WinRAR是全球最受欢迎的Windows文件压缩实用程序,用于创建和查看归档文件(RAR或ZIP文件格式)以及“解压”其他格式的归档文件和包含这些归档格式的可执行文件。
由于其庞大的用户群——WinRAR在全球拥有超过 5 亿用户——该软件中的漏洞经常被各种威胁行为者利用。由于WinRAR没有自动更新功能,WinRAR用户必须在官方网站手动下载并安装最新可用版本。
针对WinRAR的复杂零日漏洞(0day)已出现在暗网市场上,标价高达80000美元。这个此前从未被发现的远程代码执行(RCE)漏洞影响了该广泛使用的软件的最新版本和早期版本,引起了全球数百万用户的极大担忧。
该零日漏洞由一名使用化名“zeroplayer”的威胁行为者在暗网网络犯罪论坛上发布主题,进行销售。根据描述,此零日漏洞与最近披露的CVE-2025-6218完全不同,这表明WinRAR可能同时面临多个严重的安全漏洞。
这种区别尤其令人担忧,因为它表明即使用户已经修补了系统中已知的漏洞,仍然可能面临风险。
关于编号为CVE-2025-6218的漏洞 WinRAR中最近修补的目录遍历漏洞(CVE-2025-6218)可被远程攻击者利用在受影响的安装上执行任意代码。该漏洞已在2025年6月10日发布的WinRAR 7.12 beta 1中得到修复,建议用户尽快升级到该版本。
CVE-2025-6218是由名为“whs3-detonator”的研究人员通过趋势科技零日计划发现并私下报告的,该漏洞存在于存档文件中的文件路径处理中。
ZDI的安全公告解释道:“精心设计的文件路径可能导致进程遍历到非预期的目录。攻击者可以利用此漏洞在当前用户的上下文中执行代码。”、“利用此漏洞需要用户交互,即目标必须访问恶意页面或打开恶意文件。”
CVE-2025-6218影响:
WinRAR v7.11(及更早版本) Windows版本的RAR、UnRAR、便携式UnRAR源代码和UnRAR.dll RARLAB表示:“Unix版本的RAR、UnRAR、便携式UnRAR源代码和UnRAR库以及Android版本RAR均不受影响。”
新的零日漏洞具备远程代码执行功能 “zeroplayer”称,该零日漏洞使攻击者能够通过特制的压缩文件在目标系统上执行任意代码。远程代码执行功能意味着只需打开恶意存档文件就可能危及整个系统。
这种漏洞尤其危险,因为WinRAR安装在全球数亿台计算机上,这使其成为寻求广泛影响的网络犯罪分子的一个有吸引力的目标。
80000美元的售价反映了网络犯罪分子对零日漏洞的高度重视,尤其是针对广泛部署的软件的零日漏洞。这个定价还表明漏洞利用可能是独家的或特定有限使用,因为大规模销售的漏洞利用通常在地下市场上价格较低。
此次漏洞的出现凸显了软件开发人员在维护安全应用程序方面面临的持续挑战。WinRAR的悠久历史和广泛的功能集使其成为安全研究人员和恶意行为者的一个复杂目标。
该漏洞影响软件的多个版本,这表明它可能是应用程序架构中的一个根本缺陷,而不是最近漏洞类似的编码错误。网络安全专家强调,零日漏洞是数字领域最严重的威胁之一,因为它们针对的是没有补丁或防御措施的未知漏洞。
依赖WinRAR进行文件压缩和提取的企业和个人用户应保持警惕,并考虑实施额外的安全措施,例如沙盒或替代压缩工具,直到获得更多漏洞的详细信息。
网络安全社区正在密切关注这一发展,因为此类漏洞在暗网市场上的出现往往先于其用于有针对性的攻击或更广泛的网络犯罪活动。安全研究人员正在努力识别和了解该漏洞,以制定适当的对策,并告知WinRAR的开发人员该漏洞对其用户群的潜在威胁。
上个月底,臭名昭著的专门交易被盗数据的暗网论坛BreachForums再次被警方摧毁,ShinyHunters、Depressed、Hollow(Anastasia)和IntelBroker等多名管理人员在法国被逮捕。然而,这并不影响网络犯罪分子追寻自由的心,“暗网下/AWX”发现,进入七月份,两个新的BreachForums论坛如同雨后春笋,正在生根发芽。
新的BreachForums克隆版breached[.]ws已上线 7月1日,管理员Hasan和thej在Telegram频道发布消息,新的BreachForums克隆版已上线,该网站似乎是从零开始建立的,拥有全新的外观,没有前一版本的用户数据或旧主题帖子。
新的BreachForums克隆版的访问地址为:
明网:https://breached[.]ws/
暗网:http://breachy72uc3rgraqpvfnb6dglhbcy7niqpmjdlseewzgpq4vifmmuyd[.]onion/
新论坛设置了新的规则,那就是禁止发布有关9-Eyes政府数据泄露相关的帖子。管理员Hasan估计,这一限制可能会减少10-20%的收入,但他认为这是保持论坛在线而又不引起直接执法行动的唯一办法。听起来像是一个全新的开始?但也许不是……FBI的执法似乎不仅针对泄露政府数据。
然而,就在一天后,一个名为“test55”的用户在新的网站上发布了一个主题,声称他们通过图片处理利用了一个SSRF(服务器端请求伪造)漏洞,从而获得了新论坛所在服务器的IP地址(86.54.42.86)与网站所有访问者的IP地址。
Hasan对breached[.]ws存在漏洞做出回应 Hasan称,昨天一个随机的“威胁行为者”试图访问被攻破的breached[.]ws的后台,或者说是自己曾经认识的一个人,但该人知道真实的后台IP。
长话短说,该人试图通过服务器端请求获得访问权限,而这恰恰是毫无道理的,因为这只会得到他已经得到的东西——IP。
Hasan表示,有趣的是,在这个过程中,他的DNS缓存泄露了,他的IP也泄露在了处理恶意活动和DDoS Guard的CDN的访问日志中,他还自爆了身份,试图羞辱Hasan和Hasan的团队。
Hasan说发现该人的IP属于巴西的Db3 Servicos De Telecomunicacoes S.A。他是巴西人,这一点也不奇怪。他的CIDR IP地址子网是45.179.224.0/24。
Hasan说这证实了此人为被他抛弃的巴西人,这有点令人讨厌,之前,他曾与5个不同的开发人员一起开发网站的WIP。
此外,Hasan还解释了为什么访问日志会记录IP或DDoS guard等服务。他说每个网站都会记录 IP,这是标准做法,尤其是当用户使用DDoS Guard或CDN等保护时。日志用于检测可疑活动,比如有人试图通过开发工具窥探后台。但他保证breached[.]ws的日志每24小时会被清除一次,所以不用担心。
对于MyBB邮件SSRF漏洞(CVE-2025-29459)并未在6月份的1.8.39更新中得到修复,出于其他安全原因,Hasan称将禁用BreachForums上的邮件功能,因为同步和修改MyBB软件会影响其自带的其他功能。
针对存在可能存在其他漏洞的问题,Hasan回应称“我将添加最后的更新,那就是shoutbox,我已经限制了大部分(如果不是全部的话)CVE,否则我可以在未来最终得到证明,如果在我们更换软件之前出现了什么问题,之后我们将在论坛上工作人员OG的帮助下上传我能找到的旧数据库。“
