在早些年,信用卡欺诈论坛是网络犯罪最活跃的聚集地,向任何有钱人出售打包的被盗信用卡数据。但那只是过去的事情了,现在出现的最多的是在暗网上发现被盗密码和账户凭证、钓鱼漏洞工具包和恶意软件即服务平台等交易。
但这并不是说信用卡欺诈已经消失,“暗网下/AWX”近日获悉,一个名为B1ack’s Stash的暗网论坛刚刚免费赠送了100多万张被盗信用卡。专家推测,B1ack’s Stash论坛将免费发放卡片作为一种营销策略,决定发放免费样品旨在吸引新客户并在网络犯罪生态系统中获得知名度。
暗网论坛上免费发放被盗信用卡 D3Lab威胁情报主管Andrea Draghetti在2月21日发布的一份报告中透露,一家名为B1ack’s Stash的知名非法暗网市场和信用卡欺诈网站向其用户免费赠送了超过100万张被盗信用卡。该论坛管理员在一篇主题帖中宣布了本次数据泄露事件,声称泄露了一批由400万张免费信用卡组成的数据。
2月19日,暗网论坛B1ack’s Stash上发布了“包含超过100万张独特信用卡和借记卡的大量敏感数据”,实际上传了6个档案,共包含1,018,014张信用卡数据,其中,192,174张由欧洲金融机构发行。
据了解,这些信用卡数据包括高度敏感的信息,例如相关信用卡的主PAN(主账号)、到期日期、信用卡验证值CVV2以及安全码。但这还不是全部;还有持卡人的详细信息,例如他们的全名、地址、出生日期和电话号码以及电子邮件地址。该数据包含了几乎所有进行信用卡欺诈或针对持卡人发起网络钓鱼攻击所需的信息。
信用卡信息被盗用并被用作营销工具 “分析表明,这些数据很可能是使用网络窃取技术窃取的,”Draghetti表示,“这种方法涉及将恶意JavaScript代码插入受感染的电子商务支付页面,实时拦截用户输入的敏感数据。”被盗卡本身按类型(信用卡或借记卡)进行组织,并根据发卡银行和原产国进行进一步索引。“转储还包括磁条数据,允许犯罪分子创建物理卡克隆,”Draghetti警告说。
报告总结道:“网络盗窃仍然是电子商务平台和信用卡持有者面临的最普遍的威胁之一。”
这并不是犯罪企业第一次以这种方式传播被盗数据。“暗网下/AWX”曾经报道,被盗信用卡交易网站BidenCash之前曾使用过此类促销活动,向更广泛的犯罪受众推广该暗网市场。
因此人们普遍认为,这次发布信用卡数据,是为了吸引新用户加入B1ack’s Stash犯罪论坛。“在最初的免费发布之后,”Draghetti说,“还有更多的信用卡可供购买,每张售价通常约为25美元。”
地下信用卡交易市场正在茁壮发展 地下信用卡交易市场是网络犯罪生态系统的重要组成部分,它们为支付卡数据的买卖提供便利。曾经最受欢迎的信用卡交易网站之一是Joker Stash,其运营者选择于2021年2月退休,关闭了服务器并销毁了备份。报道称,Joker Stash的管理员通过其犯罪活动积累了价值10亿美元的比特币。
其后,信用卡欺诈网站如”Ferum Shop“、”UAS“和”Trump Dump“等在地下暗网市场中逐渐流行起来。
“BidenCash”于2022年4月推出,被认为是一家低调的信用卡商店。本站(anwangxia.com)多次报道,其运营者定期免费发布新鲜转储和促销批次的能力迅速提高了它的知名度。
2022年6月, BidenCash在一个网络犯罪论坛上发布了2019年至2022年期间超过790万张支付卡数据。然而,这些数据仅包含6581条泄露信用卡号的记录。
据美国哥伦比亚特区检察官办公室发布的新闻稿称,一对拉斯维加斯夫妇因参与“长期复杂的贩毒阴谋”而在全国范围内分销“药品级”麻醉药丸,将被判入联邦监狱。
消息称,内华达州拉斯维加斯的两名嫌疑人,现年47岁的鲁尚·拉瓦尔·里德(Rushan Lavar Reed)和28 岁的塞莱斯特·尼科尔·里德(Celeste Nicole Reed),近日被美国地方法院判处51个月和37个月的联邦监禁,罪名是参与长期复杂的贩毒阴谋,在7个在线暗网市场非法分销“药房级而非自制压制药丸”。法官还命令这对夫妇在服刑后接受三年的监督释放。
