者公布被盗数据前,给他们几天或几周时间支付赎金,具体时间取决于谈判结果。Akira的暗网泄密网站在8月至10月期间公布的数据比平时少,导致11月份列表数量突然激增的原因可能有多种,比如越来越多的新附属公司利用该暗网网站勒索受害者,或者是Akira管理员选择隐瞒之前的泄密事件。
新受害者大多来自总部位于美国的商业服务行业公司以及两家公司总部位于加拿大的公司,其他受害者来自德国、英国和其他国家。“暗网下/AWX”将受害者的名字与网址与过去几年追踪的所有勒索软件团伙发布的受害者进行了对比分析,证实这些被攻击的对象都是首次出现的新受害者。
LockBit今年早些时候公布了类似数量的受害者信息,试图淡化其受到执法部门攻击的情况,LockBit“在其旧网站被查封后,将旧受害者信息与新受害者信息混在一起”。
据英国国家打击犯罪局称,LockBit列出的许多受害者都是被重新发布的旧攻击,而其他受害者则是虚假或被错误归因的攻击,据称影响了一家大型企业,而事实上只影响了一家非常小的子公司。
“暗网下/AWX”报道Tor网络的大量出口节点与中继节点遭受IP欺骗攻击而被服务商暂停使用,这一切的始作俑者称自己为r00t,r00t可能是一个黑客组织。
r00t组织为自己建立了一个网站(r00t.monster),并在网站留言“字节在颤抖,它撕裂了网络”,称自己是“一个你永远不会忘记的怪物”。该组织还表示,除非Tor网络被该组织摧毁,否则休想摆脱他们!并且还宣传道“时机已到,我们需要摧毁Tor,加入我们的力量吧!”,应是在招纳更多黑客加入。
r00t组织给出新闻链接(https://news.ycombinator.com/item?id=41942978)称,执法机构也在破坏Tor网络,试图为自己的攻击行为增加合法性。并且给出了更多的链接来试图证实Tor网络的开发人员和中继运营者都是有问题的,都应该被关进监狱:
🔗 https://www.tagesschau.de/investigativ/panorama/telefonueberwachung-telefonica–bka-ermittlungen-paedokriminelle-100.html
🔗 https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Investigations-in-the-so-called-darknet-Law-enforcement-agencies-undermine-Tor-anonymisation,toreng100.html
🔗 https://www.justice.gov/opa/pr/four-men-sentenced-prison-engaging-child-exploitation-enterprise-tor-network
🔗 https://theconversation.com/how-the-worlds-biggest-dark-web-platform-spreads-millions-of-items-of-child-sex-abuse-material-and-why-its-hard-to-stop-167107
🔗 https://www.ice.gov/news/releases/secretary-johnson-announces-results-operation-dismantled-underground-child
🔗 https://www.justice.gov/opa/pr/dark-web-child-pornography-facilitator-sentenced-27-years-prison-conspiracy-advertise-child-0
🔗 https://www.justice.gov/opa/pr/virginia-man-sentenced-five-years-prison-receiving-child-pornography-tor-network-forum
🔗 https://www.justice.gov/opa/pr/nebraska-man-sentenced-prison-tor-distribution-child-pornography
🔗 https://www.justice.gov/news/press-releases?search_api_fulltext=+tor&start_date=&end_date=&sort_by=field_date
接着,r00t组织转发了欧洲刑警组织的文章(https://www.europol.europa.eu/crime-areas/child-sexual-exploitation),称“欧洲刑警组织确定了儿童性剥削领域的主要威胁: 点对点 (P2P) 网络和匿名访问,如暗网网络(Tor)”,以此宣称自己的攻击行为是“正义”的。
根据r00t.monster网站的存档以及一些文字留存,r00t组织似乎始于2023年7月27日,那时候Tor网站开始有反馈22端口的滥用扫描行为,2024年10月21日起,逐渐规模化进行操作,随后的日子里,r00t组织一边利用节点服务器对机房IP的22端口进行非法扫描,同时向各个机房举报这些服务器的滥用行为(abuse),以使机房暂停这些节点服务器的服务。
10月底开始,各大机房服务器供应商开始处置滥用行为,并向服务器租用客户发布因滥用而被暂停访问的通知,大量的节点运营者在Tor网站反馈。r00t组织看到了Tor网站上的反馈,逐一截图,并开始在其网站炫耀其攻击成果:
10月30日, r00t组织称成功使“Hetzner”(AS24940)的3台速度较快的节点服务器宕机!