Hasan称breachforums[.]info是一个假冒 Hasan还描述了另一个消息,称Anti-Extortion Network的创始人联系了他,告诉他一个显而易见的事实:http://breachforums.info是一个假冒的BreachForums克隆版,他们的管理员Jaw不是原RaidForums的Jaw,这一点他们之前已经知道很多次了。
Hasan说但是他不知道假冒网站管理员Jaw竟然有来自RaidForums的Jaw的真实联系方式,但他很快就会发消息说明他们是如何使用Jaw的化名的。Hasan称如果想获得更多证据,可以直接通过@v6kp7qx90njz55yru71x6fdwz0联系Bear,这是他的Telegram账户。
目前唯一的BreachForums域名是http://breached.ws,也许即将出现的许多其他域名,Hasan表示已经走了很长的路,将通过扩大其员工团队来使自己合法化,其员工团队将包括大家眼中的导师以及让BreachForums成为BreachForums的作者(发布被盗数据的网友)。
仿冒论坛breachforums[.]info于7月1日开启 鉴于BreachForums的知名度极高,于是假冒的BreachForums论坛前赴后继的产生然后覆灭,本站之前曾报道过新出现的假冒BreachForums论坛breached[.]fi。
该论坛创始人Jaw在论坛上线的时候发布了主题帖“我们回来了——更强大、更聪明、更有韧性”,称“你们很多人都认识我–我叫Jaw。今天,我正式宣布,我们中的许多人都称之为家的地方回归了:BreachForums”。具体帖子内容如下:
首先,请允许我向选择回来帮助我们重建的各位致以诚挚的谢意。你们的忠诚、坚韧和对社区的承诺远非言语所能表达。
发生了什么——我们的立场
正如你们许多人所听说的,ShinyHunters和IntelBroker已被逮捕。在此过程中,当局查封了所有服务器基础设施,包括数据库、源代码和用户数据。联邦调查局和法国执法部门现在已经掌握了之前论坛的全部数字足迹。
让我明确一点:旧论坛的所有内容都已泄露。
这对你意味着什么
如果您要返回,请重新开始。
新的用户名。
新的 OPSEC。
不要重复使用任何以前的用户名、PGP 密钥或标识符。
我们已经看到了人们过于安逸的后果。不要重蹈覆辙。
澄清MyBB传闻
有人猜测此次漏洞使用了所谓的MyBB 0-day漏洞。这种说法是错误的。
只有IntelBroker可以直接访问后台和源代码。“0-day”谣言只是一个烟雾弹,是ShinyHunters转移视线的一种手段,目的可能是争取时间和转移视线。但真相已经浮出水面。
继续前进
我们都吸取了一些惨痛的教训。我们不会忽视它们。
这次重建不仅仅是将碎片重新组合在一起,而是要创造出更强大、更智能、更安全的东西。我将全力以赴,采取一切必要的措施来保护这个社区,确保我们的重建工作不会重蹈覆辙。
这是一个新的篇章——对于那些准备参与其中的人,我欢迎你们。
我们重建。一起重建。
仿冒的BreachForums的访问地址为:
明网:https://breachforums[.]info/
暗网:http://gtihui3n5rijtibu4knip53wopp2teaxa2zphr66bi2yivb5fiekb6id[.]onion/
如果breached[.]ws是正宗血统BreachForums的传承,那这将会是第四版BreachForums,第四版BreachForums的命运将如何,会不会像Hasan所言的合法化运行,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
长期以来,暗网市场跟随岁月转变,交替更迭,始终延续旧去新来的发展趋势。根据@DarkWebInformer的消息,暗网市场Elysium Market于6月22日突然无法访问,成为6月份消失的第二个暗网市场。多方消息显示,Elysium Market同样选择了退出骗局。“暗网下/AWX”已经报道,6月份消失的第一个暗网市场是被国际联合执法行动摧毁的Archetyp Market,而Abacaus Market在6月29日的销声匿迹使其成为今年6月份消失的第三个暗网市场。
Elysium Market是一个英文版本的暗网交易市场,Elysium Market的浏览体验流畅直观,网站界面友好,产品按类别清晰展示。清晰的市场流程和安全措施沟通,提升了用户的信任度和满意度。该市场还具有自动提款、Jabberbot、多重签名支持,拥有一定的用户量。
6月22日,暗网论坛Dread用户/u/BigFisha42发布主题“ElysiumMarket”,询问“请ElysiumMarket的版主给我发消息,该子论坛现在显示为私有。我无法再通过任何洋葱链接访问该网站,而且我有多个未结订单。希望得到任何帮助。”该主题没有得到Elysium Market相关管理人员的回复。
Dread管理员/u/HugBunter跟进了该事件,在回复中表示”看来他们可能出了什么事,退出了。所有员工账户都已删除,他们还将Dread分站设为私有。我们将等待24小时,看是否有人来解释。“然而,并没有Elysium Market相关的人员进行答复或者解释,因此,Elysium Market确系选择了退出骗局(关闭网站,卷有所有所有属于网站用户的加密资产)。
用户/u/blackhorn19称,在Arechtyp损失23个xmr,在Elysium Market损失7个xmr,6月份总共损失30个xmr。
Elysium Market曾宣称拥有极致的安全和隐私 安全特性 Elysium Market致力于匿名安全,采取多种措施保护用户:
强制双因素身份验证(2FA):所有用户必须执行,以确保安全访问。
PGP加密:用于所有私人消息,确保通信保密。
托管系统:资金将被保留,直到买家确认收到为止,从而降低欺诈风险。
自动提现:用户可以设置XMR退款地址,自动提取10美元以上的资金,增强资金安全性。
减少危害部分:提供有关安全用药的信息,强调用户安全和教育。
独特功能 Elysium Market提供多项独特功能:
按自己的方式销售:供应商可以选择每笔销售收取3%的佣金或每月收取0%的佣金,从而为其商业模式提供灵活性。
供应商Jabber通知:确保供应商收到重要更新的通知。
XMR支付选项:所有商品均接受XMR,增强交易匿名性。
删除帐户:买家可以通过输入PIN来删除他们的帐户,从而增加对个人数据的控制层。
随着国际执法机构对暗网黑市的打击,已经赚到钱的暗网市场背后的管理人员将会非常恐惧,未来应该会有更多暗网市场选择自主关闭,而”退出骗局“是他们最佳的选择。
更多暗网新闻动态,请关注“暗网下/AWX”。
在臭名昭著的暗网市场Archetyp Market被国际执法行动摧毁后不久,另一个较大的暗网市场Abacaus Market近日突然也无法访问。“暗网下/AWX”总结过,暗网市场无法访问,只有三种可能:执法查封、赚足退休、退出骗局,Abacaus Market是因为什么原因,暂时不得而知。
