根据美国司法部的消息,一名宾夕法尼亚男子在不到两年的时间里完成了超过7,800次个体的暗网芬太尼销售,并被调查人员与美国各地数十起致命过量事件联系起来,他因在曾经的暗网市场AlphaBay上分发致命的芬太尼类似物而被判处无期徒刑。该事件导致俄勒冈州的三人过量,其中两人死亡。
38岁的亨利·科纳·科菲(Henry Konah Koffie)来自宾夕法尼亚州达比市,被判无期徒刑,并监外执行三年。
俄勒冈区联邦检察官娜塔莉·怀特(Natalie Wight)表示:“亨利·科菲的的客户——服用芬太尼过量的受害者,从他那里以高达40美元一克的价格在暗网上购买芬太尼,等待着送达,使用后不幸过量而死亡。今天,寻找芬太尼的人只需走到附近的街角,交一两美元即可购得相似数量。在很多方面,正是像亨利·科菲这样的暗网供应商为我们社区仍然困扰的芬太尼危机铺平了道路。”“我们知道任何判决都无法治愈失去亲人的家庭所经历的创伤,但我们希望今天的判决,以及我们知道亨利·科菲无法夺走更多无辜生命,将为他们带来某种程度的结束。”
负责监督太平洋西北地区国土安全部调查(HSI)行动的特别探员罗伯特·哈默(Robert Hammer)表示:“虽然任何刑罚都无法挽回因毒贩公然冷漠和赤裸裸的贪婪而失去的生命,但他将不再对全国各地的社区构成威胁。”“在不到两年的时间里,科菲利用暗网进行了数千笔毒品交易,这可能导致更多芬太尼过量死亡。通过我们与地方和联邦执法部门的众多合作伙伴关系,HSI 将继续进行调查,以揭露毒贩在销售致命非法麻醉品时试图使用的匿名方式,以避免被捕。”
美国邮政检查服务(USPIS)西雅图分区的检查主管托尼·加莱蒂表示:“在亨利·科菲的今天判刑中,我们看到了联邦和地方执法机构之间协作努力的巅峰。美国邮政检查局向波特兰警察局、国土安全调查局和美国检察官办公室表示感谢,感谢他们的宝贵合作,使这名死亡制造者在全国范围内被定罪。亨利·科菲的鲁莽行为,公然漠视他人的生命,应受到谴责,现在已经受到了惩罚。”“今天的判决是一个坚决的声明,这种行为不会逃脱惩罚。我们的心与受害者及其家人同在,希望这一结果能给他们带来一定程度的结束,并标志着康复过程的开始。”
波特兰警察局(PPB)局长鲍勃·戴(Bob Day)表示:“芬太尼在我们社区夺去了太多生命。我们要感谢我们的合作伙伴共同努力调查和起诉这个重要案件。打击我们社区中危险的非法毒品仍然是一项优先任务,因为我们努力防止进一步令人痛心和毫无意义的死亡。我也要向受害者及其家人表示深切的同情,希望今天的判决为他们带来些许安慰。”
根据法庭文件,在短短一年多的时间里,科菲以DNMKingpin(暗网毒品供应商)和后来在AlphaBay暗网市场上的Narcoboss供应商的身份,供应了导致三名波特兰居民过量致死的芬太尼。第一位受害者是一名19岁的波特兰州立大学学生,于2016年5月2日在摄入粉末芬太尼30分钟后过量。医护人员向该学生施用了纳洛酮并进行了呼吸援助,挽救了她的生命。调查人员采访了该学生的供应商,后者表示他向该学生供应了从AlphaBay上购买的DNMKingpin的粉末芬太尼。
一年后,即2017年5月6日,波特兰警察局(PPB)调查了波特兰东南部一名27岁男子的致命过量事件。受害者的室友告诉警察,受害者曾从AlphaBay上的Narcoboss供应商处购买芬太尼,后者将芬太尼标榜为“中国白”。一名室友进一步告诉警察,他和受害者曾一同从Narcoboss购买了40美元的一克芬太尼,而这一克芬太尼是从费城寄来的美国邮政服务(USPS)优先邮件信封中取出的。
三周后,即2017年5月29日,PPB响应了另一名27岁男子的致命过量事件,后者曾住在东北波特兰。警察在受害者的住所发现了一小瓶芬太尼和一本包含有关访问AlphaBay和比特币钱包信息的笔记本。他们还在受害者的垃圾桶中找到了一封来自费城的回邮地址的信封。
在2017年5月25日至6月21日期间,调查人员从Narcoboss那里进行了五次对粉末芬太尼的控制购买。所有五个订单都是从费城及周边地区的地址发货的。与此同时,威斯康星和宾夕法尼亚的调查人员在类似于从Narcoboss购买的那些被扣押的芬太尼包裹上找到并确认了科菲的指纹。
进一步的调查揭示,科菲在2016年4月6日至2017年5月23日期间,从中国和香港的分销商那里收到了14批共约七公斤的芬太尼。在2017年5月和6月,美国海关和边境保护局(CBP)拦截了寄给科菲的另外两批含有半公斤芬太尼的包裹。后来确定,科菲使用了一个名为Stampnik的在线邮资公司购买了超过5,700张邮资标签,用于将芬太尼寄往美国各地,包括在俄勒冈、威斯康星和宾夕法尼亚被扣押的包裹上使用的标签。
在不到两年的时间里,科菲使用AlphaBay暗网市场向美国各州的客户出售了约43磅的芬太尼,共进行了7,849次个体交易。除了科菲在俄勒冈造成的三起过量事件之外,调查人员还确认至少有其他27人从科菲那里订购了芬太尼,并在不久后过量身亡。科菲还与其他27起非致命过量事件有关。
