臭名昭著的暗网勒索软件团伙Cl0p发布了一份因Cleo的托管文件传输(MFT)软件漏洞而受到攻击的公司名单。
Cl0p团伙在其暗网泄密网站上发布公告,重点指出了对严重漏洞CVE-2024-50623的利用。该漏洞允许未经身份验证的远程代码执行,并被Cl0p团伙积极用于渗透全球企业的网络。
该漏洞影响Cleo Harmony、VLTrader和LexiCom产品。尽管2024年10月发布了补丁,但网络安全研究人员发现该补丁不够完善,系统容易受到攻击。
该漏洞使攻击者能够上传恶意文件,这些文件会被软件自动执行,从而允许他们未经授权访问敏感数据。此后已发布了较新的补丁(版本5.8.0.24),但由于更新延迟或缓解措施不足,许多团伙仍然容易受到攻击。
Cl0p勒索软件团伙已宣布通过这一漏洞对全球许多目标发起攻击,目前至少有66家企业遭到攻击,受害者涉及物流、消费品和食品供应链等行业。
虽然仅披露了部分受影响企业的名称,但该团伙威胁说,如果赎金要求在1月21日之前得不到满足,他们将公布全部详细信息。
Cl0p勒索软件团伙的勒索策略 Cl0p以其复杂的勒索手段而闻名,它使用多层次的压力来强迫受害者支付赎金。在本案中,该团伙提供了安全的谈判沟通渠道,并警告称不遵守规定将导致被盗数据被公开。这种方法与Cl0p以前的活动如出一辙,例如2023年的MOVEit漏洞,当时数百家公司面临类似的威胁。
该团伙的暗网帖子还宣布计划分阶段发布更多受害者名单。第一批数据预计将于1月18日发布,随后将陆续发布后续数据。
Cleo已意识到问题的严重性,并发布了最新公告,敦促客户立即应用最新补丁。该公司还延长了24/7支持服务,以帮助受影响的客户保护其系统。
然而,网络安全专家警告说,使用Cleo产品的企业必须保持警惕,因为攻击者可能会继续瞄准未修补的系统。
此次事件凸显了勒索软件团伙利用广泛使用的文件传输平台漏洞的广泛趋势。Cl0p的历史包括对Accellion、GoAnywhere MFT和MOVEit软件的类似攻击,展示了利用零日漏洞进行大规模数据泄露的模式。
此次最新攻击凸显了及时补丁管理和强大的网络安全措施的重要性。依赖第三方软件的企业必须主动监控漏洞并及时实施缓解措施以减少风险。
随着Cl0p继续针对Cleo用户发起攻击,受影响的公司面临着越来越大的压力,需要迅速做出反应,否则将面临严重的声誉和财务损失。网络安全社区敦促所有企业优先更新系统并与执法机构合作,以减轻此类攻击的影响。
不断发展的形势清楚地提醒我们,像Cl0p这样的勒索软件团伙所构成的威胁以及他们利用关键基础设施漏洞的不断演变的策略。
Cl0p勒索软件团伙的暗网V3域名以及发布的公告 http://santat7kpllt6iyvqbr7q4amdv6dzrh6paatvyrzl7ry3zm72zigf4ad.onion/
Dear companies
A new part of the companies list will be partially opened and presented on 21.01. Hurry up to contact us so that your name is not on this list!!!
Cl0p announcement.
We have data of many companies who use cleo. Our teams are reaching and calling your company and provide your special secret chat.
许久没有关注过这个暗网上最恶劣最肆无忌惮的老牌中文诈骗网站了,然而近期又又又有网友被骗了,虽然事后联系通知本站,告知此诈骗网站又换洋葱域名了,但是损失已经无法挽回。
“暗网下/AWX”已经预警过7次,该暗网诈骗网站现使用的网站名称为“华人自己的暗网担保交易市场”,而臭名昭著的曾用名也许大家更熟悉:“正版中文担保交易市场”。该暗网诈骗网站出售的苹果手机、华为手机、BTC钱包、CVV卡料以及各种地下服务都是假的,一旦转账,BTC有去无回。
“暗网下/AWX”多次提醒过的警告依旧:只要在暗网上看到名为“华人自己的暗网担保交易市场”的网站,不管是什么洋葱域名,无论用什么诈骗话术,必定是诈骗网站无疑。这么些年来,“暗网下/AWX”每曝光一次,该诈骗网站就会更换一次暗网域名。而之前使用的暗网网址要么已经被废弃,要么直接跳转至新的暗网域名。
诈骗网站“华人自己的暗网担保交易市场”新更换的暗网V3域名为:
http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion
上次本站曝光的暗网V3域名仍在继续使用(访问后跳转新的洋葱域名):
http://waht6tybwp6tztk7qhhph7fc3njkjrbefcxxhxu2zo6oipny7buxulid.onion
目前,骗子已经给该诈骗网站更新了新的圣诞元旦样式的banner,该banner像素非常低,并不清晰,但是能够唬住暗网新手,于是这拙略的骗技,诈骗的成功率却很高。在上次本站(anwangxia.com)再次预警曝光后,纵观2024年,该诈骗网站已经使用了两次话术。
第一次诈骗话术是“六周年庆典回馈活动”:
又到了本站周年庆活动,老朋友们是不是很期待?六周年了,如果是养孩子也该上小学了。这六年来我们经历了很多,也认识了许多用户朋友,总之很感谢大家的一路跟随与支持。
老规矩,以下就是六周年庆典活动的方案,新老朋友按照自己的情况去狂欢吧!