宣布判决的人员包括美国检察官爱德华·R·马丁(Edward R. Martin)、美国邮政检查局华盛顿分局主管督察达蒙·E·伍德(Damon E. Wood)、美国邮政检查局菲尼克斯分局主管督察格伦·亨德森(Glen Henderson)、联邦调查局拉斯维加斯办事处代理特别探员杰里米·施瓦茨(Jeremy Schwartz)以及联邦调查局华盛顿分局刑事和网络分局特别主管肖恩·瑞安(Sean Ryan)宣布了上述判决。
新闻稿称,这两名嫌疑人使用化名“DoubleR”和“Calileone”,在7个网上暗网市场上贩卖羟可酮、氢可酮、安非他明以及其他毒品,并使用加密货币洗钱,以使贩毒活动难以追踪。
2024年10月22日,Rushan Reed(化名“DoubleR”)和Celeste Reed(化名“Calileone”)对合谋贩卖羟可酮、氢可酮和安非他明的罪名供认不讳。除了监禁之外,美国地方法院法官卡尔·尼科尔斯(Carl J. Nichols)还命令这对夫妇接受三年的监督释放。
根据法庭文件,这对夫妇经营了一家名为“MrsFeelGood”的暗网商店(作为暗网交易市场的供应商)长达六年,在美国各地(包括哥伦比亚特区)非法分销各种毒品。他们使用的暗网市场包括Monopoly、Versus、ASAP、AlphaBay、Wall Street、Archetyp、Bohemia、Empire、Dream和White House。除了羟考酮、氢可酮和安非他明外,他们还销售和分销MDMA、可待因、Vyvanse、Dilaudid和大麻。在暗网上运营使里德夫妇能够隐藏身份、隐藏计算机位置并隐藏非法销售。此外,他们使用加密货币洗钱,以便难以追踪贩毒的非法收益。
2023年10月11日,执法部门在这对夫妇位于拉斯维加斯的家中执行了逮捕令,逮捕了他们两人。警察发现了以下物品:处方药瓶中的多粒药丸、包装材料;手套;黑色密封袋;以及写有被告和其他未受指控的同谋者姓名的空处方药瓶。警察还发现了各种电子设备和一把AR-15枪支。这台笔记本电脑被设置为使用旨在访问暗网并防止监视的操作系统。
该案件由联邦调查局华盛顿外地办事处、联邦调查局拉斯维加斯外地办事处、美国情报局华盛顿分部和美国情报局菲尼克斯分部负责调查。
该案件由美国助理检察官彼得·罗曼(Peter V. Roman)负责起诉,并得到了美国特别助理检察官伊莎贝尔·孙(Isabelle Sun)、前美国特别助理检察官加里·克罗斯比(Gary Crosby)和前美国助理检察官安迪·王(Andy Wang)的宝贵协助。
Dread是暗网最大的英文论坛,也是暗网最大最活跃的论坛,也是暗网存活时间较长的论坛。2月15日,Dread管理员HugBunter发布带有PGP签名的公告,庆祝Dread论坛的7周岁生日。
“暗网下/AWX”多次介绍,Dread是一个类似Reddit的暗网论坛,主要发布有关暗网市场的新闻和讨论。该暗网论坛由HugBunter于2018年初开发,并于2018年2月15日推出,长期以来,该论坛有2名管理员,分别使用化名Paris和HugBunter。Dread论坛参考Reddit样式进行开发,并在开发时充分考虑了隐私性和可用性。任何用户都可以申请创建自己的子版块,从而成为版主;版主控制允许发布哪些类型的帖子,如果他们认为用户违反了规则,他们可以禁止他们访问自己的版块。
Dread论坛的暗网V3地址是:
http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
HugBunter发布的公告标题为“Dread生日快乐!整整七年!”,在公告中,该管理员表示,简直不敢相信,7年过去了,Dread仍然坚挺地站在这里。从他开发的一个小项目开始,Dread论坛成为了有史以来最大的暗网论坛,虽然前几年Dread经历了重重困难,但依旧能继续为暗网社区提供重要的服务。
HugBunter在公告中感谢所有Dread的工作人员、子论坛版主和用户,称是大家的支持让Dread论坛在每年面临最困难的问题时仍能保持正常运转。
HugBunter称,这篇公告写得很短,因为他比较忙,本来有很多计划要完成,但被本周的服务器问题和其他事情耽搁了。HugBunter请大家拭目以待,表示接下来会有很多令人兴奋的事情发生,这些事情将极大地改善这个平台,这将是其多年来所做的最大一次更新,将涵盖大家所关心的很多问题,对论坛质量的改善将是巨大的。
HugBunter最后再次感谢所有人的努力,让这个平台有了今天,感谢用户一直以来的支持,并提醒大家“注意安全”!
