近日,知名网络安全情报研究者@vxdb曝光了臭名昭著的黑客USDoD的监狱预约文件,该文件泄露了该黑客的个人资料信息。本站(anwangxia.com)发现,USDoD于2024年10月16日被巴西当局逮捕。
USDoD对一系列针对大型跨国公司和美国政府实体的大胆数据泄露事件负责,该黑客长期在暗网Breachforums论坛以及俄语网络犯罪论坛XSS上发布其进行网络入侵后窃取的数据。USDoD是美国国防部的英文简称,该黑客将自己的暗网昵称设为“USDoD”是试图挑衅美国当局。
vxdb公布了USDoD在巴西监狱的预约文件 本月1日,安全研究人员@vxdb在X上发布了USDoD的监狱预约文件截图,并表示照片来自巴西警方,原文为葡萄牙语,他已经翻译为英文了。该截图展示了USDoD的姓名、生日、身份号等详细信息以及其正面及侧面照片。
@vxdb是X上知名的网络安全情报研究者,长期从事威胁情报、安全研究、网络犯罪等领域的研究。
USDoD于去年被巴西当局逮捕 2024年10月16日,USDoD在巴西米纳斯吉拉斯州首府贝洛奥里藏特被捕,这是警方在数据泄露行动中发出的搜查和扣押令以及预防性逮捕令的一部分,警方表示他因在网上攻击美国联邦调查局的InfraGard、空中客车、美国环境保护署(EPA)以及巴西联邦警察本身而被拘留。
2024年10月18日,巴西新闻媒体TV Globo率先报道了USDoD被捕的消息,称巴西联邦警察逮捕了一名来自贝洛奥里藏特的33岁男子。据TV Globo报道,USDoD因涉嫌窃取巴西联邦警察官员数据而遭到国内通缉。
TV Globo没有透露被捕男子的姓名,但葡萄牙科技新闻媒体Tecmundo于2024年8月发表了一份报告,称暗网上昵称为USDoD的嫌疑人是来自巴西米纳斯吉拉斯州的33岁Luan BG。Techmundo表示,在收到安全公司CrowdStrike制作的一份详细的非公开报告草稿后,他们才知道了这名黑客的真实身份。
在一份新闻稿中,巴西联邦警察称这名黑客于2024年10月16日星期三被捕,这是正在进行的网络犯罪打击行动“数据泄露行动”的一部分。当局已缴获了他的几台设备以进行进一步调查。警方表示:“接受调查的人将被指控犯有入侵计算机设备的罪行,并将因将获得的数据商业化而加重处罚。”
值得注意的是,USDoD一直保持匿名,直到2024年7月,他公开宣布从网络安全公司CrowdStrike抓取并泄露了一份10万行的入侵指标(IoC)列表。
此后,CrowdStrike开始追踪他的活动,并在一个月内成功发现了他的真实身份。该公司随后将这些信息分享给巴西当局,最终逮捕了他。
USDoD对多起引人注目的网络入侵事件负责 据悉,USDoD还使用过的黑客账号有“Equation Corp”和“NetSec”,据称是消费者数据经纪公司National Public Data被攻破的罪魁祸首,该入侵事件导致数百万美国人的社会安全号码和其他个人信息被泄露。
根据网络情报平台Intel 471的信息,NetSec于2022年2月22日在现已不复存在的暗网犯罪社区RaidForums论坛上发布了一个帖子,其中提供了659名巴西联邦警察的电子邮件地址和密码。
National Public Data是佛罗里达州的一家私人数据经纪商,该公司收集并出售相当一部分美国人口的SSN和联系数据。National Public Data的数据泄露事件导致29亿条记录被盗,其中包括姓名全名、家庭地址、出生日期、电话号码和社会安全号码。
“暗网下/AWX”曾报道,2024年8月,一名网络犯罪分子在暗网Breachforums论坛上以350万美元的价格出售从National Public Data窃取的社会安全号码和其他个人信息。被盗数据至少跨越了30年,并连同服务器凭证一起出售。
进一步的报道显示,National Public Data公司无意中在互联网上公布了自己的密码,从而被USDoD入侵。该公司目前已成为多起集体诉讼的目标,并已经因此次黑客攻击造成的数据泄露而宣布破产。
USDoD还被指控2023年入侵了空中客车公司系统,导致这家航空航天公司的3200家供应商的数据以与National Public Data类似的方式被泄露到网上。
此外,USDoD还声称对TransUnion发生的大规模数据盗窃事件负责,尽管该公司否认USDoD侵入了其系统,称此次攻击的目标是第三方,但并未透露第三方可能是谁。
巴西当局还表示,这名嫌疑人还入侵了FBI的InfraGard,这是美国执法部门用来分享关键威胁信息的门户网站。
