“暗网下/AWX”监测发现,近期,据称有俄罗斯政府背景的勒索软件团伙十分高产,继上周新增15名受害者后,LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者,而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统,导致数百万美国人的敏感医疗和健康信息被盗。
LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地,其中包括总部位于英国的Zaun(生产金属栅栏)、位于迪拜的DIFC法院(负责处理商业和一些民事纠纷)以及两家律师事务所:总部位于曼谷的Siam Premier和瑞典的Luterkort,后者自称是马尔默历史最悠久的律师事务所。
Zaun Limited(英国) Roxcel Trading(奥地利) St Mary’s School(南非) MEAF Machines(奥地利) Max Rappenglitz(德国) Siam Premier(泰国) Luterkort Advokatbyrå(瑞典) Majan(阿联酋) DIFC Courts(阿联酋) LockBit #ransomware group has added 8 victims to their #darkweb portal:
– Zaun Limited🇬🇧
– Roxcel Trading 🇦🇹
– St Mary's School 🇿🇦
– MEAF Machines 🇦🇹
– Max Rappenglitz 🇩🇪
– Siam Premier 🇹🇭
– Luterkort Advokatbyrå 🇸🇪
– Majan 🇦🇪
– DIFC Courts 🇦🇪#DeepWeb #CybeRisk #CTI pic.
近期,西方执法部门加大了针对匿名托管服务、DDoS攻击服务等网络犯罪源头的打击力度。“暗网下/AWX”注意到,多家存在了许久的大型网站或者平台服务已经被国际执法合作摧毁。
美国当局取缔防弹托管提供商Lolek Hosted 著名的防弹(bulletproof)托管平台Lolek Hosted已被美国和波兰警方关闭,以限制欺诈者使用支持匿名在线行为的工具。
该行动逮捕了五人,并没收了涉嫌为Netwalker勒索软件攻击和其他恶意活动提供便利的服务器。此次行动是美国当局在过去几年中积极努力阻止防弹托管服务运营的结果,这些努力基本上取得了成功,其中包括对这些平台的重要运营商判入狱等重大成功。
Lolek将自己宣传为“100% 隐私托管”服务,并实行无日志政策,这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。
Lolek平台为黑客提供了匿名性,并经常用于恶意活动,例如恶意软件分发和协助网络攻击。
联邦调查局和美国国税局早在周二就在Hosted网站(lolekhosted[.]net)上展示了一条扣押横幅。
横幅上写着:“该域名已被联邦调查局和国税局刑事调查局扣押,作为针对Lolek Hosted采取的协调执法行动的一部分。”
Lolek Hosted的历史 自2009年以来,Lolek Hosted是一家知名的防弹托管服务商,总部位于英国,数据中心位于欧洲。Lolek是暗网上的一个热门供应商,在有关匿名托管服务的报道中经常提到该网站。
该服务将自己定位为臭名昭著的CyberBunker服务的竞争对手,后者已于2019年关闭。
虽然承诺保护客户的身份安全,但该防弹托管提供商却对用户发布的内容视而不见。
这些企业因向犯罪分子出租IP地址、服务器和域名而臭名昭著,犯罪分子利用它们传播恶意软件、建立僵尸网络大军以及进行与欺诈和网络攻击相关的其他活动。
近年来美国当局一直在打击参与防弹托管服务的个人 近年来,美国执法部门一直致力于追查防弹托管公司的运营者,追究个人责任并处以严厉处罚。
美国司法部于今年6月判处39岁的Mihai Ionut Paunescu三年联邦监禁,罪名是他协助管理防弹托管公司PowerHost[.]ro。
爱沙尼亚30岁的帕维尔·斯塔西(Pavel Stassi)和立陶宛33岁的亚历山大·肖罗杜莫夫(Aleksandr Shorodumov)均因经营一家防弹托管公司、在2009年至2015年间协助对美国目标发动攻击而被判处两年以上监禁。
俄罗斯公民亚历山大·格里奇什金(Aleksandr Grichishkin)因创立和经营防弹托管业务而于2021年被判五年徒刑。
伊利诺伊州一名33岁的居民也因拥有和运营DDoS 促进网站DownThem.org和AmpNode.com而被判入狱,这两个网站还为用户提供防弹服务器托管。
该打击行动更多内幕被欧洲刑警组织和美国司法部公开 虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论,但欧洲刑警组织和司法部宣布查获 Lolek,并在波兰逮捕了五名管理员。
“本周,波兰中央网络犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości)在卡托维兹地区检察官办公室(Prokuratura Regionalna w Katowicach)的监督下对LolekHosted.net采取了行动,这是犯罪分子用来发动网络攻击的防弹托管服务世界各地。”欧洲刑警组织的公告中写道。