Abacaus Market创建过2021年9月,当时号称建立一个安全、稳定和易于使用的暗网市场,创建时名为Alphabet Market。据称该市场是从零开始的编码开发,在设计方面,该市场采用了其管理员最喜爱的暗网市场Alphabay的原始设计,仅对模板进行了一些改动,但始终保持了Alphabay的精髓。
7月1日,@DarkWebInformer在X上发布预警,称“Abacus Market要么是被警方端了,要么是退出骗局,你自己选择吧……如果这个市场恢复了,你再继续使用它就是傻瓜了”。同天@vxdb也在X上表示,Abacus Market不容乐观。如果情况属实,这可能是近一个月倒下的第3个暗网市场。
暗网论坛Dread的一个用户/u/sus123321追踪了他在Abacaus Market的BTC存款,发现一个半小时前有一个钱包转入了价值23.7万美元的比特币,证明及有可能正在进行退出诈骗。这与网站断开连接的时间相符….,sus123321在帖子中称可能自己是在胡说八道,但总觉得情况不妙。该用户追踪的比特币钱包是:bc1qgty07dylltge6xgvrtdxrhhhpemfwyjn4xqe5c,经本站(anwangxia.com)检查区块链,确实在7月1日凌晨3点19分,有一笔2.2个BTC的归集转移,之后再也没有变动。
对此,7月2日,Abacaus Market的管理员/u/Vito在Dread论坛发表“正在努力–DDOS”的主题,他说,自从Archetyp Market消亡后,Abacaus Market这些天的流量很大。最近,DDoS攻击对该暗网市场的影响非常大。但其表示一切都很好,在DDoS和大量新用户使用市场之间,他们需要一些调整。
他称很抱歉给用户带来不便,但其正在努力,当然也一如既往地感谢用户的耐心等待,请不要上当受骗。Abacaus Market恢复后,他会及时通知的。
在同一篇主题的回复中,Dread论坛的管理员/u/HugBunter确认了Vito的答复,并表示,暂时保留此评论,Vito正在与其联系,只有在认为必要时才会发布最新消息。HugBunter称已经得到保证,Vito正在努力让Abacaus Market重新上线,所以大家将从这里开始。如果Abacaus Market不恢复,Vito就没有什么理由还留在这里(Dread论坛)了。
但是对于以上的解释,用户并不买账,用户/u/jake0126的评论得到了许多用户的赞同,他首先感谢Vito抽出时间发布有关Abacaus Market的最新消息,但在这种情况下,其表示很难接受这种敷衍的解释。因为Abacaus Market连续数天出现严重的提款延迟,现在所有暗网镜像都已完全离线,没有保留部分服务,没有静态状态页面,除了在Dread发布的这篇帖子,没有任何后备通信及通知。
接着jake0126从专业角度进行了评论,他说即使是在严重的DDoS或流量激增的情况下,一个专业暗网市场同时完全关闭所有镜像也是极为罕见的。通常情况下,至少会保留一个镜像,或一个轻量级的洋葱状态页面,甚至可以保留一个带签名的PGP广播来确认情况。这也是任何一个有职能团队并真正打算恢复服务的暗网市场都会做的事情,保持一些可验证的通信线路畅通。
而在出现长期提款问题后立即关闭一切,然后在完全下线后再发布这样的帖子,这正是在过去无数退出骗局中看到的模式。这样做既能争取时间、压制投诉,又能防止用户在他们消失时追踪资金流向。
最后jake0126质疑道,如果Vito真的打算重新上线Abacaus Market,为什么不发布有偿付能力的加密证明呢?用Abacaus Market或者Vito控制的PGP密钥签署一条信息,并展示Vito用来提现的钱包的链上交易,证明Vito仍然控制着这些资金。这将大大有助于重建信心。否则,暗网网站的完全沉默和提现冻结后的时间安排让这看起来像是一次教科书式的退出骗局。如果Abacaus Market真的会回来,希望Vito能够提供更有力的证据和更有弹性的通信计划,因为现在,用户没有理由相信这种情况。
Abacaus Market创建时的广告宣传 全天候提供支持。 论坛提供 10 多种不同语言,可通过等级、奖励、大量版块和即将推出的新功能建立社区。 挂牌价格可自动转换为 14 种不同货币,包括美元、英镑、欧元、加元等常用货币。价格每几分钟更新一次。 订购实物产品时,所有客户地址都将自动加密;订购数字产品时,买家可选择适合自己的加密方式。 保存收藏的供应商/列表 买家黑名单 我们相信,整洁有序的界面对您的业务成功非常重要。您可以在一个页面上保存订单信息以及与之相关的指定聊天信息,无需额外加载,也无需独立的新消息通知。此外,您还可以发送延迟消息。 先进的消息系统,您可以邀请无限量的买家加入您的对话,还可以发送延迟消息。 比特币启用 2/3 Segwit Multisig Escrow 和 FE。很快将支持更多的币种。 100 美元不可退还的供应商保证金,仅适用于在其他市场上没有反馈的新供应商。(供应商保证金将在一定时间内增加) 卖家需支付 5% 的费用,买家无需支付任何费用。这是市场上独一无二的收费方式。无隐藏费用。 实体列表、按顺序自动发送的数字列表。 允许实体和数字房源。我们是唯一拥有先进自动发货系统的市场。您可以为每种发货方式专门配置自动发货功能(这样您就可以在一个列表中自动生成不同的组合)。 公开、私密(只有拥有链接的买家才能访问列表)或隐藏(任何人都无法访问列表) 快速克隆列表。 限制不可信任的买家购买您的列表,保护您的供应商账户免受来自竞争对手的不良反馈。 休假模式(5 天后不活跃的供应商将自动切换到休假模式) 外部员工共享访问模式(可允许访问销售+信息或仅允许访问销售/信息)。没有限制,一个账户可以管理无限多个账户。 全额或部分退款,供应商可在不退出市场的情况下向买家进行部分退款。 双因素认证 可配置的 jabber/xmpp 通知。您需要在我们的公共 jabber 服务器上创建一个 jabber 账户。 销售额达到一定数量后,供应商可以使用私人洋葱。 订单将在完成 30 天后被清除。不活跃的对话将在 30 天后被清除。 我们在提现过程中不收取任何隐藏费用(优化矿工费用除外,该费用由矿工而非我们收取,并在提现页面中注明)。 与丝绸之路相同。您可以选择佣金后定价或佣金前定价,因此我们可以帮助您直接获得净收入。大多数网站会直接从销售价格中扣除手续费。在 Alphabet 上,您可以选择从销售价格中扣除佣金。 Abacaus Market发布的带有PGP签名的网址信息 -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Current main-fixed public Links of Abacus Market: http://abacuseeettcn3n2zxo7tqy5vsxhqpha2jtjqs7cgdjzl2jascr4liad.