Dread论坛深受暗网网民欢迎最大的原因是Tor网络的匿名性,许多热门子版块都涉及非法或其他有争议的话题,网络犯罪分子确实会在某些子版块中讨论他们的活动。但Dread论坛其实也有许多无害的子版块,比如关于如何从事金融投资的子版块,还比如关于流行视频游戏的子版块。正如本站(anwangxia.com)总结,Dread暗网论坛是一个基于Tor网络的真正言论自由的平台。
HugBunter在公告中提到的重重困难,大概是指,在2022年到2023年期间,网络黑客利用Tor协议漏洞,针对Dread论坛和其他暗网市场发起了大规模拒绝服务攻击(DDoS),当时“暗网下/AWX”持续进行了跟进,并多次报道了Dread论坛的关站以及升级防护的措施直至成功回归。Dread论坛经过重新开发,变得更加稳定,主界面和UI完全重新设计,提供了更大的灵活性,于是深受暗网用户的欢迎。
在公告的回复中,许多用户都在庆祝Dread的7周岁生日,祝福Dread可以继续服务更多年,同时感谢管理员Paris和HugBunter的努力,希望再接再厉。对于Dread未来的发展,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
尽管本站(anwangxia.com)在2024年底再再再次曝光了中文暗网里最恶名昭彰的诈骗网站——“华人自己的暗网担保交易市场”,然而在春节期间又又又有数人被其诈骗。经“暗网下/AWX”再次确认,该暗网诈骗网站最新使用了蛇年春节的新话术,于是又成功诈骗了多起。
多年来,针对该诈骗网站,“暗网下/AWX”已经曝光过8次,该暗网诈骗网站的曾用名是:“正版中文担保交易市场”,后由于被本站多次曝光,改成新名称:“华人自己的暗网担保交易市场”。
诈骗网站“华人自己的暗网担保交易市场”近期没有更换域名,依旧使用上次本站曝光的暗网V3域名:
http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion
“暗网下/AWX”曾多次预警,该暗网诈骗网站的提供的所有品目:“百万美元(视频认证)”、“支付宝安全转账”、“英国一手卡料出售CVV”、“超低价格卖BTC钱包”、“IPHONE手机低价批发店”、“华为系列产品专卖店”等等都是管理员自己添加的虚假商品,所有项目都是假的,所有的商品评价也都是管理员自己添加的,均是假的。只有傻乎傻乎相信该诈骗网站的受害者才是真的,一旦转了账,BTC不可能被追回来。
网友“Sim Haha”在“暗网下/AWX”的官方Telegram群组里询问该网站是否是假的,并表示已经充了30USD交了学费,幻想其会发货,立即有热心群友告诉他这是诈骗网站,已经存在好多年了。此外,有网友“Rich Man”在Facebook中咨询,被“华人自己的暗网担保交易市场”诈骗了,是否可以把钱追回来。
在这里,“暗网下/AWX”再次明确一下,骗子是不可能主动退钱的,哪怕被警方逮捕,因此转出的钱没有找回。但是,可以通过向API接口提供方进行举报的方法来举报该骗子,骗子使用了两个网站的收款接口服务:Blockonomics、Coinbase。
为什么该诈骗网站从元旦到过年期间的成功率比较高?