“五名管理员被捕,所有服务器被查封,LolekHosted.net网站已无法使用。”
欧洲刑警组织表示,Lolek被抓获是因为网络犯罪分子利用其服务器发起DDoS攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。
接着,美国司法部的一份公告揭示了警方行动的更多信息,该公告称,一位名叫Artur Karol Grabowski的波兰人昨天因运营LolekHosted而受到指控。
虽然尚不清楚Grabowski是否是在波兰被捕的管理员之一,但司法部表示,他允许客户使用假名注册、频繁更改服务器IP地址以及通知客户进行法律咨询,从而促进了网络犯罪。
Lolek托管服务被Netwalker勒索软件团伙使用 美国司法部还表示,Grabowski涉嫌协助现已中断的名为Netwalker的勒索软件业务,其在攻击中租用了50多次服务器,用于入侵网络并存储窃取的数据和黑客工具。
DOJ 声明中写道:“LolekHosted的客户利用其服务对包括佛罗里达州中区在内的世界各地的受害者实施了约50次NetWalker勒索软件攻击。”
“具体来说,客户利用LolekHosted的服务器作为中介,在未经授权的情况下访问受害者网络,并存储从受害者处窃取的黑客工具和数据。”
执法部门于8月8日在FBI和IRS牵头的行动中扣押了这家防弹托管提供商的服务器,欧洲刑警组织提供支持,将可用数据与欧盟境内外的各种刑事案件联系起来,并追踪加密货币交易。
Grabowski现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控,如果全部罪名成立,可能会被判处45年监禁。
Telegram中著名的DDoS频道DDoS Empire被FBI取缔 8月5日,一家名为”DDoS Empire“的大型DDoS攻击雇佣服务提供商的Telegram频道宣布,其网站与频道被联邦调查局与欧洲刑警组织的联合行动中被接管。
联邦调查局更改了该频道的名称(It was seized by the FBI and the European police force.)和形象(FBI的logo)。
近日,臭名昭著的BreachForums(又名Breached)黑客论坛的所有者康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick),更广为人知的名字是其论坛上的昵称”Pompompurin“或者Twitter昵称”Pom“,已承认犯有黑客行为和持有儿童色情制品的指控。
7月13日启封的法庭文件写道:”BreachForums是一个非法市场,其成员可以在其中招揽、出售、购买和交易被黑客入侵或被盗的数据和其他违禁品,包括被盗的接入设备、实施网络犯罪的工具、被泄露的数据库以及其他未经授权访问受害者系统的服务。“
今年3月份,菲茨帕特里克在纽约皮克斯基尔被捕期间,这位20岁的年轻人在没有法律代表的情况下向执法部门承认他被称为“Pompompurin”,并且是BreachForums的所有者。根据执法部门掌握的所有证据以及他本人的供述,“Pom”很可能会认罪,希望能减轻一些指控或量刑。
被捕五天后,另一个论坛管理员Baphomet关闭了该网站,因为怀疑联邦特工已经获得了服务器的访问权限。
在菲茨帕特里克受审当天发布的新法庭文件中,联邦调查局证实他们可以访问BreachForums的数据库。
美国执法部门于6月23日查封了BreachForums的明网域名breached.vc和被告的个人域名pompur.in。
Pompompurin Pompompurin是地下网络犯罪组织中的知名人物,该组织专注于公开泄露或出售从各公司被黑客攻击的网络中窃取的数据。
2022年RaidForums被取缔后,他创立了一个替代品BreachForums(也称为Breached),该论坛成为一个新的著名的数据泄露中心。
该论坛一度声称拥有超过34万名会员,勒索软件团伙和其他试图在网上泄露被盗数据的威胁行为者经常光顾该论坛。
被控三项罪名 菲茨帕特里克被捕时,只有一项指控:共谋实施接入设备欺诈,但有些事情并没有像预测的那样发展。经控辩双方同意,菲茨帕特里克的起诉书被推迟到5月15日,据报道,菲茨帕特里克企图自杀并被送往医院后,起诉书被进一步推迟。
2023年7月13日,法庭举行听证会,菲茨帕特里克现在被控三项罪名,分别是:
18 USC § 1029(b)(2) 和 3559(g)(1) :共谋实施访问设备欺诈; 18 USC § 1029(a)(6) 和 2 :访问设备欺诈 – 未经授权的请求访问; 18 USC § 2252(a)(4)(B) 和 (b)(2) :持有儿童色情制品。 菲茨帕特里克放弃起诉并承认所有三项罪名。同时还公布了一份事实陈述书。
起诉书称,在Pompompurin中发现了600多张包含儿童色情内容的照片和视频,其中至少有一个视频的主角是12岁以下的未成年人。法庭文件将这些令人不安的内容描述为“描述青春期前未成年人和未满12岁的未成年人从事露骨性行为的视频”。
可能的刑罚 根据菲茨帕特里克认罪的条款,欺诈和勒索罪的最高刑罚各为10年监禁,儿童色情罪最高可判处20年监禁。此外,每项指控都包括对犯罪者施加的各种赔偿。因此,菲茨帕特里克可能的最高刑罚是40年监禁,罚款75万美元,并被监督释放5年至终身监禁。
