今日,FBI查封了勒索软件团伙Scattered Lapsus$ Hunters使用的BreachForums域名(Breachforums.hn),正如前期“暗网下/AWX”报道,勒索组织针对Salesforce及其客户开展黑客攻击后开设了暗网泄密网站,而该域名是数据泄露网站在明网的镜像。
今年夏天,Breachforums[.]hn域名曾用于重新启动暗网数据泄露论坛Breachforums,但在一些核心运营管理员被捕后,该网站很快再次下线。根据“暗网下/AWX”之前的报道,今年6月份,法国执法部门逮捕了包括ShinyHunters、Hollow、Noct和Depressed在内的四名BreachForums成员,美国起诉了另一名BreachForums成员IntelBroker。7月份,ShinyHunters曾宣布重新启动 BreachForums,一个月后,新BreachForums论坛下线,ShinyHunters发布了一条带有PGP签名的消息,称该论坛的基础设施已被法国BL2C部门和FBI查封,并表示不会再重启。
本月初,该域名被Scattered Lapsus$ Hunters团伙转变为针对Salesforce数据泄露的网站,目的是勒索Salesforce以及受到影响的客户公司。根据“暗网下/AWX”之前的介绍,Scattered Lapsus$ Hunters团伙由与Scattered Spider、Lapsus$和ShinyHunters勒索软件团伙有关联的成员组成。
本周,Breachforums[.]hn域名已经无法访问,10月8日,该团伙在Telegram频道宣布不再运营明网域名。10月9日,Breachforums[.]hn域名被FBI接管,域名的NS服务器被切换为ns1.fbi.seized.gov和ns2.fbi.seized.gov,目前访问该域名显示巨大的扣押横幅。
根据扣押信息,在Scattered Lapsus$ Hunters团伙开始泄露Salesforce被盗数据之前,美国和法国的执法部门合作控制了BreachForums的所有网络基础设施。
FBI在X上称,联邦调查局及其合作伙伴已查封与BreachForums相关的域名。该犯罪市场平台被ShinyHunters、Baphomet和IntelBroker等团伙用于贩卖窃取数据并实施敲诈勒索。此次行动切断了犯罪分子利用该枢纽平台牟利、招募同伙及跨行业锁定受害者的关键通道,彰显了国际执法协同行动的威慑力——必将让网络犯罪幕后黑手付出代价。
The FBI and our partners have seized domains associated with BreachForums, a major criminal marketplace used by ShinyHunters, Baphomet, and IntelBroker to traffic stolen data and facilitate extortion.
This takedown removes access to a key hub used by these actors to monetize… pic.twitter.com/aiTRzFCIYU
— FBI (@FBI) October 12, 2025 对此,Scattered Lapsus$ Hunters团伙在Telegram频道挑衅道,扣押一个域名不会影响其行动,FBI还需要更加努力。
Scattered Lapsus$ Hunters团伙在Telegram频道发布声明回应明网域名被扣押 10月10日,Scattered Lapsus$ Hunters团伙在Telegram频道、暗网网站以及pastebin同步发布带有PGP签名的声明,确认Breachforums[.
根据美国司法部的消息,运营全球最大暗网网络犯罪和黑客论坛之一BreachForums的一名纽约男子被联邦上诉法院撤销了原判的17天监禁,现被重新改判为三年监禁。
康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick),在BreachForums上的网名为pompompurin,22岁,是臭名昭著的暗网数据交易论坛BreachForums的创始人和管理员,BreachForums被认为是最大的英语网络犯罪交易市场,该论坛允许犯罪分子在该暗网网站上买卖被盗的登录凭证、数据库、网络访问权限、恶意软件和其他非法物品。
2023年7月,菲茨帕特里克承认了多项罪名,包括密谋贩卖被盗数据和持有儿童性虐待(CSAM)材料。尽管罪行严重,但他最初仅被判处17天监禁(他已经服刑),以及20年的监外执行。由于他年轻且患有自闭症,因此量刑较轻。
然而,检察官立即提起上诉,并于2025年1月,美国上诉法院推翻了原判。法院指出菲茨帕特里克“缺乏悔意”,并且他使用VPN访问在线聊天室违反了保释规定。
BreachForums的创立与pompompurin的被捕 2022年3月,执法部门关闭了一个名为“RaidForums”的暗网数据交易网站后,菲茨帕特里克创办了BreachForums,立即填补了RaidForums消失后留下的空白。他的网站会员数量迅速增长,在不到一年的时间内积累了超过33万名会员,存储了超过140亿条被盗记录,其中包括社保号码和银行账户信息等敏感的各国公民个人数据。
官员指出,这些数据库“属于各种各样的美国和外国公司、组织、关键基础设施和政府机构”,其中包括AT&T、T-Mobile、ADT、EPA、InfraGuard、Beeline、宏碁、Activision和WhatsApp等公司,以及最近的TikTok 、OpenAI和特朗普酒店等数百家公司。