2017年7月12日,科菲在俄勒冈地区被刑事起诉,罪名是分发导致重伤或死亡的控制物质。后来,于2021年4月21日,他被判犯有共谋分发控制物质、分发导致重伤的控制物质、分发导致死亡的控制物质以及分发控制物质等五项罪名。
科菲在其他两个司法管辖区还受到联邦起诉。2017年8月1日,宾夕法尼亚西区的联邦大陪审团对科菲提起了四项分发控制物质的罪名。2017年9月20日,宾夕法尼亚东区的联邦大陪审团对科菲提起了两项罪名,指控他在离儿童游乐场不到1,000英尺的地方分发控制物质。这两起案件都尚未结案。
此案由 HSI、USPIS 和 PPB 调查,联邦调查局、俄勒冈州-爱达荷州高密度贩毒区 (HIDTA) 特遣部队、海关及边境保护局、费城警察局和宾夕法尼亚州警察局提供了协助。该案由俄勒冈州地区助理联邦检察官斯科特-M-凯林(Scott M. Kerin)、帕拉克拉姆-辛格(Parakram Singh)和安德鲁-T-何(Andrew T. Ho)负责起诉。
2017 年 7 月 20 日,司法部与联邦调查局(FBI)、美国缉毒署(DEA)、HSI 和美国国税局刑事调查局(IRS-CI)合作,查获并关闭了 AlphaBay,该网站当时是网上最大的犯罪市场。在被查封时,AlphaBay 已在暗网上运营了两年多,被用于在世界各地销售非法药物、被盗和伪造的身份证件和访问设备、假冒商品、恶意软件和其他黑客工具、枪支和有毒化学品。
根据“暗网下/AWX”之前的介绍,供应商Narcoboss使用的AlphaBay暗网市场是早期的第一个AlphaBay暗网市场,该暗网市场于2017年7月中旬被警方关闭。2021年,原AlphaBay暗网市场的二号管理员Desnake又重启了AlphaBay暗网市场,但是也于今年年初突然无法访问。
尽管加利福利亚州的三城医疗中心(Tri-City)在 17 天前就恢复了运营并开始运行,但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。
本周早些时候,一位网络安全专家在 X(以前称为 Twitter)上的一条推文中指出,臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录,在暗网这个互联网上的匿名角落经常买卖此类信息。
INC Ransom has listed Tri-City Medical Center: a San Diego County-based hospital that was forced to divert ambulances after a #ransomware attack last month. 1/3 pic.twitter.com/iXK8GjfNZL
— Brett Callow (@BrettCallow) December 7, 2023 该帖子包含八页印刷版的“证据”,据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的,这次攻击严重影响了该公立医院区的运营。11 月 27 日,该医院报告说,它已再次开始接受所有救护车的运送,并正在进行攻击期间推迟的选择性手术。
公布的记录包括两份事先授权表,用于要求医疗保险公司批准特定病人的特定手术,表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录,但没有说明攻击者掌握了多少记录。
该公告发布在该勒索软件团伙的暗网泄密网站上,虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在,但为了避免传播被盗信息,本文不分享具体访问地址。
勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统,因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。
黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如,斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者,他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露,严重影响了其运营。斯克里普斯表示,虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了,但斯克里普斯医院表示医疗记录仍然是保密的。
但很明显,暗网网站上弹出的通知表明黑客仍在试图勒索该医院。
总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示,此类帖子的目的是向组织施加压力,要求他们支付赎金,以避免规模更大、更具破坏性的数据转储。而且,即使企业支付了首次赎金请求,也不一定意味着不会进行第二次尝试。