据了解,菲茨帕特里克同意的部分内容是支付赔偿金,菲茨帕特里克同意支付至少70万美元。他还将被没收认罪协议中列出的设备和他拥有的众多域名。最终判决将于2023年11月17日作出。
目前菲茨帕特里克仍逍遥法外,仍像被捕后一样,缴纳30万美元的保释金,但现在受到的限制比以前更多。他被禁止使用互联网,在自杀未遂后,他的许多计算机活动也受到限制。
近十年前,在美国联邦调查局(FBI)的协调下,一个名为“丝绸之路”(Silk Road)的庞大暗网毒品市场在一次执法行动中被摧毁,联邦调查局特工在旧金山的一家图书馆逮捕了该暗网市场的创始人罗斯·乌布利希(Ross Ulbricht),后乌布利希被判双倍终身监禁加40年徒刑,即使许多人请愿也未被保释。乌布利希的副手、该暗网市场的二号人物——一个被称为“百变·琼斯”(Variety Jones)的难以捉摸的人物——花了两年时间去追踪才在泰国逮捕。今天,在丝绸之路灭亡十年后,克拉克被判与他的前任老板一起被关进联邦监狱。
周二,在曼哈顿的一个法庭上,罗杰·托马斯·克拉克(Roger Thomas Clark)被判处20年监禁,原因是他在丝绸之路建设和运营中所扮演的角色。现年62岁的加拿大公民克拉克现在可能会在监狱中度过余生,因为他帮助开创了基于加密货币的匿名在线非法销售毒品和其他违禁品的模式,这种模式仍然存在于暗网上今天。这是克拉克根据他与检察官达成的认罪协议所面临的最高刑罚。
法官西德尼·斯坦因(Sidney Stein)在量刑声明中表示,克拉克“错误地把他认为毒品应该合法的信念变成了对犯罪集团的实质性帮助”。“这些信念转变为明显的非法行为。”
斯坦因补充说,克拉克作为乌布利希在丝绸之路运营中的“得力助手”,在工作中“头脑清醒、有意为之”。斯坦因说:“判决必须反映他所领导的大规模犯罪活动。”
克拉克在自己的声明中表示,他在丝绸之路上的工作一直是出于他的政治信念,即毒品应该合法化,他帮助促成的价值数亿美元的暗网毒品销售比在实体世界进行的毒品交易更安全。他在量刑陈述中辩称,该网站有助于减少毒品交易中的暴力行为,并且丝绸之路的评级和评论防止了可能造成更大伤害的掺假毒品的销售。
“我只是不断地向自己宣扬‘减少伤害’。这就是我晚上睡觉的方式。”克拉克站在法庭上稀少的观众面前,穿着宽松的卡其布衣服,显得消瘦而憔悴。“我既感到自豪,又感到羞愧。”
正如检察官在主张判处20年徒刑的备忘录中指出的那样,克拉克不仅仅是丝绸之路上的一名管理员。他担任该网站的安全顾问、公关顾问,甚至是该网站老板乌布利希的执行教练和朋友。乌布利希最初在市场上作为大麻种子经销商遇到了克拉克,乌布利希在日记中写道,他是“迄今为止我通过丝绸之路网站遇到的最伟大、意志最坚强的人物”。
乌布利希写道:“他为我提供了许多技术方面的建议,帮助我加快网站的运行速度,并从我目前的服务器中挤出更多的资源。”“他还帮助我更好地与丝绸之路周围的社区互动,发表声明,处理麻烦人物,进行销售,更改我的名字,制定规则,等等。他还帮助我理清了法律保护、掩护故事、设计遗嘱、寻找继任者等方面的问题。他是我真正的良师益友。”
克拉克在丝绸之路历史的关键时刻发挥了关键作用,其中包括他和乌布利希诉诸暴力的一次特别黑暗事件,这在克拉克的判决中尤为突出。克拉克在说服乌布利希相信有必要谋杀他的一名员工方面发挥了关键作用,他认为这名员工背叛了他并从市场上盗取了比特币。“我们在什么时候决定受够了某人的所作所为并解雇他?”克拉克在发现盗窃案后曾一度写信给乌布利希,记录在乌布利希被捕后从他的电脑中恢复的聊天记录中。“我们正在和严肃的人一起玩大钱,这就是他们生活的世界。”
在乌布利希同意杀死这名工作人员后,一个离奇的转折是,他的死亡是由调查丝绸之路的美国联邦特工伪造的——克拉克告诉乌布利希他做出了正确的举动。“如果你犹豫不决,我会认真地重新考虑我们的关系,”他写道。“我们正在努力坚持下去,这只是让我们明白这一点。我对这个决定感到非常满意,今晚我会睡得像羔羊一样,以后的每个晚上也是如此。”
美国助理检察官迈克尔·内夫(Michael Neff)反驳了克拉克有意“减少伤害”的说法,他指出这些言论是克拉克“完全无视人命”的证据,正如他在周二的量刑听证会上所说的那样。对于克拉克来说,“是否结束另一个人的生命的问题很简单,也没有压力,”内夫在检方的量刑声明中告诉法官。
在自己的发言中,克拉克没有对那起雇佣谋杀的谈话发表评论——他曾一度声称这是乌布利希编造的,但后来承认这是真实的。相反,他专注于自己经营丝绸之路的仁慈意图,他认为丝绸之路通过防止掺假药物过量而挽救了成千上万人的生命。与此同时,他承认,检察官点名的至少六人实际上因丝绸之路毒品过量而死亡。
“如果没有丝绸之路,那些人还能活到今天吗?也许是的,”克拉克说。“我们拯救了成千上万人的生命吗?是的,但我们也夺走了一些人的生命。”
他将自己的行为与伦理哲学中所谓的“电车难题”思想实验进行了比较,即当两条轨道上都绑着人时,有人必须选择火车要走哪条轨道。“这对我来说不是哲学101,”他告诉法官。“我拉动了开关。”
克拉克和他的辩护律师在量刑陈述中也用了大量的篇幅描述了过去几年他在泰国和纽约监狱的恶劣拘留条件。他的律师告诉法庭,他因在泰国监狱目睹酷刑和性侵犯而受到精神创伤,基本医疗保健被剥夺,抵达美国时体重仅为93磅。在布鲁克林大都会拘留中心,克拉克描述了腐败和疏忽,这导致他在2021年感到眩晕时从床上摔下来,骨盆骨折,尽管他请求帮助,但还是在夜间遭受痛苦。