根据美国司法部的新闻稿,在调查的关键环节,卧底的联邦调查局特工于2022年7月潜入该网站,购买了1500万美国人的记录,最终经过侦察,使得菲茨帕特里克于2023年3月在其父母位于纽约州皮克斯基尔的家中被捕,并在接受联邦调查局的采访时承认自己是“pompompurin”——BreachForums的主要管理员。被捕后不久,联邦调查局查封了BreachForums,并下线了该网站(自菲茨帕特里克被捕以来,执法部门一直试图将BreachForums从暗网里彻底清除,但每次摧毁后都会有新版本卷土重来)。
法庭文件显示,菲茨帕特里克个人从BreachForums获利约69.8万美元。该平台还成为黑客买卖被盗数据的中心,菲茨帕特里克本人也经常充当中间人。
菲茨帕特里克去年承认了一系列指控,包括持有儿童色情制品和合谋贩卖被盗个人身份信息。尽管检察官要求判处菲茨帕特里克15年以上的监禁,但法官认为,菲茨帕特里克的年龄和自闭症谱系障碍诊断使他在狱中容易遭受暴力。
2024年1月,菲茨帕特里克被判处17天监禁和20年监督释放。根据该判决,他被监禁在家中并接受GPS监控两年,获释后第一年禁止访问互联网,并被要求在其设备上安装监控软件,同时还被要求接受心理健康治疗。
这一判决备受争议,美国弗吉尼亚州东区检察官埃里克·西伯特表示,这些犯罪行为造成的损害难以衡量,儿童虐待材料对人类的影响更是无法计算。
除了监禁之外,菲茨帕特里克还必须交出100多个域名、十几台电子设备以及他通过非法活动赚取的所有加密货币。此案是美国司法部全国性“儿童安全计划”的一部分,该计划于2006年5月启动,旨在打击儿童性剥削和性虐待。
检察官提起上诉,上诉法院合议庭法官撤销之前判决 法庭记录显示,此次轻判考虑了菲茨帕特里克的减刑情节,包括他患有自闭症以及他年幼。量刑备忘录指出,即使在法律程序进行期间,菲茨帕特里克仍违反法院规定,使用VPN通过Discord访问在线聊天室。在这些情况下,他质疑自己认罪的合法性,对未对指控提出抗辩表示遗憾,并发表声明,将向外国利益集团出售敏感数据的行为轻描淡写。
鉴于菲茨帕特里克承认的罪名,以及他在审判前多次违反法院的释放条件,访问互联网并通过Discord聊天室聊天,检察官对释放菲茨帕特里克的决定感到愤怒,称该判刑“实质上不合理”,并迅速作出反应,提起上诉。
今年1月,美国第四巡回上诉法院由三名法官组成的合议庭撤销了地方法院一项备受争议的判决,认为判决不足,并将案件发回重审。美国上诉法院法官保罗·V·尼迈耶撰写了撤销原判的意见书,称菲茨帕特里克的行为表明他“缺乏悔意”,并指出地方法院“从未提及其罪行的严重性,也未解释其判决如何符合法律要求”。
尼迈耶在1月份提交的意见中表示,法庭未能承认菲茨帕特里克罪行的严重性,而菲茨帕特里克对此表示认罪。“在该网站长达一年的运营期间,菲茨帕特里克充当中间人,协助非法信息的买卖,赚取了698,714美元,并给许多受害者造成了金钱和声誉损失。”此外,菲茨帕特里克收集的儿童性虐待材料还涵盖“至少600张图片”,当局发现他之前“观看过描绘青春期前儿童从事性行为的视频”。
检察官建议判处15年刑期,律师寻求降低刑期 在最近的法庭文件中,检察官认为菲茨帕特里克的罪行太严重,却几乎不需要服刑——建议判处15年有期徒刑。 检察官表示:“被告策划并实施了大规模网络犯罪,其范围之广、程度之深、行为之肆无忌惮,足以判处其相当长的监禁时间。”
美国弗吉尼亚州东区检察官埃里克·西伯特(Erik S. Siebert)表示:“康纳·菲茨帕特里克个人通过出售大量被盗信息获利,这些信息包括从私人个人信息到商业数据。”西伯特说道,“这些罪行范围如此广泛,造成的损失难以量化,他收集的儿童性虐待材料所造成的人员伤亡更是无法估量。我们不会允许罪犯躲藏在互联网最黑暗的角落,并将运用一切法律手段将他们绳之以法,”
司法部表示,BreachForums为获取数百万美国公民的敏感个人信息提供了便利,而菲茨帕特里克参与了多起网络犯罪案件,涉及窃取联邦调查局以及华盛顿特区医疗保健市场的信息。 该平台参与了针对华盛顿特区健康保险市场的网络攻击,导致联邦立法者、工作人员和数千名城市居民的敏感信息泄露。
而被告菲茨帕特里克对其罪行几乎没有表现出悔意:他违反了审前释放的条件;破坏了合作协议;并且否认对其儿童色情罪行负有责任。在致法院的信函和第一次宣判中,被告虽然承认了自己的罪行,但随后却将自己的罪行归咎于周围的人。
据检察官称,菲茨帕特里克是一位热情的领导者,他召集黑客加入其暗网论坛,并利用其管理员的角色获利——经常充当网络犯罪分子之间的中间人。
他们补充说,菲茨帕特里克的自闭症谱系障碍诊断结果为“轻度”,并且没有证据表明他“无法适应监狱环境”。他们引用了一位执业心理学家的评估,称菲茨帕特里克“因自闭症谱系障碍而导致的损伤程度较低”。医生指出,菲茨帕特里克“在没有任何残疾的情况下顺利完成了学业,并在没有住宿的情况下就读了一段时间的社区大学”。
菲茨帕特里克的律师提交了其父母和医生的来信,称自20个月前首次被判刑以来,他一直完全遵守法庭规定。自那以后,他一直被限制在家中,没有使用过任何电子设备。 他们还表示,鉴于他曾两次试图自杀,监禁“不符合社会利益”,而且会使他处于危险之中。
菲茨帕特里克被重新判处3年监禁 本周二,康纳·菲茨帕特里克被重新判处三年有期徒刑。此外,作为重新判刑的一部分,菲茨帕特里克必须额外支付1,016,786.51美元的赔偿金。
美国司法部发布的消息称, “作为最初认罪协议的一部分,菲茨帕特里克同意交出100多个域名和十几台电子设备”,并向其中一名受害者、医疗保健提供商Nonstop Health赔偿70万美元,向每位受影响的受害者赔偿3000美元。判决文件称,菲茨帕特里克需要受到严厉的判决,“以震慑未来网络犯罪生态系统的领导者”。
