独家报道

在每日的常规访问中，“暗网下/AWX”发现，暗网中最臭名昭著的数据泄漏平台BreachForums已经无法访问。经历了多次被执法机构查封后，目前的BreachForums已经是第三版BreachForums，本站（anwangxia.com）去年曾经详细介绍了三个版本的BreachForums以及它的五位运营管理员。 这次无法访问的原因是什么？“暗网下/AWX”试图在Telegram以及X上的威胁情报专家那里寻找答案，目前获得了两个答案，此外还有一个诈骗消息。 传言一：BreachForums遭受了持续的DDoS攻击 名为“Dark Storm Team”的组织在其Telegram频道以及X上声称对BreachForums论坛（breachforums[.]st）发起了DDoS攻击，并给出了全球无法访问的证明：https://check-host.net/check-report/24feb258kb46 We visited Breach forums platform ❌https://t.co/qC8K6eGU3k 🌟https://t.co/r2O4wD4Ls3 For fun.#DARKSTORM — Dark Storm Team (@EssamGgggg) April 15, 2025 关于BreachForums论坛遭受DDoS攻击的消息不绝于耳，“暗网下/AWX”认为这种可能性也比较高，因为在明网或基于Tor的暗网网站都没有显示扣押横幅，这不符合FBI的行事风格，如果被查封，一般情况下，执法部门要么将其当作蜜罐来继续运行，要么会修改DNS指向显示扣押横幅的页面。 此外，BreachForums论坛的明网域名（breachforums[.]st）的Name Server目前指向了“ns1.ddos-guard.net”与“ns2.ddos-guard.net”，也似乎证明了其背后的技术团队正在采取措施来抵抗目前正在遭受的DDoS攻击。 传言二：BreachForums再次被查封，IntelBroker已被逮捕 Telegram频道中流传的另一个未经证实的说法称，BreachForums论坛可能已再次被执法部门关闭。其中一个群组中发布的一条消息称，BreachForums论坛中的现任管理员IntelBroker已经被逮捕。同一帖子还称，该论坛将会在一个新的域名下重新启动。 正如前面所说，访问该网站并没有显示FBI经典的“查封”页面，意味着该网站可能只是被下线，而不是被正式查封。 虽然消息来源的可信度仍不确定，但该Telegram频道宣称将很快会分享更多细节，虽然“暗网下/AWX”认为该消息不可靠，但还是让我们拭目以待。 开设第四版BreachForums论坛的谣言是典型的诈骗 另外，广泛流传的图片显示：BreachForums论坛已经被关闭，所有管理员也被逮捕；目前第四版BreachForums论坛已经重新开启，但是关闭了注册，如果需要重新注册，需要支付门罗币（XMR），支付后可以联系开设账号。 这是一个明显的诈骗消息，“暗网下/AWX”提醒广大网友注意甄别。BreachForums论坛未来会怎样，“暗网下/AWX”将持续关注。 更多暗网新闻动态，请关注“暗网下/AWX”。

瑞士网络安全威胁情报公司Prodaft正在为暗网网络犯罪论坛的用户提供一项新交易：该网络公司将付费从网络犯罪分子手中夺取账户，同时保证卖家的匿名性。 Prodaft公司正在启动的这项新计划名为“出售你的来源”（Sell your Source）的新计划，又称SYS计划，该公司声称长期购买暗网里的黑客论坛上经过验证的旧账户，目的是利用这些账户渗透到网络犯罪空间和社区，收集可能导致恶意操作和平台曝光的有价值的情报。 Prodaft目前正在从五个暗网论坛购买经过审查的账户，且愿意为高权限用户支付额外费用，其希望进入到这些暗网论坛中，以增强其威胁情报的能力。 这五个暗网里最知名的网络犯罪论坛分别是：XSS、Exploit in、RAMP4U、Verified和BreachForums。该公司尚未公布其定价清单，但表示其团队将仔细分析提供的账户，评估其价值并验证其访问权限，并将为拥有版主或管理员角色的论坛账户支付额外费用。 Prodaft公司为SYS计划创建了一个子网站（sys.prodaft.com），这个网站提供了英语及俄语的双语言版本，以希望全球拥有账号的人都能够出售自己的账号。 该公司在倡议声明中表示：“对于任何参与过这些活动并希望翻开新篇章的人来说，你无需解释你的过去或回答任何问题。没有评判，没有疑问——只是一项简单、安全的交易，对双方都有利，并帮助你告别过去的生活。” “由于这些活动通常与深网、暗网、地下论坛或非法市场等地方有关，我们希望确保我们的覆盖范围不会受到任何限制。”“这就是为什么我们决定购买特定的论坛账户，以便我们进入这些网络并了解敌对领域中发生的事情。” 该公司只接受2022年12月之前创建的账户，且这些账户过去没有参与过网络犯罪或其他不道德活动，因此需要进行一些调查来确认。此外，如果账户被列入FBI或其他执法部门的通缉名单，也不会被购买。 Prodaft表示，转账过程是匿名的，虽然 Prodaft 表示会向执法部门报告账户购买情况，但承诺不会泄露敏感信息。 卖家可以通过 TOX 或电子邮件匿名联系 Prodaft，并分享帐户审核流程的详细信息以开始。 一旦账户获得购买批准，该公司将向卖方发出报价。付款方式包括比特币、门罗币以及卖方选择的任何其他加密货币。 该公司表示，此举旨在更好地收集威胁情报。感兴趣的用户可以通过论坛向Prodaft提交请求，具体流程如下： 通过ToX聊天联系该公司，或发送电子邮件至tips[at]prodaft.com 告知其有可用的帐户。 该账户将被分析并评估其价值。审核完成后，Prodaft将向用户提供报价以及付款方式的详细信息。 如果用户接受该提议，付款将得到安全处理。 所有购买的论坛帐户都将报告给公司的执法合作伙伴以确保透明度，但卖家的身份将受到保护。 账户必须于2022年12月前注册，且不能被列入FBI或任何其他执法部门的通缉名单。账户支付方式为比特币、门罗币或其他加密货币。 