2022年12月,USDoD通过社会工程学入侵了FBI的InfraGard计划,该计划是FBI的一项重要计划,旨在与私营部门经过审查的专业人士建立非正式的信息共享伙伴关系,以应对针对美国关键国家基础设施的网络和物理威胁。
USDoD曾以一家大型美国金融公司首席执行官的身份申请加入InfraGard。USDoD列出了这位首席执行官的真实手机号码,然而FBI并没有联系这位首席执行官来核实他的申请,便在几周后就批准了其申请。此后,USDoD使用一个简单的程序收集了80000多名InfraGard成员共享的所有联系信息。
USDoD多次接受外界采访 在接受KrebsOnSecurity采访时,USDoD承认在2024年早些时候窃取了National Public Data公司的内部数据,但他声称没有参与泄露或出售这些数据。
在2023年9月接受databreaches.net的一次长时间采访时,USDoD透露,他是一名30多岁的男子,出生于南美洲,拥有巴西和葡萄牙双重国籍。在那次采访结束时,USDoD表示,他们正计划推出一个从美国获取军事情报的平台。
USDoD自2023年的采访以来一直是Databreaches.net的常驻记者,在信息被曝光后,USDoD向当地一名律师进行了询问,以了解是否有针对他的未决调查或指控。
“根据律师从联邦警察那里了解到的情况,当时他们没有针对他的未结案件或指控,”Databreaches.net表示,“从他写给我的信和我们的谈话中,我的感觉是,他完全不知道自己即将面临被捕的危险。”
当KrebsOnSecurity于2024年8月15日最后一次通过Telegram与USDoD沟通时,他声称他“计划退休并继续前进”,指的是多家媒体报道指责USDoD泄露了近30亿份国家公共数据消费者记录。
然而,不到四天之后,USDoD又回到了他的常去之地BreachForums论坛,发布了他声称自己编写的自定义漏洞代码,用于攻击最近修补的流行博客建站网站WordPress中的漏洞。
近期,有网友向本站(anwangxia.com)发送一个名为Rootexploit的新暗网论坛,希望予以鉴定。按照惯例,“暗网下/AWX”进行了一次探访,发现Rootexploit是一个正在酝酿中的暗网论坛,虽然在X平台有一些宣传,但是该论坛目前依旧没有人气。
Rootexploit暗网论坛的暗网V3域名以root作为前缀:
https://root67ae74xjxjhrsdde3fcoajocwn6hbk2mrgxmn2uq2pvvfgl7uqid.onion
初步看来,Rootexploit暗网论坛于2025年1月4日左右创建,建站时间比较短,毫无知名度。众所周知,暗网论坛Dread是专门对暗网市场、暗网论坛综合评估的专业论坛。在Dread进行搜索,并未发现Rootexploit网站的子版块或者有关Rootexploit网站的任何讨论。
“暗网下/AWX”尝试访问该暗网域名,发现与大多数暗网论坛类似,该网站亦是使用开源论坛程序XenForo搭建。XenForo是一款用PHP编程语言编写的互联网论坛软件包。该软件由前vBulletin首席开发人员Kier Darby和Mike Sullivan开发。XenForo的第一个公开测试版于2010年10月发布,稳定版于2011年3月8日发布。XenForo程序历史悠久,因此在十多年的历史沉淀后,鲜有漏洞,相对而言比较安全。
该网站需要注册才能进入访问,与大多数暗网网站不同的是,尽管是初建网站,注册功能居然设置了邮箱验证,即新用户需验证邮箱才能进入该论坛。经“暗网下/AWX”测试,发送验证邮件的邮箱地址是[email protected],SMTP服务器IP为209.85.216.44。从这点看,该暗网论坛的管理员的OPSEC能力还需加强,强制验证邮箱,既暴露自身的信息,也容易暴露用户的真实信息。在暗网中发展,此为大忌。
Rootexploit暗网论坛主要分为三个大版块:Rootexploit的回声、黑客与漏洞利用、漏洞和CVE漏洞利用,其中“Rootexploit的回声”又包含Void公告、Void更新、Void更新日志和Rootexploit起源4个子版块,“黑客与漏洞利用”包含黑暗面工具库、逆向工程实验室2个子版块,“漏洞和CVE漏洞利用”包含GitHub漏洞库、CVE数据库、CVE漏洞利用教程3个子版块。