斯坦法官承认克拉克这些年来遭受的痛苦和虐待,但得出的结论是,他认为“不应该对其进行大幅减刑”。
另外,克拉克在陈述中提出了奇怪的新说法(没有证据),称他花费了丝绸之路收入的80万美元购买黑客工具,这些工具可用于对从事儿童性剥削的暗网用户进行去匿名化处理,然后将这些工具提供给英国和美国政府。克拉克称,一位名叫Grugq的曼谷黑客向他出售了黑客工具,,但Grugq否认有任何此类出售行为。Grugq称:“我从来没有卖过这样的漏洞,当然也不会卖给他。”法官似乎没有将这些未经证实的说法纳入克拉克的判决中,但建议他应该向美国政府提供他的计算机技能。
考虑到克拉克长期以来明显的误导行为,他关于黑客攻击恋童癖者的奇怪故事或许应该持保留态度。在从泰国引渡之前,他声称一名腐败的联邦调查局特工正在追捕他,并声称他可以向泰国政府提供秘密信息,表面上是为了换取他的释放——但在宣判之前,他的辩护人从未证实或提及这些说法。
在丝绸之路被摧毁之前,克拉克与乌布利希的谈话中也有夸大其词的倾向。有一次,他提出了一些方法,如果乌布利希被确认身份并被捕,他可以将他从监狱中解救出来。“我希望我们考虑投资一家直升机旅游公司……说真的,以我们现在的收入,我可以雇一个小国家来接你。”他写道,“请记住,有一天,当你在操场时,我将成为驾驶直升机低空快速飞行的人,我保证。”
乌布利希从未得到过这样的救援行动。克拉克似乎也没有得到这样的拯救。
克拉克在宣判陈述中说:“大家都好好看看。”他戏剧性地转向法庭上的少数观众,”这可能是我被杀之前你们最后一次见到我。
据报道,西门子能源公司(德国慕尼黑;www.siemens-energy.com)和施耐德电气公司(法国吕埃尔-马尔迈松;www.se.com)这两家关键基础设施行业的工业控制系统(ICS)供应商已被网络犯罪团伙CL0P列为勒索软件受害者,但是否有针对性的攻击尚未得到证实。
该勒索软件团伙(也称为TA505)从2023年5月27日开始利用MOVEit Transfer(一款面向互联网的自动文件传输Web应用程序)中的漏洞,据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称,CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。
CL0P #ransomware group has added five new victims:
– https://t.co/b5TXXSO3oi
– Schneider Electric (https://t.co/icrsZ9CAwB)
– Siemens Energy (https://t.co/89TbkQ3YMn)
– UCLA (https://t.co/hoy9JuoHTT)
– Abbie (https://t.co/AtFS3GFSGi)#MOVEIT #Cl0p #DarkWeb #DeepWeb #CyberRisk pic.twitter.com/mTpLZdCzbW
— FalconFeedsio (@FalconFeedsio) June 27, 2023 西门子能源公司在一份声明称,它已了解这一预警,并将继续与政府合作伙伴和客户密切合作,以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队,我们还有一个ProductCERT组织,负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。
CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力,然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据,而受到美国联邦政府的审查。美国网络安全和基础设施安全局(CISA)和联邦调查局(FBI)在6月7日发布的联合网络安全咨询(CSA)中建议采取行动和缓解措施,以防范先前未知的结构化查询语言(SQL)注入漏洞(CVE-2023-34362)。
CISA表示:“CL0P出现于2019年2月,由CryptoMix勒索软件变体演变而来,在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务(RaaS),这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。
CISA建议采取的防止或减轻影响的步骤包括,统计实体资产和数据清单、仅授予特定的管理权限,以及激活防火墙和路由器等网络基础设施设备上的安全配置。
此外,美国国务院根据正义悬赏的任务,于6月16日悬赏高达1000万美元,奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。
Advisory from @CISAgov, @FBI: https://t.co/jenKUZRZwt
Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government?