近期,路透社、英国《金融时报》和其他媒体援引消息人士的话称,有俄罗斯背景的暗网勒索软件团伙LockBit对中国工商银行美国分行进行了勒索软件攻击。后Lockbit声明中称,中国工商银行已经支付了赎金,但目前没有得到核实确认。
在勒索软件攻击中,黑客通常锁定(加密)受害企业的系统,并索要赎金来解锁系统(解密),通常还窃取敏感数据以达到勒索的目的。
中国工商银行美国分行遭勒索攻击 上周四,中国工商银行(ICBC)美国分行遭受了勒索软件攻击,扰乱了美国国债市场的交易,这是今年黑客勒索赎金的一系列受害者中的最新一起。
当时,中国资产规模最大的商业银行的美国子公司工银金融服务公司表示,正在调查这起破坏其部分系统的网络攻击事件,并在数据恢复方面取得进展。
中国外交部上周五表示,该行正在努力将袭击发生后的风险影响和损失降到最低。外交部发言人汪文斌在例行新闻发布会上表示,工行一直密切关注此事,并尽最大努力做好应急处置和监管沟通;工商银行总行及全球其他分支机构的业务保持正常。
几位勒索软件专家和网络安全分析师表示,名为Lockbit的网络犯罪团伙是此次黑客攻击的幕后黑手,该团伙有俄罗斯背景,通常在其暗网网站上发布受害者姓名。
交易市场的参与者表示,该攻击事件的影响相对较小,但引发的担忧并不小。
Lockbit团伙成员称工行已经支付了赎金 Lockbit勒索软件团伙代表本周一在一份声明中表示,中国最大的银行中国工商银行在上周遭到黑客攻击后支付了赎金,不过路透无法独立核实该声明。
Lockbit团伙的代表通过在线消息应用程序Tox告诉路透社:“他们支付了赎金,交易完成。”
据路透社报道,这次黑客攻击的范围如此之大,以至于该公司的企业电子邮件都停止运行,迫使员工改用谷歌邮件。
此次勒索软件攻击发生之际,人们对26万亿美元的国债市场的弹性更加担忧,该市场对于全球金融管道至关重要,并且可能会引起监管机构的审查。
一位发言人在一份声明中表示:“我们提醒会员及时采取所有保护措施,并立即修补关键漏洞。”他补充道:“勒索软件仍然是金融部门面临的最大威胁之一。”
为什么工行要支付赎金 近几个月来,Lockbit对世界上一些最大的企业进行了黑客攻击,在受害者拒绝支付赎金的情况下窃取和泄露敏感数据。
据美国官员称,在短短三年内,它已成为全球最大的勒索软件威胁。
在美国,该勒索软件团伙的破坏性最大,影响了从金融服务、食品到学校、交通和政府部门等几乎各个领域的1700多个美国组织。
政府长期以来一直建议不要向勒索软件团伙支付费用,以打破犯罪分子的商业模式。赎金通常以加密货币的形式索要,因为加密货币难以追踪,而且接收者匿名。
一些公司已经悄悄支付了赎金,以求尽快恢复正常运营,并避免因敏感数据公开泄露而造成声誉受损。没有备份、没有解密密钥从而无法恢复系统的受害者有时别无选择,只能付费。
工行黑客事件使用了美国政府曾曝光的攻击方式 美国财政部官员说,Lockbit勒索软件团伙对中国工商银行的攻击可能源自于云计算公司思杰(Citrix)上个月在其NetScaler技术中披露的一个关键漏洞,即“CitrixBleed”漏洞。
所谓的“CitrixBleed”漏洞 ( CVE-2023-4966 ) 影响 Citrix NetScaler ADC 和 NetScaler Gateway 应用程序交付平台的多个本地版本。
该漏洞本身是一个缓冲区溢出问题,可导致敏感信息泄露。当配置为身份验证、授权和计费 (AAA) 或网关设备(例如 VPN 虚拟服务器或ICA或RDP代理)时,它会影响NetScaler的本地版本。
该漏洞的严重性评分为9.4 分(CVSS 3.1 等级最高为10分),为攻击者提供了窃取敏感信息和劫持用户会话的方法。Citrix 将该漏洞描述为可远程利用,攻击复杂性低,无需特殊权限,也无需用户交互。
与此同时,鉴于大规模利用活动的报道,美国网络安全和基础设施安全局 (CISA)也加入了要求立即修补CVE-2023-4966的行列。CISA发布了有关应对“CitrixBleed”漏洞的指南,敦促组织“将未受影响的设备更新到 Citrix 上个月发布的更新版本”。
大规模的“CitrixBleed”漏洞利用 自8月份以来,威胁行为者一直在积极利用该漏洞,这比Citrix于10月10日发布受影响软件的更新版本还要早几周。发现该漏洞并向Citrix报告的Mandiant研究人员还强烈建议企业终止每个受影响的NetScaler设备上的所有活动会话,因为即使在更新后,认证会话仍有可能继续存在。
安全研究员凯文-博蒙特(Kevin Beaumont)指出,中国工商银行11月6日未打补丁的Citrix NetScaler是LockBit黑客的一个潜在攻击媒介。
“目前仍有超过5000个企业尚未修补#CitrixBleed漏洞,”博蒙特说,“它允许完全、轻松地绕过所有形式的身份验证,并被勒索软件团体利用。它就像在企业内部访问并单击一样简单,它为攻击者在另一端提供了完全交互式的远程桌面。”