美国司法部宣布重新判刑时,美国检察官埃里克·西伯特表示,菲茨帕特里克“通过出售大量被盗信息从个人隐私到商业数据等各种信息中获利”。 他说:“这些犯罪行为范围如此广泛,造成的损失难以量化,他收集的儿童性虐待材料所造成的人员伤亡更是无法估量。我们不会允许罪犯躲藏在互联网最黑暗的角落,并将使用一切法律手段将他们绳之以法。”
检察官写道:“被告的行为——即他多年来使用并随后管理在线网络犯罪论坛、他试图逃避执法侦查、他在审前违反规定且未能明确表明对他的罪行负责——凸显了对被告进行长期监督释放的必要性,以确保被告受到适当的监控并能够获得康复服务。”
代理助理检察长马修·加莱奥蒂(Matthew Galeotti)对菲茨帕特里克的重新判刑表示赞赏,他在一份声明中写道,在执法行动摧毁了BreachForums的前身RaidForums之后,菲茨帕特里克有意领导了BreachForums的创建。
FBI助理局长布雷特·莱瑟曼表示:“FBI正在不懈努力地摧毁BreachForums等犯罪市场,我们正在追捕运营这些平台的所有参与者。”
保守派激进分子查理·柯克(Charlie Kirk)令人震惊的遇刺案仍在调查中,但犹他州州长斯宾塞·考克斯(Spencer Cox)透露,调查人员越来越担心,22岁的嫌疑人泰勒·罗宾逊(Tyler Robinson)可能是在暗网里被极端主义所影响,在访问暗网后被极端化。
查理·柯克惨遭暗杀后,唐纳德·特朗普父子将袭击归咎于“激进左翼”——CNN的凯特兰·柯林斯强烈驳斥了这一说法。柯林斯在电视直播中强调,双方都存在政治暴力,并警告不要利用虚假信息谋取政治利益。CNN记者玛吉·哈伯曼发表评论,质疑特朗普言论缺乏证据,并敦促各方在对枪手背景和动机的调查仍在继续之际保持谨慎。
据报道,涉嫌枪杀右翼活动家查理·柯克的22岁犹他州男子泰勒·罗宾逊拒绝配合调查。罗宾逊在历时两天的追捕后落网,目前被羁押于犹他县监狱且不得保释。尽管枪击动机尚未查明,犹他州州长斯宾塞·考克斯已指出罗宾逊与游戏圈及“暗网”存在关联。
犹他州州长斯宾塞·考克斯在接受美国全国广播公司(NBC)《会见媒体》(Meet the Press)节目采访时援引了罗宾逊家人和朋友的描述:“他显然持有左翼思想。” 他还在美国有线电视新闻网(CNN)的《国情咨文》(State of the Union)节目中补充道:“这些信息来自他周围的人、他的家人和朋友。” 州长表示,罗宾逊“拒绝配合”调查人员,但朋友们形容他越来越沉迷于“暗网”。
“这件事似乎是在他搬回犹他州南部之后发生的,”考克斯说。“显然,当时有很多人在玩梗……就像我们当今社会正在发生的模因化一样。” 调查人员还在子弹壳上发现了与网络模因文化相关的铭文,这些铭文含义隐晦,甚至考克斯也承认自己“根本不知道这些铭文的含义”。
案发现场发现的弹壳刻有反法西斯的嘲讽言论和网络模因风格的口号以及暗示游戏亚文化的各类信息,其中一个弹壳上写着:“嘿,法西斯!抓我!”,还有一个写着“注意到凸起,呜呜呜这是什么”可关联到以动物化身角色扮演著称的兽人社群。
另一条信息“嘿,法西斯!接招!↑→↓↓↓”包含箭头符号,对应游戏《地狱潜者2》中玩家扮演法西斯势力打击敌军时投放炸弹的操作指令。
其中一枚弹壳刻着“嗨,再见,再见,再见,再见,再见!”,这句源自意大利反墨索里尼抗议歌曲的歌词,同样出现在射击游戏《孤岛惊魂6》中。另一枚则带有恐同歧视:“看到这句你就是基佬哈哈”。
考克斯详细描述了罗宾逊如何花费大量时间玩游戏和探索一些鲜为人知的网络空间,包括Reddit和其他塑造他世界观的神秘暗网论坛。这位州长警告称,由模因驱动的极端主义在年轻人中的影响日益增强。
考克斯证实,罗宾逊的伴侣——一位跨性别女性——一直在配合警方调查。尽管一些政界人士推测柯克的反跨性别观点可能是导致罗宾逊事件的原因之一,但调查人员尚未透露这是否与此相关。
法庭记录显示,罗宾逊在犹他州圣乔治长大,成绩优异。他曾获得奖学金就读犹他州立大学,但一个学期后就辍学,后来进入一所技术学院学习。社交媒体上的帖子将他描绘成一个充满活力的家庭,喜欢户外活动和旅行,还附有年轻时罗宾逊手持枪支的照片。
尽管提供了这些细节,考克斯坚称自己并非想从政治上捞好处。“我跟这场斗争真的没有任何关系。如果对方是个激进的‘让美国再次伟大’(MAGA)人士,我也会这么说。”
罗宾逊因涉嫌加重谋杀被捕,本周首次出庭时将面临正式指控。与此同时,悼念柯克的人们纷至沓来,美国转折点组织计划在亚利桑那州州立农场体育场举行追悼会。他的遗孀埃里卡·柯克承诺将继承已故丈夫的事业,并宣称:“我丈夫创立的运动永不消亡。”
尽管Tor等匿名技术为警方执法带来了严峻挑战,但通过技术创新和跨国协作,美国在追踪和起诉暗网犯罪方面取得了显著成果。这些行动不仅救助了受害者,并对潜在犯罪分子形成了威慑。8月份,美国司法部关闭了一个拥有12万名成员和数百万个文件的暗网儿童色情网站,本月,美国执法部门取得多个战果,打击了一个暗网儿童色情团伙,抓获了一个利用暗网从事犯罪的医生。
美国国土安全部在暗网上发现儿童色情团伙 美国国土安全部向当地政府发出警报,其发现了一个以儿童色情制品形式贩卖人口的团伙。周一上午的新闻发布会上,总检察长办公室主任拉西尔·洛佩斯·萨拉萨尔(Raciel López Salazar)宣布解救了一名16岁少女。
据洛佩斯·萨拉萨尔称,这名女孩是从普拉亚德尔卡曼市中心普拉亚卡住宅区的一所房屋中被救出的。她是人口贩卖团伙贩卖的一个受害者,该人口贩卖团伙的内部人员正在制作涉及她的色情材料。