美国司法部周五宣布对33岁的米洛米尔·德斯尼卡(Milomir Desnica)提出指控,他是克罗地亚和塞尔维亚公民。他被指控在2019年底在暗网里推出“Monopoly市场”,担任该暗网市场的管理员,并通过所有销售中赚取的佣金获利。
2022年7月,华盛顿的一个联邦大陪审团对德斯尼卡提出了两项指控,并要求没收他所指控的罪行的所有收益。他被指控串谋分销和持有并意图分销50克以上的甲基苯丙胺,以及洗钱罪。这些罪名最高可判处终身监禁和20年有期徒刑。
针对德斯尼卡的案件是联邦调查局华盛顿外地办事处的高科技阿片类药物特别工作组和德国奥尔登堡中央刑事调查组(Zentrale Kriminalinspektion Oldenburg)网络犯罪小组联合调查的结果,该调查确定并定位了德斯尼卡。2022年11月2日,奥地利当局根据临时逮捕令逮捕了他。警方搜查了他的住所和车辆,没收了电子设备和现金。
在德斯尼卡提出异议后,奥地利法院支持了美国的引渡请求,并于周五被引渡。预计嫌疑人将于周一在华盛顿特区联邦法院首次出庭,接受美国地方法院法官卡尔·尼科尔斯(Carl J. Nichols)的审讯。
美国司法部指控德斯尼卡审查和批准想要在”Monopoly市场“上出售毒品的个人的所有申请。检察官表示,所有供应商的申请都包括“他们想要销售的毒品的描述、库存的照片证明以及为通过’Monopoly市场‘完成销售后需支付佣金的协议”。
根据法庭文件,供应商通常同意与”Monopoly市场“运营者分享5%的收入。联邦调查局表示,”Monopoly市场“总共为供应商赚取了至少1800万美元的收入,这意味着该市场的运营者据称赚取了超过90万美元的佣金。
涉嫌在暗网经营”Monopoly市场“的男子被逮捕 ”Monopoly市场“是一个暗网市场,这意味着只能通过使用匿名Tor浏览器才能访问该电子商务网站。在其他毒品中,该网站还销售阿片类药物、兴奋剂、致幻剂和处方药。检察官表示,2021年,卧底的美国执法人员能够从”Monopoly市场“购买超过100克的甲基苯丙胺。
5月份,在欧盟执法机构欧洲刑警组织的协调下,一次代号为SpecTor的联合执法行动,查获了”Monopoly市场“的犯罪基础设施,并逮捕了288名嫌疑人。执法人员还缴获了超过5400万美元的现金和虚拟货币、850公斤毒品(包括安非他明、可卡因、MDMA、LSD和摇头丸)以及117支枪。
参与SpecTor的9个国家分别逮捕了多名嫌疑人:美国(153人被捕)、英国(55人)、德国(52人)、荷兰(10人)、奥地利(9人)、法国(5人)、瑞士(2人)、波兰(1人)、巴西(1人)。
欧洲刑警组织执行主任凯瑟琳·德·博勒(Catherine De Bolle)当时在会议上表示:“这次行动向暗网上的犯罪分子发出了强烈的信息:国际执法机构有手段和能力识别你的非法活动,并追究你的责任,即使是在暗网上。”
针对”Monopoly市场“的案件之所以成立,部分原因是德国当局于2021年12月扣押了”Monopoly市场“的基础设施,这使得警方能够开始识别供应商和客户。美国联邦调查局表示,在司法互助条约的支持下,它从德国收到了市场数据库和论坛数据库的数字取证副本。
通过加密货币追踪溯源,FBI找到幕后的运营者德斯尼卡 美国联邦调查局表示,在研究了德国执法部门查获的市场数据库(其中包括发送给供应商的票据)后,确定了德斯尼卡的身份。调查人员发现,所有发给供应商的票据都包含比特币或门罗币地址,供应商被要求将”Monopoly市场“运营者应得的佣金发送到该地址,虽然这些付款详细信息已在2021年10月22日之前的票据中删除,但在后来的票据中仍然存在。
联邦调查局分析了涉及”Monopoly市场“运营者明显使用的地址的大量交易。按月计算,所有收到的资金中,有一半似乎被转账到存储中,并显然保持不变,另一半被发送到不保留用户详细信息的加密货币交易所。司法部表示:“德斯尼卡随后将非法加密货币出售给塞尔维亚的点对点交易商,以换取法定货币-所有这些都是为了清洗非法毒品销售的收益。”
检察官周六提交给法院的一份支持拘留的备忘录报告说,FBI揭开德斯尼卡的真面目的部分原因是识别出“存入MoonPay.io交易所某钱包的两笔比特币存款,该钱包也收到了2020年7月的’Monopoly市场‘收益”。FBI从MoonPay加密货币交易所获得的记录,使其能够识别用于在MoonPay进行存款的谷歌支付帐户,并追溯到德斯尼卡使用的信用卡和Gmail地址。FBI表示,其中一个电子邮件帐户包含访问”Monopoly市场“的比特币钱包所需的12个单词的助记词。
检察官在备忘录中写道:“他通过各种社交媒体、个人电子邮件帐户以及访问‘Monopoly市场’比特币钱包所需的种子短语,与‘Monopoly市场’直接联系在一起。”
美国政府成立了一个新的打击加密货币犯罪的特别工作组,由来自不同联邦机构的五名调查员组成。