最近几周,针对未打补丁的NetScaler设备的攻击已成为大规模利用趋势,公开的漏洞技术细节至少助长了部分攻击活动。
ReliaQuest本周的一份报告表明,目前至少有四个有组织的威胁行为团伙正在针对该漏洞。其中一个团伙自动化利用了“CitrixBleed”漏洞。ReliaQuest报告称,在11月7日至9日期间,观察到“多起以Citrix Bleed漏洞为特征的独特客户事件”。
ReliaQuest表示:“ReliaQuest已在客户环境中发现了多个威胁行为者利用 Citrix Bleed 漏洞的案例。” 该公司指出:“在获得初步访问权限后,攻击者迅速对环境进行枚举,重点是速度而不是隐蔽性。”ReliaQuest表示,在某些事件中,攻击者窃取了数据,而在其他事件中,他们似乎试图部署勒索软件。
互联网流量分析公司GreyNoise的最新数据显示,至少有51个唯一IP地址尝试利用“CitrixBleed”漏洞,这一数字较10月底的约70个有所下降。
根据美国司法部 (DoJ) 周三发布的一份声明,一名 33 岁的塞尔维亚男子承认在暗网上经营一个名为“垄断市场”(Monopoly Market)的贩毒平台,该市场通过出售超过 30 公斤的冰毒和大量其他毒品来换取各种加密货币,从而赚取了 1800 万美元。
33 岁的 Milomir Desnica 据称从 2019 年底开始启动并运营暗网市场 Monopoly Market,根据法庭记录,该市场是一个典型的网上贩毒商店,用户可以在其中浏览并购买大麻、摇头丸、阿片类药物、处方药和兴奋剂等类别的毒品。
客户被要求用加密货币(例如比特币或门罗币)从个体供应商那里购买药物,这些供应商对每笔销售都收取佣金。Milomir Desnica 的职责包括批准想要在暗网市场成为“供应商”的毒品供应商。
Desnica正在哥伦比亚特区受审,定于明年2月宣判。他可能面临最高终身监禁和经济处罚。
警方使用加密货币购买毒品并找到暗网市场的经营者 2021 年,美国执法部门在Monopoly Market中向不同供应商提交订单,当局在Monopoly Market暗网市场上订购了 100 多克甲基苯丙胺。通过调查,FBI 确定Monopoly Market在全球范围内促成了价值超过 1800 万美元的毒品销售,其中包括向美国客户出售了超过 30 公斤的甲基苯丙胺。
2021 年 12 月,美国执法部门与德国和芬兰的外国执法合作伙伴协调,查获了托管“Monopoly Market”暗网市场的计算机服务器并将其下线。通过对被扣押的服务器的分析,执法部门确定了毒品销售记录、记录Monopoly Market(与Monopoly Market相关的在线论坛)上加密货币支付的财务记录、Monopoly Market运营者与供应商的通信记录、佣金付款发票等。通过对这些记录的广泛分析,Desnica被确定为大富翁的运营商。
尽管Monopoly Market试图混淆其轨迹,但联邦调查局随后能够使用比特币支付的供应商发票来追踪非法资金。
奥地利当局于 2021 年 11 月找到并逮捕了 Desnica,没收了他的房子、汽车、超过 18,000 欧元、866 美元的 Tether (USDT) 和超过 400 美元的 ETH。Desnica承认,他被扣押的资金与加密货币全部来自Monopoly Market的收益。
这次取缔行动是针对暗网市场采取的最大规模的执法行动之一,最终逮捕了 288 名供应商,超过了 2021 年取缔 DarkMarket 后逮捕的 150 名供应商和 2019 年取缔 Wall Street Market 后逮捕的 179 名商贩。
两名南加州男子因涉嫌在暗网上销售提供含有芬太尼的药丸和甲基苯丙胺而面临数十年甚至终身监禁的联邦监禁。
美国司法部在一份新闻稿中表示,来自洛杉矶南部38岁的奥马尔·纳维亚(Omar Navia)和来自加登格罗夫27岁的阿丹·鲁伊斯(Adan Ruiz)被指控提供“含有芬太尼和其他麻醉品的假冒M30羟考酮药丸”在暗网上出售。
他们上个月被起诉,并于周四被捕。美国司法部表示,两人均对“串谋分发和持有并意图分发芬太尼和甲基苯丙胺”的指控表示不认罪。鲁伊斯还面临分销芬太尼的额外指控。
据检察官称,纳维亚和鲁伊斯充当贩毒组织的供应商,在暗网上并通过“Session”和“Signal”等加密消息应用程序进行交易。他们与两名已经认罪的人合作:38岁的休斯顿人拉吉夫·斯里尼瓦桑(Rajiv Srinivasan)和25岁的威斯敏斯特人迈克尔·塔(Michael Ta),他们去年因相关指控被联邦大陪审团起诉。检察官称,他们今年认罪,预计明年被判刑。
美国司法部表示,斯里尼瓦桑和塔均承认从事贩毒活动,并“承认他们的贩毒活动导致三人死亡,并且他们向另外两人出售了含有芬太尼的药片,两人很快就因吸毒过量死亡”。