洛佩兹·萨拉萨尔表示,美国国土安全部调查专员在暗网上发现了这些材料,并通知了他们。经过自行调查,他们追踪到这些材料的制作地址位于普拉亚卡(Playacar)住宅区一处住宅。未成年受害者的亲属确认了她的身份。当局搜查了房屋,带走了这名少女,并没收了电子设备。
洛佩斯·萨拉查周一表示:“发现的证据表明,这是一起跨国人口贩卖案件,未成年人面临迫在眉睫的危险。”该住所也得到了联邦教育与培训部(FGE)的保护。洛佩斯·萨拉萨尔表示,他们正在与国际机构密切合作,继续调查,追踪这些材料的流向并找到责任人。他没有透露可能还有多少青少年参与其中。
密歇根州一名医生因圣露西港警方侦探的暗网行动而被捕 据佛罗里达州圣露西港当局表示,密歇根州一名家庭医生在圣露西港被一名侦探发现试图安排与一名虚构的5岁儿童发生性关系后面临引渡。
圣露西港警察局(PSLPD)表示,此案始于一名侦探发现了与加密信息和暗网论坛相关的令人震惊的在线活动。这名卧底侦探于6月份展开调查,当时嫌疑人、来自密歇根州的威廉·J·默多克(William J. Murdoch)医生开始与一名自称“妈妈”的侦探在暗网上聊天。
圣露西港警方称,一名侦探在秘密行动中扮演一名年轻女孩的母亲,一名男子开始与她进行网上聊天,“看她是否愿意允许他追求她5岁的女儿并与其发生性关系”。
据称,默多克之所以寻求与这位“妈妈”建立关系,是因为他想看看她是否会允许她虚构的5岁孩子与他发生性关系。
侦探们表示,在调查过程中,默多克发送了一些“令人反胃”的信息,详细说明了他想对这个5岁孩子做什么。
对默多克的iCloud和消息账户进行法医调查发现了令人不安的暗网搜索,包括有关怀孕、足月堕胎以及故意使用药物和酒精导致出生缺陷的对话。
圣露西港警察局表示,警方立即向他发出了逮捕令,理由是他引诱父母同意与儿童进行性行为。随后美国法警在默多克就职的ProMedica Monroe Regional Hospital将其逮捕。此次逮捕导致默多克医生的住院特权被立即暂停,并终止了所有涉及该医生的活动。
默多克目前面临以猥亵通讯为由,意图引诱父母或监护人与儿童发生性接触的指控。他目前被关押在密歇根州门罗县监狱,等待被引渡至佛罗里达州,预计引渡过程最多需要18天。引渡后,他将被关押在圣露西县监狱接受指控。
据圣露西港警方称,当地一个打击儿童网络犯罪的部门一直在与数字取证专家合作,努力“监控暗网并保护我们的社区免受掠食者的侵害”。
美国司法部宣布,在一次国际执法行动中,美国新墨西哥州检察官办公室和联邦调查局阿尔伯克基外地办事处与荷兰警方共同捣毁了VerifTools市场,查获了多个向全球网络犯罪分子提供伪造身份证件的在线平台。
此次行动捣毁的“VerifTools”非法市场,是一个向世界各地的网络犯罪分子兜售伪造身份证件的大型地下市场,该市场负责制作和分发假驾照、护照和其他形式的身份证明,旨在规避验证系统并促进未经授权的账户接管,以绕过KYC检查并获得对在线账户进行未经授权的访问。
目前,VerifTools市场的两个明网域名(verif[.]tools和veriftools[.]net)和一个博客已被关闭,网站访问者被重定向至一个醒目的扣押页面,页面显示这是由美国联邦调查局根据美国地方法院签发的搜查令采取的扣押行动,托管VerifTools网站的服务器已经在荷兰阿姆斯特丹被查封,但尚不清楚该市场的管理员是谁。
虽然2个域名被扣押,但“暗网下/AWX”发现,几个小时后,新的域名就重新启动了。VerifTools背后的运营者于2025年8月28日发布Telegram公告,宣称他们已经在域名“veriftools[.]com”上重新启动了该服务,Whois信息显示该域名于2018年12月10日创建。
FBI取缔暗网市场VerifTools 美国联邦调查局(FBI)在发现了一起利用被盗个人身份信息(PII)未经授权访问加密货币账户和在区块链上进行非法转账的阴谋后,于2022年8月启动了“铁印行动”(Operation Iron Seal),对此展开了调查。
调查发现,VerifTools为美国所有50个州和多个外国司法管辖区提供高质量的伪造的数字和实体身份证件,并通过隐私增强钱包接受比特币(BTC)和门罗币(XMR)付款。通过使用加密货币混币服务和基于Tor的隐藏服务,VerifTools背后的运营商掩盖了交易轨迹和服务器位置。
该市场上每份文件的价格低至9美元,交易完全以加密货币进行,以逃避传统银行的审查。随后,联邦调查局探员在VerifTools平台测试交易,购买了伪造的新墨西哥州驾驶执照(每张证件仅售9美元),通过分析与这些购买相关的区块链记录,调查人员追踪到流经市场的约640万美元的非法收益,然后获取并验证了VerifTools的后端源代码。
FBI分析师部署了标准的DNS sinkholing技术,将VerifTools的顶级域名(TLD)重定向到政府控制的服务器,从而有效地中和了这些网站并保留了证据。
该暗网市场犯罪活动的范围之广以及伪造技术的复杂性对金融机构、在线服务和政府机构采用的身份验证协议构成了重大威胁。
“互联网不是犯罪分子的避难所。如果你制造或销售让犯罪分子冒充受害者的工具,你就参与了犯罪活动,”美国代理检察官瑞安·埃里森(Ryan Ellison)表示,“我们将使用一切合法手段,扰乱你的生意,夺走你的利润,并将你绳之以法。”没有任何一项行动比我们共同的努力更大。”
国际联合执法合作的又一次成功案例 VerifTools的取缔凸显了跨机构和国际合作的关键作用。美国司法部国际事务办公室与美国弗吉尼亚东区的检察官和调查人员合作,协调跨司法管辖区的法律行动。荷兰国家警察局和荷兰检察机关等国际合作伙伴提供了关键证据和执法援助。