由于论坛新建,从主题帖看,目前该论坛仅有4篇主题帖,其中两篇为管理员发布:“更新日志-1:解决用户注册错误”、“Rootexploit 论坛更新 – 隐形 IRC”,均为论坛功能调整;另两篇为用户searchonion发布的有关木马相关的:“Nexus安卓银行木马僵尸网络”、“Spyroid Rat VIP V2 源代码”;从回复看,仅有7篇回复;从注册用户分析,目前该论坛仅有70名注册用户。
查看管理员发布的公告内容,“更新日志-1:解决用户注册错误”公告解决了用户注册时的验证码bug:
亲爱的 Rootexploit 会员
在论坛上报告错误会让我们很高兴,我们会马上解决这个错误,您现在就可以毫不犹豫地注册账户了。
更新日志: 永久删除注册部分的非人类 Recaptcha。
如果您发现任何错误或问题,请通过此邮件 ( [email protected] ) 向我们报告,谢谢。
“Rootexploit 论坛更新 – 隐形 IRC”公告宣布了新的聊天功能插件:
亲爱的会员
现在您可以在论坛中聊天了,这将使您更容易与人讨论和了解。
特点
与用户全球聊天 创建自己的公共聊天室 创建自己的私人聊天室 与用户进行私人对话 自动删除模式 安全性
不存储任何信息 不存储日志 信息完全加盐加密 采用端到端加密 查看首页的聊天室,内容较少,主要是一些求合作的广告,似乎还有中文!
总体而言,由于Rootexploit暗网论坛是今年新创建的论坛,目前并没有访问价值,更无法判断是否为诈骗网站或者以后会不会退出骗局。至于该暗网论坛能否发展,“暗网下/AWX”将持续关注。
臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输(MFT)软件漏洞而受到攻击的公司名单。
Cl0p团伙在其暗网泄密网站上发布公告,重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行,并被Cl0p团伙积极用于渗透全球企业的网络。
该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁,但网络安全研究人员发现该补丁不够完善,系统容易受到攻击。
该漏洞使攻击者能够上传恶意文件,这些文件会被软件自动执行,从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁(版本5.8.0.24),但由于更新延迟或缓解措施不足,许多团伙仍然容易受到攻击。
Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击,目前至少有66家企业遭到攻击,受害者涉及物流、消费品和食品供应链等行业。
虽然仅披露了部分受影响企业的名称,但该团伙威胁说,如果赎金要求在1月21日之前得不到满足,他们将公布全部详细信息。
Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名,它使用多层次的压力来强迫受害者支付赎金。在本案中,该团伙提供了安全的谈判沟通渠道,并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙,例如2023年的MOVEit漏洞,当时数百家公司面临类似的威胁。
该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布,随后将陆续发布后续数据。
Cleo已意识到问题的严重性,并发布了最新公告,敦促客户立即应用最新补丁。该公司还延长了24/7支持服务,以帮助受影响的客户保护其系统。
然而,网络安全专家警告说,使用Cleo产品的企业必须保持警惕,因为攻击者可能会继续瞄准未修补的系统。
此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击,展示了利用零日漏洞进行大规模数据泄露的模式。
此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。
随着Cl0p继续针对Cleo用户发起攻击,受影响的公司面临着越来越大的压力,需要迅速做出反应,否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作,以减轻此类攻击的影响。
不断发展的形势清楚地提醒我们,像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。
Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/
Dear companies
A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!!