据称,斯里尼瓦桑和塔从纳维亚和鲁伊斯那里采购毒品,然后使用在各个暗网市场上运营的供应商帐户“redlightlabs”将毒品出售给全美国50个州的买家。
调查人员发现的文件显示,该团伙据称在2022年销售了近124,000粒芬太尼药丸,以及20磅冰毒和“根据起诉书,少量芬太尼粉末、黑焦油海洛因和可卡因”。
纳维亚和鲁伊斯被关押,不得保释。他们的审判定于12月26日开始。
对于共谋罪,他们可能被判处终身监禁联邦监狱,而鲁伊斯的分配罪可能被判处最高20年徒刑。
据称,他们作为毒品供应商的报酬是通过各种货币渠道获得的。这些渠道包括加密货币、通过加密货币交易所传输的资金以及Apple Cash、CashApp、PayPal、Venmo和Zelle等移动支付应用程序。斯里尼瓦桑和塔将于明年在美国圣安娜地方法院法官戴维·卡特(David O. Carter)面前接受宣判。
斯里尼瓦桑和塔维护的一份电子文档记录了交付给全美国约1400个独特客户的约3800笔药品交易。该记录反映了2022年5月至11月的销售情况,包括123,688颗芬太尼药丸、略低于20磅的甲基苯丙胺以及少量的芬太尼粉末、黑焦油海洛因和可卡因。
对纳维亚和鲁伊斯的起诉是持续打击贩毒工作的一部分。由FBI管理的阿片类暗网犯罪联合执法小组(JCODE)为打击暗网供应商提供了大力帮助。FBI领导的团队自2018年成立以来,已逮捕了300多名在暗网上活动的毒贩,没收了超过4200万美元的毒品相关资金,缴获了800多公斤毒品,并查获了约145支枪支。这些统计数据可以在美国司法部新闻稿中找到。
旅行预订巨头Sabre表示,在一个勒索软件团伙的暗网泄密网站上出现一批据称从该公司窃取的文件后,该公司正在对网络攻击的说法进行调查。
Sabre发言人海蒂·卡斯尔(Heidi Castle)在一封电子邮件中表示:“Sabre了解到威胁组织提出的数据泄露指控,我们目前正在调查以确定其真实性。”
Dunghill Leak组织在其暗网泄密网站上的一份列表中声称对这起明显的网络攻击负责,声称该攻击窃取了约1.3TB的数据,包括机票销售和乘客流动的数据库、员工的个人数据和公司财务信息。
该组织发布了据称被窃取的部分文件,并声称完整的缓存将“很快可用”。
Sabre是一家旅行预订系统,也是航空旅客和预订数据的主要提供商,其软件和数据用于为航空公司和酒店预订入住、办理登机手续和应用程序提供支持。许多美国航空公司和连锁酒店都依赖该公司的技术。
TechCrunch看到的屏幕截图显示了几个与预订详细信息和账单相关的多个数据库名称,其中包含数千万条记录,但尚不清楚黑客本身是否有权访问这些数据库。
看到的一些屏幕截图包含与员工有关的记录,包括电子邮件地址和工作地点。一张屏幕截图包含员工姓名、国籍、护照号码和签证号码。其他几张屏幕截图显示了获得授权在美国工作的雇员的几张美国I-9表格。根据Sabre员工的LinkedIn简介,在缓存中发现的几本护照与Sabre员工一致,其中包括Sabre的一名副总裁。
目前尚不清楚所谓的数据泄露行为发生的时间,但勒索团伙发布的屏幕截图显示的数据似乎是2022年7月的最新数据。
Malwarebytes的安全研究人员表示,人们对Dunghill Leak知之甚少,只知道它是一个相对较新的勒索软件团伙和敲诈勒索组织,由Dark Angels勒索软件演变而来或重新命名,而Dark Angels勒索软件则源自Babuk勒索软件。迄今为止,Dunghill Leak声称其针对投币游戏制造商Incredible Technologies、食品巨头Sysco和汽车产品制造商Gentex进行了攻击。
勒索软件团伙完全放弃文件加密,转而专注于威胁如果不支付赎金就公开敏感数据,这种情况并不罕见。联邦调查局和国际执法部门长期以来一直鼓励勒索软件和勒索受害者不要支付赎金。
Sabre上一次报道安全事件2017年,黑客从其酒店预订系统中窃取了100万张信用卡。公司支付240万美元,以解决几个州在那次攻击事件后提出的指控。
勒索软件团伙Dunghill Leak在其暗网泄密的页面对Sabre的介绍:
Sabre是北美最大的全球机票预订分销系统供应商。它的软件、数据、移动和分销解决方案被数百家航空公司和数千家酒店用于管理关键业务。
Sabre是全球旅游业领先的软件和技术公司。它与航空公司、酒店经营者、代理商和其他旅游合作伙伴合作,零售、分销和执行旅游。Sabre的技术是移动应用程序、机场值机亭、在线旅游网站、航空公司和酒店预订网络、旅行社终端以及其他众多旅游解决方案背后的智能工具。
勒索软件团伙Dunghill Leak在其暗网泄密的页面称窃取数据1300GB,包括:
不同在线聚合商的门票销售数据库 在线票务公司收入数据库 乘客营业额数据库 客户数据数据库 附件中的客户护照扫描件 员工个人信息,包含姓名、保险号码、地址、个人电子邮件、个人电话号码的文件扫描件 包含所有员工住址的表格 包含员工护照数据和工作签证数据的表格 包含所有员工全名、职务、身份、工作地点、主管、公司通信地址的表格 工资表 银行账户信息 资产负债表数据 女性现金流数据 金库数据 工资单数据 公司现金分析数据 Airflite 客户端应用程序文件、源代码、日志
亚利桑那州凤凰城的一对夫妇近日承认密谋通过暗网分发海洛因、甲基苯丙胺和对氟芬太尼等多种受控物质。
根据法庭文件,大约从2021年1月到2023年5月,36岁的Cheerish Noel Taylor和35岁的Robert James Fischer在多个暗网市场上使用了“SafeServe”、“Sky_HIGH”等暗网昵称。在这些市场上,他们宣传并销售各种受管制物质,包括冰毒(甲基苯丙胺晶体)、可卡因、海洛因、阿普唑仑(Xanax)、阿得拉(Adderall)、苏博酮(suboxone )和假药丸,犯罪嫌疑人将这些假药丸宣传为羟考酮,但实际上其中含有对氟芬太尼,这是一种危险的芬太尼类似物质。在犯罪过程中,这两名犯罪嫌疑人利用这些账户在暗网上销售了1100多笔受控物质。
暗网,是互联网中承载暗网市场或隐藏商业网站的一部分。暗网市场类似于合法的电子商务网站,销售或经纪涉及合法产品以及毒品、武器、假币、被盗信用卡详细信息、伪造文件、未经许可的药品、类固醇和其他非法商品的交易。暗网市场与正常的电子商务网站一样配有购物车、促销和客户评论。
费舍尔和泰勒销售假冒羟考酮药丸,并以“pressed m30s”和“blues”的名称进行营销,因为他们知道这些药丸不含羟考酮,而是含有芬太尼或芬太尼类似物。在所谓的“blues”的产品描述中,被告在暗网市场“ASAP Market”网站上的供应商页面表示:“这些不是普通的reg M30,而是压制的,药效很强……只供经验丰富的用户使用。”在另一份所谓的“blues”商品清单中,被告打出“小字提醒:这些不是来自药房,而是从墨西哥压制出来的。只供老手使用,因为这些 AF 药性很强,不适合刚开始使用的人。”的广告。
费舍尔和泰勒还在暗网上出售其他药物,他们将这些药物宣传为合法的制药厂生产的药物。例如,两人以每粒超过13美元的价格出售了他们所描述的“药品Adderall”。
两人通过美国邮政服务在美国全国范围内运送受控物质,并试图将受管制物质伪装在一元店商品的包裹中,如儿童贴纸、珠子、生日卡和季节性礼品。有时,受控物质被藏在玩具包装内。
泰勒定于12月8日被判刑,她将面临10年监禁的强制性最低刑罚。费舍尔计划于2024年1月5日被判刑,他也将面临10年监禁的强制性最低刑罚。对联邦罪行的实际刑罚通常低于最高刑罚。联邦地方法院法官将在考虑美国量刑指南和其他法定因素后确定任何刑罚。
杰西卡·D·阿伯 (Jessica D. Aber),美国弗吉尼亚州东区检察官;韦恩·A·雅各布斯 (Wayne A. Jacobs),联邦调查局华盛顿办事处刑事部门特工;美国邮政检验局华盛顿分部督察达蒙·E·伍德 (Damon E. Wood) 在美国地区高级法官 TS 埃利斯三世 (TS Ellis III) 接受两名共谋者认罪后宣布了这一消息。
美国助理检察官希瑟·考尔负责起诉此案。
“暗网下/AWX”监测发现,近期,据称有俄罗斯政府背景的勒索软件团伙十分高产,继上周新增15名受害者后,LockBit勒索软件团伙又在其暗网数据泄露门户中增加了8名新的受害者,而Clop勒索软件团伙则利用广泛使用的MOVEit文件传输软件中的零日漏洞袭击了科技巨头IBM运营的系统,导致数百万美国人的敏感医疗和健康信息被盗。
LockBit勒索软件狂潮中新的8名受害者 LockBit勒索软件团伙新发布的8名受害者来自世界各地,其中包括总部位于英国的Zaun(生产金属栅栏)、位于迪拜的DIFC法院(负责处理商业和一些民事纠纷)以及两家律师事务所:总部位于曼谷的Siam Premier和瑞典的Luterkort,后者自称是马尔默历史最悠久的律师事务所。
Zaun Limited(英国) Roxcel Trading(奥地利) St Mary’s School(南非) MEAF Machines(奥地利) Max Rappenglitz(德国) Siam Premier(泰国) Luterkort Advokatbyrå(瑞典) Majan(阿联酋) DIFC Courts(阿联酋) LockBit #ransomware group has added 8 victims to their #darkweb portal:
– Zaun Limited🇬🇧
– Roxcel Trading 🇦🇹
– St Mary's School 🇿🇦
– MEAF Machines 🇦🇹
– Max Rappenglitz 🇩🇪
– Siam Premier 🇹🇭
– Luterkort Advokatbyrå 🇸🇪
– Majan 🇦🇪
– DIFC Courts 🇦🇪#DeepWeb #CybeRisk #CTI pic.