活动期间(北京时间):2024年5月30日0点-2023年6月20日24点
1、 单笔交易达到2300美元(含)以上者,可返现交易金额的8%。符合条件者请在交易后48小时内发送交易的单号以及打币的TXID/Hash这两项内容到admincn的站内信,你可以用A账号购买用A账号发信,或者用B账号发信,甚至不注册账号完全匿名购买都可以,只要提供以上两项,核实后就会在48小时内充值入平台钱包。不注册就交易的如果要获得返现就注册一个账号来发信吧,返现只奖励到平台钱包内,没注册是没有平台钱包的。 提供TXID就能确认你是你。新老用户共享此条。
2、活动期间内累计交易10000美元(含)以上,返现累计总金额的6%。此奖励不与第1条重复奖励,如果领取过单次交易奖励的交易,将不能计算到累计交易金额之内。申请奖励方法与第1条相同,请最晚在活动期结束后48小时内发送申请信息给admincn。 新老用户共享此条。
3、本次活动作为六周年庆典回馈,将与幸运大转盘同时进行,折扣码、返现同时进行,可叠加使用。
4、凡是注册时间超过一年(北京时间2023年5月30日前注册)的用户,满足单笔最大交易达到$500以上且交易次数在三笔以上者,可来信联系admincn获得在本站苹果手机店铺只购买一台手机的权限。一般情况下该店手机是不零售的。
5、无论你是陪伴我们走过几年时间的老朋友,还是刚接触的新用户,我们都祝愿在往后的日子里你能越走越顺,心想事成。
第二次诈骗话术是“2024双十一活动公告”:
活动时间:2024年10月04日0点-11月30日24点(北京时间)
活动细则:
活动一:无论新老用户,活动期内在本平台交易满3次,金额最大一次在1000美元以上者;或活动期间内进行了不低于10次交易,累计金额不低于300美元。即可获得400美元购物券,在购买1000美元以上任意商品时均可使用。购物券永久有效。
活动二:活动期内,凡交易金额满3000美元者,即可获得以50美元价格购买全新Iphone16 Max Pro 1T的资格,两个月内有效。或返现400美元到用户的平台钱包,没有使用限制。金融类虚拟类商品只计算该期间内金额最大的一次交易,实物类商品可以累计活动内交易金额。
首页大转盘优惠券与上述活动优惠可叠加使用。
感谢六年多以来新老用户的支持,祝大家购物愉快!
这些公告中的诈骗话术内容是情深意切,看起来还真像那么回事,但这也是此诈骗网站能如此多成功诈骗的关键,没有江湖经验的小白必然会上当受骗。
除了公告的话术外,该诈骗网站还有一个子栏目,被称为“互动空间”,让傻子觉得似乎有很多真实用户在互动,其实都是管理员填充好的语料,且时间改成最新,极易让人迷惑。如目前两个互动较多的新话题:“最近有没有推荐的项目”、“学人家弄个买支付宝项目的即时帖”,都是骗子精心设置的话术。
目前为止,该暗网诈骗网站使用的邮箱并没有更改,依旧是:[email protected],这也是警方可以开展调查的突破口之一。
当然,警方还可以有其他突破口,那就是支付途径,通过区块链进行链上分析。该诈骗网站曾经只接受比特币的付款,目前已经增加了多种加密货币:莱特币/以太坊,除了之前的Blockonomics的支付网关接口外,页面上显示还增加了Coinbase的支付接口。
尝试Blockonomics的支付接口,每次提交会给出不同的支付地址:
BTC:1JAgdq6QshV1swq2rGa3ryAPML5dKLZzVD、1BXP8RArT65Yb59Q8qRchmPijCVRHHDaPQ
ETH:0x265d21263644f7A9EDE1FfA3BB28955c71fF21CF、0xdA8AD05Fb93706fDAb741495405DCB2cB6362FDd
LTC:ltc1q6yqzns0scnrs6rpg6wkxhkpusfh3rvpvrygpph、ltc1qt75p2h5hcsqgwh052mchm5z4m9j4kym2qpsjs0
由于是随机地址,以上加密货币地址均是空白地址,无交易信息,也就不具备参考价值。“暗网下/AWX”多次尝试Coinbase的支付接口,均显示错误提示“Unexpected Application Error!”,无法正常提交。
同样,在本次(anwangxia.com)曝光后,骗子定会继续更换暗网V3域名,“暗网下/AWX”将继续追踪,持续跟进曝光。
更多暗网新闻动态,请关注“暗网下/AWX”。
LockBit勒索软件团伙是全球最猖獗的勒索软件团伙之一,它使超过2000个企业成为受害者,累计赎金超过1.2亿美元,并提出了总额达数亿美元的勒索要求。
早在今年年初,“暗网下/AWX”报道了LockBit勒索软件团伙的暗网泄密网站被国际执法机构成功取缔后又重新归来的消息。当时,有分析表示,LockBit勒索软件的开发人员正在秘密构建新版本的文件加密恶意软件,称为LockBit-NG-Dev,可能成为LockBit 4.0。就在今天,LockBit勒索软件团伙在其暗网泄密网站发布公告,正式宣布了LockBit 4.0版本的暗网网站。
LockBit勒索软件团伙的公告称,如果“想要一辆兰博基尼、一辆法拉利和许多大奶妹子吗?”,可以“注册(其提供的新的网站)并与我们一起在5分钟内开始您的‘网络渗透’亿万富翁之旅。”公告里还提供了一个访问密钥(ADTISZRLVUMXDJ34RCBZFNO6BNKLEYKYS5FZPNNXK4S2RSHOENUA),据说这是为了保护该团伙的暗网网站免受遭受DDoS攻击。公告中附了5个洋葱域名:
http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd.onion
http://lockbitapyum2wks2lbcnrovcgxj7ne3ua7hhcmshh3s3ajtpookohqd.onion
http://lockbitapp24bvbi43n3qmtfcasf2veaeagjxatgbwtxnsh5w32mljad.onion
http://lockbitapo3wkqddx2ka7t45hejurybzzjpos4cpeliudgv35kkizrid.onion
http://lockbitapiahy43zttdhslabjvx4q6k24xx7r33qtcvwqehmnnqxy3yd.onion
“暗网下/AWX”随机测试访问了以上暗网网站,发现确实需要使用其提供的密钥才能正常访问。但是与LockBit 3.0的网站不同的是,进入新的暗网网站后需要用户名密码才能登录,同时提供了两个注册按钮,一个是使用BTC(比特币)注册,另一个是使用XMR(门罗币)注册。在网站最下方,显示称该团伙从2019年9月3日开始运作(We’ve been working since September 3, 2019),并显示了具体的计时。
本站(anwangxia.com)试图注册一个账号,但注册页面要求转账指定数额(价值777美元)的BTC或者XMR地址打款才能完成注册,因此尚未进一步测试。新暗网网站的注册页面写道,请在完成注册前保存付款链接,只有通过该链接,才能在不小心关闭浏览器时继续进行注册。用户可以支付多于指定金额(777美元)的款项,但不得少于指定金额。如果金额少于指定金额,注册将被取消。
对于使用BTC注册的用户,网页要求请发送0.007786 BTC至指定地址,并要求使用加密货币混合器支付注册费或发送脏比特币;使用XMR注册的用户,网页称只需发送3.765265 XMR至指定地址。注册页面表示,只要确认已经付款,注册者将立即获得LockBit勒索软件控制面板的访问权限,用户可以在此创建基于Windows、ESXi、Linux的加密程序(勒索软件),并与遭受攻击的受害者进行交流。
看起来,LockBit 4.0似乎将勒索软件即服务(RASS)的流程通过暗网网站后台集成化了,但同时也提升了成为其附属机构的门槛,即需要支付777美元的注册费用才能加入该团伙,然后才能使用该团伙最新版本的勒索软件。
FBI等国际执法机构针对LockBit的打击一直在持续进行,但LockBit背后的管理团队都位于俄罗斯等独联体国家,这让国际执法机构也无能为力。国际执法机构何时能摧毁LockBit新的基础设施,“暗网下/AWX”将拭目以待。
“暗网下/AWX”发现,一个新的暗网勒索软件团伙Chort在近几个月浮出水面。该勒索软件团伙与其他勒索软件组织类似,也实施双重勒索,先从受害者那里窃取敏感数据,然后加密文件和目录。它要求受害者支付赎金才能解密并安全归还被盗数据。该勒索软件团伙也被称为“Chort RS Group”、“Chort Ransomware”和“Chort Locker”,Chort在俄语中是“魔鬼”的意思,代表着这个勒索软件团伙的邪恶。
据本站(anwangxia.com)分析研究估算,Chort勒索软件团伙可能从2024年9月开始运作,因为一些受害者在当月宣布了遭遇的网络攻击事件。2024年10月21日,网络上出现了与Chort勒索软件相关的样本。Chort团伙在暗网泄密网站上发布的最早的受害者(Texans Can Academies,texanscan.org)帖子日期为10月29日,也就意味着该暗网网站的创建时间早于10月29日。
与其他勒索软件团伙一样,Chort勒索软件团伙应该也是出于经济目的发动的勒索攻击,其暗网网站没有发布任何政治言论或社会宣言,只是在首页中写着“List of Companies wouldn’t want to be safe”(不想安全的公司名单)。
Chort勒索软件团伙攻击的7名受害者分析 截至目前,Chort勒索软件团伙已在其暗网泄密网站上列出了7个受害者,最新受害者的发布日期为11月22日。经初步判断,Chort团伙主要针对的都是美国目标:
总部位于美国的教育机构Texas Can Academies(exanscan.org) 美国教育机构爱德华斯堡学校基金会(edwardsburgschoolsfoundation.org) 美国制造商Tri-Tech Electronics(Tri-TechElectronics.com) 位于美国的巴托县学校系统(bartow.k12.ga.us) 位于科威特的农业事务和鱼类资源公共管理局(PAAF,paaf.gov.kw) 位于美国的哈特威克学院(hartwick.edu) 位于美国的希博伊根市政府(sheboyganwi.gov) 其中,Chort团队已将City Of Sheboygan(sheboyganwi.gov)、Hartwick College(hartwick.edu)、PAAF(paaf.gov.kw)、Bartow County School System(bartow.k12.ga.us)、和Tri-Tech Electronics(Tri-TechElectronics.com)等5个受害者的数据免费提供给其暗网泄密网站的访问者下载。而其余2个受害者:Edwardsburg Public Schools Foundation(edwardsburgschoolsfoundation.org)和Texans Can Academies(texanscan.org)的状态是“Not Available”,无法判断这两个目标是否已经支付了赎金,还是正在谈判中。