Cl0p announcement.
We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.
许久没有关注过这个暗网上最恶劣最肆无忌惮的老牌中文诈骗网站了,然而近期又又又有网友被骗了,虽然事后联系通知本站,告知此诈骗网站又换洋葱域名了,但是损失已经无法挽回。
“暗网下/AWX”已经预警过7次,该暗网诈骗网站现使用的网站名称为“华人自己的暗网担保交易市场”,而臭名昭著的曾用名也许大家更熟悉:“正版中文担保交易市场”。该暗网诈骗网站出售的苹果手机、华为手机、BTC钱包、CVV卡料以及各种地下服务都是假的,一旦转账,BTC有去无回。
“暗网下/AWX”多次提醒过的警告依旧:只要在暗网上看到名为“华人自己的暗网担保交易市场”的网站,不管是什么洋葱域名,无论用什么诈骗话术,必定是诈骗网站无疑。这么些年来,“暗网下/AWX”每曝光一次,该诈骗网站就会更换一次暗网域名。而之前使用的暗网网址要么已经被废弃,要么直接跳转至新的暗网域名。
诈骗网站“华人自己的暗网担保交易市场”新更换的暗网V3域名为:
http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion
上次本站曝光的暗网V3域名仍在继续使用(访问后跳转新的洋葱域名):
http://waht6tybwp6tztk7qhhph7fc3njkjrbefcxxhxu2zo6oipny7buxulid.onion
目前,骗子已经给该诈骗网站更新了新的圣诞元旦样式的banner,该banner像素非常低,并不清晰,但是能够唬住暗网新手,于是这拙略的骗技,诈骗的成功率却很高。在上次本站(anwangxia.com)再次预警曝光后,纵观2024年,该诈骗网站已经使用了两次话术。
第一次诈骗话术是“六周年庆典回馈活动”:
又到了本站周年庆活动,老朋友们是不是很期待?六周年了,如果是养孩子也该上小学了。这六年来我们经历了很多,也认识了许多用户朋友,总之很感谢大家的一路跟随与支持。
老规矩,以下就是六周年庆典活动的方案,新老朋友按照自己的情况去狂欢吧!
活动期间(北京时间):2024年5月30日0点-2023年6月20日24点
1、 单笔交易达到2300美元(含)以上者,可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信,你可以用A账号购买用A账号发信,或者用B账号发信,甚至不注册账号完全匿名购买都可以,只要提供以上两项,核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧,返现只奖励到平台钱包内,没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。
2、活动期间内累计交易10000美元(含)以上,返现累计总金额的6%。此奖励不与第1条重复奖励,如果领取过单次交易奖励的交易,将不能计算到累计交易金额之内。申请奖励方法与第1条相同,请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。
3、本次活动作为六周年庆典回馈,将与幸运大转盘同时进行,折扣码、返现同时进行,可叠加使用。
4、凡是注册时间超过一年(北京时间2023年5月30日前注册)的用户,满足单笔最大交易达到$500以上且交易次数在三笔以上者,可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。
5、无论你是陪伴我们走过几年时间的老朋友,还是刚接触的新用户,我们都祝愿在往后的日子里你能越走越顺,心想事成。
第二次诈骗话术是“2024双十一活动公告”:
活动时间:2024年10月04日0点-11月30日24点(北京时间)
活动细则:
活动一:无论新老用户,活动期内在本平台交易满3次,金额最大一次在1000美元以上者;或活动期间内进行了不低于10次交易,累计金额不低于300美元。即可获得400美元购物券,在购买1000美元以上任意商品时均可使用。购物券永久有效。
活动二:活动期内,凡交易金额满3000美元者,即可获得以50美元价格购买全新Iphone16 Max Pro 1T的资格,两个月内有效。或返现400美元到用户的平台钱包,没有使用限制。金融类虚拟类商品只计算该期间内金额最大的一次交易,实物类商品可以累计活动内交易金额。
首页大转盘优惠券与上述活动优惠可叠加使用。
感谢六年多以来新老用户的支持,祝大家购物愉快!