荷兰国家警察局在一份联合声明中称,VerifTools是最大的虚假身份证件提供商之一。除了两台物理服务器外,执法部门还查获了超过21台虚拟服务器。
官员们还指出,该网站服务器上的整个基础设施都已被保护并复制,以供后续分析。在荷兰,伪造、提供虚假身份证明以及使用伪造支付工具最高可判处六年监禁。
“许多公司和机构使用所谓的‘了解你的客户’(KYC)验证,通常只需要身份证件照片即可。使用VerifTools,就可以绕过KYC控制,”荷兰警方表示。“犯罪分子热衷于使用VerifTools之类的平台,因为他们可以利用创建的文件进行欺诈,例如银行服务台欺诈和网络钓鱼。”
美国联邦调查局阿尔伯克基分部代理特别探员菲利普·拉塞尔(Philip Russell)强调了公共安全的影响:“取缔这个市场是保护公众免受欺诈和身份盗窃犯罪侵害的重要一步。我们将与合作伙伴一起,继续瞄准并摧毁犯罪分子所依赖的平台,无论他们在哪里运营。”
美国代理检察官瑞安·埃里森(Ryan Ellison)和代理特别探员菲利普·拉塞尔(Philip Russell)于2025年8月28日正式宣布扣押行动。
PayPal被认为是全球最受欢迎的在线支付方式之一,PayPal的安全性、易用性和买家保护功能使其成为许多人在线支付的标配。然而现在发生的一起事件令人担忧:一份据称包含近1600万PayPal用户登录凭证(包括登录电子邮件地址和密码)的数据集出现在暗网论坛上,引发广泛恐慌。
尽管黑客声称这批数据于2025年5月被盗,但PayPal予以否认,声称这些数据来自2022年的一次事件,而非新的数据泄露。然而,安全专家警告PayPal用户,鉴于凭证被盗和网络钓鱼的风险,应迅速采取行动,重置密码并启用多因素身份验证。
涉嫌泄露1580万条用户登录凭证引发全球关注 8月16日,在一个暗网论坛上,一个名为“Chucky_BF”的用户发布了一篇名为“2025年全球PayPal凭证转储”的帖子,提出了以750欧元的价格出售一个包含1580万PayPal用户的登录凭证数据包。该数据包大小约为1.1GB,根据他的描述,不仅包含电子邮件地址,还包含纯文本明文密码。此外,数据包中还包含可与登录凭据一起使用的URL链接。据称,这些数据源自2025年5月6日的一次泄露。初步分析显示,这些数据集包含真实账户、测试账户和虚假账户。这种混合数据在被盗数据中并不少见,因此很难立即评估泄露的真实程度。
有证据表明,这些数据并非由PayPal直接窃取。更有可能的是,网络犯罪分子使用了所谓的信息窃取恶意软件。该恶意软件安装在受感染的设备上,并读取登录凭证和其他信息。这可能导致数百万PayPal登录凭证通过用户自己的计算机被盗用。
交易被盗凭证可能会造成严重后果,这些内容可能被用于凭证填充攻击,攻击者可能会进行未经授权的提款、滥用账户进行网络钓鱼活动,或利用被盗数据进行身份盗窃。虽然这1580万条记录可能并非全部真实,但即使是其中一小部分也足以造成重大损失。
PayPal否认发生新的数据泄露事件 PayPal否认了数据泄露事件,其认为这些数据可能来自2022年发生的一起数据泄露事件。2022年的那次数据泄露事件导致3.5万个PayPal账户暴露,包括姓名、地址、税务识别号和社会安全号码。2025年初,这家硅谷科技巨头因网络安全漏洞导致数据泄露,被判处200万美元民事罚款。
网络安全分析师表示,他们不认为这次事件是PayPal本身遭遇了数据泄露,该数据集可能是通过“信息窃取者”恶意软件汇编而成的。这类恶意软件能够从受感染的设备窃取密码、Cookie和敏感数据。部分变种被设计为在数据泄露后自我删除,这使得检测和溯源变得困难。这就可以解释为什么数据集结构与已知的信息窃取日志相匹配。
此外,这些数据正在以低价出售,这表明凭证并非来自新的泄露。但网络安全专家指出,无论数据集是否新鲜,网络钓鱼活动和身份盗窃企图都可能增加。“即使旧的被盗凭证对网络犯罪分子来说仍然非常有价值,”一位分析师警告说。
PayPal公司对新一轮数据泄露事件的否认并不能完全消除客户的担忧,尤其是考虑到数据规模如此之大。安全研究人员认为,即使这些数据是旧有的,在暗网论坛上出售也可能引发一波针对性的网络钓鱼、凭证填充攻击和欺诈行为。
建议PayPal用户立即采取安全措施 目前,对于PayPal用户来说,最安全的做法是保持警惕:更新凭证、加强防御,并假设网络犯罪分子已经试图利用任何可用数据。为了减轻潜在风险,一些措施被认为尤为重要:
立即重置PayPal密码,使用字母、数字和特殊字符的强组合; 定期检查PayPal账户交易明细,及时发现未经授权的消费; 启用多因素身份验证并使用密码管理器进行唯一登录。 更改密码、使用双重身份验证并密切关注账户活动的用户,可以显著降低风险。PayPal本身仍然是一家安全可靠的支付服务平台。然而,此次事件表明,在线账户的安全始终取决于用户行为。保持警惕才是最重要的保障。
稍早前,“暗网下/AWX”曾报道,暗网勒索软件团伙BlackSuit的暗网网站在国际联合执法行动中被查封,这次名为“Operation Checkmate”的执法行动是由美国司法部、联邦调查局(FBI)、美国外国资产控制办公室(OFAC)、欧洲刑警组织(Europol)、英国国家打击犯罪局以及加拿大、德国、乌克兰、立陶宛、爱尔兰和法国的执法机构联合开展的,并得到了网络安全公司Bitdefender的支持。
昨天,美国司法部透露,他们除了捣毁了BlackSuit勒索软件团伙的服务器、域名和暗网勒索网站,还缴获了价值超过一百万美元的加密货币。此举挫败了该勒索软件团伙从美国公司勒索超过3.7亿美元的计划,标志着网络犯罪分子逍遥法外的局面正在逐渐消退。