其中2名受害者公开宣布他们遭受了网络事件。2024年9月30日,爱德华兹堡学校基金会表示,它遭遇了“网络中断”,导致课程被取消。10月18日,巴托县学校系统宣布,在“未经授权的外部来源”试图访问其部分“信息系统”后,它遭遇了长达一周的服务中断。但是2份声明都没有列出被指控攻击者的身份。因此,“暗网下/AWX”目前无法确认这些事件是否与Chort团伙的攻击有关。
Chort勒索软件团伙的暗网泄密网站 Chort维护着一个英语版本的暗网泄密网站:
http://hgxyonufefcglpekxma55fttev3lcfucrf7jvep2c3j6447cjroadead.onion
“暗网下/AWX”尝试访问了该站点,该暗网网站访问速度很快,首次进入时,页面上设置有数字验证码的认证,似乎为了防止DDoS攻击。
该暗网网站主页上列出了Chort团伙声称已经成功入侵的7名受害者名单。点击特定受害者的logo会重定向到该受害者的特定页面,其中详细介绍了该目标的行业部门、涉嫌被盗数据量以及公布的时间。对于其中两名标记为“Published”(已公布)的受害者,Chort还嵌入了个人身份信息(PII)、发票和其他财务文件的图像,作为被盗数据的证据。
此外,主页的右上角有个“联系我们”的按钮,点击进去后的页面显示着“如需购买资料,请通过以下地址联系我们”(For purchase data please contact us from below addresses),并列出了Chort勒索软件团伙在Tox(EA8712D4F50F37D1AD722D4E29026A61946D3F90CAC4E0AD45204547F5A538524F847DE387B1)、Jabber([email protected])和Telegram(@ChortGroup)的联系信息。经访问得知,该团伙于北京时间11月16日创建了Telegram频道,截至目前,该频道大约有62名订阅者。
Chort勒索软件团伙能存在多久,FBI何时能够摧毁它。“暗网下/AWX”将持续关注。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
“暗网下/AWX”在今年7月份曾介绍了勒索软件团伙“Vanir Group”,”Vanir Group“是网络勒索犯罪世界中一个新的危险威胁。他们的行动精确而残忍,已经袭击了三家公司。7月份该团伙发布了这三名受害者的信息,其中包括一家中国公司和一加位于德国的公司。
🚨 New #ransomware group: Vanir Group 🚨
Currently, the criminal group's list includes 3 victims:
Beowulfchain[.]com: "Beowulfchain is a decentralized communication and data network that enables businesses to provide communication without barriers. We have accessed and… pic.twitter.com/iecQgyK7Q7
— HackManac (@H4ckManac) July 10, 2024 德国执法部门在几次突袭中成功摧毁了“Vanir Group”勒索软件团伙使用的部分网络基础设施,该勒索软件团伙部署了新型恶意软件。
巴登-符腾堡州刑事警察局于今年9月17日宣布了这一消息,并在一份声明中表示,该局已与卡尔斯鲁厄检察院网络犯罪中心合作开展此次行动。
卡尔斯鲁厄市和巴登-符腾堡州的官员表示,他们已经接管了黑客部署Vanir Locker勒索软件所使用的暗网泄密网站。
巴登-符腾堡州当局自6月24日起就一直在调查Vanir Group勒索软件团伙,并于8月发现了该团伙泄密网站的托管服务器,并于9月17日对其进行了查封。
“2024年8月,调查人员成功识别出所谓Tor网络中某个网站的服务器。该团伙宣布将在此网站上发布从受影响公司获得的数据,”他们说。 德国当局表示:“今天,犯罪者的Tor页面已被国家刑事警察局代表网络犯罪中心接管,并重定向到一个被屏蔽的页面。”
官员们没有回应记者的置评请求,即是否有人被捕,或者泄密网站上列出的这家德国公司是否受到勒索软件攻击的影响。他们在声明中表示,“通过封锁该页面,肇事者窃取的数据将无法再在其Tor页面上发布。对勒索软件团伙成员身份的调查仍在进行中。”
目前访问“Vanir Group”的暗网泄密网站现在显示一个警方的扣押页面:“这个暗网网站已经被巴登-符腾堡州国家调查局查封,这是针对Vanir勒索软件团伙采取的执法行动的一部分。”
“Vanir Group”勒索软件团伙本身并不是一个特别活跃的勒索软件团伙,正如本站(anwangxia.com)之前报道:今年6月和7月“Vanir Group”仅攻击了三名受害者——分散式通信公司Beowulfchain、纸张制造商Qinao和汽车租赁公司Athlon。