网友们在群里称,该网站近期的话术又有了新的升级。骗子添加了时间从2024年12月22日到2025年1月10日的一系列话术:“第一场群聊会情况展示”、“卖家在线群聊会第2场(支付宝转账alitransfer)”、“卖家在线群聊会第2期截图展示”、“卖家群聊会第3场(Btc高价收购Btcbuyer)”、“第4场群聊会(3天赚15%BTC的oakmont)”、“群聊会第4场截图展示”、“群聊会第5场Iphonesale(iphone批发店)”、“卖家群聊会第6场(BTC交易所转账nikoqian)”,非常逼真的8篇话术,让受害者以为这是官方搞的真实活动,增加了信任度。
骗子精心设计了虚假的聊天截图,明眼人看来一眼识别出诈骗,这么粗陋的手法却蒙蔽了很多人的双眼:
并且过年前,该诈骗网站又换上了“蛇年大吉”的丑陋Banner,并推出了蛇年春节活动的话术:“蛇年春节回馈活动”,内容为:
又是新的一年,大家所期待的优惠活动开始咯!
具体方案:
1、活动期间:见到本文字起-2025年2月12日24:00(北京时间)
2、凡在活动期间累计交易金额达到3000美元(含)以上者,(不论新老用户均可,平台内所有交易均可)获得活动期间内累计交易金额的6%的现金返现,活动结束后3日内打入平台钱包内,请满足条件的用户在2月25日24点前编辑交易记录的文字发送到站内邮箱admincn即可,我们会进行统计。
3、新用户交易红包:凡在活动期间内单次交易达到2500美元以上的新用户,将获得188美元返现红包一个,发放方式同上。新用户是指在2024年11月20日以后注册的用户,无论本活动之前是否有交易记录。老用户禁止参加此项活动,如发现有老用户新注册账号冒充新用户参与,将受到停止交易一个月的处罚。本活动与上一条活动可同时参与。
4、老用户红包:凡在2024年6月以后交易笔数达到5次以上者, 且活动期间内再有任意一笔超过500美元的交易,均可获得368美元的红包。发放方式同上。与第2条活动可同时参与。
5、本次新春活动与幸运大转盘优惠可叠加。
6、本站春节无休,网站24小时一直都会有人值班,商铺如果不营业的卖家会写出说明,没有说明的就是正常营业。根据目前卖家的回馈及往年的情况,所有店铺都将持续营业。
以上两个活动交相呼应,于是上当受骗的小白越来越多。针对该诈骗网站的曝光仍将继续,“暗网下/AWX”还将研究其引流的路径,正确为更多暗网小白挽回损失。
更多暗网新闻动态,请关注“暗网下/AWX”。
近日,持续威胁暴露管理公司Searchlight Cyber发布了其关于暗网勒索软件趋势的年度报告《同样的游戏,新的玩家:2025年的勒索软件》。Searchlight Cyber是暗网情报行业的知名企业,其研究具有很强的指导意义,该年度报告追踪了勒索软件领域“主要参与者”遭受的重大破坏、暗网上新勒索软件团体的增加以及列出的勒索软件受害者的增加。
Searchlight Cyber的研究报告对2024年勒索软件的发展进行了总结,主要发现包括:
2024年共有94个勒索软件团伙列出受害者(比2023年增加38%),其中观察到49个新团伙,这反映出勒索软件形势进一步复杂化。 2024年勒索软件团伙的暗网泄密网站上发布的受害者总数(5728)与2023年(5081)相比增加了11%。 去年,欧盟和英国等国家地区执法部门领导的“克罗诺斯行动”(“暗网下/AWX“曾报道,国际联合执法严重打击了LockBit勒索软件团伙),导致LockBit的受害者产量减半,LockBit的受害者数量在2024年下降到494个,不到2023年的一半。此后RansomHub已取代LockBit成为头号勒索软件团伙,其在2024年发布了611名受害者。
报告显示,2024年最活跃的五个勒索软件团伙分别是RansomHub、LockBit、Play、Akira和Hunters International,这代表了勒索软件格局的重大变化。在这五个团伙中,只有LockBit活跃了三年以上,而今年最活跃的团伙RansomHub于2024年2月才出现。与此同时,BlackCat和Cl0p等主要团伙(2023年分别排名第二和第三)跌出了排名。
该报告包含五大勒索软件团伙的概况,以及对过去12个月勒索软件等级变化的分析。例如,RansomHub可能是一个新的勒索软件“品牌”,但实际上它与Knight、BlackCat和LockBit等其他勒索软件团伙有联系。这种勒索血统,加上其“联盟友好型”勒索软件即服务(RaaS)模式,或许可以解释它为何如此迅速地崛起。
过去一年中观察到的另一个显著变化是出现了具有政治动机的团伙,这些黑客组织除了采用网络钓鱼、篡改和部署恶意软件等常用方法外,还将勒索软件作为一种新战术。
报告称,这一新趋势模糊了网络犯罪和网络战争之间的界限,要求企业在威胁评估中考虑另一个维度。现在,除了监控出于经济动机的行为者之外,安全团队可能还需要扩大他们的对手名单,将那些可能出于意识形态原因而针对他们的行为者也纳入其中。
Searchlight Cyber威胁情报主管Luke Donovan表示:
这份报告的主要结论是,我们将在2025年迎来一个更加繁忙和复杂的勒索软件生态系统。虽然我们观察到一些最大的勒索软件团体受到干扰,但一些较小的参与者也纷纷涌入,这给不断尝试评估和准备应对新兴威胁的安全团队带来了挑战。
在这个日益繁忙的环境中,企业积极应用威胁情报来指导防御变得更加重要。首先,找出这些团伙运作方式的共同点,并为最常见的攻击技术做好准备。其次,根据他们的活动和受害者情况,帮助他们将对手缩小到他们最有可能面对的四五个团伙。