根据美国司法部2025年8月12日的新闻稿,美国司法部宣布查获了与臭名昭著的BlackSuit勒索软件团伙相关的超过100万美元的加密货币,对网络犯罪网络进行了一次重大打击。此次行动是更广泛的国际行动的一部分,旨在摧毁该勒索软件团伙用于在美国关键行业勒索受害者的关键基础设施。世界各地的执法机构(包括美国、英国、加拿大、德国、爱尔兰和法国)于7月24日联合行动,缴获的资产包括价值1,091,453美元的数字资产、四台服务器和九个域名,有效削弱了该勒索软件团伙的运营和洗钱能力。
BlackSuit勒索软件团伙勒索了超过5亿美元的赎金 根据“暗网下/AWX”所解释的那样,BlackSuit犯罪组织于2023年5月首次出现,与对美国医疗保健发起攻击的Royal勒索软件团伙有着密切的联系,而Royal团伙就是臭名昭著的俄罗斯Conti勒索软件团伙的另辟的分支。仅在美国,BlackSuit勒索软件团伙就攻击了450多名已知受害者,这些受害者来自政府部门、公共安全、医疗保健、制造业、建筑业、能源、教育等领域。
去年, CISA和FBI联合发布警告称,BlackSuit勒索软件团伙在不到两年的时间内向受害者勒索了超过5亿美元的赎金,该团伙对入侵的系统进行加密,并威胁称若不付款,就会将文件发布到暗网上。BlackSuit勒索软件攻击通常要求受害者支付约一百万至一千万美元的赎金,并以比特币支付。已知最大的一笔个人赎金要求高达令人咋舌的6000万美元。
多国联手共同参与了此次打击勒索软件的行动 此次行动被称为“Checkmate行动”,由美国联邦调查局(FBI)、国土安全调查局(HSI)、美国特勤局(US Secret Service)、美国国税局(IRS)刑事调查局以及来自英国、德国、爱尔兰、法国、加拿大、乌克兰和立陶宛的国际合作伙伴共同参与。2025年7月24日,当局实施了此次行动,查封了托管勒索网站和通讯渠道的服务器。此举不仅阻止了正在进行的攻击,还阻止了该团伙迅速重建。
业内人士指出,BlackSuit 的模式严重依赖关联方——即部署勒索软件以赚取一定利润的独立黑客。通过扣押加密货币收益(通常以比特币支付),执法部门打破了这种经济诱因。根据Cybernews分析报告,该组织的全部勒索行为估计已从 450 多家美国公司勒索了超过 3.7 亿美元。
区块链取证在追踪非法资金中发挥关键作用 此次缉获行动的一个关键要素是使用了先进的区块链追踪工具,使调查人员能够通过复杂的数字钱包追踪赎金的流向。美国司法部在新闻稿中分享了如何查获勒索软件受害者勒索的价值1,091,453美元的加密货币的一些细节。
报告解释称,2023年4月4日左右,一名受害者的数据遭到勒索软件攻击加密,并支付了49.3120227比特币(BTC)。交易时,这些比特币价值1,445,454.86美元。美国司法部称,这笔款项的一部分(1,091,453美元)被反复存入和提取到一个加密货币交易所账户,直到2024年1月该交易所冻结了这笔资金。
对于受害者来说,对勒索软件的查封只解决了第一步,但全面获得赔偿仍然任重道远充满挑战。而Bitdefender的专家也补充称,虽然查封勒索软件会切断直接的收入来源,但勒索软件团伙往往会以新的名字重新出现,因此需要持续保持警惕。
7月23日,美国司法部公布了“灰骷髅行动”(Operation Grayskull)的成果。这是司法部与联邦调查局(FBI)联合开展的一项卓有成效的行动,成功捣毁了四个专门发布儿童性虐待内容(CSAM)图片和视频的暗网。迄今为止,该行动已使18名罪犯被定罪,其中包括一名明尼苏达州男子,他因参与其中一个暗网活动,昨天被判处250个月监禁,并终身接受监督释放。他还被责令支付2.3万美元的赔偿金。
司法部刑事司代理助理检察长马修·加莱蒂(Matthew Galeotti)表示:“今天的声明向那些剥削和虐待儿童的人发出了明确的警告:即使在暗网上,你也找不到安全的避风港。这些罪犯以为他们可以逍遥法外,但他们错了。感谢我们检察官和执法伙伴的不懈努力,我们揭露了这些犯罪者的真面目,摧毁了他们的网站,并为无数受害者伸张了正义。”
“此次行动是迄今为止针对网络儿童剥削网络最重大的打击之一,”联邦调查局局长卡什·帕特尔(Kash Patel)表示。“我们不仅摧毁了暗网上的危险平台,还将主要犯罪者绳之以法,并发出了一个强有力的信息:你不能躲在匿名的背后伤害儿童。”
威廉·斯皮尔曼(William Spearman)的住宅位于阿拉巴马州麦迪逊市的一个安静的郊区,当联邦调查局(FBI)探员于2022年11月抵达其住房门外时,他已做好应对执法机构突袭危险的准备。这份搜查令对联邦调查局至关重要,甚至由FBI局长亲自批准。当探员们用战术炸药破门而入时,斯皮尔曼拒捕并进行反抗,与探员们扭打在一起,而他手中的三把手枪相当危险,最终联邦调查局成功将斯皮尔曼戴上手铐并逮捕,这是一次高价值逮捕行动,司法部一位高级官员称其为“此类案件中最成功的起诉之一”。
斯皮尔曼绰号“老板”(Boss),被司法部列为“全球最主要的”儿童性虐待材料(CSAM)传播者之一。他是一个暗网儿童色情网站的管理员,于2022年被捕,一年后认罪,最终被判处终身监禁,这是对一个庞大的儿童虐待网络进行前所未有的打击行动的一部分。
斯皮尔曼是至少18名因领导并利用暗网分享数十万张非法性剥削儿童图像而被定罪的人之一。司法部将此次调查和起诉行动命名为“灰骷髅行动”(Operation Grayskull);该行动协助实现了上述逮捕,并关闭了四个流量巨大的暗网网站,这些网站曾用于交易和存储暴力、骇人听闻的儿童性虐待图像。
“灰骷髅行动”(Operation Grayskull)调查于2020年启动,当时执法部门发现一个涉嫌托管儿童色情内容的暗网网站流量激增。据FBI官员透露,该暗网儿童色情网站最终吸引了超过12万名成员,拥有数百万个非法文件,且单日访问量至少达10万次。