10月31日, r00t组织称成功使“IONOS SE”(AS8560)的12台服务器宕机!
11月1日, r00t组织称成功使“Kaan Kalayci trading as FastLayer”(AS215400)的40台服务器宕机!
11月2日, r00t组织称成功使“Stiftung Erneuerbare Freiheit”(AS60729)的31台服务器宕机!
11月3日, r00t组织称成功使“Massachusetts Institute of Technology”(AS396527)的5台服务器宕机,成功使“UNMANAGED LTD”(AS47890 )的16台服务器宕机!
11月4日, r00t组织称成功使“Stiftung Erneuerbare Freiheit”(AS60729)的160台服务器宕机!
11月5日, r00t组织称成功使“AEZA INTERNATIONAL LTD” ( AS210644 ) 的31台服务器宕机!
11月7日,r00t组织表示“Quintex Alliance Consulting” ( AS62744 ) 的100台服务器,是100台!都宕机了!
当Tor官方发布博文表示已经成功处置IP欺骗问题时,r00t组织称“你认为你可以?那我们来玩个游戏!”似乎r00t组织仍会继续使用各种手段对Tor网络进行攻击。11月10日,hackerfantastic在X平台戏称,r00t monster应该被授予骑士勋章。
BreachForums是一个交流与交易泄露数据的黑客论坛,在暗网与互联网同时可以访问,大量网络犯罪分子利用该论坛交换、销售和购买被窃取的数据。
自第一版暗网数据泄露论坛BreachForums于2022年3月成立以来,经”暗网下/AWX“梳理,BreachForums已经经历了5任运营管理员(真正能接触到数据库源码等基础设施的Owner级别的管理员),本文将细数这5位运营管理员以及他们的下场命运。
第一位管理员:Pompompurin,被FBI逮捕,后被判处20年监管释放 在首个知名的暗网数据泄露论坛RaidForums在2022年被FBI查封之后,”Pompompurin“创建了名为BreachForums(又名Breached)的一个新论坛,这就是第一版BreachForums(BreachForums v1),Pompompurin也就是BreachForums的创始人。
2023年3月,BreachForums的创始人”Pompompurin“,真实身份为纽约州的康纳·布赖恩·菲茨帕特里克(Conor Brian Fitzpatrick),被美国联邦调查局(FBI)逮捕。
2024年1月,Pompompurin在美国弗吉尼亚州东区法院被判处20年监管释放(无需在监狱服刑),但需在家中服刑2年(佩戴GPS定位器和接受心理健康治疗),且第一年也被禁止使用互联网。
第二位管理员:Baphomet,消失不见 在Pompompurin被捕后,BreachForums的一位管理员“Baphomet”接管了该网站,但是由于怀疑FBI已经获取了第一版BreachForums的基础设施权限,Baphomet选择关闭了第一版BreachForums论坛。
2023年6月,在第一版BreachForums论坛数周后,Baphomet宣布与黑客兼数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
由于担心第一版BreachForums的数据库已经被FBI掌握,第二版BreachForums论坛是一个全新论坛,并没有导入已经关闭的第一版BreachForums的老数据。
2024年5月,第二版BreachForums论坛也被FBI查封,FBI的扣押横幅上贴出了管理员Baphomet和ShinyHunters的两张论坛个人头像图片,BreachForums的官方Telegram频道和Baphomet拥有的其他频道和群组也同时被FBI掌控。
Baphomet似乎已经被FBI逮捕,但是却没有任何报告,于是有人怀疑他是联邦卧底。
总而言之,第二版BreachForums论坛管理员Baphomet奇怪地消失了。