从此以后,该勒索软件团伙就没再活跃过。
“Vanir Group”勒索软件团伙的背景 “Vanir Group”团伙此前曾在其暗网泄密网站上表示,这是一个勒索软件即服务团伙,正在积极寻找附属机构。它显然是由一个名叫BlackEyedBastard的人经营的。
网络安全社区新闻网站Red Hot Cyber声称在7月采访了BlackEyedBastard,其中“Vanir Group”领导人阐述了该团伙的行动。
Akira是一个勒索软件团伙(ransomware-as-a-service),在勒索软件圈子的知名度越来越高,其暗网泄密网站本月公布的新受害者数量创下了纪录,而且还有更多受害者在增加。为了一探究竟,“暗网下/AWX”尝试对Akira的暗网泄密网站进行了访问。
Akira的暗网泄密网站的V3地址是:
https://akiral2iz6a7qgd3ayp3l6yub7xx2uep76idk3u2kollpj5z3z636bad.onion
Akira团伙的暗网网站 Akira团伙的暗网泄密网站以日本赛博朋克漫画命名,其风格类似于20世纪80年代流行的单色计算机命令行界面。在”暗网下/AWX“看来,该网站的风格与”Vanir Group“的暗网泄密网站界面很相似,设计成一个Linux系统的终端,黑底绿字,操作也与终端相仿,看起来像一个客户访问Linux终端(guest@akira:~$)。
打开Akira团伙的暗网网站,与其他勒索软件团伙的暗网泄密网站一样,映入眼帘的也是一段恐吓文字:
您在这里。这意味着你现在正遭受网络事件的困扰。将我们的行动视为对您的网络漏洞进行一次计划外的强制审计。请记住,要让这一切消失,需要付出合理的代价。
不要急于评估发生了什么–是我们害了你们。您能做的最好的事情就是按照我们的指示恢复您的日常工作,通过与我们合作,您可以将可能造成的损失降到最低。
那些选择不同道路的人将在这里受到公开羞辱。本博客的功能非常简单,只需在输入行中输入所需的命令,即可获取全球企业希望保密的最多汁信息。
请记住 没有我们的帮助,您将无法恢复。您的数据已经消失,无法追踪到最终存储地点,也无法被除我们之外的任何人删除。
与”Vanir Group“暗网网站类似,Akira网站的伪终端里可以输入5个命令:输入”help“等命令,可以查看所有命令列表;输入”leaks“命令,可以查看所有被黑的受害者信息;输入”news“命令,可以查看关于即将发布的数据的新闻;输入”contact“命令,可以给Akira团伙发送消息;输入”clear“命令,可以清除当前屏幕显示。
由此看来,Akira的暗网泄密网站主要包含3个功能:一是“新闻”功能(/n),用于勒索最近的受害者;二是“泄露”功能(/l),用于在勒索失败后公布数据;三是”联系“功能(/m),用于与勒索软件团伙进行联系。
其中联系功能,可以提交”email/icq/jabber/tox id/telegram“,意味着勒索软件团伙会使用这些联系方式进行联系。
Akira勒索软件团伙发布了大量受害者信息 本站(anwangxia.com)测试输入”news“命令,发现从2023年4月25日至2024年11月20日的大约一年半时间里,Akira勒索软件团伙共发布了319个受害者,并详细描述了泄露的是什么数据;输入”leaks“命令,经统计,公开泄露了数据的受害者共有128个。因此”暗网下/AWX“判断,除了还在勒索谈判期的,也许已经有上百个受害者支付了赎金。
美国联邦调查局称,Akira勒索软件团伙于2023年3月出现,他们为黑客提供平台,通过窃取和加密数据来勒索受害者。FBI表示,在运营的第一年,Akira通过大约250次攻击赚取了4200万美元。
该团伙在出现后不久就进行了大量的网络攻击,令专家们相信该组织是由经验丰富的勒索软件攻击者组成。去年该团伙发动了一系列攻击,包括对云托管服务提供商Tietoevry的攻击。
勒索软件团体通常会在受害者公布被盗数据前,给他们几天或几周时间支付赎金,具体时间取决于谈判结果。Akira的暗网泄密网站在8月至10月期间公布的数据比平时少,导致11月份列表数量突然激增的原因可能有多种,比如越来越多的新附属公司利用该暗网网站勒索受害者,或者是Akira管理员选择隐瞒之前的泄密事件。
新受害者大多来自总部位于美国的商业服务行业公司以及两家公司总部位于加拿大的公司,其他受害者来自德国、英国和其他国家。“暗网下/AWX”将受害者的名字与网址与过去几年追踪的所有勒索软件团伙发布的受害者进行了对比分析,证实这些被攻击的对象都是首次出现的新受害者。
LockBit今年早些时候公布了类似数量的受害者信息,试图淡化其受到执法部门攻击的情况,LockBit“在其旧网站被查封后,将旧受害者信息与新受害者信息混在一起”。
据英国国家打击犯罪局称,LockBit列出的许多受害者都是被重新发布的旧攻击,而其他受害者则是虚假或被错误归因的攻击,据称影响了一家大型企业,而事实上只影响了一家非常小的子公司。
“暗网下/AWX”报道Tor网络的大量出口节点与中继节点遭受IP欺骗攻击而被服务商暂停使用,这一切的始作俑者称自己为r00t,r00t可能是一个黑客组织。
r00t组织为自己建立了一个网站(r00t.monster),并在网站留言“字节在颤抖,它撕裂了网络”,称自己是“一个你永远不会忘记的怪物”。该组织还表示,除非Tor网络被该组织摧毁,否则休想摆脱他们!并且还宣传道“时机已到,我们需要摧毁Tor,加入我们的力量吧!”,应是在招纳更多黑客加入。