“暗网市场和数字货币犯罪特别工作组”成立于6月15日,旨在“瓦解和摧毁“那些利用数字货币提供的“匿名外观”进行贩毒、洗钱和其他犯罪的犯罪组织。
其活动暂时将仅限于亚利桑那州。
美国移民和海关执法局网站周二分享的一份新闻稿称:“随着这些犯罪活动和组织变得更加复杂,执法工具、资源和情报必须适应,不得不进行调整。”
U.S. Attorney and Federal Law Enforcement Partners Announce Formalization of Darknet Marketplace and Digital Currency Crimes Task Force @DHSgov @DEAPHOENIXDiv @IRS_CI @USPISpressroom https://t.co/rpfowDMAdO
— US Attorney Arizona (@USAO_AZ) June 16, 2023 该交叉机构包括来自国土安全部(DHS)、国税局刑事调查组(IRS-CI)、美国缉毒署(DEA)、司法部(DOJ)和美国邮政检查局(USPS)的特工。
多年来,这五个机构都完成了一系列与加密货币有关的刑事调查,加密货币作为绕过传统金融体系制衡的工具,正在不断增长。
例如,去年,司法部追回了2018年从加密货币交易所Bitfinex盗窃的36亿美元比特币,这是历史上最大的一次金融扣押行动。同年晚些时候,该部门查获了与丝绸之路(Silk Road)相关的50,000个比特币(BTC),”丝绸之路“是一个现已不复存在的暗网市场,利用比特币促进毒品、武器和其他非法物品的交易。
“DEA致力于拯救生命,”DEA负责的特别探员Cheri Oz说。“隐藏在暗网中的毒贩将被这个特别工作组积极锁定并揭穿。”
与此同时,IRS-CI特别负责人Al Childress表示,他的部门“正在越来越多地投入更多的调查时间和特工专业知识来应对暗网和加密货币犯罪。”
根据Chainaanalysis的数据,虽然通过加密货币相关犯罪窃取的资金数额每年都在增长,但其在加密货币相关交易绝对总额中所占的份额持续下降。
此外,美国财政部去年在一份风险评估报告中证实,数字资产被用于洗钱的情况仍然远少于法定货币。
尽管如此,财政部还在4月份强调了与去中心化金融(DeFi)生态系统相关的“国家安全”风险,因为“窃贼”和“勒索软件行为者”也可以利用它来洗钱。
代码签名证书应该有助于验证软件发布者的身份,并提供加密保证,确保已签名的软件未被更改或篡改。这两种特性使得被盗或不正当获得的代码签名证书对网络犯罪集团具有吸引力,他们看重的是其为恶意软件增加隐蔽性和持久性的能力。
独立记者布莱恩·克雷布斯(Brian Krebs)近期发布了一项调查,在调查中,他多次对知名暗网用户“Megatraffer”进行了人肉,将他与过去十年中期居住在莫斯科的某个人联系起来。文章中称,这位俄罗斯资深黑客自2015年以来几乎垄断了以恶意软件为中心的代码签名证书的地下市场。
在文章开头,克雷布斯对“Megatraffer”在俄罗斯犯罪论坛Exploit.in上的帖子的审查后显示,“Megatraffer”于2015年开始在Exploit上交易被盗的代码签名证书。他的业务很快扩展到销售用于对设计为在Microsoft Windows、Java、Adobe AIR、Mac 和 Microsoft Office上运行的应用程序和文件进行加密签名的证书。
根据“Megatraffer”的说法,恶意软件供应商需要证书,因为许多防病毒产品对未签名的软件更感兴趣,而且从互联网下载的签名文件往往不会被现代网络浏览器内置的安全功能阻止。Krebs详细说明,在2016年,“Megatraffer”以每张700美元的价格出售独特的代码签名证书,并针对“扩展验证”或EV代码签名证书收取两倍多的费用(1900美元)。根据“Megatraffer”的说法,如果您想签署能够在较新的Windows操作系统中可靠运行的恶意软件或硬件驱动程序,则EV证书是“必备”证书。
“Megatraffer”继续在六个以上的其他俄语网络犯罪论坛上提供代码签名服务,主要以 Thawte 和 Comodo 等主要供应商偶尔提供的 EV 和非 EV 代码签名证书的形式提供。
据网络情报公司Intel 471称,从2009年9月到今天,“Megatraffer”一直是至少七个最大的暗网站点的积极参与者。在大多数情况下,他使用的电子邮件地址是“[email protected]”,这个电子邮件地址还与两个论坛账户中一个名为“O.R.Z.”的用户相联系。