第三位管理员:ShinyHunters,自称退休 在第二版BreachForums论坛被FBI查封后,另一位管理员“ShinyHunters”接管了该网站,并在与FBI的拉锯战中重新获得了明网域名的访问权,同时更换了暗网域名,并很快(2024年5月底)重新上线,本站(anwangxia.com)称之为第三版BreachForums论坛(BreachForums v3)。ShinyHunters还透露,BreachForums前管理员Baphomet已被执法部门逮捕。
然而,第三版BreachForums论坛运营不足一个月,自2024年6月10日起,该论坛再次无法访问,且管理员ShinyHunters的Telegram以及BreachForums的新Telegram频道、群组均被删除,两天后,BreachForums又再次在暗网与明网恢复访问。
随着第三版BreachForums论坛的运营出现问题,外界普遍认为当前BreachForums论坛已经成为FBI的蜜罐。此时ShinyHunters因厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休,并于6月14日重返论坛并发布公告宣布该论坛现在归一名昵称为“Anastasia”的威胁行为者所有。
第四位管理员:Anastasia,无存在感地消失 外界对”Anastasia”这个昵称并不熟悉,但BreachForums论坛的用户“earflaps”发帖称,Anastasia据说是BreachForums的前管理员,也被称为“Anastasia Belshaw”,据说他是Shiny的朋友,这也是他被授予所有者(Owner)称号的原因。
“earflaps”说,许多人都猜测Anastasia是Shiny的替代人或冒充原管理员Anastasia的联邦特工,理由是他既不说话,也不发帖,除了存在在论坛几乎什么都不做。
泄露第一版BreachForums数据库的威胁行为者emo在自己的Telegram频道称,Anastasia其实是前管理员Hollow。BreachForums论坛此刻由三个人在管理,一是替换ShinyHunters的Anastasia,但却什么也不做,另外两个分别是版主Armadyl与WillyWonka。
据“暗网下/AWX”监测,虽然第四任管理员名义上是Anastasia,但在其领导下,BreachForums论坛明显缺乏积极的管理与活力,一直处于停滞和消极状态,且该论坛大部分时间由版主WillyWonka进行管理。
第五位管理员:IntelBroker,仍然在位 2024年8月15日,BreachForums论坛开始由臭名昭著的黑客“IntelBroker”接管,这是BreachForums论坛的第五位管理员。有趣的是,一些老版主选择了离开,比如“WillyWonka”,甚至禁止了自己的帐户。
IntelBroker是一个在暗网上活动的个人(或犯罪黑客团体),活动范围涵盖XSS、BreachForums和Exposed等地下论坛。他们是黑客团体“Cyberniggers”内活动的威胁行为者,活跃于黑客行动主义和网络犯罪,尤其是作为初始访问代理(IAB),IntelBroker专门识别和出售受感染系统的访问权限,为各种恶意活动铺平道路。
与此同时,emo在自己的Telegram频道披露,IntelBroker不仅是一名同性恋恋童癖者,而且还是一名FBI线人。但无法查证。
近期,“IntelBroker”与“DuperTrooper”拍摄了一段视频,其中他们通过付费复制物品来赢得Minecraft的BreachForums服务器,以扰乱他们的游戏经济。
暗网市场Fish Market成立于2023年,最初以“Go Fish Market”的名称推出,后来更名为“Fish Market”,或简称为“The Fish”。该市场成立初期,这个暗网市场背后的团队雄心勃勃,努力打造不仅仅是一个暗网市场的网站,而是试图通过其一系列创新功能和独特设计脱颖而出。Fish Market交易实体和数字产品,例如毒品、诈骗商品、防御商品、软件和伪造品等等。