近期,西方执法部门加大了针对匿名托管服务、DDoS攻击服务等网络犯罪源头的打击力度。“暗网下/AWX”注意到,多家存在了许久的大型网站或者平台服务已经被国际执法合作摧毁。
美国当局取缔防弹托管提供商Lolek Hosted 著名的防弹(bulletproof)托管平台Lolek Hosted已被美国和波兰警方关闭,以限制欺诈者使用支持匿名在线行为的工具。
该行动逮捕了五人,并没收了涉嫌为Netwalker勒索软件攻击和其他恶意活动提供便利的服务器。此次行动是美国当局在过去几年中积极努力阻止防弹托管服务运营的结果,这些努力基本上取得了成功,其中包括对这些平台的重要运营商判入狱等重大成功。
Lolek将自己宣传为“100% 隐私托管”服务,并实行无日志政策,这意味着他们不会在其服务器或路由器上记录任何可能用于指控客户的活动。
Lolek平台为黑客提供了匿名性,并经常用于恶意活动,例如恶意软件分发和协助网络攻击。
联邦调查局和美国国税局早在周二就在Hosted网站(lolekhosted[.]net)上展示了一条扣押横幅。
横幅上写着:“该域名已被联邦调查局和国税局刑事调查局扣押,作为针对Lolek Hosted采取的协调执法行动的一部分。”
Lolek Hosted的历史 自2009年以来,Lolek Hosted是一家知名的防弹托管服务商,总部位于英国,数据中心位于欧洲。Lolek是暗网上的一个热门供应商,在有关匿名托管服务的报道中经常提到该网站。
该服务将自己定位为臭名昭著的CyberBunker服务的竞争对手,后者已于2019年关闭。
虽然承诺保护客户的身份安全,但该防弹托管提供商却对用户发布的内容视而不见。
这些企业因向犯罪分子出租IP地址、服务器和域名而臭名昭著,犯罪分子利用它们传播恶意软件、建立僵尸网络大军以及进行与欺诈和网络攻击相关的其他活动。
近年来美国当局一直在打击参与防弹托管服务的个人 近年来,美国执法部门一直致力于追查防弹托管公司的运营者,追究个人责任并处以严厉处罚。
美国司法部于今年6月判处39岁的Mihai Ionut Paunescu三年联邦监禁,罪名是他协助管理防弹托管公司PowerHost[.]ro。
爱沙尼亚30岁的帕维尔·斯塔西(Pavel Stassi)和立陶宛33岁的亚历山大·肖罗杜莫夫(Aleksandr Shorodumov)均因经营一家防弹托管公司、在2009年至2015年间协助对美国目标发动攻击而被判处两年以上监禁。
俄罗斯公民亚历山大·格里奇什金(Aleksandr Grichishkin)因创立和经营防弹托管业务而于2021年被判五年徒刑。
伊利诺伊州一名33岁的居民也因拥有和运营DDoS 促进网站DownThem.org和AmpNode.com而被判入狱,这两个网站还为用户提供防弹服务器托管。
该打击行动更多内幕被欧洲刑警组织和美国司法部公开 虽然联邦调查局和美国国税局本周早些时候拒绝就调查发表评论,但欧洲刑警组织和司法部宣布查获 Lolek,并在波兰逮捕了五名管理员。
“本周,波兰中央网络犯罪局(Centralne Biuro Zwalczania Cyberprzestępczości)在卡托维兹地区检察官办公室(Prokuratura Regionalna w Katowicach)的监督下对LolekHosted.net采取了行动,这是犯罪分子用来发动网络攻击的防弹托管服务世界各地。”欧洲刑警组织的公告中写道。
“五名管理员被捕,所有服务器被查封,LolekHosted.net网站已无法使用。”
欧洲刑警组织表示,Lolek被抓获是因为网络犯罪分子利用其服务器发起DDoS攻击、分发信息窃取恶意软件、托管命令和控制服务器、托管虚假在线商店以及开展垃圾邮件活动。
接着,美国司法部的一份公告揭示了警方行动的更多信息,该公告称,一位名叫Artur Karol Grabowski的波兰人昨天因运营LolekHosted而受到指控。
虽然尚不清楚Grabowski是否是在波兰被捕的管理员之一,但司法部表示,他允许客户使用假名注册、频繁更改服务器IP地址以及通知客户进行法律咨询,从而促进了网络犯罪。
Lolek托管服务被Netwalker勒索软件团伙使用 美国司法部还表示,Grabowski涉嫌协助现已中断的名为Netwalker的勒索软件业务,其在攻击中租用了50多次服务器,用于入侵网络并存储窃取的数据和黑客工具。
DOJ 声明中写道:“LolekHosted的客户利用其服务对包括佛罗里达州中区在内的世界各地的受害者实施了约50次NetWalker勒索软件攻击。”