什么是SYS计划 “这是一个大胆的举措还是唯一的出路？”Prodaft称，作为一家威胁情报公司，其专注于洞察网络犯罪分子的基础设施，探寻其中的模式、策略、技术和程序，从而帮助理解敌对网络，并检测和缓解潜在的网络攻击。由于这些活动通常与深网、暗网、地下论坛或非法市场等场所相关，该公司希望确保自己的覆盖范围不受到任何限制。 正因如此，该公司决定购买特定的论坛账号，以便进入这些网络，了解敌对势力的动态。或者更确切地说，他们希望利用这些账号进行人力情报（HUMINT）工作，确保尽可能深入地了解暗网。 因此SYS计划不仅仅是出售论坛账户。 该公司同时表示，如果遇到不道德或违背价值观的事情，或者想举报网络犯罪，用户也可以联系他们进行匿名举报。 改变永远不会太晚 以下是Prodaft的倡议内容： 如果在您人生的任何时候，您在暗网论坛上创建了一个不属于通常社交媒体的帐户，或者您准备放弃过去，那么这条信息就是为您准备的。 想想互联网上那些隐藏得更深的地方，那些东西不那么容易找到或访问。人们会去这些地方搜索常规谷歌搜索不到的信息。我们指的是暗网、地下论坛、隐藏的群聊，或者任何其他能激起你好奇心或让你感到兴奋的空间。也许是在2015年，你曾深入研究过那些风险过高、无法在谷歌上搜索的话题？又或许是在2020年，你曾试图在网上购买那些看起来可疑或危险的东西，比如那些声称可以治愈病毒的物质？你当时做了什么并不重要。现在重要的是，你是否想彻底告别那段生活，永远地远离它。 对于任何曾经参与过这些活动并希望翻开新篇章的人来说，你无需解释你的过去，也无需回答任何问题。重要的是，你已经准备好告别过去。这是为那些想要告别过去的人准备的。无论你是想举报你参与的网络犯罪，还是你是一个信仰和平、反对战争的人，你并不孤单。你可能直接受到冲突的影响，也可能想要支持和平努力。这里是为所有准备好放下过去行为（无论过去是什么）并彻底决裂的人准备的。 不评判，不提问——只​​需简单、安全的交易，双方都能受益，并帮助您告别旧生活。这是您告别旧生活、开启无忧生活的机会，不再被过去的重担所束缚。

自2024年初出现以来，暗网勒索软件团伙RansomHub已成功攻击了多个行业的200多名受害者，包括基础设施、信息技术、政府服务、医疗保健、农业、金融服务、制造业、运输和通信等。去年8月，RansomHub曾在暗网上发布超过4TB澳大利亚公司数据。 这个相对较新的网络犯罪集团同样以勒索软件即服务（RaaS）代理的身份运作，并在勒索组织犯罪集团中占据突出地位。在暗网勒索软件团伙LockBit和ALPHV/BlackCat相继被FBI摧毁（尽管后来又陆续恢复了）后，RansomHub成为2024年最活跃的勒索软件组织。 该团伙的暗网数据泄露网站自3月31日起一直处于非活动状态，这一事实支持了RansomHub因内部冲突而面临挫折的理论。RansomHub的暗网数据泄露网站（DLS）突然下线，引发了人们对其可能被收购的猜测。 本月初，RansomHub勒索软件团伙的勒索软件即服务行动的一些附属机构失去了对该勒索团伙聊天门户的访问权限，外界猜测该团伙似乎面临内部冲突，媒体报道称该勒索团伙显然面临“一系列内部分歧和不团结”，“未知数量的附属机构”被切断了RansomHub与受害者的沟通渠道，导致网络犯罪分子将谈判转移到其他渠道，包括其他RaaS团伙的平台。 与此同时，一些成员在暗网网络犯罪论坛RAMP上表达了他们的困惑，一个名为DragonForce的竞争勒索软件组织声称RansomHub已经与他们合作并迁移了他们的基础设施。 由于暗网相关的托管不稳定，数据泄露网站出现短时间停机的情况并不罕见，但这次停机加上据称RansomHub的内部冲突可能进一步表明该团伙的内部管理正在恶化。 暗网勒索软件团伙RansomHub的近期活动 RansomHub 的活动自 2024 年首次被发现以来就愈演愈烈 ，在目标选择方面迅速成为“大型猎物猎人”的代名词。他们主要针对大型组织，这些组织更有 可能支付赎金 以尽快恢复业务连续性， 而不是应对长时间的停机。 受害者的广泛性表明这些攻击是机会性攻击，而非针对特定行业或领域。他们对初始访问操作的了解进一步证实了这一点，这些操作通常包括利用受害者托管的面向公众的应用程序或服务，例如Citrix ADC、FortiOS、Apache ActiveMQ、Confluence Data Center、BIG-IP等。 现有情报显示，该团伙织禁止其分支机构攻击位于中国、古巴、朝鲜、罗马尼亚以及包括俄罗斯在内的独立国家联合体成员国的组织。此类标准行动程序对于位于俄罗斯的威胁行为者来说很常见，旨在降低误伤的可能性，表明该团伙与国家存在一定程度的关联，或希望降低受到当地政府实体干预的风险。 该组织的目标涵盖了广泛的垂直行业，其中最突出的目标包括Frontier Communications等电信公司以及Change Healthcare和Rite Aid等医疗机构。仅在2025年3月，该团伙就在其暗网泄密网站（ransomxifxwc5eteopdobynonjctkxxvap77yqifu2emfbecgbqdw6qd.onion）上发布了超过60个新受害者的信息。 讽刺的是，RansomHub的成功和恶名，很大程度上源于其从其他勒索软件团伙（例如ALPHV/BlackCat）招募不满的附属机构。据报道，ALPHV/BlackCat去年解散时，曾对其附属机构实施了退出骗局。最值得注意的是，在ALPHV/BlackCat涉嫌以2200万美元赎金逃跑后，RansomHub招募了名为“notchy”的威胁行为者，以获取Change Healthcare数据。 RansomHub通过提供优惠的收入分成并允许赎金直接支付给关联公司来营销其关联计划，将自己定位为一个更值得信赖且对关联公司友好的RaaS集团。 尽管信息不断涌现，但我们不得不注意到其中的讽刺之处：一个通过承诺为其附属机构提供稳定和安全而声名鹊起的组织，似乎在一年之内就辜负了这些附属机构，或者背叛了它们。” DragonForce和RansomHub：新的合作关系尚不明确 一个新的暗网勒索软件团伙DragonForce突然宣布接管RansomHub的基础设施，目前尚不知道这两个团伙之间是何关系。 