曾几何时,Fish Market是暗网上一个快速增长的市场,虽然用户界面一开始可能有点令人困惑,但一旦用户掌握了窍门,他们就会发现该市场与其他暗网市场相比具有竞争力,迅速积累了一定的用户与供应商群体。该市场新供应商的保证金为1.5XMR,销售费非常低,仅为3%,可降至2.5%,使其成为所有暗网市场上最低卖家的市场费用。
两个月前,Fish Market暗网市场(http://gofishbybookb4a2kvviuygmwjqfxx7nqsovweogs2cxvqvexhe7edyd.onion)出现了间歇性的无法访问,该暗网市场的一位工作人员/u/Byt3s在Dread暗网论坛发布公告称,由于Fish Market的主要洋葱链接遭受了大规模有针对性的DDoS攻击,其暗网网站暂时处于停机状态。Fish Market市场的管理员/u/GoFish正在努力恢复网站的运行,并且应该不会花很长时间。
9月初,因为该暗网市场再次的访问中断和访问不便,Fish Market工作人员/u/Byt3s在Dread上发布公告代表Fish Market Team向所有尊贵的客户和商家真诚地道歉,称他们团队已经正在昼夜不停地努力解决这个问题,并预计很快就会恢复正常运营。他会在收到管理员/u/GoFish的回复后立即向大家通报最新情况。
然而,后来该暗网市场彻底无法访问,9月中旬,/u/Byt3s突然在Dread发布主题帖“Fish Market正式消失——一个难以接受的公告”,公告称Fish Market暗网市场不会恢复正常,并进行了解释。
Byt3s表示,他想花点时间谈谈市场最近的发展情况。事情发生已经五天了,虽然这个声明有点晚了,但这是有原因的,他对事情的发展感到十分震惊,从未想过自己会处于这种境地,他会尽力提供一些背景信息和透明度,说明发生了什么、关闭的主要原因以及他对事情最终结果的看法。
Byt3s说,当第一次看到网站下线时,他立即联系了Jabber上的/u/GoFish(Fish Market的管理员),让其知道了这一情况。起初,Byt3s怀疑可能是DDoS攻击导致主洋葱网站瘫痪,因为自超级名单公布以来,Fish Market一直是攻击目标,很多其他市场也面临这种威胁。
然而,这次的情况有些不同,且不幸的是,情况更糟了。在Fish Market主市场洋葱关闭后的一段时间,Byt3s可以访问的管理面板和私人镜像也离线了。这很不寻常,因为这些镜像通常即使在DDoS攻击期间仍可访问。且Byt3s仍未收到管理员GoFish的回复,他只能试图弄清楚为什么停机时间延长了,并立即联系了Dread管理员和/u/SamWhiskey,让他们了解任何新进展。
终于,Byt3s在Jabber中得到了GoFish的答复,Byt3s收到的消息非常模糊,感觉就像是最后的告别,这令人震惊。出于操作安全原因,Byt3s没有记录任何Jabber消息,也不想公开分享,但GoFish的答复要点是,似乎一台VM服务器可能已被入侵。GoFish提到,他无法让卷重新上线,否则可能会将加密密钥暴露给MiTM攻击。他随后道歉说事情必须以这种方式结束。
Byt3s称根据最后的信息得出的结论来看,仅仅一台虚拟机被入侵并不能真正说明什么问题。也许是黑客入侵,但只有GoFish才最有资格澄清这一点。Byt3s表示,可以确认的是,Byt3s无权访问任何实际的市场服务器;Byt3s的权限仅限于处理日常支持任务和公关。除了通常对支持版主的期望之外,Byt3s没有任何高级权限。
Byt3s称,在他与GoFish共事期间,他一直敦促为了GoFish和市场的利益,严格控制运营安全。Byt3s表示自己一直是OpSec的忠实支持者,非常强调定期进行安全审核的重要性,以确保一切安全。Byt3s加入后不久,Fish Market暗网市场仍然有一个明网镜像(www.gofish.market:666,85.217.222.58),在他的强烈反对并一直敦促下,出于安全原因GoFish才将其移除。
作为最接近整个情况和整个市场的人,Byt3s说从自己的角度来看,他不相信GoFish被执法部门抓获,也不认为有任何数据被泄露。但他认为,在他们交往期间,GoFish一直都是一个公平诚实的管理者——至少在他还在的时候。Byt3s最后称真诚地向那些丢失了加密货币的商家和客户道歉,他一直试图做出积极的贡献,但自己也无能为力。