“即使对检察官来说,也很难理解这种现象的普遍程度,”司法部刑事司司长马修·加莱蒂(Matthew Galeotti)表示,“因为这种行为发生在暗网上,人们并不知情。这非常令人担忧。”
斯皮尔曼的案件与“灰骷髅行动”揭露的许多其他案件有相似之处。斯皮尔曼被指控协助管理一个拥有数千名用户和成员的暗网网站。提交给法院的量刑备忘录称,他试图拒捕并抵抗FBI而不是投降“不足为奇”。
“他办公桌上的设备中含有大量证据,证明他是网站A的主要管理员,”量刑备忘录写道,“毫不奇怪,被告的设备中还包含大量描绘儿童遭强奸和虐待的图像和视频。”
塞尔温·罗森斯坦(Selwyn Rosenstein)于2022年因运营一个发布非法淫秽图像的暗网网站被判处28年监禁。检察官表示,该平台“不仅仅是一个暗网网站,而是一个由恋童癖者和(性虐待材料)爱好者组成的庞大活跃社区。而该平台的存在部分源于被告的犯罪行为。”
根据美国司法部的调查,罗森斯坦拥有如此大量的非法淫秽图像,以至于他需要将部分内容存储在用于经营业务的服务器上。
上周,加莱蒂在华盛顿司法部总部二楼的会议室接受采访时表示,这些暗网儿童虐待网站的成员通常通过支付费用、协助管理网站或提供儿童虐待图像及材料来“获得”会员资格。
加莱蒂表示:“我们幸运地拥有专门处理此类案件的非常专业的检察官和特工。这些人对技术有更深入的理解。” 他补充说,“本案的被告,尽管他们可能非常残忍,但他们相当精明,他们利用加密技术。”
“灰骷髅行动”还成功起诉了北卡罗来纳州罗利市的马修·加雷尔(Matthew Garrell),他因运营一个传播性虐待材料的暗网网站被判处20年监禁。
“加雷尔参与了一起极其复杂且技术含量极高的阴谋,其严重程度远超典型儿童性剥削犯罪,”检察官表示。他们在法庭文件中指出,加雷尔持有“掠食者手册”,其中包含“详细指示”用于对儿童进行诱骗以备未来实施虐待。
该暗网网站的领导负责宣传和分发CSAM、颁布网站规则、通过禁止或斥责违反规则的用户来执行规则、召开员工会议、招募成员担任工作人员、推荐用户晋升、编辑和删除用户帖子、表彰参与网站和为网站做出贡献的个人、记录个人成员发表的CSAM帖子、支付和维护网站服务器等。
“灰骷髅行动”共捣毁了四个专门发布儿童性虐待图片和视频的暗网网站。这些网站是暗网上最恶劣的网站之一,其中包括专门针对婴幼儿的版块,以及暴力、虐待和酷刑的描述。这些网站还提供了关于如何避免被执法部门发现的详细建议——例如,使用先进的技术。
此次对暗网网站领导者和用户的打击行动还包括对来自弗吉尼亚州、马里兰州、印第安纳州、得克萨斯州、华盛顿州、阿肯色州、密歇根州和俄克拉荷马州的犯罪分子的定罪。
“他们是拥有领导角色、规则和共同目标的数十万人的在线社区的一部分,”联邦调查局代理副局长克里斯·德尔佐托(Chris Delzotto)表示。德尔佐托透露称:“很少有人会预料到(儿童性虐待材料)会以今天这种方式渗透互联网。”
联邦调查局在揭露并关闭首个暗网网站的调查中,还导致另外三个暗网网站被关闭。联邦调查局部门主管阿比盖尔·贝卡西奥(Abbigail Beccaccio)表示:“运营其中一个网站的领导团队也运营了其他几个网站。”
美国司法部将这些暗网网站的关闭视为一项胜利,旨在遏制未来虐待行为或非法图像的制作。“这是有史以来最成功的行动之一,”加莱蒂表示。“我们摧毁了四个暗网网站,且这些暗网网站并未重新出现。”
本案是“安全童年计划”的一部分。该计划由美国司法部于2006年5月发起,是一项全国性倡议,旨在打击日益猖獗的儿童性剥削和虐待现象。“安全童年计划”由美国检察官办公室和首席执行官办公室牵头,调动联邦、州和地方资源,以更好地定位、逮捕和起诉通过互联网剥削儿童的个人,并识别和解救受害者。欲了解更多关于“安全童年计划”的信息,可以访问www.justice.gov/psc。
制作、传播或讨论儿童性虐待材料(CSAM)通常通过暗网进行,CSAM的创建者会使用各种技术来隐藏其活动,以躲避执法机构的侦查。暗网上大量的CSAM构成了一个全球性社会问题,给各国执法机构带来了重大挑战,美国、新加坡等国正严厉打击CSAM相关犯罪。
FBI突袭韦恩堡一男子住宅,该男子因暗网儿童色情被捕 美国印第安纳州韦恩堡(WANE)一名男子因在暗网上发布和传播儿童色情内容而面临联邦指控。
根据提交给美国地方法院的一份可决原因宣誓书,联邦调查局于1月份收到信息,称有人使用一个已知用于宣传和传播儿童色情内容的暗网网站。调查人员确定,此人自2020年12月起一直是该暗网网站的注册会员,并发布了40多条包含儿童色情内容的帖子。
联邦调查局获得了足够的信息,获得了搜查令,可以搜查该嫌疑人在韦恩堡居住的一处住宅。6月12日,联邦调查局对该住宅进行了突袭,发现并缴获了多台电脑和电子设备。
在突袭行动中,这名被确认为布莱恩·戴维斯的人在放弃米兰达(Miranda)权利后接受了讯问。根据可能的案由宣誓书,戴维斯承认他在Tor网络上有一个账户,并且在家中的一台电脑和一个单独的硬盘上存有儿童色情内容。戴维斯随后被拘留。
新加坡一男子因持有超过300部儿童色情视频和照片被判监禁并受鞭刑 6月19日,新加坡一名男子因被发现持有178段儿童色情视频和153张静态图片,被判处一年零九个月监禁,并处以两下鞭刑。今年26岁的Gan Qi Xuan此前曾从暗网下载过此类内容,然后在个人电子设备和在线平台上对其收藏进行分类。
法庭文件没有透露Gan的罪行是如何被曝光的,但他在2023年8月的一次住所突袭中被捕。“暗网下/AWX”曾报道,2024年8月19日,Gan曾承认一项持有儿童色情制品的罪名。