开放式数据库监控公司Constella Intelligence发现邮箱地址[email protected]仅与少数几个密码相关联,但最常见的密码是字母组合“featar24”。对其进行反向搜索后,克雷布斯找到了一个邮箱地址“[email protected]”,Intel 471发现该地址在2008年也与昵称O.R.Z相关联,这个2008年在Verified.ru上注册的帐户。在此之前,[email protected]被用作“Fitis”帐户的电子邮件地址,该帐户在2006年9月至2007年5月期间处于活跃状态。此外,Constella Intelligence发现“featar24”密码关联到电子邮件地址[email protected],该地址与2008年Carder.su上的另一个O.R.Z.账户相关联。此外,[email protected]地址被用来创建一个名为“Fitis”的Livejournal个人博客,其头像是一只大熊。
“我是一个完美的罪犯。我的指纹每隔几天就会改变,无法辨认。至少我的笔记本电脑是肯定的。”Fitis在他的博客中写道。
2010年,在当时两家最大的垃圾邮件赞助商相互开战并且他们的内部文件、电子邮件和聊天记录落入许多国际研究人员手中之后,“Fitis”的身份被曝光。文件显示,Spamit联盟计划中收入最高的员工之一就是“Fitis”,他吸引了超过75个联盟成员(并从所有75名联盟成员的未来销售中获得佣金)来工作。他收到了一个WebMoney帐户的付款,该帐户的所有者在注册时出示了有效的俄罗斯护照,其姓名为Konstantin Evgenievich Fetisov,出生于1982年11月16日,在莫斯科注册。俄罗斯机动车记录显示,此人在同一莫斯科地址登记了两辆不同的车辆。
此外,注册到[email protected]电子邮件地址的最奇怪的域名是fitis.ru,根据DomainTools.com说这是在2005年注册给来自莫斯科的Konstantin E. Fetisov。
archive.org上的Wayback Machine在早年为fitis.ru收录了索引,其中大部分是空白页面,但在2007年的一段短时间内,该网站似乎无意中将其所有文件目录暴露给了互联网。其中显示了一个ICQ的号码为:165540027,英特尔 471发现该ICQ号码是“Fitis”之前在Exploit论坛中使用的即时通讯地址。
总部位于纽约市的网络情报公司Flashpoint发现“Megatraffer”的ICQ是Himba.ru域名的联系电话,Himba.ru是一项于2012年推出的广告联盟计划,英特尔 471发现Himba是一个活跃的广告联盟计划,直到2019年5月左右停止向其合作伙伴付款。
Flashpoint指出,2015年9月,Megatraffer在Exploit上发布了一则招聘广告,寻求经验丰富的编码人员来处理浏览器插件、安装程序和“加载程序”——基本上是远程访问木马(RAT),它们可以在攻击者和受感染的系统之间建立通信。
奇怪的是,克雷布斯几乎只字未提“Megatraffer”在2015年之后的命运和活动。他的调查更关注的不是Fetisov的个性,而是代码签名证书仍然是暗网上需求的商品这一事实。
一名来自美国马萨诸塞州的18岁男孩被指控试图通过在暗网上销售礼品卡(包括亚马逊和迪克的体育用品礼品卡),为恐怖组织“伊拉克和沙姆伊斯兰国(ISIS)”筹集超过1600美元——但该少年的父亲声称他的儿子一直被人“牵着鼻子走”。
美国马萨诸塞州检察官办公室周四发表声明称,来自马萨诸塞州韦克菲尔德的马特奥·文图拉(Mateo Ventura)周四首次在伍斯特美国地方法院出庭,他将面临故意隐瞒外国恐怖组织物质支持或资源来源的指控。
这名少年是韦克菲尔德纪念高中的学生,他被下令关押在监狱,等待下周三的保释听证会。
文图拉的父亲保罗在法庭外告诉记者,他的儿子因早产而在发育和学习方面存在问题,并补充说他在学校受到欺凌者的折磨。
他强烈否认这名少年支持伊斯兰极端组织。
“我儿子说,’爸爸,我不明白,我没有做错任何事’。”保罗·文图拉(Paul Ventura)描述了联邦调查局周四早上前来逮捕马特奥的那一刻。
“我儿子不是恐怖分子。”他补充道。
18岁的马特奥·文图拉(Mateo Ventura)周四被逮捕,罪名是在资助ISIS的计划中故意隐瞒对外国恐怖组织的物质支持或资源来源。
检察官表示,文图拉被指控参与一项计划,即在暗网上以低于面值的价格出售礼品卡,所得款项用于资助伊斯兰国。
根据一份宣誓书,在2020年8月至2021年8月期间,文图拉向他认为是ISIS支持者但实际上是卧底FBI特工的人发送了大约25张价值965美元的礼品卡。
那段时间,他还未成年。
检察官说,在18岁之后的1月至5月期间,文图拉向假冒的ISIS同情者提供了另外705美元的礼品卡。
马特奥的父亲保罗·文图拉(PaulVentura)告诉记者,他的儿子不是恐怖分子,他被人“牵着鼻子走”了。
这位单身父亲说,他的儿子——有学习和发育问题——试图通过向特工展示在暗网上联系ISIS武装分子是多么容易来帮助FBI。