“暗网下/AWX”初步判断,暗网市场Fish Market应是退出骗局,管理员GoFish卷币跑路。而一直以来Dread论坛公告的发布者——可怜的Byt3s并不是该市场的管理员,仅是一名参与管理者而已,他也属于被真正管理员欺骗的对象。
更多暗网新闻动态,请关注“暗网下/AWX”。
Tor 是一种匿名连接路径技术,而不是隐藏通信内容本身。当用户从自己的电脑访问所需的网页(如 google.com)时,通信路径上会添加多个中继点(节点),如其他电脑,并通过加密除出口节点(即最终访问路径)以外的所有内容来保持匿名性。
节点是通过Tor进行匿名通信的关键,由支持Tor理念的志愿者和组织运营。近日,”暗网下/AWX“获悉,其中一个运营出口节点的组织,德国的“Artikel_5_e.V”,于2024年9月8日在Tor项目论坛上报告说,它’遭到了德国警方的突袭’。
在Tor项目的官方论坛讨论组里,用户“Artikel_5_e.V”发布主题邮件称,作为运营Tor出口节点的非营利组织,他们组织注册地址的住所和办公室再次遭德国警方突袭。
该用户称,2024年8月16日,德国警方再次突击搜查了他们组织注册地址的住所和办公室。警方的第一次搜查发生在2017年。显然,如今仍有在德国执法部门工作的人认为搜查Tor出口节点运营者(非政府组织)会在某种程度上实现个人Tor用户的去匿名化,至少警方在文件中是这么说的。
与第一次一样,幸运的是,德国警方的突袭小组受过更好的教育,行为也比申请突袭的非技术人员和签字的法官要合理得多。因此,再次没有扣押任何硬件。除了一个烧毁的(中间中继)节点和一些与出口节点有关的账单文件外,该突击小组在一个半小时的搜查之后几乎空手而归。该组织打算对搜查令提出法律挑战与质疑,以确保这种情况不会再次发生。
该用户称,这又是一次在私人客厅里与武装警察共处了一个半小时,并被威胁要事实上摧毁一名非营利组织董事会成员的生计和软件业务(运走一卡车硬件),以迫使其合作。
该用户在文中表示,只要该组织还继续运行Tor的出口节点,他们就面临着更多被警方突袭的风险。因此,他个人不再愿意提供他自己的个人地址和办公空间作为该非营利组织/非政府组织的注册地址,他说他再也不愿意承担这种风险了。
“Artikel_5_e.V”呼吁于2024年9月21日召开该组织的全体成员大会。他们正在寻找新的董事会成员(接管并组织新的注册地址并继续运行Tor的出口节点)或讨论所有替代方案。这些方案包括“停止运营Tor的出口节点”,甚至采取最激烈的措施,即清算整个组织并将剩余预算分配给其他德国组织(这些组织必须符合他们的非营利章程)。
邮件在最后表示,会议时间和地点详情可以访问https://artikel5ev.de/查询,不过该网站目前无法正常访问。该组织打算主要为组织成员,以及无法亲自参加的但是感兴趣的人提供直播视频流。不过,活动/直播将仅使用德语。直播的详细信息将在活动开始前不久在网站上公布。如果有人计划亲自参加,需要提前发送电子邮件,以便选择合适的房间进行安排。
对此,网友“edm0nd”在ycombinator发帖称,他不再运行任何Tor的出口节点的部分原因是执法部门的骚扰。他曾经运行了一些出口节点,前后大约有5年时间。但是在这5年中,他的托管服务提供商(DigitalOcean)收到了3份传票,要求他提供账户信息。
根据“edm0nd”的描述,3份传票源自网络犯罪分子利用其提供的出口节点IP进行的三次犯罪行为:第一次是有人向一所大学发送炸弹威胁邮件;第二次是有人发送了一封钓鱼邮件;最后一次也是最严重的一次,一些来自卡塔尔的民族国家黑客使用他提供的出口节点IP入侵了一些其感兴趣的人的电子邮件账户,监视他们并窃取了一些信息。
“edm0nd”称,幸好Tor项目和EFF都能无偿帮助他。被指派给他的EFF律师帮忙对抗了传票,但最终还是不得不把他的账户信息交给司法部,而且还必须提供一份宣誓书,声明自己只是一名节点运营者,服务器上的任何信息都不会对他们的调查有用。因为不得不与执法部门、律师打交道,还得面对可能因为一些无聊的事情而被抄家的压力,最终导致他关闭了他运营5年的Tor出口节点。