DragonForce运营者背后的绰号在暗网RAMP论坛上宣布了一个新的“项目”，随后又在其暗网数据泄露网站（DLS）上发布了相同的信息。DragonForce表示，该团团和正在推出新的基础设施——两个新的暗网网站由验证码保护，类似于DragonForce团伙自己的原生Tor网站的做法——但会显示RansomHub勒索软件组织的标志。 DragonForce在RAMP论坛上的帖子如下： 嗨！别担心，RansomHub很快就会上线，他们只是决定迁移到我们的基础架构！我们是值得信赖的合作伙伴。 这是‘项目’运作方式的一个很好的例子，是DragonForce勒索软件集团的新选择！ RansomHub祝您一切顺利，请考虑我们的报价！我们期待着所有加入我们的人。 在有关RansomHub勒索软件团伙的帖子回帖中，有人表示“dragonforce twink ransomhub, one owner”（DragonForce接管了RansomHub，一个所有者），DragonForce回复称“你不应该这么说，这是一种误解。” 暗网勒索软件团伙DragonForce发布新的暗网泄密网站 DragonForce在暗网宣布： DragonForce勒索软件卡特尔！- 是时候改变了 今天，我想向您介绍我们的新方向，我们将按照新的原则，以新的方式开展工作。您不再需要在我们的品牌下工作，现在您可以在久经考验的合作伙伴的支持下创建自己的品牌！我们，DragonForce勒索软件卡特尔，为您提供 “项目”，现在您可以自己创建。 我们正处于全球更新模式！请耐心等待。 DragonForce在暗网泄密网站发布消息：RansomHub在DragonForce系统上运行，在此页面您可以找到来自DF团队的最新消息。新闻包含一个PGP签名，可以用联系窗口内的DF公钥验证。保存密钥，用签名按钮复制签名后的信息，并用您的PGP工具（如OpenPGP、GnuPGP、Kleopatra或任何其他工具）进行验证。DF PGP 公钥也可在其他资源或论坛上找到。 DragonForce称“嗨，别担心，RansomHub很快就会上线，他们只是决定迁移到我们的基础设施！我们是可靠的合作伙伴。”同时，DragonForce发布了新的RansomHub泄密网站： RansomHub / Blog: http://ijbw7iiyodqzpg6ooewbgn6mv2pinoer3k5pzdecoejsw5nyoe73zvad.onion/blog RansomHub / Client: http://rnc6scfbqslz5aqxfg5hrjel5qomxsclltc6jvhahi6qwt7op5qc7iad.onion 在该暗网网站页面，DragonForce正在招募附属机构，其表示： DragonForce Ransomware 卡特尔邀请合作伙伴！最好的工具，最好的条件，最重要的是 所有合作伙伴的可靠性。在我们这里，您将获得稳定的报酬，工作起来也不会心存疑虑。 并号称提供： 所有工作流程完全自动化。 一套完整的业务管理系统。 针对每项任务的作战软件！ESXi、NAS、BSD、Win。 博客、FS（文件服务器）、管理面板、客户端面板。 无间断工作的 DragonForce Anti-DDoS 反病毒软件！ 可靠的基础设施！ 一个团队管理无限数量的品牌！ DragonForce勒索软件卡特尔，全天候监控服务器。 PETABYTE，无限存储。 免费呼叫服务、NTLM、Kerb 解密。 80% 归您所有（我们只收取 20%）。

美国联邦调查局（FBI）长期以来以渗透犯罪团伙、将其彻底摧毁而闻名。然而，随着犯罪手段的日新月异以及匿名方法的越来越难以被攻克，FBI现在寻求渗透到网络犯罪的黑暗世界，将其特工全面嵌入数字犯罪组织，甚至全身心投入来运作这些组织，作为其蜜罐来运营。 虽然之前包括“暗网下/AWX”在内的许多媒体认为暗网论坛Breachforums可能是FBI的蜜罐，但是没有证据。这次从另外一个案件中印证了FBI设置蜜罐的常规执法操作。 本站（anwangxia.com）获悉，网络安全媒体404 Media对FBI针对“ElonmuskWHM”洗钱案的执法工作进行了调查，并揭露了FBI的蜜罐手段。 通过运营蜜罐，联邦调查局得以在“ElonmuskWHM”洗钱案中逮捕了更多的毒贩、加密货币黑客等犯罪分子。然而，运营蜜罐的手段也招来了人们对政府越权的批评。 “ElonmuskWHM”是通过暗网宣传并运营的一个加密货币洗钱业务 名为“ElonmuskWHM”的暗网洗钱业务经常在已经关闭的暗网论坛“白宫市场”（White House Market，简称 WHM）上宣传，允许网络犯罪分子将通过犯罪手段获取的加密货币“套现”。“ElonmuskWHM”的客户通常是毒贩和黑客，他们会将加密货币发送给该机构，然后该机构会通过邮件将现金寄给他们。“ElonmuskWHM”会从其服务中收取20%的费用。404 Media的记者约瑟夫·考克斯（Joseph Cox）写道： 查阅了数百页法庭文件、ElonmuskWHM的在线帖子以及其他研究资料，首次揭示了FBI此次行动的轮廓。这进一步证实了这样一种观点：如果能为犯罪分子提供调查途径，FBI愿意为其提供实施犯罪计划所需的基础设施，有时甚至会持续很长时间。 通过仔细阅读这些法庭文件，考克斯了解到该业务为地下暗网的网络犯罪分子提供了不可或缺的服务。他解释道： 这项洗钱服务在犯罪圈中的实用性不容小觑。在美国，允许加密货币与法定货币交易的公司必须向政府注册成为货币转账公司。反过来，这些公司也需要依法收集用户的身份信息，就像普通银行一样。这对犯罪分子来说是一个问题，因为如果他们注册币安（Binance）或Coinbase等更合法的交易所，就需要提供身份证明（KYC）。如果收到法院命令，这些交易所会将这些信息交给当局。ElonmuskWHM提供了一种匿名替代方案，无需身份证明。 FBI通过长期调查抓获“ElonmuskWHM”背后的罪犯 FBI于2021年开始调查该服务，并聘请邮政局协助调查网络犯罪分子与运营商之间的现金交易。