美国司法部周三表示,美国指控一名网名为“IntelBroker”的英国公民入侵全球数十家公司,窃取和出售敏感数据,造成超过2500万美元的损失。
根据本站(anwangxia.com)之前的报道,IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员,面临多项与非法网络攻击活动相关的指控。IntelBroker是入侵D.C. Health Link(国会健康数据)、“五眼”情报泄露和大规模T-Mobile数据盗窃的幕后黑手,他与出售美国政府系统访问权限和泄露军事文件有关。
25岁的凯·韦斯特(Kai West)于今年2月在法国被捕,据新闻报道,他自2月22日以来一直被关押,目前正在等待引渡至美国。一旦罪名成立,他将面临最高20年的监禁。美国司法部表示,韦斯特及其同伙试图在非法论坛上以超过200万美元的价格出售被盗数据。
根据最新公布的起诉书,韦斯特以“IntelBroker”的绰号在一个热门黑客论坛上出售被盗数据,该论坛据信是暗网论坛BreachForums——一个泄露数据库和黑客工具的交易市场。本周早些时候,法国媒体报道了几名涉嫌BreachForums管理员的嫌疑人被逮捕的消息。
警方表示,他们通过卧底侦探使用加密货币购买被盗数据,从而将韦斯特与IntelBroker联系起来。他们追踪到这笔加密货币付款来自一个以韦斯特真实身份注册的Coinbase账户。对他的Gmail账户进行搜索后,发现了他与该网络别名相关的个人和财务记录。起诉书称,调查人员还发现韦斯特使用相同的IP地址登录他的个人账户和IntelBroker的个人资料。
BreachForums是一个臭名昭著的交易被黑客入侵数据和网络犯罪工具的中心,在其创始人康纳·菲茨帕特里克(Conor Fitzpatrick)在美国被捕后,IntelBroker是该平台的管理员和所有者之一。
IntelBroker的罪行 “IntelBroker”是韦斯特的网名,他与同伙合谋入侵受害者(通常是公司)的计算机系统,窃取其中的数据(例如客户名单和公司营销数据),然后将窃取的数据出售牟利。韦斯特的计划实施与他领导的一个名为“CyberN[——]”的在线黑客组织有关,该组织经常访问一个特定的互联网论坛(“Forum-1”,即暗网论坛BreachForums)。
约在2023年至2025年期间,韦斯特约41次出售被窃取的数据;并约117次免费(或以Forum-1积分为代价)分发被窃取的数据。韦斯特及其同伙试图通过出售被窃取的数据至少牟取约200万美元。根据从这些违规行为的受害者处获得的信息,韦斯特及其同伙累计已给受害者造成至少2500万美元的损失。
根据对韦斯特在Forum-1中以IntelBroker身份发布帖子的审查,自2023年1月左右到2025年2月左右,韦斯特发布的大约158个帖子提供被盗数据以论坛-1积分或免费或以其他方式出售。在这158条公开消息中,至少有41条出售来自美国公司的数据。在这158条消息中,大约有16条为被盗数据提供了具体的要价,累计总额至少为2,467,000美元。在158条公开消息中,至少有25条邀请论坛1用户向IntelBroker(即韦斯特)发送私人消息以协商销售价格。其余117条公开消息向论坛-1用户免费提供被黑数据或以论坛-1积分换取数据。158条公开消息中至少有46条表明韦斯特与某个论坛-1用户(“CC-1”)合谋通过“入侵”(即“黑客攻击”)获取数据。韦斯特的公开信息(以IntelBroker的身份)表明他接受通过Monero付款,这是一种使用具有隐私增强技术的区块链来试图混淆交易并寻求实现匿名性和可替代性的加密货币。
韦斯特以“IntelBroker”的名义频繁发帖,并出售被盗数据,这使得他在Forum-1社区中声名狼藉。事实上,从2024年8月左右到2025年1月左右,“IntelBroker”在Forum-1上一直被认定为该网站的“所有者”。为了进一步提升其用户名的知名度,韦斯特将不同的图片与“IntelBroker”联系起来。
韦斯特的受害者包括一家美国电信供应商。韦斯特使用IntelBroker的绰号出售该电信公司的数据,其中包括其客户信息。韦斯特通过非法访问一台配置不当的服务器获取了这些数据。大约在2023年3月6日,韦斯特使用IntelBroker的绰号在Forum-1上发布了一条公开帖子,标题为“CyberN[——][删除受害者信息]数据库”。在该帖子中,韦斯特出售一家市级医疗保健供应商的数据,其中包括受害者患者的姓名、社保号码、出生日期、性别、健康计划信息、雇主信息等。
IntelBroker如何被FBI追踪到 根据@nattyfried,刑事指控将 “kyle.northern1337@outlook[.]com ”列为其主要电子邮箱账户。 该电子邮箱有一个与之相连的微软账户,通过该电子邮箱的 “用户名 “部分(kyle.northern1337),发现了另一个电子邮箱账户:kyle.northern1337@icloud[.]com
这个新的ICloud地址有几个与之相关的账户,包括一个在某时尚品牌留下评论的谷歌账户。在Luxottica数据泄露事件中,该电子邮件还与一个英国电话号码同时出现。
数据泄露事件中出现的电话号码有一个Facebook账户,该账户连接了一个新的电话号码(以64结尾)和一个新的电子邮件地址,该电话号码与 icloud 电子邮件中的电话号码一致,并与他的AppleID和Paypal账户相连。
2023年1月,联邦调查局的一名卧底特工在BreachForums上购买了属于名为“Victim-7”的组织的API密钥和登录凭证,发现该黑客的比特币钱包中的支付款来自一个与Ramp账户相连的独立钱包,而该账户是用Kai Logan West的驾照注册的。West在Bitcoin和Coinbase上的两个网站账户(后者以“Kyle Northern”的名字注册)都与West的Gmail账户有关联,该账户显示West参加了一个网络安全项目。其他线索还包括IntelBroker在BreachForums上发布的帖子,其中提到使用其个人电子邮件账户观看YouTube视频,以及不断更新的签名。