这些公告中的诈骗话术内容是情深意切,看起来还真像那么回事,但这也是此诈骗网站能如此多成功诈骗的关键,没有江湖经验的小白必然会上当受骗。
除了公告的话术外,该诈骗网站还有一个子栏目,被称为“互动空间”,让傻子觉得似乎有很多真实用户在互动,其实都是管理员填充好的语料,且时间改成最新,极易让人迷惑。如目前两个互动较多的新话题:“最近有没有推荐的项目”、“学人家弄个买支付宝项目的即时帖”,都是骗子精心设置的话术。
目前为止,该暗网诈骗网站使用的邮箱并没有更改,依旧是:[email protected],这也是警方可以开展调查的突破口之一。
当然,警方还可以有其他突破口,那就是支付途径,通过区块链进行链上分析。该诈骗网站曾经只接受比特币的付款,目前已经增加了多种加密货币:莱特币/以太坊,除了之前的Blockonomics的支付网关接口外,页面上显示还增加了Coinbase的支付接口。
尝试Blockonomics的支付接口,每次提交会给出不同的支付地址:
BTC:1JAgdq6QshV1swq2rGa3ryAPML5dKLZzVD、1BXP8RArT65Yb59Q8qRchmPijCVRHHDaPQ
ETH:0x265d21263644f7A9EDE1FfA3BB28955c71fF21CF、0xdA8AD05Fb93706fDAb741495405DCB2cB6362FDd
LTC:ltc1q6yqzns0scnrs6rpg6wkxhkpusfh3rvpvrygpph、ltc1qt75p2h5hcsqgwh052mchm5z4m9j4kym2qpsjs0
由于是随机地址,以上加密货币地址均是空白地址,无交易信息,也就不具备参考价值。“暗网下/AWX”多次尝试Coinbase的支付接口,均显示错误提示“Unexpected Application Error!”,无法正常提交。
同样,在本次(anwangxia.com)曝光后,骗子定会继续更换暗网V3域名,“暗网下/AWX”将继续追踪,持续跟进曝光。
更多暗网新闻动态,请关注“暗网下/AWX”。
LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一,它使超过2000个企业成为受害者,累计赎金超过1.2亿美元,并提出了总额达数亿美元的勒索要求。
早在今年年初,“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时,有分析表示,LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件,称为LockBit-NG-Dev,可能成为LockBit 4.0。就在今天,LockBit勒索软件团伙在其暗网泄密网站发布公告,正式宣布了LockBit 4.0版本的暗网网站。
LockBit勒索软件团伙的公告称,如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗?”,可以“注册(其提供的新的网站)并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥(ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA),据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名:
http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion
http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion
http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion
http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion
http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion
“暗网下/AWX”随机测试访问了以上暗网网站,发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是,进入新的暗网网站后需要用户名密码才能登录,同时提供了两个注册按钮,一个是使用BTC(比特币)注册,另一个是使用XMR(门罗币)注册。在网站最下方,显示称该团伙从2019年9月3日开始运作(We’ve been working since September 3, 2019),并显示了具体的计时。
本站(anwangxia.com)试图注册一个账号,但注册页面要求转账指定数额(价值777美元)的BTC或者XMR地址打款才能完成注册,因此尚未进一步测试。新暗网网站的注册页面写道,请在完成注册前保存付款链接,只有通过该链接,才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额(777美元)的款项,但不得少于指定金额。如果金额少于指定金额,注册将被取消。
对于使用BTC注册的用户,网页要求请发送0.007786 BTC至指定地址,并要求使用加密货币混合器支付注册费或发送脏比特币;使用XMR注册的用户,网页称只需发送3.765265 XMR至指定地址。注册页面表示,只要确认已经付款,注册者将立即获得LockBit勒索软件控制面板的访问权限,用户可以在此创建基于Windows、ESXi、Linux的加密程序(勒索软件),并与遭受攻击的受害者进行交流。