r00t组织给出新闻链接(https://news.ycombinator.com/item?id=41942978)称,执法机构也在破坏Tor网络,试图为自己的攻击行为增加合法性。并且给出了更多的链接来试图证实Tor网络的开发人员和中继运营者都是有问题的,都应该被关进监狱:
🔗 https://www.tagesschau.de/investigativ/panorama/telefonueberwachung-telefonica–bka-ermittlungen-paedokriminelle-100.html
🔗 https://www.ndr.de/fernsehen/sendungen/panorama/aktuell/Investigations-in-the-so-called-darknet-Law-enforcement-agencies-undermine-Tor-anonymisation,toreng100.html
🔗 https://www.justice.gov/opa/pr/four-men-sentenced-prison-engaging-child-exploitation-enterprise-tor-network
🔗 https://theconversation.com/how-the-worlds-biggest-dark-web-platform-spreads-millions-of-items-of-child-sex-abuse-material-and-why-its-hard-to-stop-167107
🔗 https://www.ice.gov/news/releases/secretary-johnson-announces-results-operation-dismantled-underground-child
🔗 https://www.justice.gov/opa/pr/dark-web-child-pornography-facilitator-sentenced-27-years-prison-conspiracy-advertise-child-0
🔗 https://www.justice.gov/opa/pr/virginia-man-sentenced-five-years-prison-receiving-child-pornography-tor-network-forum
🔗 https://www.justice.gov/opa/pr/nebraska-man-sentenced-prison-tor-distribution-child-pornography
🔗 https://www.justice.gov/news/press-releases?search_api_fulltext=+tor&start_date=&end_date=&sort_by=field_date
接着,r00t组织转发了欧洲刑警组织的文章(https://www.europol.europa.eu/crime-areas/child-sexual-exploitation),称“欧洲刑警组织确定了儿童性剥削领域的主要威胁: 点对点 (P2P) 网络和匿名访问,如暗网网络(Tor)”,以此宣称自己的攻击行为是“正义”的。
根据r00t.monster网站的存档以及一些文字留存,r00t组织似乎始于2023年7月27日,那时候Tor网站开始有反馈22端口的滥用扫描行为,2024年10月21日起,逐渐规模化进行操作,随后的日子里,r00t组织一边利用节点服务器对机房IP的22端口进行非法扫描,同时向各个机房举报这些服务器的滥用行为(abuse),以使机房暂停这些节点服务器的服务。
10月底开始,各大机房服务器供应商开始处置滥用行为,并向服务器租用客户发布因滥用而被暂停访问的通知,大量的节点运营者在Tor网站反馈。r00t组织看到了Tor网站上的反馈,逐一截图,并开始在其网站炫耀其攻击成果:
10月30日, r00t组织称成功使“Hetzner”(AS24940)的3台速度较快的节点服务器宕机!
10月31日, r00t组织称成功使“IONOS SE”(AS8560)的12台服务器宕机!
11月1日, r00t组织称成功使“Kaan Kalayci trading as FastLayer”(AS215400)的40台服务器宕机!
11月2日, r00t组织称成功使“Stiftung Erneuerbare Freiheit”(AS60729)的31台服务器宕机!
11月3日, r00t组织称成功使“Massachusetts Institute of Technology”(AS396527)的5台服务器宕机,成功使“UNMANAGED LTD”(AS47890 )的16台服务器宕机!
11月4日, r00t组织称成功使“Stiftung Erneuerbare Freiheit”(AS60729)的160台服务器宕机!
11月5日, r00t组织称成功使“AEZA INTERNATIONAL LTD” ( AS210644 ) 的31台服务器宕机!
11月7日,r00t组织表示“Quintex Alliance Consulting” ( AS62744 ) 的100台服务器,是100台!都宕机了!