调查显示，“价值近9000万美元的加密货币”通过ElonmuskWHM的网络进行交易，该运营商一度吹嘘其业务收入高达3000万美元。 考克斯补充道，联邦调查局还“采取了极端且可能违宪的措施，以揭露‘ElonmuskWHM’的运营者，包括要求谷歌交出八天内观看过某个YouTube视频的所有人的身份信息”。具体而言，FBI探员通过Telegram向“ElonMuskWHM”背后的犯罪分子发送了一些观看次数较少的YouTube视频，然后要求谷歌提供观看这些视频的所有人的数据，从而锁定“ElonmuskWHM”背后的罪犯。 最终，警方找到并逮捕了这名罪犯，他是一名30岁的印度公民，名叫阿努拉格·普拉莫德·穆拉卡（Anurag Pramod Murarka）。据联邦调查局估计，穆拉卡在不到两年的时间里通过暗网洗钱总额超过2400万美元。美国司法部的一份新闻稿称，穆拉卡于今年1月被判处121个月监禁。 参与此案的美国检察官卡尔顿·S·希尔四世（Carlton S. Shier, IV）表示：“被告利用互联网为无数其他犯罪分子提供协助，帮助他们隐瞒赃款和非法毒品所得。此案凸显了网络犯罪的全球性，以及打击洗钱活动对勤勉和合作的必要性。” FBI接管并继续运营“ElonmuskWHM”以识别更多网络犯罪分子 逮捕穆拉卡后，FBI接管了该服务并花了近一年时间秘密运营暗网洗钱业务“ElonmuskWHM”。 据肯塔基州东区联邦检察官办公室公共事务专家加布里埃尔·杜吉恩（Gabrielle Dudgeon）透露，联邦调查局运营了“ElonmuskWHM”洗钱业务不到一年（约11个月），她曾与考克斯谈论过此事。考克斯查阅的法庭文件显示，该蜜罐行动显然让联邦政府得以了解其与“贩毒案件（包括佛罗里达州迈阿密的一起）、加利福尼亚州旧金山的持刀抢劫案调查以及多起计算机黑客调查（其中一些调查涉及数百万美元的犯罪收益）”之间的联系。 尽管联邦调查局成功逮捕了通过“ElonmuskWHM”进行洗钱的更多地下客户，但其手段也招致了批评，称FBI的卧底策略并不十分巧妙，而且可能不符合宪法。 美国司法部已经停止针对加密货币犯罪的积极调查 这只是政府秘密渗透网络犯罪活动以了解其结构并调查其客户的最新例证。考克斯此前曾撰写过一本关于联邦调查局（FBI）古怪的“特洛伊盾牌”行动的书，该行动中，FBI收编并运营了一家名为“ANOM”的加密电话公司，据说该公司专门向职业罪犯出售设备。ANOM使FBI能够监控90个国家/地区的约11,800台设备，为了解多达300个跨国犯罪组织的高层犯罪活动提供了窗口。 美国联邦调查局此前还入侵并渗透了一个名为“Hive”的勒索软件团伙，该团伙参与了多起破坏性的恶意软件攻击。这项行动于2023年1月宣布，使该机构能够监控该团伙的活动，收集有关其商业模式的信息，并最终识别其受害者。 但是，运营蜜罐的手段也招来了人们对政府越权的批评。“暗网下/AWX”看到，美国司法部已经宣布，计划停止针对加密货币交易所、钱包和加密货币混合器的执法行动和积极调查。尽管美国司法部声称仍将追捕犯罪分子，但这将阻止像追踪“ElonMuskWHM”这样的长期诱捕行动。

三月底，“暗网下/AWX”曾经报道暗网网站“DogeQuest”针对特斯拉车主和埃隆·马斯克的盟友进行开盒人肉，并曝光了数千名特斯拉车主的个人信息。许多人想知道“DogeQuest”怎么得到如此多特斯拉车主信息的？根据数据隐私组织ObscureIQ的分析，这些数据似乎是从2021年ParkMobile遭受大规模入侵后被窃取的约2100万用户数据中筛选出的。 ParkMobile是一款在北美提供停车支付服务的移动和网络应用程序。该公司总部位于佐治亚州亚特兰大，用户可以通过智能手机上的应用程序、网络浏览器或拨打电话号码支付路边和路外停车费用。ParkMobile还提供体育场或音乐会和体育赛事场地以及大都市区域车库的停车位预订服务。 名为“DogeQuest”于今年3月首次出现，发布与特斯拉司机和DOGE员工相关的姓名、家庭住址、联系方式和其他个人信息。该平台被宣传为反马斯克“抗议创意表达”的中心，但与现实世界的破坏行为有关，并且仍然活跃在暗网上。《纽约邮报》近日首次报道称，美国警方对DogeQuest的调查已经开始。 “如果你想要一辆特斯拉，用喷漆罐释放你的艺术天赋，那就走出去吧——不需要地图！在DOGEQUEST，我们相信可以激发创造性的抗议表达，让你足不出户就能实现，”DogeQuest的暗网网站写道，“DOGEQUEST既不支持也不谴责任何行为。” 数据隐私组织ObscureIQ对前期泄露的数据进行了分类，并确定用于填充DogeQuest网站的记录中有98.2%与受2021年ParkMobile泄密事件影响的个人相匹配。 Encouraging destruction of Teslas throughout the country is extreme domestic terrorism!! https://t.co/8TCNIbrQxA — Elon Musk (@elonmusk) March 18, 2025 DogeQuest最初是一个表网的人肉搜索的网站，鼓励破坏特斯拉汽车，并显示大约1700人的姓名、地址、联系方式，有时甚至显示就业信息。根据ObscureIQ的分析，该网站使用窃取的ParkMobile记录以及从经纪人处购买的数据，标记出车辆登记资料中列出拥有特斯拉汽车的任何车主。 该平台目前通过.onion暗网地址以“DogeQuest Unleashed”的名称运营，还公布了高价值目标的个人信息，包括高级军官、联邦雇员和硅谷私营部门高管。DOGE员工及其家人在整个数据中都占据着显著位置。 目前还没有其他报道将DogeQuest与ParkMobile数据泄露事件直接联系起来，ParkMobile是一款流行的停车应用程序，该公司为全美各地的无现金停车提供便利，在2021年的数据泄露事件暴露了约2100万用户的个人信息，包括客户电子邮件地址、电话号码、车牌详细信息、散列密码，在某些情况下还包括邮寄地址。ParkMobile于当年4月悄悄披露了这一数据泄露事件，承认“基本用户信息”已被访问。