在早些时候的诉讼中,副检察官KohYiWen告诉法庭,Gan在2015年左右了解了暗网,并在其中找到了一个儿童色情论坛。由于担心病毒,他第一次访问时没有下载任何东西。但大约三个月后,好奇心战胜了他,他从暗网下载了视频和图片,其中包括虐待儿童的内容。
不久之后,Gan开始定期访问暗网下载色情材料,其中包括涉及儿童的材料。他会查看下载的视频和图像,然后将它们分类到笔记本电脑上的不同文件夹中。当设备存储空间不足时,他将所有资料转移到他的Google Drive帐户。
他的笔记本电脑于2021年中期出现故障,同年晚些时候他又用另一台设备更换了它。在此期间,Gan还创建了一个云存储帐户来存储他的色情材料,因为该平台比Google Drive提供了更多的免费存储空间。
辩护律师张志基(Teo Choo Kee)于6月19日在法庭上表示,Gan已失去大学的学业,但未透露具体细节。张先生还表示,他的当事人在2021年之前就已经停止观看此类虐待儿童材料,但被捕时仍持有包含这些材料的文件。法庭获悉,Gan某对自己的所作所为也极为悔恨。
美国特勤局正在积极打击涉及信用卡、洗钱、加密货币诈骗或身份盗窃行动的金融欺诈。周三,在美国和荷兰当局领导的执法行动中,执法部门查封了BidenCash的多个域名,这是一个臭名昭著的暗网市场,专门窃取信用卡、个人信息和SSH访问权限,贩卖了超过1500万张被盗信用卡。
BidenCash是一个老牌非法信用卡商店 BidenCash是一个因出售泄露的信用卡信息而臭名昭著的老牌非法信用卡商店,自2022年3月推出以来,获得了巨大的关注。
在地下暗网中,非法信用卡商店已经存在二十多年了。最初,信用卡数据通常是通过PoS恶意软件大量收集的,这些恶意软件会从销售点(PoS)终端的内存中窃取暂时未加密的信用卡数据。后来,有人使用网络盗刷器窃取了信用卡信息,网络盗刷器是一种植入在线商店的恶意软件,用于在结账时收集顾客的付款详细信息。
BidenCash盗用了美国前总统拜登(Biden)的名字和形象,于2022年3月开始运营,主要用于出售被盗的信用卡号、泄露的凭证和个人信息,旨在填补大约一年前Joker’s Stash信用卡市场关闭以及俄罗斯当局查封包括Forum、TrumpDumps和UniCC在内的多家非法信用卡商店后留下的空白。
从一开始成立,BidenCash的管理员就试图吸引人们的注意力,不仅通过其设置的商店名称BidenCash,还通过泄露大量信用卡信息来吸引关注。
他们从2022年6月的一次小规模数据库泄露事件开始,该数据库包含数百万个电子邮件地址,但仅包含6600张信用卡信息。在2022年10月,BidenCash继续泄露了120万张信用卡,以推广其服务,其中大多数信用卡来自美国,有效期在2023年至2026年之间,覆盖地域范围广泛。2023年,该暗网市场又泄露了两个数据库,累计统计了超过400万张信用卡。
虽然BidenCash主要贩卖被盗信用卡数据,但它也提供被盗登录凭证,这些凭证可能允许远程访问服务器,从而可能引发更广泛的网络攻击。据网络安全公司SOCRadar称,其中包括批量出售的SSH凭证,另外,BidenCash还为客户提供自动购买工具和忠诚度系统等功能。
据报道,BidenCash背后的管理团队对其产品非常有信心,甚至推出了一项买家保护计划,对网站上出售已使用或无法使用信息的卖家进行惩罚。
SOCRadar今年早些时候在博客中写道:“拜登现金通过这些功能扩大了网络犯罪的规模和效率,使其成为对组织和个人的重大威胁。它在暗网生态系统中的角色凸显了此类平台在打击数字欺诈和盗窃方面所面临的挑战。”
BidenCash暗网域名被重定向至扣押域名 据称,近145个与BidenCash网络犯罪市场相关的暗网和明网域名被关闭。该非法商店在暗网上的域名现已重定向至美国特勤局设置的域名,该域名专门用于查封涉及非法活动的网站,其中,该信用卡交易市场在明网中的.asia后缀顶级域名也重定向到了特勤局的usssdomainseizure.com域名。
跳转后的官方查封域名显示的横幅告知访问者,作为美国特勤局(USSS)和联邦调查局领导的国际行动的一部分,美国执法部门已查封BidenCash域名。该扣押横幅展示了带有美国司法部、联邦调查局、美国特勤局和荷兰高科技犯罪部门的徽章。
此次行动得到了荷兰国家警察局(Politie)、非营利性安全组织ShadowServer基金会以及实时攻击面可视性公司Searchlight Cyber的支持。
美国司法部发布的一份新闻稿称,此次行动在明网和暗网上查获了与BidenCash市场相关的约145个域名,美国当局还没收了与BidenCash非法交易相关的加密货币资金,但未披露其价值。
据报道,在运营期间,BidenCash管理员对网站上进行的每笔交易都收取费用”,同时允许用户购买被盗的财务和个人信息,包括受感染服务器的访问凭据。
美国司法部(DOJ)表示,该非法暗网市场在鼎盛时期拥有超过11.7万名客户,并通过出售约1500万个支付卡号和大量个人信息,获得了1700万美元的收入。
美国司法部在一份声明中表示:“2022年10月至2023年2月期间,BidenCash市场免费公布了330万张被盗的个人信用卡,以推广其服务的使用。”
这些记录包含了犯罪分子进行欺诈性付款所需的一切信息。声明称:“被盗数据包括信用卡号、有效期、卡验证值(CVV)号码、账户持有人姓名、地址、电子邮件地址和电话号码。”
此次打击行动是在全球执法机构开展“猛禽行动”等行动之后开展的,就在上个月,“猛禽行动”在10个国家/地区逮捕了270人,并缴获了价值2亿美元的加密货币和现金,并摧毁了多个暗网贩毒平台。
不过周三下午,多个BidenCash的域名已恢复在线访问。司法部和联邦调查局尚未回应关于此次行动中是否有人被捕的置评请求。