当Tor官方发布博文表示已经成功处置IP欺骗问题时,r00t组织称“你认为你可以?那我们来玩个游戏!”似乎r00t组织仍会继续使用各种手段对Tor网络进行攻击。11月10日,hackerfantastic在X平台戏称,r00t monster应该被授予骑士勋章。
BreachForums是一个交流与交易泄露数据的黑客论坛,在暗网与互联网同时可以访问,大量网络犯罪分子利用该论坛交换、销售和购买被窃取的数据。
自第一版暗网数据泄露论坛BreachForums于2022年3月成立以来,经”暗网下/AWX“梳理,BreachForums已经经历了5任运营管理员(真正能接触到数据库源码等基础设施的Owner级别的管理员),本文将细数这5位运营管理员以及他们的下场命运。
第一位管理员:Pompompurin,被FBI逮捕,后被判处20年监管释放 在首个知名的暗网数据泄露论坛RaidForums在2022年被FBI查封之后,”Pompompurin“创建了名为BreachForums(又名Breached)的一个新论坛,这就是第一版BreachForums(BreachForums v1),Pompompurin也就是BreachForums的创始人。
2023年3月,BreachForums的创始人”Pompompurin“,真实身份为纽约州的康纳·布赖恩·菲茨帕特里克(Conor Brian Fitzpatrick),被美国联邦调查局(FBI)逮捕。
2024年1月,Pompompurin在美国弗吉尼亚州东区法院被判处20年监管释放(无需在监狱服刑),但需在家中服刑2年(佩戴GPS定位器和接受心理健康治疗),且第一年也被禁止使用互联网。
第二位管理员:Baphomet,消失不见 在Pompompurin被捕后,BreachForums的一位管理员“Baphomet”接管了该网站,但是由于怀疑FBI已经获取了第一版BreachForums的基础设施权限,Baphomet选择关闭了第一版BreachForums论坛。
2023年6月,在第一版BreachForums论坛数周后,Baphomet宣布与黑客兼数据卖家ShinyHunters合作,创建了第二版BreachForums论坛(BreachForums v2)。
由于担心第一版BreachForums的数据库已经被FBI掌握,第二版BreachForums论坛是一个全新论坛,并没有导入已经关闭的第一版BreachForums的老数据。
2024年5月,第二版BreachForums论坛也被FBI查封,FBI的扣押横幅上贴出了管理员Baphomet和ShinyHunters的两张论坛个人头像图片,BreachForums的官方Telegram频道和Baphomet拥有的其他频道和群组也同时被FBI掌控。
Baphomet似乎已经被FBI逮捕,但是却没有任何报告,于是有人怀疑他是联邦卧底。
总而言之,第二版BreachForums论坛管理员Baphomet奇怪地消失了。
第三位管理员:ShinyHunters,自称退休 在第二版BreachForums论坛被FBI查封后,另一位管理员“ShinyHunters”接管了该网站,并在与FBI的拉锯战中重新获得了明网域名的访问权,同时更换了暗网域名,并很快(2024年5月底)重新上线,本站(anwangxia.com)称之为第三版BreachForums论坛(BreachForums v3)。ShinyHunters还透露,BreachForums前管理员Baphomet已被执法部门逮捕。
然而,第三版BreachForums论坛运营不足一个月,自2024年6月10日起,该论坛再次无法访问,且管理员ShinyHunters的Telegram以及BreachForums的新Telegram频道、群组均被删除,两天后,BreachForums又再次在暗网与明网恢复访问。
随着第三版BreachForums论坛的运营出现问题,外界普遍认为当前BreachForums论坛已经成为FBI的蜜罐。此时ShinyHunters因厌倦了运营这个臭名昭著的黑客论坛的压力而选择退休,并于6月14日重返论坛并发布公告宣布该论坛现在归一名昵称为“Anastasia”的威胁行为者所有。
第四位管理员:Anastasia,无存在感地消失 外界对”Anastasia”这个昵称并不熟悉,但BreachForums论坛的用户“earflaps”发帖称,Anastasia据说是BreachForums的前管理员,也被称为“Anastasia Belshaw”,据说他是Shiny的朋友,这也是他被授予所有者(Owner)称号的原因。
“earflaps”说,许多人都猜测Anastasia是Shiny的替代人或冒充原管理员Anastasia的联邦特工,理由是他既不说话,也不发帖,除了存在在论坛几乎什么都不做。
泄露第一版BreachForums数据库的威胁行为者emo在自己的Telegram频道称,Anastasia其实是前管理员Hollow。BreachForums论坛此刻由三个人在管理,一是替换ShinyHunters的Anastasia,但却什么也不做,另外两个分别是版主Armadyl与WillyWonka。
据“暗网下/AWX”监测,虽然第四任管理员名义上是Anastasia,但在其领导下,BreachForums论坛明显缺乏积极的管理与活力,一直处于停滞和消极状态,且该论坛大部分时间由版主WillyWonka进行管理。
第五位管理员:IntelBroker,仍然在位 2024年8月15日,BreachForums论坛开始由臭名昭著的黑客“IntelBroker”接管,这是BreachForums论坛的第五位管理员。有趣的是,一些老版主选择了离开,比如“WillyWonka”,甚至禁止了自己的帐户。