ObscureIQ的研究表明，电子邮件地址、车牌号和电话号码——与商业数据经纪人配对后足以进行身份​​三角定位。 该公司同意支付3280万美元的和解金，以解决因数据泄露而引发的集体诉讼。诉讼称ParkMobile未能保护其亚马逊网络服务云存储，导致数据被访问。尽管据报道支付卡信息和社会安全号码没有被泄露，但原告认为，暴露的数据仍然给受影响的用户带来了重大的隐私风险——这一说法现在因DogeQuest开盒活动而得到证实。 尽管受到联邦政府的关注，但事实证明该网站很难保持离线状态，因为暗网镜像采用了匿名托管方法，这使得执法部门的打击工作受挫。 上周，美国司法部指控三名嫌疑人涉嫌在多个州对特斯拉汽车、充电站和经销店进行人身攻击，但司法部尚未公开证实这些嫌疑人与DogeQuest有任何联系。与此同时，联邦调查局承认，它正在“积极开展”人肉搜索活动，同时应对影响DOGE附属公司的骚扰事件。 2021年ParkMobile数据泄露事件详情 亚马逊云的AWS S3存储桶是云计算中的常用工具。它是一种可扩展且安全的数字存储解决方案，允许企业存储大量数据并高效地访问这些数据以供其应用程序使用。但是，与任何存储系统一样，其安全性在很大程度上取决于正确的配置和监控。 在针对ParkMobile的存储桶入侵中，攻击者获得了包含约2100万ParkMobile用户的个人信息的S3存储桶的访问权限。泄露的数据包括车牌号、电子邮件地址、电话号码，有时还包括邮寄地址。尽管ParkMobile确认没有支付信息或社会安全号码被泄露，但被访问的数据带来了重大风险，例如网络钓鱼攻击和身份盗窃。 ParkMobile不存储用户明文密码，而是存储一种相当强大的单向密码哈希算法bcrypt的输出，这种算法比MD5等常见替代方案更耗费资源且破解成本更高。从ParkMobile窃取并出售的数据库包括每个用户的bcrypt哈希。 此次入侵很可能是由于与云存储相关的常见漏洞造成的。一个常见的问题是配置错误，即访问控制设置不正确。例如，S3存储桶可能会无意中向公众开放，允许任何拥有正确URL的人查看或下载其内容。即使应用了访问控制，弱凭证或泄露的访问密钥也可能为攻击者提供立足点。

2022年，”暗网下/AWX“曾经独家揭露分析了前五大中文暗网平台的近况，两年多过去了，现在的中文的暗网交易市场究竟是个什么样的状况，本站（anwangxia.com）继续为大家独家揭秘。2025年初，中文暗网交易市场只剩”长安不夜城“、”暗网中文论坛“以及”自由城“3个依旧活着的暗网站点，据初步探访，目前这3个暗网市场中，”长安不夜城“依旧大红大紫，”自由城“进行了大改版宣称焕新出发，而暗中却无法访问了，疑似卷款跑路。 一、大红大紫的”长安不夜城“ 曾经”暗网中文论坛“以自己存活了10年为傲，可是一不留神，后起之秀”长安不夜城“也已经5年了，并且这5年间，在中文暗网圈的名气、信誉度以及服务始终如一，暗网网友们对”长安不夜城“的认可也一直没有变化，市场里的交易依旧如前，Telegram群组的讨论仍然激烈。整体而言，这个暗网平台运营的相当优秀，知名度也相当高。可以说，经常访问暗网的中文用户，没有不知道”长安不夜城“的。 ”长安不夜城“目前支持比特币（BTC）、以太坊（ETH）、泰达币（USDT），且同一地址3次成功充值后，系统会自动更换充值地址，确保了用户的安全性，从加密货币充提上防止了被追踪。从安全、运营、管理多个角度看，”长安不夜城“都是目前中文暗网最靠谱的交易平台。然而，”暗网下/AWX“发现，也许是中文用户比较保守，”长安不夜城“虽然当前总计有5000多商品，浏览量也不错，但是交易数不是很多，这也从另一个侧面也反映了中文暗网的不活跃。与黑灰产泛滥的Telegram平台而言，暗网的确毫无优势。 “长安不夜城”暗网V3域名： http://cabyceogpsji73sske5nvo45mdrkbz4m3qd3iommf3zaaa6izg3j2cqd.onion 二、焕新出发的”自由城“ ”暗网下/AWX“去年曾经介绍，之前的诈骗暗网市场”自由城“突然回归了。”自由城“（FREECITY）曾经也是排名靠前的中文暗网交易市场，却为什么讲是”诈骗暗网市场“？据说早年其管理员不处理市场里的纠纷，就算交易了也没有售后；且从2022年5月份起该管理员只接受充币，却不处理提币，于是乎“自由城”已经完全沦为诈骗平台。 虽然涉嫌诈骗，但是”自由城“的三位管理员（Telegram：@freecityadmin @Komonado @rick2172355）从运营到建设是比较努力的，其Telegram频道保持了持续的更新，其代码开发能力也是可圈可点的。上个月26日，”自由城“发布公告：”下个月平台大升级！最低充值更低至1$，提现更灵活从起10$，支持大额人民币提现！新增搜索引擎，几十万电报群和频道，粉红豹资源等你探索。“ 于是这个月24日，”自由城“果然如期改版升级，新的暗网网站分为”担保市场“与”论坛社区“两个大区域，同样支持比特币（BTC）、以太坊（ETH）、泰达币（USDT），保持了与”长安不夜城“的同步，且充值地址24小时更新也保证了安全性。正如其公告所说，”自由城“全新设计升级后，视觉风格更简洁直观，信息浏览更高效。去年”自由城“使用Telegram机器人注册账号，而现在已经改为暗网里直接在网站注册，看得出，其管理员在代码开发上花了相当的工夫，网站的响应速度也已然超过”长安不夜城“。 尽管”自由城“的管理员很努力，但是有了黑历史，再重新吸引韭菜就很难了。”暗网下/AWX“认为，有这么好的开发班子，与其继续运营”自由城“，倒不如运营一个新的暗网交易市场。据统计，”自由城“目前仅有商品1500左右，几乎没有多少交易，这样看来想重拾大家的信心，重新把这个暗网市场做大，比较艰难，前途坎坷。 ”自由城“自称”自由城-暗网黄金的城市“（中文匿名担保交易市场 论坛社区），其发布的改版升级公告如下： [自由城]改版升级公告 —— 为更好的相遇，我们即将焕新出发 亲爱的社区伙伴们： 感谢大家一路以来的陪伴与支持！为了提供更优质的服务、更流畅的体验以及更多元化的互动功能，我们计划于 2025年 3月 24日 对网站/社区进行全面改版升级。 