“edm0nd”还表示,尽管他的所有出口都采用了避规的措施,并将已知的恶意IP和c2/malware信息列入黑名单,使其无法使用,但他仍然不可避免成为执法部门的一个目标。他觉得可能是执法部门意识到运营Tor出口节点的人是其可以瞄准的一大弱点,因为很多Tor出口节点运营者都是个人,没有太多资源与执法部门对抗。执法部门可以利用法律系统来吓唬运营者,迫使他们关闭。
不过,“edm0nd”希望有朝一日他能够重新开始运营Tor的出口节点,因为他觉得能以微薄之力帮助世界各地的人们是一件很有意义的事情。
在该回复下面,有许多网友进行了评论,虽然大家认为提供Tor的出口节点是一个公益行为,虽然带来了隐私和自由等理想主义,但是也让”坏人都可以使用相同的基础设施来逃避调查/起诉“,而且任何Tor的基础设施其实都是恐怖主义的工具。”暗网下/AWX“其实也认可这种说法,Tor的存在、暗网的存在一直有着两面性,就看利弊如何权衡。
Tor的中继节点很重要,组成了暗网网络,但是,出口节点最为重要,早在2021年,曾有超过27%的Tor出口节点被黑客组织控制用来监视暗网用户的活动。德国也是Tor节点的较大提供国家,在2021年,在所有6519个中继节点(relays)中,约24%在德国;在所有3634个保护节点(guard nodes)中,约25%位于德国;在所有1195个出口节点(exit nodes)中,约有23%位于德国。
近几个月来,”暗网下/AWX“发现,一个名为”Atlas Market“的新的暗网交易市场正在成长壮大,注册用户、供应商、上架商品、已完成订单的数量都在与日俱增,且该暗网市场在暗网论坛Dread上积累了一定的人气,逐步受到欢迎。
通过Dread论坛的发帖的梳理,本站(anwangxia.com)对Atlas Market暗网市场有了一定的了解。Atlas Market的管理员/u/Giffie在Dread论坛表示,Atlas Market是他与/u/C0deShad0w一起开发的,他们都是经验丰富的开发人员,已经为Atlas Market努力了两年多,并在”揭开Atlas的神秘面纱: 革命性的暗网市场体验“帖子中介绍了该暗网市场Atlas Market。
暗网市场Atlas Market的创建初衷 管理员/u/Giffie以及其他管理人员认为,当前的暗网市场缺乏用户体验。他们希望通过提供现代、快速且易于使用的暗网市场来改变这一现状。
他们还希望为供应商提供一个平台来销售他们的产品,而不必担心市场关闭或退出骗局。
因此他们非常认真地对待Atlas Market的开发,并将长期致力于此,他们承诺不会很快退休。
暗网市场Atlas Market的介绍 根据Dread的子版块/d/AtlasMarket介绍,暗网市场Atlas Market成立于2023年11月17日,宣称是一个以用户体验为核心的暗网市场,以“为买家和卖家提供最佳的用户体验”为目标。
Atlas Market号称是一个改变在线市场游戏规则的平台,也是一个安全、可靠、令人赞叹的平台。Atlas Market不仅仅是另一个暗网市场。它宣称解决了m00nkey留下的混乱、Bohemia持续的问题以及ASAP的退出。它是对安全性、可靠性和用户友好性的承诺。
暗网市场Atlas Market自我宣称的特色 管理员/u/Giffie介绍了Atlas Market的独特功能:
🌐 无钱包设计: 忘掉钱包,只需轻松支付订单。
🛒 超级购物车:因为购物应该是一件轻松的事。
💱 支持BTC和XMR: 多种选择,为用户提供方便。
🔒 强大的托管系统: 确保交易安全。
🚀 DDoS防护: 多亏了/u/Paris制作的Endgame,才能抵御DDoS攻击。
📖 全面的文档: 指南让用户体验天衣无缝。
💬流畅的消息系统: 轻松沟通。
🎨令人惊叹的用户界面: 因为美观很重要。
⭐ 先进的评论系统: 分享用户体验。
🛡️ 严格的安全标准: 保证匿名。
🛢️ 批量列表支持
❤️ 喜欢系统: 传播爱心。
🌓 深色和浅色模式: 选择自己喜欢的风格。
📦 自动商品: 实物或数字商品,应有尽有。
Atlas Market的运营不使用钱包,确保承诺不退出骗局或抛弃其用户,即不会卷走用户的加密货币。该暗网市场交易费用的规则:
💼 4%佣金: 确保每笔订单的公平交易。