IntelBroker是一个在暗网上活动的个人(或犯罪黑客团体),活动范围涵盖XSS、BreachForums和Exposed等地下论坛。他们是黑客团体“Cyberniggers”内活动的威胁行为者,活跃于黑客行动主义和网络犯罪,尤其是作为初始访问代理(IAB),IntelBroker专门识别和出售受感染系统的访问权限,为各种恶意活动铺平道路。
与此同时,emo在自己的Telegram频道披露,IntelBroker不仅是一名同性恋恋童癖者,而且还是一名FBI线人。但无法查证。
近期,“IntelBroker”与“DuperTrooper”拍摄了一段视频,其中他们通过付费复制物品来赢得Minecraft的BreachForums服务器,以扰乱他们的游戏经济。
暗网市场Fish Market成立于2023年,最初以“Go Fish Market”的名称推出,后来更名为“Fish Market”,或简称为“The Fish”。该市场成立初期,这个暗网市场背后的团队雄心勃勃,努力打造不仅仅是一个暗网市场的网站,而是试图通过其一系列创新功能和独特设计脱颖而出。Fish Market交易实体和数字产品,例如毒品、诈骗商品、防御商品、软件和伪造品等等。
曾几何时,Fish Market是暗网上一个快速增长的市场,虽然用户界面一开始可能有点令人困惑,但一旦用户掌握了窍门,他们就会发现该市场与其他暗网市场相比具有竞争力,迅速积累了一定的用户与供应商群体。该市场新供应商的保证金为1.5XMR,销售费非常低,仅为3%,可降至2.5%,使其成为所有暗网市场上最低卖家的市场费用。
两个月前,Fish Market暗网市场(http://gofishbybookb4a2kvviuygmwjqfxx7nqsovweogs2cxvqvexhe7edyd.onion)出现了间歇性的无法访问,该暗网市场的一位工作人员/u/Byt3s在Dread暗网论坛发布公告称,由于Fish Market的主要洋葱链接遭受了大规模有针对性的DDoS攻击,其暗网网站暂时处于停机状态。Fish Market市场的管理员/u/GoFish正在努力恢复网站的运行,并且应该不会花很长时间。
9月初,因为该暗网市场再次的访问中断和访问不便,Fish Market工作人员/u/Byt3s在Dread上发布公告代表Fish Market Team向所有尊贵的客户和商家真诚地道歉,称他们团队已经正在昼夜不停地努力解决这个问题,并预计很快就会恢复正常运营。他会在收到管理员/u/GoFish的回复后立即向大家通报最新情况。
然而,后来该暗网市场彻底无法访问,9月中旬,/u/Byt3s突然在Dread发布主题帖“Fish Market正式消失——一个难以接受的公告”,公告称Fish Market暗网市场不会恢复正常,并进行了解释。
Byt3s表示,他想花点时间谈谈市场最近的发展情况。事情发生已经五天了,虽然这个声明有点晚了,但这是有原因的,他对事情的发展感到十分震惊,从未想过自己会处于这种境地,他会尽力提供一些背景信息和透明度,说明发生了什么、关闭的主要原因以及他对事情最终结果的看法。
Byt3s说,当第一次看到网站下线时,他立即联系了Jabber上的/u/GoFish(Fish Market的管理员),让其知道了这一情况。起初,Byt3s怀疑可能是DDoS攻击导致主洋葱网站瘫痪,因为自超级名单公布以来,Fish Market一直是攻击目标,很多其他市场也面临这种威胁。
然而,这次的情况有些不同,且不幸的是,情况更糟了。在Fish Market主市场洋葱关闭后的一段时间,Byt3s可以访问的管理面板和私人镜像也离线了。这很不寻常,因为这些镜像通常即使在DDoS攻击期间仍可访问。且Byt3s仍未收到管理员GoFish的回复,他只能试图弄清楚为什么停机时间延长了,并立即联系了Dread管理员和/u/SamWhiskey,让他们了解任何新进展。
终于,Byt3s在Jabber中得到了GoFish的答复,Byt3s收到的消息非常模糊,感觉就像是最后的告别,这令人震惊。出于操作安全原因,Byt3s没有记录任何Jabber消息,也不想公开分享,但GoFish的答复要点是,似乎一台VM服务器可能已被入侵。GoFish提到,他无法让卷重新上线,否则可能会将加密密钥暴露给MiTM攻击。他随后道歉说事情必须以这种方式结束。
Byt3s称根据最后的信息得出的结论来看,仅仅一台虚拟机被入侵并不能真正说明什么问题。也许是黑客入侵,但只有GoFish才最有资格澄清这一点。Byt3s表示,可以确认的是,Byt3s无权访问任何实际的市场服务器;Byt3s的权限仅限于处理日常支持任务和公关。除了通常对支持版主的期望之外,Byt3s没有任何高级权限。
Byt3s称,在他与GoFish共事期间,他一直敦促为了GoFish和市场的利益,严格控制运营安全。Byt3s表示自己一直是OpSec的忠实支持者,非常强调定期进行安全审核的重要性,以确保一切安全。Byt3s加入后不久,Fish Market暗网市场仍然有一个明网镜像(www.gofish.market:666,85.217.222.58),在他的强烈反对并一直敦促下,出于安全原因GoFish才将其移除。
作为最接近整个情况和整个市场的人,Byt3s说从自己的角度来看,他不相信GoFish被执法部门抓获,也不认为有任何数据被泄露。但他认为,在他们交往期间,GoFish一直都是一个公平诚实的管理者——至少在他还在的时候。Byt3s最后称真诚地向那些丢失了加密货币的商家和客户道歉,他一直试图做出积极的贡献,但自己也无能为力。
“暗网下/AWX”初步判断,暗网市场Fish Market应是退出骗局,管理员GoFish卷币跑路。而一直以来Dread论坛公告的发布者——可怜的Byt3s并不是该市场的管理员,仅是一名参与管理者而已,他也属于被真正管理员欺骗的对象。
更多暗网新闻动态,请关注“暗网下/AWX”。