🔍 本次改版重点内容 ✅ 界面全新设计：更简洁直观的视觉风格，信息浏览更高效 ✅ 功能优化升级：新增粉红豹，暗网网址搜索，电报群渠道搜索 ✅ 交易手续费：交易手续费为：一般会员5%、高级会员3%、VIP 1%，较之前大幅降低。 ✅ 提现经验：提现手续费为 只 1$，一小时之内 处理 ⏰ 改版时间安排 施工期：3月 24日 16:00 – 3月 25日 13:00 ❤️请放心，所有客户资金和正在进行的交易都是安全保持的。 若遇延期将第一时间通知 改变是为了更好的陪伴，您的每一份建议都是我们前进的动力！期待与您共同见证全新的自由城 🌟 [自由城运营团队] [2025年 3月 24日] “自由城”的两个暗网V3域名： http://anwangokzgv725vgg3sjxu7rmwvvod47ilmhd7prhjorzn6pvngvruyd.onion http://freecitybth2lligi7zezokj7xh3eafzt3wnoiiqzba7dstvbr7sj4ad.onion 三、无法访问的”暗网中文论坛“ ”暗网中文论坛“，又名“中文暗网交易市场”，也称“暗中”或者”中暗“，曾经是中文暗网圈最大的交易市场，之所以将其放在第三位，是因为该暗网平台前不久还正常，现已经无法访问，不知是服务器故障，还是管理员卷币跑路。 “暗中”曾经因用户注册后需要购买发布与回复权限二被诟病，从2019年底又因开始收割用户的比特币而彻底被用户放弃，沦为一个诈骗平台。在”onion666暗网导航“的评论下，皆是对其的举报，后经”暗网下/AWX“多次曝光，于是用户基本都离开了。因此，这次如果是管理员卷币跑路也很正常，因为”暗中“基本没人相信了。 “暗网中文论坛”暗网V3域名很多（均已无法访问）： http://xxxxxxxxxs6qbnahsbvxbghsnqh4rj6whbyblqtnmetf7vell2fmxmad.onion http://xxxxxxxx3a3kuuhhw5w7stk25fzhttrlpiomij5bogkg7yyqsng5tqyd.onion http://xxxxxxxxss2wdceudprpxnmvjs5kwnlnfvun57koml6hkp6u7qwyhsyd.onion http://deepmixaasic2p6vm6f4d4g52e4ve6t37ejtti4holhhkdsmq3jsf3id.onion http://deepmixbf6xqt3m7kagmurdt4v43f2h3doc23h7hrkjlroovyjsvseqd.onion http://deepmixjso4ero6h3psxskkb756offo3uznx4a44vuc5464mjkqwndyd.onion http://deepmixl6jyyextuekqvufhaw3k4fv2zygcllo5lciupwdru6cb7xeqd.onion

近年来，“暗网下/AWX”多次报道“华人自己的暗网担保交易市场”是最大的中文暗网诈骗网站，然而本站（anwangxia.com）的曝光并未改变众多受害者一直以来前赴后继的上当受骗。对于一个藏在暗网深处的诈骗网站来说，如果没有强有力的引流，是无法做到这一点的，于是“暗网下/AWX”进一步深入挖掘出了该诈骗团伙打造的”靠谱中文网址大集合“诈骗导航站。 但是，即使有不知名的导航站，也无法做到受害者如此众多。这些暗网站点是如何从地下浮出水面进入用户的Tor浏览器，在多位受害者的哭诉下，“暗网下/AWX”终于解开谜团：原来是知名的大型暗网搜索引擎惹的祸。本文提醒诸位暗网用户，请谨慎使用Tor66等大型暗网搜索引擎，因为搜出来的链接都是诈骗网站。 根据Tor66的官方介绍：Tor66是一个暗网网站（被称为隐藏服务）的搜索引擎目录。Tor66的目标是为Tor网络上的网站提供高质量的搜索引擎。Tor66会抓取洋葱网站并将其添加到不断增长的索引中。 Tor66的暗网V3地址是： http://tor66sewebgixwhcqfnp5inzp5x5uohhdy3kvtnyfxc2e5mxiuh34iid.onion 前几日，“暗网下/AWX”的粉丝、同时也是诈骗网站“华人自己的暗网担保交易市场”的受害者“Steven”网友告诉本站： 这个“华人自己的暗网担保交易市场”就是骗子，里面所有的项目全是假的。他要投诉另外一个网站和这个傻逼玩意一伙的,叫做“王者归来”，互相帮衬，一起骗人，同时在为一个叫做“百万”的项目说话。他们共同有一个东西，一直在吹捧“百万”。 那个什么华人担保的傻逼网站吧，他主打骗人的就是“百万项目”，那个项目我不清楚是真是假，然后又有一个叫做“王者归来”的网站，他里面也能买这个百万项目，有一回，我问那个“王者归来”的站主，这个“华人担保”是真是假，他说是真的。他嘴里的那个老m就是百万项目的主，所以说他的意思就是这个网站也是真的。 很明显，“Steven”网友被“华人自己的暗网担保交易市场”的最新话术蒙骗了。当“暗网下/AWX”问他如何找到这个暗网诈骗网站的，他说： 你可以上tor66，然后去top onions的中文网址区块，你就能发现所有被曝光的骗人网站都在那上面摆着。 “暗网下/AWX”尝试访问暗网搜索引擎Tor66，打开首页“TOP# Onions”链接，跳转页面显示“100 most popular .ONION websites (calculated by TOR66)”，选择“Chinese”，可以看到出来的都是诈骗网站： 除了老牌诈骗交易市场“暗中”以外，排名靠前的还有诈骗网站“华人自己的暗网担保交易市场”，诈骗网站“APPLE SHOP”，诈骗网站“王者归来”，诈骗网站“數字貨幣極速增長程式”，每一个网站的罪恶都是罄竹难书，而Tor66的中文onion网站榜单几乎已经成了诈骗网站导航合集。 除了中文榜单外，“暗网下/AWX”发现，Tor66的其他语言网站的榜单，比如英文榜单，也都是诈骗网站或者假冒的暗网交易市场，唯一的目的，就是让小白转账加密货币。 