IntelBroker曾经被抓过,后被NCA招安 实际上,韦斯特(IntelBroker)曾于2018年被英国国家犯罪署(NCA)逮捕,罪名是抡棍抢劫和炸弹威胁骗局。当时其化名“Partial Duplex”,加入了一个自称为“Apophis Squad”的组织。
他有一个名为凯尔·诺尔(Kyle Northern)的 LinkedIn(法庭文件上也有)。在他以“PartialDuplex ”的身份被捕后,LinkedIn上显示他是英国国家犯罪署(NCA)的一名实习生。
据@vxunderground透露,NCA将韦斯特招入一个网络安全培训生项目,希望能够引导他向积极的方向发展,给他一个光明的前景。NCA清理了他的犯罪记录正式,将他招为正式学员,这让他的履历看起来不错,使他上了大学。结果不到两年后,他重操网络犯罪旧业。
他还使用过 “GnosticPlayers”、“DoxingMethod”、‘SeekedNow’、“TheRealCr4xy ”和 “kaibandit123 ”等化名。
等待韦斯特的将是相当漫长的刑期 根据美国司法部的公开报道,韦斯特,25岁,英国公民,被指控密谋实施计算机入侵,最高可判处5年监禁;密谋实施电信欺诈,最高可判处20年监禁;访问受保护的计算机获取信息,最高可判处5年监禁;以及电信欺诈,最高可判处20年监禁。
如果韦斯特被判有罪(他很可能被判有罪),他将面临20年(或更长时间)的联邦监禁。假设韦斯特的父母现在40多岁,当他出狱时,他们将被视为老年人。威斯特先生将在远离朋友和家人数千英里的铁窗中度过每一个圣诞节、新年、生日,甚至葬礼。
20年后,Breached(BreachForums)和Raid很可能会成为一个遥远的记忆,偶尔或在讨论网络犯罪历史时会被提起。IntelBroker 可能会被讨论,也可能不会。无论如何,随着生活的继续,他将被关在牢房里。
美国对IntelBroker的后续判决,“暗网下/AWX”将继续关注。
臭名昭著的暗网论坛BreachForums自今年4月起再次在明网与暗网同时消失,紧接着谣言与诈骗四起。昨日,事情逐渐明朗,法国媒体《巴黎人报》率先援引警方消息报道,法国警方逮捕了臭名昭著的BreachForums黑客论坛的五名成员,其中包括与发布大公司被盗数据有关的知名成员。
该网站是全球最活跃的地下数字交易市场之一,用于买卖被盗数据。此次执法行动在法国各地同步进行。
此次逮捕行动由巴黎警察总部网络犯罪大队的特种警官执行。该报道还指出,尽管此前BreachForums被推测与俄罗斯有联系,但被捕者均为欧洲人。据称被捕的五名成员中,四人于周一被捕,而该组织的第五名成员,即“IntelBroker”,早在今年二月份就已经被捕。
IntelBroker于今年二月份被捕 美国已经起诉了另一名BreachForums成员IntelBroker,又名Kai West,他于今年2月被法国执法部门逮捕。法国巴黎检察院的一份新闻稿称,“IntelBroker”是英国公民。
IntelBroker是“暗网下/AWX”梳理的暗网论坛BreachForums的第五位管理员。IntelBroker在BreachForums论坛上发布被盗数据的历史可谓丰富多彩,其中包括2023年3月从DC Health Link窃取的国会议员个人身份信息、 2023年11月从通用电气公司窃取的个人信息(包括国防高级研究计划局(DARPA)的文件)、2024年6月从超微半导体公司(AMD)窃取的个人信息以及2024年1月从惠普企业公司窃取的个人信息。
IntelBroker面临多项与非法网络攻击活动相关的指控,造成的损失超过2500万美元。他即将被引渡到美国,可能被判处最高50年监禁。
Sophos Field首席信息安全官Aaron Bugal对这种协调一致的执法行动表示赞赏。“虽然清除这些犯罪网站看起来像是一场永无止境的猫捉老鼠游戏,但网络犯罪分子已经意识到,任何网站或活动都无法逃脱调查,执法部门追捕他们只是时间问题。” Bugal补充道。
本周另外四名BreachForums成员被捕 本周被捕的四名BreachForums成员包括ShinyHunters、Hollow、Noct和Depressed,这四名犯罪嫌疑人年龄在二十多岁左右,本周早些时候被法国网络犯罪大队(BL2C)拘留。
其中,ShinyHunters最为知名,也是“暗网下/AWX”梳理的暗网论坛BreachForums的第三位管理员,曾经号称因为厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休。
法国当局指控黑客“ShinyHunters”、“Hollow”、“Depressed”和“Noct”参与了针对法国多家大型机构计算机系统的攻击,其中包括电子巨头Boulanger、运营商SFR、France Travail和法国足协。ShinyHunters此前曾参与入侵AT&T、必胜客和Ticketmaster等公司。
与 IntelBroker 一样,ShinyHunters 的名字也多次出现在BreachForums上与被盗数据相关的事件中。ShinyHunters发布的数据记录包括:2020年7月来自金融服务供应商Dave Inc. 的750万条记录、 2021年1月来自Pixlr的180万条记录、 2021年1月来自约会网站MeetMindful的记录、2021年4月来自5.33亿Facebook用户的记录,以及2024年6月来自Advance Auto Parts Inc.的3TB数据。