看起来,LockBit 4.0似乎将勒索软件即服务(RASS)的流程通过暗网网站后台集成化了,但同时也提升了成为其附属机构的门槛,即需要支付777美元的注册费用才能加入该团伙,然后才能使用该团伙最新版本的勒索软件。
FBI等国际执法机构针对LockBit的打击一直在持续进行,但LockBit背后的管理团队都位于俄罗斯等独联体国家,这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施,“暗网下/AWX”将拭目以待。
“暗网下/AWX”发现,一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似,也实施双重勒索,先从受害者那里窃取敏感数据,然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”,Chort在俄语中是“魔鬼”的意思,代表着这个勒索软件团伙的邪恶。
据本站(anwangxia.com)分析研究估算,Chort勒索软件团伙可能从2024年9月开始运作,因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日,网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者(Texans Can Academies,texanscan.org)帖子日期为10月29日,也就意味着该暗网网站的创建时间早于10月29日。
与其他勒索软件团伙一样,Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击,其暗网网站没有发布任何政治言论或社会宣言,只是在首页中写着“List of Companies wouldn’t want to be safe”(不想安全的公司名单)。
Chort勒索软件团伙攻击的7名受害者分析 截至目前,Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者,最新受害者的发布日期为11月22日。经初步判断,Chort团伙主要针对的都是美国目标:
总部位于美国的教育机构Texas Can Academies(exanscan.org) 美国教育机构爱德华斯堡学校基金会(edwardsburgschoolsfoundation.org) 美国制造商Tri-Tech Electronics(Tri-TechElectronics.com) 位于美国的巴托县学校系统(bartow.k12.ga.us) 位于科威特的农业事务和鱼类资源公共管理局(PAAF,paaf.gov.kw) 位于美国的哈特威克学院(hartwick.edu) 位于美国的希博伊根市政府(sheboyganwi.gov) 其中,Chort团队已将City Of Sheboygan(sheboyganwi.gov)、Hartwick College(hartwick.edu)、PAAF(paaf.gov.kw)、Bartow County School System(bartow.k12.ga.us)、和Tri-Tech Electronics(Tri-TechElectronics.com)等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者:Edwardsburg Public Schools Foundation(edwardsburgschoolsfoundation.org)和Texans Can Academies(texanscan.org)的状态是“Not Available”,无法判断这两个目标是否已经支付了赎金,还是正在谈判中。
其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日,爱德华兹堡学校基金会表示,它遭遇了“网络中断”,导致课程被取消。10月18日,巴托县学校系统宣布,在“未经授权的外部来源”试图访问其部分“信息系统”后,它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此,“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。
Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站:
http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion
“暗网下/AWX”尝试访问了该站点,该暗网网站访问速度很快,首次进入时,页面上设置有数字验证码的认证,似乎为了防止DDoS攻击。
该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面,其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”(已公布)的受害者,Chort还嵌入了个人身份信息(PII)、发票和其他财务文件的图像,作为被盗数据的证据。
此外,主页的右上角有个“联系我们”的按钮,点击进去后的页面显示着“如需购买资料,请通过以下地址联系我们”(For purchase data please contact us from below addresses),并列出了Chort勒索软件团伙在Tox(EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1)、Jabber([email protected])和Telegram(@ChortGroup)的联系信息。经访问得知,该团伙于北京时间11月16日创建了Telegram频道,截至目前,该频道大约有62名订阅者。