本站（anwangxia.com）访问了最大的中文暗网导航网站“onion666”，在其关于“Tor66搜索引擎”的页面下，有多名用户在评论： 搜出来全是诈骗网站 草泥马的 http://oniov7hgxjiwxl7zzpphriyletrdszj26hhtkiqh5rirttfycilu74id.onion/ 正版中文担保交易市场 http://ecash6xc4uc6z4lkmywkb2srwgqdey7mwzxdvzw5gdmcxp5u7zv3c6yd.onion/ E-Cash卖礼品卡的 两个都是诈骗站 别再上当了 这个链接上推送的全是诈骗链接，，，正确做法应该是在 Dread上，或者daunt、tortaxi 或 darkfail上寻找，并且你要学会GPG签名认证识别！ 可见，群众的眼睛还是雪亮的。大家都已经发现了这个搜索引擎搜索出来的都是诈骗网站。 暗网里充斥着虚假、诈骗与罪恶，而作为大型导航站，作为知名搜索引擎，使用这样的虚假榜单，无疑是对用户不负责任，甚至连一句提醒用户注意防范的语句都没有，证明这种暗网搜索引擎为了其自身的流量完全是利欲熏心。 对此，“暗网下/AWX”郑重提醒诸位暗网用户，请谨慎使用Tor66等大型暗网搜索引擎。 更多暗网新闻动态，请关注“暗网下/AWX”。

Nucleus Market曾经是一个臭名昭著的暗网交易市场，作为Tor网络内的一项隐藏服务运行，为非法物品（如非法毒品、武器和假币）的销售交易提供便利。该暗网市场顶峰的时候拥有18000个商品，其中超过11000个商品是毒品和毒品相关物品。 与许多其他暗网市场一样，虽然接受比特币、莱特币、达世币，但当年Nucleus Market上的交易主要以比特币进行，因为这种加密货币更难追踪，因此为从事此类违法活动的人提供了一定程度的匿名性。 Nucleus Market当年的暗网V2域名地址是：http://nucleuspf3izq7o6.onion/ 2015年3月，在其竞争对手Evolution Market倒闭后，Nucleus Market一跃成为仅次于Agora Market的第二大暗网市场。然而，2016年4月，Nucleus突然下线，事先未通知，引发了对其消失原因的猜测。尽管官方关于其关闭的说法是遭到黑客攻击，但阴谋论四起。 突然的关闭引发了人们对其关闭原因的讨论，一般而言暗网市场关闭尤其仅有2种可能：退出骗局——管理员卷走用户的资金潜逃，亦或是，执法部门的打击与查封。到现在为止，Evolution Market倒闭的确切原因尚不清楚，但是”暗网下/AWX“基本确认是退出骗局，即管理员卷走用户的加密资金。 Nucleus Market的比特币钱包在九年后被重新启用 据Arkham Intelligence称，一个与暗网市场Nucleus Market相关的加密货币钱包在九年后苏醒，该钱包中持有超过4亿美元的比特币。3月7日，该钱包背后的主人将价值7750万美元的比特币转移到3个新地址，而主钱包中只剩下3.65亿美元。 ANCIENT DARKNET MARKET WAKES UP AFTER 9 YEARS WITH OVER $400M $BTC Wallets belonging to Nucleus Marketplace woke up this morning after 9 years of inactivity, transferring $77.5M worth of Bitcoin to 3 new wallets. Nucleus Marketplace wallets still hold $365M BTC. New addresses:… pic.twitter.com/JtPXBK8Aec — Arkham (@arkham) March 7, 2025 自2016年4月该暗网交易市场关闭以来，该钱包一直处于闲置状态，其中有5000枚比特币是供应商和客户的存款。根据Arkham的追踪器，当时这些资金价值约为210万美元。

2月21日，45岁的卡什·帕特尔（Kash Patel）宣誓就任令人垂涎的局长职位，目前他是FBI约38,000名员工的负责人，其中包括10,000多名特工和遍布全球的60多个办事处和分支机构。 几天后，俄罗斯背景的暗网勒索软件团伙LockBit向新任FBI局长帕特尔留言称提供所谓的“机密信息”，并声称这些信息一旦公开，可能会“摧毁”该机构。 这个公开的博文是在2月25日通过LockBit的暗网博客（暗网泄密网站）发布的，伪装成一封贺信，然后试图让新任FBI局长帕特尔与FBI的员工对立起来。网络安全研究媒体vx-underground在X上报道了LockBit发布的博文。 Today Lockbit ransomware group issued a message to Kash Patel, the new Director of the United States Federal Bureau of Investigation. He requested Kash Patel contact him via Tox and offered him a file titled "personal_gift_for_new_director_FBI_Kash_Patel.7z". The file is… — vx-underground (@vxunderground) February 26, 2025 “亲爱的卡什·帕特尔！祝你生日快乐！我也祝贺你担任联邦调查局的第九任局长，并祝你事业成功，因为这对你来说并不容易，”博文开头写道。“你周围都是骗子、职业操纵者，尊敬的卡什·帕特尔。你手下的所谓“特工”都是狡猾的操纵者，他们操纵你的目的就是让你无所作为，但你必须有所作为，卡什·帕特尔先生。” 该博文进一步解释，虽然LockBit经常被称为“敲诈者”和“勒索者”，但自己其实是“美国祖国的杰出儿子”，并声称LockBit的勒索软件行动实际上是为了加强美国国家安全而建立的，而国际执法部门却将其描述为“世界上最具危害性的网络犯罪集团”。 ”我的生意，我已经缴纳了很多税，我创建的目的只是为了让我们所有人，在我们的美利坚合众国，成为一个更安全的居住地。“ ”我是一个诚实的商人，向美国财政部缴纳了那么多的税款，却从未退过税，而是让黑人帮我退税。