五人可能都面临严重的监禁 目前尚不清楚具体的指控,BreachForums的各位管理员与主要成员究竟是真正的黑客攻击的幕后黑手,还是充当了买卖被盗数据的中间人,又或者两者兼而有之,也一直是个谜。就ShinyHunters的案例而言,两者兼而有之的可能性很大,因为去年7月的一份报告显示,AT&T公司曾向ShinyHunters支付了37万美元的比特币,以阻止被盗信息的泄露。
无论他们被指控什么犯罪,考虑到BreachForums的运营范围以及被窃取、出售或发布的数据量,这五人都可能面临严重的监禁。
BreachForums是一个臭名昭著的交易黑客数据和网络犯罪工具的中心,该暗网论坛已成为全球被盗数据交易的中心枢纽,为数百万敏感信息和个人凭证的出售提供了便利。此次对网络犯罪基础设施的打击凸显了国际合作在打击跨国数字威胁方面日益重要。
BreachForums的创始人,第一位管理员来自美国的康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick)已经于2023年3月被美国联邦调查局逮捕,该暗网网站第一版于2024年5月被FBI查封并下线。同月晚些时候,该网站在第二位管理员Baphomet与ShinyHunters的合作控制下重新上线。
BreachForums被捕的各位管理员与主要成员的后续判决,“暗网下/AWX”将继续关注。
随着导弹和无人机在以色列和伊朗之间飞行,黑客组织Handala在其暗网泄密网站和Telegram频道上发布了一系列以色列受害者的更新,证明网络战已经打响,该黑客组织正在对以色列政府部门及企业发动一系列网络攻击,这似乎是为了回应以色列对伊朗的导弹袭击或者呼应伊朗对以色列的导弹袭击。
Handal是一个臭名昭著的亲巴勒斯坦黑客组织,以巴勒斯坦抵抗运动的流行象征命名,最后一次活跃是在2025年2月,但“暗网下/AWX”发现,自6月14日起,该黑客组织在其暗网泄密网站上列出了十多名以色列受害者。
仅在6月14日,Handala黑客组织就在暗网泄密网站发布了4个以色列相关的受害者信息。该组织的暗网泄密网站地址是:http://vmjfieomxhnfjba57sd6jjws2ogvowjgxhhfglsikqvvrnrajbmpxqqd[.]onion
石油集团Delek集团及其子公司Delkol是Handala最新的黑客攻击活动中的第一名受害者,黑客声称窃取了超过2TB的数据。Handala在暗网泄密网站发布帖子“以色列燃料供应系统遭黑客攻击”,内容是:“你们的燃料系统暴露了,你们的机密也暴露了。超过2TB的机密数据不再掌握在你们手中。你们的加油站不堪一击。如果你聪明的话,就应该立即行动。立即加满油,否则你们就只剩下空荡荡的道路和寂静无声的飞机了。时间不站在你们这边。”
阿根廷无人机制造商AeroDreams是Handala最新的黑客攻击活动中的第二名受害者,黑客声称窃取了超过400GB的内部数据。Handala在暗网泄密网站发布帖子“Aerodreams已被入侵”,内容是:“他们曾为空军飞行,如今却躲藏在Aerodreams背后。这是一个秘密的掩护机构,负责敏感的无人机项目、精英飞行员训练和秘密后勤工作。他们原本认为不可触碰的东西……如今已被攻破。400GB的内部数据落入我们手中,很快,也将落入所有人手中……“
以色列建筑公司YG New Idan是Handala最新的黑客攻击活动中的第三名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“YG New Idan已被入侵”,内容是:“以色列战争部秘密机构YG New Idan Ltd已被入侵。该机构负责设计和建造你们的军事基地,现在,你们隐藏的一切都归我们所有。我们掌握着339GB的机密数据,它们很快就会泄露,让所有人都能看到。你们以为的……“
ISP 099 Primo Telecommunications是Handala最新的黑客攻击活动中的第四名受害者,黑客声称窃取了超过339GB的数据。Handala在暗网泄密网站发布帖子“以色列 099 ISP已被入侵”,内容是:“099 Primo Telecomunications LTD 现已成功入侵099 ISP的内部基础设施,该网络是数字网格的中心节点。已通过其官方邮件服务器发出超过15万封公开警告邮件!我们本可以切断访问 我们本可以屏蔽屏幕,压制…“
6月15日至今,该黑客组织还列出了以色列TBN(TBN Israel)、魏兹曼科学研究院(Weizmann Institute of Science)、莫尔物流(Mor-logistics)、加密货币交易所软件开放公司Agura B.C、以色列监控基础设施公司萨班系统(Saban Systems)、以色列陆路运输公司豪尔重型运输(Haor Heavy Transport)和 城际客运公司YHD Group等受害者。
Handala的背后是什么人 黑客组织Handala主要针对与以色列及其军方有关联的以色列实体或企业。该勒索软件团伙以使用各种策略、技术和程序来获取受害者访问权限而闻名,其中包括鱼叉式网络钓鱼。尽管有人认为该黑客组织是暗网勒索软件团伙,且与其他勒索软件团伙操作类似,将受害者信息发布在暗网泄密网站里,但不同的是,是其动机完全是出于政治目的,从未提出过任何赎金要求。
2024年CrowdStrike发生大规模宕机事件后,有人观察到该黑客组织组织使用自称来自这家网络安全公司的电子邮件,声称提供了问题解决方案。然而,黑客伪装成一个名为CrowdStrike.exe的文件,部署了一个恶意擦除程序,该程序能够从受感染的机器中删除整个目录。
该黑客组织的互联网流量似乎源自伊朗的IP地址,伊朗国际网站的一份报告将Handala黑客组织与伊朗情报部门联系起来。