“具体来说,客户利用LolekHosted的服务器作为中介,在未经授权的情况下访问受害者网络,并存储从受害者处窃取的黑客工具和数据。”
执法部门于8月8日在FBI和IRS牵头的行动中扣押了这家防弹托管提供商的服务器,欧洲刑警组织提供支持,将可用数据与欧盟境内外的各种刑事案件联系起来,并追踪加密货币交易。
Grabowski现在面临共谋计算机欺诈、共谋电信欺诈和国际洗钱的指控,如果全部罪名成立,可能会被判处45年监禁。
Telegram中著名的DDoS频道DDoS Empire被FBI取缔 8月5日,一家名为”DDoS Empire“的大型DDoS攻击雇佣服务提供商的Telegram频道宣布,其网站与频道被联邦调查局与欧洲刑警组织的联合行动中被接管。
联邦调查局更改了该频道的名称(It was seized by the FBI and the European police force.)和形象(FBI的logo)。
近日,臭名昭著的BreachForums(又名Breached)黑客论坛的所有者康纳·布莱恩·菲茨帕特里克(Conor Brian Fitzpatrick),更广为人知的名字是其论坛上的昵称”Pompompurin“或者Twitter昵称”Pom“,已承认犯有黑客行为和持有儿童色情制品的指控。
7月13日启封的法庭文件写道:”BreachForums是一个非法市场,其成员可以在其中招揽、出售、购买和交易被黑客入侵或被盗的数据和其他违禁品,包括被盗的接入设备、实施网络犯罪的工具、被泄露的数据库以及其他未经授权访问受害者系统的服务。“
今年3月份,菲茨帕特里克在纽约皮克斯基尔被捕期间,这位20岁的年轻人在没有法律代表的情况下向执法部门承认他被称为“Pompompurin”,并且是BreachForums的所有者。根据执法部门掌握的所有证据以及他本人的供述,“Pom”很可能会认罪,希望能减轻一些指控或量刑。
被捕五天后,另一个论坛管理员Baphomet关闭了该网站,因为怀疑联邦特工已经获得了服务器的访问权限。
在菲茨帕特里克受审当天发布的新法庭文件中,联邦调查局证实他们可以访问BreachForums的数据库。
美国执法部门于6月23日查封了BreachForums的明网域名breached.vc和被告的个人域名pompur.in。
Pompompurin Pompompurin是地下网络犯罪组织中的知名人物,该组织专注于公开泄露或出售从各公司被黑客攻击的网络中窃取的数据。
2022年RaidForums被取缔后,他创立了一个替代品BreachForums(也称为Breached),该论坛成为一个新的著名的数据泄露中心。
该论坛一度声称拥有超过34万名会员,勒索软件团伙和其他试图在网上泄露被盗数据的威胁行为者经常光顾该论坛。
被控三项罪名 菲茨帕特里克被捕时,只有一项指控:共谋实施接入设备欺诈,但有些事情并没有像预测的那样发展。经控辩双方同意,菲茨帕特里克的起诉书被推迟到5月15日,据报道,菲茨帕特里克企图自杀并被送往医院后,起诉书被进一步推迟。
2023年7月13日,法庭举行听证会,菲茨帕特里克现在被控三项罪名,分别是:
18 USC § 1029(b)(2) 和 3559(g)(1) :共谋实施访问设备欺诈; 18 USC § 1029(a)(6) 和 2 :访问设备欺诈 – 未经授权的请求访问; 18 USC § 2252(a)(4)(B) 和 (b)(2) :持有儿童色情制品。 菲茨帕特里克放弃起诉并承认所有三项罪名。同时还公布了一份事实陈述书。
起诉书称,在Pompompurin中发现了600多张包含儿童色情内容的照片和视频,其中至少有一个视频的主角是12岁以下的未成年人。法庭文件将这些令人不安的内容描述为“描述青春期前未成年人和未满12岁的未成年人从事露骨性行为的视频”。
可能的刑罚 根据菲茨帕特里克认罪的条款,欺诈和勒索罪的最高刑罚各为10年监禁,儿童色情罪最高可判处20年监禁。此外,每项指控都包括对犯罪者施加的各种赔偿。因此,菲茨帕特里克可能的最高刑罚是40年监禁,罚款75万美元,并被监督释放5年至终身监禁。
据了解,菲茨帕特里克同意的部分内容是支付赔偿金,菲茨帕特里克同意支付至少70万美元。他还将被没收认罪协议中列出的设备和他拥有的众多域名。最终判决将于2023年11月17日作出。
目前菲茨帕特里克仍逍遥法外,仍像被捕后一样,缴纳30万美元的保释金,但现在受到的限制比以前更多。他被禁止使用互联网,在自杀未遂后,他的许多计算机活动也受到限制。