“ 在将自己描述为“诚实的商人”之后，作者继续指责联邦调查局是“真正的威胁”。 博文继续写道：“这些真正的敲诈者、骗子、勒索者、操纵者，也就是你们所熟知的下属——联邦调查局特工，他们用假货充斥着我们的国家，并宣称我是一个威胁。“ 最值得注意的是，该博文最后试图引诱帕特尔直接联系LockBit，并承诺向他提供一份为他个人准备的“机密信息档案”，据称该档案将揭露联邦调查局内部的腐败行为。 “我决定给你最好的礼物——一份机密信息档案，供你个人使用，卡什·帕特尔先生，”博文写道。“一份指南、一份路线图和一些友好的建议。只有您才能访问，密码是有限的。这些信息是为了美国国家安全，为您提供如何找到真相的信息，我们的兄弟美国总统唐纳德·特朗普也想找到真相。” 作者将所谓的机密数据描述为“对抗谎言的关键，对抗虚假的良药”，然后要求帕特尔与其取得联系。 “请亲自联系我，我非常不愿意公布这些信息，因为这不仅会对FBI的声誉产生负面影响，还会破坏其结构，”作者补充道。“因为我真的希望您，尊敬的卡什·帕特尔，不仅是FBI的局长，而且也是FBI历史博物馆的馆长。让您讲述我们的故事——我们如何打败虚伪和腐败的FBI特工。” 这番言论似乎针对的是帕特尔去年的言论，当时他表示，他将“在第一天”关闭联邦调查局总部，并将其变成“深层政府博物馆”。 在博文最后，LockBit提供了联系方式——一串Tox的ID：3085B89A0C515D2FB124D645906F5D3DA5CB97CEBEA975959AE4F95302A04E1D14E41080A105，以便帕特尔与其联系。 LockBit称：“请亲自联系我，我非常不愿意发布这些信息，因为这不仅会对FBI的声誉产生负面影响，还会破坏它的结构。” 在该博文下面，LockBit勒索软件团伙已公开提供下载名为“personal_gift_for_new_director_FBI_Kash_Patel.7z”的文件，大小约2.06MB。由于该文件收到受密码保护，”暗网下/AWX“暂时看到其内容。 网络安全分析师Dominic Alvieri一直在追踪LockBit等勒索软件团伙，他表示，该团伙在美国和英国等国机构的国际联合执法行动后于2024年2月被瓦解，现在该团伙只不过是想引起关注，然后重建。 Alvieri表示：“目前LockBit提供的任何信息要么是公开数据，要么就是彻头彻尾的虚假声明。”目前还不清楚LockbBit拥有哪些机密数据，而帕特尔作为FBI局长似乎也无法访问这些数据。 LockBit长期以来一直是网络犯罪领域的主要参与者，采用勒索软件即服务 (RaaS) 模式运营，其中附属机构（通常是独立黑客）部署恶意软件以换取部分赎金。

在早些年，信用卡欺诈论坛是网络犯罪最活跃的聚集地，向任何有钱人出售打包的被盗信用卡数据。但那只是过去的事情了，现在出现的最多的是在暗网上发现被盗密码和账户凭证、钓鱼漏洞工具包和恶意软件即服务平台等交易。 但这并不是说信用卡欺诈已经消失，“暗网下/AWX”近日获悉，一个名为B1ack’s Stash的暗网论坛刚刚免费赠送了100多万张被盗信用卡。专家推测，B1ack’s Stash论坛将免费发放卡片作为一种营销策略，决定发放免费样品旨在吸引新客户并在网络犯罪生态系统中获得知名度。 暗网论坛上免费发放被盗信用卡 D3Lab威胁情报主管Andrea Draghetti在2月21日发布的一份报告中透露，一家名为B1ack’s Stash的知名非法暗网市场和信用卡欺诈网站向其用户免费赠送了超过100万张被盗信用卡。该论坛管理员在一篇主题帖中宣布了本次数据泄露事件，声称泄露了一批由400万张免费信用卡组成的数据。 2月19日，暗网论坛B1ack’s Stash上发布了“包含超过100万张独特信用卡和借记卡的大量敏感数据”，实际上传了6个档案，共包含1,018,014张信用卡数据，其中，192,174张由欧洲金融机构发行。 据了解，这些信用卡数据包括高度敏感的信息，例如相关信用卡的主PAN（主账号）、到期日期、信用卡验证值CVV2以及安全码。但这还不是全部；还有持卡人的详细信息，例如他们的全名、地址、出生日期和电话号码以及电子邮件地址。该数据包含了几乎所有进行信用卡欺诈或针对持卡人发起网络钓鱼攻击所需的信息。 信用卡信息被盗用并被用作营销工具 “分析表明，这些数据很可能是使用网络窃取技术窃取的，”Draghetti表示，“这种方法涉及将恶意JavaScript代码插入受感染的电子商务支付页面，实时拦截用户输入的敏感数据。”被盗卡本身按类型（信用卡或借记卡）进行组织，并根据发卡银行和原产国进行进一步索引。“转储还包括磁条数据，允许犯罪分子创建物理卡克隆，”Draghetti警告说。 报告总结道：“网络盗窃仍然是电子商务平台和信用卡持有者面临的最普遍的威胁之一。” 这并不是犯罪企业第一次以这种方式传播被盗数据。“暗网下/AWX”曾经报道，被盗信用卡交易网站BidenCash之前曾使用过此类促销活动，向更广泛的犯罪受众推广该暗网市场。 因此人们普遍认为，这次发布信用卡数据，是为了吸引新用户加入B1ack’s Stash犯罪论坛。“在最初的免费发布之后，”Draghetti说，“还有更多的信用卡可供购买，每张售价通常约为25美元。” 地下信用卡交易市场正在茁壮发展 地下信用卡交易市场是网络犯罪生态系统的重要组成部分，它们为支付卡数据的买卖提供便利。曾经最受欢迎的信用卡交易网站之一是Joker Stash，其运营者选择于2021年2月退休，关闭了服务器并销毁了备份。报道称，Joker Stash的管理员通过其犯罪活动积累了价值10亿美元的比特币。 其后，信用卡欺诈网站如”Ferum Shop“、”UAS“和”Trump Dump“等在地下暗网市场中逐渐流行起来。 “BidenCash”于2022年4月推出，被认为是一家低调的信用卡商店。本站（anwangxia.com）多次报道，其运营者定期免费发布新鲜转储和促销批次的能力迅速提高了它的知名度。 2022年6月， BidenCash在一个网络犯罪论坛上发布了2019年至2022年期间超过790万张支付卡数据。然而，这些数据仅包含6581条泄露信用卡号的记录。