Handala乐于在其暗网泄密网站上将战果吹嘘的非常大,这是黑客行动主义组织的惯用伎俩。于是有Handala的一些受害者声称该黑客组织夸大了其攻击成果,尽管之前的某些攻击也确实证实了黑客的说法。例如在2025年1月,Handala入侵了以色列幼儿园的公共广播系统,用于广播红色警报和宣传,以色列国家网络局后来证实了这一黑客攻击。
欧洲执法部门在一场史无前例的国际打击行动中,捣毁了暗网毒品交易市场“Archetyp Market”,这是一个规模庞大、长期存在的非法药物和合成阿片类药物暗网交易市场。此次行动由德国当局牵头,并得到了欧洲刑警组织(Europol)和欧洲司法组织的支持,逮捕了包括管理员与主要卖家在内的关键人员,查获了数百万美元资产,并摧毁了关键的数字基础设施。
欧盟范围内联合打击,终结Archetyp Market的运营 6月11日至13日期间,在欧洲刑警组织和欧洲司法组织的支持下,德国、荷兰、罗马尼亚、西班牙和瑞典等六国采取了一系列大规模协同执法行动,欧洲各地执法部门捣毁了历史最悠久的暗网市场“Archetyp Market”。执法行动主要针对该暗网平台的管理员、版主、主要供应商和技术基础设施,约300名警员被派往执行执法行动,以获取关键证据。
“Archetyp Market”作为一家运营了五年多的暗网毒品交易平台,一直不受监管地进行着毒品交易,悄然成为欧洲暗网毒品经济的支柱。该暗网平台在全球范围内积累了超过60万名用户,总交易额至少达2.5亿欧元,其中大部分是通过加密货币匿名交易的。该网站拥有超过1.7万个商品信息,是少数允许芬太尼和其他强效合成阿片类药物销售的暗网市场之一,加剧了这些药物在欧洲及其他地区日益严重的威胁。
此次调查的根源可以追溯到数年前,当局拼凑出一个由数字基础设施、匿名交易和假名供应商组成的复杂网络。德国联邦刑事警察局(Bundeskriminalamt)与法兰克福总检察长办公室(ZIT)网络犯罪中心合作,牵头开展了此次调查。欧洲刑警组织提供了关键情报并主持了协调会议,而欧洲司法组织则确保跨境法律程序的迅速执行。
调查人员追踪了加密货币的流动,渗透了供应商网络,并利用先进的数字取证技术对关键参与者进行了去匿名化处理。6月13日,超过300名警员在欧洲各地同步展开突击搜捕,最终收网。
此次行动导致该平台在荷兰的基础设施被关闭,其管理员——一名30岁的德国公民——在西班牙巴塞罗那被捕。与此同时,德国和瑞典对1名平台管理员和6名平台最高级别的卖家采取了逮捕措施,并扣押了价值780万欧元的资产。
根据德国警方提供的详细消息,嫌疑人在巴塞罗那的公寓,以及汉诺威、明登-吕贝克区和布加勒斯特各一处房产均遭到搜查。警方缴获了包括八部手机、四台电脑、34台数据存储设备以及总值
约780万欧元的资产在内的证据。荷兰国家警察局成功查封并关闭了荷兰一个数据中心用于运营犯罪平台的服务器基础设施。
此次由德国当局主导的行动标志着一个犯罪组织的终结,该组织曾帮助匿名交易大量非法毒品,包括可卡因、摇头丸、安非他明和合成阿片类药物。该平台的持久性、规模以及在犯罪界的声誉,使其与现已不复存在的暗网市场(例如梦幻市场和丝绸之路)相媲美,这两个暗网市场都因其在网络贩毒中扮演的角色而臭名昭著。
欧洲刑警组织牵头协调,并向暗网市场发出警告 欧洲刑警组织行动部副执行主任 Jean-Philippe Lecouffe 评论道: 通过此次行动,执法部门摧毁了暗网中历史最悠久的毒品交易市场之一,切断了世界上一些最危险毒品的主要供应线。通过摧毁其基础设施并逮捕其主要参与者,我们发出了一个明确的信号:那些从伤害中获利的人没有安全的避风港。
此次名为“深层哨兵行动”(Operation Deep Sentinel )的执法行动,是多年来深入调查该平台技术架构并识别其幕后黑手的一系列工作的结果。通过追踪资金流向、分析数字取证证据以及与当地合作伙伴的密切合作,当局最终对暗网上最活跃的毒品交易市场之一进行了决定性的打击。
欧洲刑警组织为国际调查的效率和有效性做出了贡献。该机构组织了多次协调会议,使各部门能够交换调查所需的关键信息。在行动日和初步调查期间,欧洲司法组织协调了司法协助和欧洲调查令的执行。
国际合作至关重要。美国国土安全调查局(HSI)、国税局刑事调查处和司法部等机构提供了法律和技术支持,罗马尼亚、瑞典和荷兰的警察部队则进行了地面突袭和数据截获。
警方已经对现已关闭的暗网市场“Archetyp Market”张贴了查封横幅,旨在劝阻潜在的暗网创业者。执法机构目前正在仔细审查已扣押的基础设施,以期识别更多参与者,并可能摧毁其他相关网络。更多信息以及针对地下经济的视频,请访问www.operation-deepsentinel.com在线查看。
参与或协助调查的国家部门 德国:法兰克福总检察长办公室 – 网络犯罪中心 (Generalstaatsanwaltschaft法兰克福 – ZIT)、联邦刑事警察局 (Bundeskcriminalamt) 荷兰:荷兰国家警察局(Politie) 罗马尼亚:国家警察 (Polişia Română) 西班牙:国家警察(Policía Nacional) 瑞典:瑞典警察局 (Polismyndigheten) 美国:国土安全调查局(HSI)、美国国税局刑事调查局(IRS-CI)、美国司法部(USDOJ) 欧洲刑警组织 欧洲司法组织 Dread有关Archetyp Market的帖子证实了变故 暗网市场Archetyp Market从6月11起开始离线,无法正常访问,当时许多人认为这有可能是一个退出骗局,但未经证实。
6月12日,Archetyp Market的管理员在暗网论坛Dread发布最新的帖子,标题为“Archetyp Market – What’s going on?” 中使用了破折号。他在所有带有破折号的帖子和信息中都使用了普通破折号。
Hey,
I got a lot of messages, I’m not going to answer everyone.