Chort勒索软件团伙能存在多久,FBI何时能够摧毁它。“暗网下/AWX”将持续关注。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
Akira是一个勒索软件团伙(ransomware-as-a-service),在勒索软件圈子的知名度越来越高,其暗网泄密网站本月公布的新受害者数量创下了纪录,而且还有更多受害者在增加。为了一探究竟,“暗网下/AWX”尝试对Akira的暗网泄密网站进行了访问。
Akira的暗网泄密网站的V3地址是:
https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
Akira团伙的暗网网站 Akira团伙的暗网泄密网站以日本赛博朋克漫画命名,其风格类似于20世纪80年代流行的单色计算机命令行界面。在”暗网下/AWX“看来,该网站的风格与”Vanir Group“的暗网泄密网站界面很相似,设计成一个Linux系统的终端,黑底绿字,操作也与终端相仿,看起来像一个客户访问Linux终端(guest@akira:~$)。
打开Akira团伙的暗网网站,与其他勒索软件团伙的暗网泄密网站一样,映入眼帘的也是一段恐吓文字:
您在这里。这意味着你现在正遭受网络事件的困扰。将我们的行动视为对您的网络漏洞进行一次计划外的强制审计。请记住,要让这一切消失,需要付出合理的代价。
不要急于评估发生了什么–是我们害了你们。您能做的最好的事情就是按照我们的指示恢复您的日常工作,通过与我们合作,您可以将可能造成的损失降到最低。
那些选择不同道路的人将在这里受到公开羞辱。本博客的功能非常简单,只需在输入行中输入所需的命令,即可获取全球企业希望保密的最多汁信息。
请记住 没有我们的帮助,您将无法恢复。您的数据已经消失,无法追踪到最终存储地点,也无法被除我们之外的任何人删除。
与”Vanir Group“暗网网站类似,Akira网站的伪终端里可以输入5个命令:输入”help“等命令,可以查看所有命令列表;输入”leaks“命令,可以查看所有被黑的受害者信息;输入”news“命令,可以查看关于即将发布的数据的新闻;输入”contact“命令,可以给Akira团伙发送消息;输入”clear“命令,可以清除当前屏幕显示。
由此看来,Akira的暗网泄密网站主要包含3个功能:一是“新闻”功能(/n),用于勒索最近的受害者;二是“泄露”功能(/l),用于在勒索失败后公布数据;三是”联系“功能(/m),用于与勒索软件团伙进行联系。
其中联系功能,可以提交”email/icq/jabber/tox id/telegram“,意味着勒索软件团伙会使用这些联系方式进行联系。
Akira勒索软件团伙发布了大量受害者信息 本站(anwangxia.com)测试输入”news“命令,发现从2023年4月25日至2024年11月20日的大约一年半时间里,Akira勒索软件团伙共发布了319个受害者,并详细描述了泄露的是什么数据;输入”leaks“命令,经统计,公开泄露了数据的受害者共有128个。因此”暗网下/AWX“判断,除了还在勒索谈判期的,也许已经有上百个受害者支付了赎金。
美国联邦调查局称,Akira勒索软件团伙于2023年3月出现,他们为黑客提供平台,通过窃取和加密数据来勒索受害者。FBI表示,在运营的第一年,Akira通过大约250次攻击赚取了4200万美元。
该团伙在出现后不久就进行了大量的网络攻击,令专家们相信该组织是由经验丰富的勒索软件攻击者组成。去年该团伙发动了一系列攻击,包括对云托管服务提供商Tietoevry的攻击。
勒索软件团体通常会在受害者公布被盗数据前,给他们几天或几周时间支付赎金,具体时间取决于谈判结果。Akira的暗网泄密网站在8月至10月期间公布的数据比平时少,导致11月份列表数量突然激增的原因可能有多种,比如越来越多的新附属公司利用该暗网网站勒索受害者,或者是Akira管理员选择隐瞒之前的泄密事件。
新受害者大多来自总部位于美国的商业服务行业公司以及两家公司总部位于加拿大的公司,其他受害者来自德国、英国和其他国家。“暗网下/AWX”将受害者的名字与网址与过去几年追踪的所有勒索软件团伙发布的受害者进行了对比分析,证实这些被攻击的对象都是首次出现的新受害者。
LockBit今年早些时候公布了类似数量的受害者信息,试图淡化其受到执法部门攻击的情况,LockBit“在其旧网站被查封后,将旧受害者信息与新受害者信息混在一起”。
据英国国家打击犯罪局称,LockBit列出的许多受害者都是被重新发布的旧攻击,而其他受害者则是虚假或被错误归因的攻击,据称影响了一家大型企业,而事实上只影响了一家非常小的子公司。
“暗网下/AWX”报道Tor网络的大量出口节点与中继节点遭受IP欺骗攻击而被服务商暂停使用,这一切的始作俑者称自己为r00t,r00t可能是一个黑客组织。
r00t组织为自己建立了一个网站(r00t.monster),并在网站留言“字节在颤抖,它撕裂了网络”,称自己是“一个你永远不会忘记的怪物”。该组织还表示,除非Tor网络被该组织摧毁,否则休想摆脱他们!并且还宣传道“时机已到,我们需要摧毁Tor,加入我们的力量吧!”,应是在招纳更多黑客加入。