大多数卡片(每张价值从10美元到100美元不等)都来自Google Play商店。其他则来自GameStop、亚马逊和Dick’s Sporting Goods。
法庭文件显示,这名马萨诸塞州的青少年还在一款加密的消息应用程序上谈到了想要出国旅行并与ISIS作战的想法。
法庭文件显示,有一次,这名18岁的年轻人向卧底特工发送了一段录音,宣誓效忠当时的伊斯兰国领导人阿布·易卜拉欣·哈希米·库拉什(Abu Ibrahim al-Hashimi al-Qurash)。
据称,文图拉甚至购买了一张4月份前往开罗的机票,但他从未成功登机。
检察官说,Mateo向他认为是ISIS支持者的人发送了价值1670美元的礼品卡,但实际上该人是FBI卧底特工。
检察官称,今年4月,文图拉联系了FBI,提出向该机构通报埃及未来发生的恐怖袭击事件,以换取1000万美元和豁免权,但被联邦调查局拒绝了他的提议。
文图拉的父亲保罗·文图拉争辩说,他的儿子,他说他精通电脑,正试图通过向FBI展示美国人可以多么容易地在网上与恐怖分子联系来帮助FBI“并与他们合作”。
“[他是]百分百忠诚的美国人。百分之一百,”单身父亲说。“他不喜欢恐怖主义。他不喜欢。他喜欢了解它。”
如果罪名成立,文图拉将面临最高10年的监禁。
法庭文件显示,美国田纳西州的一名女子被指控从暗网付钱给一名杀手,以杀死她在Match.com上认识的徒步旅行伙伴的妻子,并在一款健身应用程序上跟踪该女子的行踪。
当她的朋友(在最近解封的法庭文件中以首字母D.W.命名)告诉她他将在去年秋天结婚时,Melody Sasser显然不喜欢这样。
根据日期为5月11日的宣誓书,她告诉该男子:“我希望你们都掉下悬崖死去。”
上个月,Sasser在美国东田纳西州地方法院被指控犯有雇佣谋杀罪,如果罪名成立,她将面临最高10年的监禁。
根据宣誓书,一个外部执法机构向阿拉巴马州伯明翰的国土安全调查部门举报了4月份涉嫌的阴谋。
法庭文件称,调查人员收到了在线用户“cattree”与暗网网站”在线杀手市场“(Online Killers Market)管理员之间的消息,该网站宣称提供“雇佣杀手”服务。
根据刑事诉讼,该网站的屏幕截图显示,“cattree”于1月11日下单谋杀。
官员们说,她分享了目标的名称、地址以及描述:“它需要看起来是随机的或意外的。或者是因为吸毒,不希望有长时间的调查。她最近搬去和她的新婚丈夫同住。”
根据刑事诉讼,Sassers被指控的行为发生在四个月的时间里,从年初到2023年4月27日。Sassers所谓订单的报价金额为9750 美元,并以比特币支付。
文件称,“Cattree”还上传了目标的照片,该人物的名字缩写为J.W.。
调查人员向目标居住的阿拉巴马州普拉特维尔市的警方发出警报,并派巡逻队前往受害者家中。
该文件称,当J.W.得知所谓的威胁时,她将“Sasser列为嫌疑人”,并说Sasser和她的丈夫在搬到阿拉巴马州之前是徒步旅行(远足)的朋友。
根据宣誓书,D.W.告诉调查人员,他和Sasser在约会网站Match.com上认识,她通过帮忙预订旅馆和休息点并在他离开时照看他的车辆来帮助他完成阿巴拉契亚步道的徒步旅行。
去年秋天,D.W.告诉Sasser他与J.W.订婚后,Sasser前往他在阿拉巴马州的住所。
J.W.报告说,她的车似乎被人用钥匙撬过,并且她接到了一个使用电子设备伪装声音的人打来的“不愉快的电话”。宣誓书称,“威胁”电话来自无法追踪的计算机生成的电话号码和互联网电话。
Sasser被指控在健身应用Strava上监控这对夫妇的行踪和活动,该应用已连接到他们的智能手表并共享位置数据。
当局称,“Online Killers Market”(在线杀手市场)声称在全球拥有12000名注册会员,提供的服务还包括“黑客攻击、绑架、勒索、泼酸毁容和性暴力”。 刑事起诉书称,该网站包括一个内部消息系统,供用户与接单杀手、管理员或其他用户联系。正是在那里,当局指控Sasser以“cattree”为昵称,曾多次向Online Killers Market发送消息,表达了对这项工作尚未完成的失望。
法庭文件显示,3月22日,“cattree”发来一条消息称,“我已经等了2个月零11天,工作没有完成”。
“2个星期前,你说它已经开始工作,将在一个星期内完成。该工作仍然没有完成。是否需要把它分配给其他人。会不会做,拖延的原因是什么。”根据刑事起诉书,她补充说:“什么时候能完成。”
管理员回应说,这项任务对于同意做这项工作的人来说风险太大。
管理员说:“我可以指派另外两名杀手来完成这项工作。”他指出,两人都想要更多的比特币来完成这项工作。在3月29日的消息中,“cattree”同意支付更多费用:“我将增加比特币。”
Sasser于5月18日被捕,目前被关押在监狱中,等待她于周四下一次出庭。
她的律师没有回复置评请求。