经过多日的调查分析,加密货币追踪公司Chainalysis表示,向已获赦免的丝绸之路创始人捐赠的300枚比特币似乎来自与另一个已不复存在的暗网市场AlphaBay有关的人员。AlphaBay平台曾被美国联邦调查局称为“暗网上最大的交易市场”。
“暗网下/AWX”本周报道,2025年5月29日,世界上首个暗网市场丝绸之路的创始人罗斯·乌布利希在内华达州拉斯维加斯威尼斯人会展中心举行的比特币大会上发表演讲后,这位“丝绸之路”创始人收到了一笔来自未知来源的300比特币捐款(价值3100万美元),但许多观察人士认为,这不仅仅是一份丰厚的迎宾礼物。
此前不到五个月前,他刚刚获得美国总统唐纳德·特朗普的赦免,免于终身监禁。有传言称,这位“丝绸之路”创始人将自己十多年前运营暗网首个暗网市场时积累的犯罪所得全部转移给了自己。
如今,加密货币追踪调查人员表示,他们得出了一个更奇怪的解释:这些比特币原本并非乌布利希的,也不是来自“丝绸之路”。相反,他们怀疑这笔钱来自另一个早已不复存在的暗网交易市场:AlphaBay。
加密追踪公司Chainalysis表示,基于区块链分析,该公司已将周日发送给乌布利希的300枚比特币的来源与参与AlphaBay背后的某些人联系起来。据FBI称,AlphaBay是一个暗网市场,从2014年到2017年出售各种毒品和网络犯罪违禁品,最终发展成为丝绸之路规模的10倍。
Chainalysis表示,这些资金似乎是在2016年和2017年左右从AlphaBay流出的。鉴于捐款金额,Chainalysis推测这些资金可能来自市场上的大型卖家。Chainalysis调查主管、前英国国家犯罪局官员Phil Larratt表示:“我们有合理的理由怀疑这些资金来自AlphaBay。从金额来看,这表明这些资金可能来自早期AlphaBay的卖家。”
在Chainalysis发现这笔3100万美元的捐款疑似来自AlphaBay之前,名为ZachXBT的独立加密货币追踪调查员已在其X账户上发布了自己的调查结果,称这笔钱似乎并非来自丝绸之路。ZachXBT发现,尽管捐赠者使用了多个比特币“混合器”来接收用户的比特币并返回其他用户的比特币,以掩盖其在区块链上的踪迹,但他仍然能够追踪到这笔资金的地址,该地址已被Chainalysis的软件工具Reactor标记为与非法活动有关。ZachXBT称,该分析表明这笔钱是“合法捐款,但并非合法资金”。
ZachXBT还发现,控制这些资金的同一个人曾在一家交易所以小额、分散的方式交易其他加密货币,而非一次性交易,这表明他或她可能是为了防止这些资金被扣押或被标记——这再次表明这些资金可能来自犯罪分子。ZachXBT表示:“使用多个混合器,分散CEX存款等,”他用CEX来指代中心化交易所,“这通常是为了避免非法资金被冻结。”
Chainalysis拒绝提供更多关于其如何识别AlphaBay资金来源的信息。但该公司的业务重点是从数十亿个加密货币地址中识别数字黑市等非法服务。事实上,Chainalysis对AlphaBay比特币地址集群的识别,在2016年至2017年执法部门开展的“刺刀行动”中,对AlphaBay比特币地址的打击发挥了关键作用。
AlphaBay与乌布利希的“丝绸之路”类似,是一个在线交易平台,主要交易毒品和被盗数据等非法商品和服务。它运营于2014年至2017年,之后于2021年至2023年再次出现,“暗网下/AWX”曾多次报道。虽然“丝绸之路”是最早的暗网贩毒网站之一,但AlphaBay却是最大的暗网贩毒网站之一,据美国联邦调查局称,该暗网市场上的商品数量是“丝绸之路”的25倍。2017年,全球执法部门查封了AlphaBay的服务器,并逮捕了其创建者亚历山大·卡泽斯(Alexander Cazes),随后AlphaBay被下线。
AlphaBay确实培养了不少加密货币大佬,他们能拿到像乌布利希那样八位数的捐款。在2017年7月一场精心策划的诱捕行动将其关闭之前,该网站每天的交易额高达200万美元,主要交易的是非法毒品,但也提供恶意软件、被盗数据和其他网络犯罪商品。AlphaBay的创始人兼管理员亚历山大·卡泽斯被捕后在曼谷监狱中神秘身亡,但该网站的二号人物,网名Desnake,似乎仍然逍遥法外。自网站关闭以来,AlphaBay卖家或管理员保留的任何比特币,其价值都已上涨了40倍以上。2022年,泰国法院下令没收了AlphaBay创始人Cazes在泰国的资产。
然而,AlphaBay的一位加密货币大亨为何会向乌布利希捐赠3100万美元,这仍然是个谜。社交媒体上流传着各种各样的猜测,有人猜测他是为了报答黑市同行的恩情,也有人猜测他是为了感谢乌布利希开创了“丝绸之路”这种加密货币匿名交易系统,这笔捐赠意义重大。
加密货币追踪专家兼加密货币公司MetaMask的安全研究员泰勒·莫纳汉(Taylor Monahan)推测,这种感激之情或许也源于这样一个事实:尽管许多人在乌布利希开创的暗网市场中发了财,但他却在监狱里度过了十多年。莫纳汉说:“人们捐款是因为受到某人的深深鼓舞,或心怀感激,或对当时的情况感到某种悔恨。幸存者的内疚感真是太强烈了。”
乌布利希于2013年被联邦调查局逮捕,并因贩毒、计算机黑客和洗钱罪名被判处终身监禁。1月21日,也就是特朗普就职典礼后的第二天,他宣布赦免乌布利希。乌布利希在监狱里度过了近11年。
特朗普今年1月在Truth Social中表示: “那些试图将他定罪的败类,和那些参与利用现代手段将政府武器化来对付我的疯子是一样的。”
一位匿名网络犯罪调查者、神秘的泄密者GangExposed近日在Telegram及X(原Twitter)上曝光了Conti和Trickbot暗网勒索软件团队背后的关键人物,公布了大量内部文件及团伙成员照片姓名,揭露了该勒索软件团伙主要人物的真实身份、行动策略和全球攻击行动。
泄露的文件包括Conti网络勒索团伙相关的数千份聊天记录、个人视频和赎金谈判记录,“暗网下/AWX”多次报道,Conti网络勒索团伙从全球的公司、医院和个人那里骗取了数十亿美元。
通过对泄露的通信、旅行记录、财务数据和公共记录进行细致分析,GangExposed揭露了核心领导人,包括Vladimir Viktorovich Kvitko(“Professor”)、难以捉摸的策划者“Target”、谈判代表Arkady Valentinovich Bondarenko和系统管理员Andrey Yuryevich Zhuykov(“Defender”)。
GangExposed泄露的资料深入探讨了该犯罪集团在迪拜的运营情况、其在新冠疫情期间对医院的攻击以及维持其全球网络犯罪帝国的关键基础设施,为执法部门提供了一个难得的机会来摧毁世界上最危险的勒索软件网络之一。
A short announcement. pic.twitter.com/fHD3MJ7KwF
— GangExposed (@GangExposed) May 29, 2025 美国国务院正义奖励(RFJ)项目曾针对Conti勒索软件团伙宣布,将悬赏高达1000万美元,奖励那些能够识别或定位参与针对美国关键基础设施的恶意网络活动、违反《计算机欺诈和滥用法案》(CFAA)的个人的信息。
本站(anwangxia.com)看到,美国国务院的这个计划专门针对Conti勒索软件团伙的成员,该勒索软件团伙是一个与俄罗斯政府有关联的勒索软件即服务(RaaS)组织,以攻击美国和西方的重要基础设施而闻名。
🎁CONTI LEAK: Video they tried to bury!
6+ Conti members on a private jet. TARGET’s birthday — $10M bounty on his head.
Filmed by TARGET himself. Original erased — we kept a copy.
🎥Watch and help identify him!@LawrenceAbrams @pancak3lullz @c3rb3ru5d3d53c#CyberCrime #Leak… pic.twitter.com/8eLZaFlW5F
— GangExposed (@GangExposed) May 6, 2025 GangExposed自称,这是他“对抗一个举世闻名的有组织犯罪团伙”的一部分。他声称,他对联邦调查局为获取有关Conti一名关键头目(他已经点名)以及另一名即将在Telegram上公布的头目信息而提供的1000万美元赏金不感兴趣。