r00t组织给出新闻链接(https://news.ycombinator.com/item?id=41942978)称,执法机构也在破坏Tor网络,试图为自己的攻击行为增加合法性。并且给出了更多的链接来试图证实Tor网络的开发人员和中继运营者都是有问题的,都应该被关进监狱:
🔗 https://www.tagesschau.de/investigativ/panorama/telefonueberwachung-telefonica–bka-ermittlungen-paedokriminelle-100.html
🔗 https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Investigations-in-the-so-called-darknet-Law-enforcement-agencies-undermine-Tor-anonymisation,toreng100.html
🔗 https://www.justice.gov/opa/pr/four-men-sentenced-prison-engaging-child-exploitation-enterprise-tor-network
🔗 https://theconversation.com/how-the-worlds-biggest-dark-web-platform-spreads-millions-of-items-of-child-sex-abuse-material-and-why-its-hard-to-stop-167107
🔗 https://www.ice.gov/news/releases/secretary-johnson-announces-results-operation-dismantled-underground-child
🔗 https://www.justice.gov/opa/pr/dark-web-child-pornography-facilitator-sentenced-27-years-prison-conspiracy-advertise-child-0
🔗 https://www.justice.gov/opa/pr/virginia-man-sentenced-five-years-prison-receiving-child-pornography-tor-network-forum
🔗 https://www.justice.gov/opa/pr/nebraska-man-sentenced-prison-tor-distribution-child-pornography
🔗 https://www.justice.gov/news/press-releases?search_api_fulltext=+tor&start_date=&end_date=&sort_by=field_date
接着,r00t组织转发了欧洲刑警组织的文章(https://www.europol.europa.eu/crime-areas/child-sexual-exploitation),称“欧洲刑警组织确定了儿童性剥削领域的主要威胁: 点对点 (P2P) 网络和匿名访问,如暗网网络(Tor)”,以此宣称自己的攻击行为是“正义”的。
根据r00t.monster网站的存档以及一些文字留存,r00t组织似乎始于2023年7月27日,那时候Tor网站开始有反馈22端口的滥用扫描行为,2024年10月21日起,逐渐规模化进行操作,随后的日子里,r00t组织一边利用节点服务器对机房IP的22端口进行非法扫描,同时向各个机房举报这些服务器的滥用行为(abuse),以使机房暂停这些节点服务器的服务。
10月底开始,各大机房服务器供应商开始处置滥用行为,并向服务器租用客户发布因滥用而被暂停访问的通知,大量的节点运营者在Tor网站反馈。r00t组织看到了Tor网站上的反馈,逐一截图,并开始在其网站炫耀其攻击成果:
10月30日, r00t组织称成功使“Hetzner”(AS24940)的3台速度较快的节点服务器宕机!
10月31日, r00t组织称成功使“IONOS SE”(AS8560)的12台服务器宕机!
11月1日, r00t组织称成功使“Kaan Kalayci trading as FastLayer”(AS215400)的40台服务器宕机!
11月2日, r00t组织称成功使“Stiftung Erneuerbare Freiheit”(AS60729)的31台服务器宕机!
11月3日, r00t组织称成功使“Massachusetts Institute of Technology”(AS396527)的5台服务器宕机,成功使“UNMANAGED LTD”(AS47890 )的16台服务器宕机!
11月4日, r00t组织称成功使“Stiftung Erneuerbare Freiheit”(AS60729)的160台服务器宕机!
11月5日, r00t组织称成功使“AEZA INTERNATIONAL LTD” ( AS210644 ) 的31台服务器宕机!
11月7日,r00t组织表示“Quintex Alliance Consulting” ( AS62744 ) 的100台服务器,是100台!都宕机了!
当Tor官方发布博文表示已经成功处置IP欺骗问题时,r00t组织称“你认为你可以?那我们来玩个游戏!”似乎r00t组织仍会继续使用各种手段对Tor网络进行攻击。11月10日,hackerfantastic在X平台戏称,r00t monster应该被授予骑士勋章。