根据欧洲刑警组织的公告,FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站,逮捕4名嫌疑人。
现在,访问勒索软件团伙8Base的暗网泄密网站,会看到一条扣押横幅,上面写着:“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托,查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。
通过此次行动,执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心,两周前,臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕,去年8月,FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。
4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道,此次逮捕行动在泰国普吉岛进行,目标是疑似是Phobos勒索软件团伙成员,该恶意软件家族与8Base的运营有关。
周一,四名勒索软件团伙的头目(两男两女)在四个不同地点被捕,这些头目均为俄罗斯公民,他们涉嫌部署Phobos勒索软件变种8Base,向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布,但泰国网络犯罪调查局称,瑞士和美国当局已向他们发出了逮捕令。
泰国警方表示,警方在普吉岛的四个地点进行了突袭,并补充说,嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道,警方还收到了国际刑警组织的逮捕令,这四人被指控对17家瑞士公司进行了网络攻击,并使用加密货币混合服务清洗勒索来的资金。
据称,当局已缴获40多件证据,包括手机、笔记本电脑和数字钱包。与此同时,与犯罪网络相关的27台服务器被关闭。
8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动,最初规模较小,表明其处于发展阶段。到2023年初,该团伙以目前的形式出现,并迅速发展其策略。2023年5月,8Base采用了多重勒索模式,加密数据并威胁除非支付赎金,否则泄露数据。他们还推出了暗网泄密网站,用一个基于Tor网络的受害者博客来发布被盗数据。
到2023年中期,该团伙的活动急剧增加,针对各个行业的团伙,成为主要的双重勒索行为者。据称,该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外,该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。
分析师认为,8Base使用的是Phobos勒索软件的修改版本,该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中,VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。
该团伙的影响是全球性的,美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠,特别是在赎金记录和暗网基础设施方面。
此前,针对Phobos勒索软件,警方已逮捕了一系列影响深远的嫌疑人:
2024年6月,Phobos的一名俄罗斯籍管理员(Evgenii Ptitsyn)在韩国被捕,并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉,这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月,该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年,Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕,这进一步削弱了该勒索软件背后的网络。 Phobos:一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现,是一种长期存在的网络犯罪工具,经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同,Phobos依赖于对中小型企业进行大规模攻击,而这些企业通常缺乏网络安全防御来保护自己。
它的勒索软件即服务(RaaS)模式让一系列犯罪分子(从个人分支机构到8Base等结构化犯罪集团)都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动,从而进一步助长了其广泛使用。
8Base利用Phobos的基础设施开发了自己的勒索软件变种,利用其加密和交付机制来定制攻击,以达到最大效果。该组织在双重勒索策略方面尤其激进,不仅加密受害者的数据,还威胁要公布被盗信息,除非支付赎金。
欧洲刑警组织的协调作用 由于执法工作横跨多个大洲,欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来,欧洲刑警组织的欧洲网络犯罪中心(EC3)一直为调查提供支持,并:
汇集平行调查的情报,确保针对Phobos和8Base的执法机构能够汇总他们的调查结果,并有效协调逮捕行动。 组织了37场行动会议和技术冲刺,以获得关键调查线索。 提供分析、加密追踪和取证专业知识来,为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组(J-CAT)内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息,使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议,协助跨境司法合作,并对所有相关当局的未决请求提供支持。
这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持,涉及14个国家的执法机构。目前,已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局(NCA)、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos,而另一些国家则针对8Base,有几个国家同时参与了这两个行动。
欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用,使当局能够通过协调行动,击落两个勒索软件网络的关键参与者。
以下部门参与了调查:
比利时:联邦警察(Federale Politie / Police Fédérale) 捷克:捷克共和国警察(Policie České republiky) 法国:巴黎网络犯罪小组 (Brigade de lutte contre la cybercriminalité de Paris – BL2C)、巴黎法院 – 国家打击有组织犯罪司法管辖区 (Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO) 德国:巴伐利亚州刑事警察局 (Bayerisches Landescriminalamt – LKA Bayern)、巴伐利亚网络犯罪起诉中央办公室 (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) 日本:警察厅(警察庁) 波兰:中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 罗马尼亚:罗马尼亚警察 (Polişia Română) 新加坡:新加坡警察部队网络犯罪指挥部 西班牙:国民警卫队 瑞典:瑞典警察局(Polisen) 瑞士:瑞士总检察长办公室 (OAG)、联邦警察局 (fedpol) 泰国:网络犯罪调查局(CCIB) 英国:国家犯罪局(NCA) 美国:美国司法部(US DOJ)、联邦调查局(FBI – 巴尔的摩外地办事处)、美国国防部网络犯罪中心(DC3)
近期,美国司法部(DoJ)与国际执法部门合作,打击暗网网络犯罪论坛,并开展了两项行动,捣毁了与全球数百万受害者遭受攻击有关的地下市场。然而,目前尚不清楚这些努力的长期效果如何。
警方捣毁HeartSender网络犯罪市场网络 在第一次行动中,美国司法部与荷兰国家警察局协调,查获了巴基斯坦网络钓鱼团伙HeartSender使用的39个域名和相关服务器。
根据美国司法部1月31日的公告,HeartSender也被称为Saim Raza和Manipulators Team,自2020年开始运营,一直运营在线网络犯罪市场,通过地下网站网络向“跨国有组织犯罪集团”出售黑客和欺诈工具,如网络钓鱼工具包、恶意软件和垃圾邮件服务,购买这些工具的网络犯罪分子则负责全球商业电子邮件入侵(BEC)攻击和其他恶意诈骗。
司法部在声明中表示:“Saim Raza 不仅在开放的互联网上广泛传播这些工具,还通过链接到YouTube上的教学视频来向最终用户介绍如何使用这些恶意程序实施攻击,培训最终用户如何使用这些工具对付受害者,让缺乏技术犯罪专业知识的犯罪分子也能使用这些工具。”“该组织还宣传其工具‘完全无法被反垃圾邮件软件检测到’。”
司法部称,HeartSender仅在美国就给受害者造成了超过300万美元的损失,此外HeartSender还拥有全球数百万被盗的数据。
“cracked[.]io”和“nulled[.]to”暗网论坛被摧毁和消灭 在另一项行动中,美国司法部参与了“Operation Talent”行动,这是一项由欧洲刑警组织支持的国际行动,旨在摧毁Cracked(cracked[.]io)与Nulled(nulled[.]to)论坛。这些论坛与针对至少1700万美国受害者的网络犯罪有关。
在意大利、西班牙、法国、希腊、澳大利亚和罗马尼亚等多个国家的合作下,这项国际执法行动关闭了许多黑客论坛和社区,包括 cracked[.]io、nulled[.]to和其他一些论坛和社区。 这些域名以及sellix[.]io、cracked[.]to、starkRDP[.]io和mySellix[.]io都是在线论坛和社区,主要分享与黑客、破解工具、教程和泄露内容相关的信息。这些平台还讨论破解工具、黑客教程、泄露内容(例如电子书和各种操作系统的应用程序)和特定于编码语言的主题,并且它们还是恶意软件和漏洞等非法产品的市场。
据美国司法部称,Cracked论坛于2018年出现,拥有400万用户以及超过1800万条帖子,收入400万美元,并在其存在期间托管了超过2800万条网络犯罪广告。
正如其名称所示,Cracked论坛上提供的一项服务为用户提供了密码搜索工具,用于查找数百万个帐户和服务的被盗凭据。在一个案例中,据称一名跟踪者在使用该服务侵入纽约州布法罗地区的一名女性的其中一个帐户并获取敏感资料后,对其进行了性勒索和性骚扰。
Cracked论坛的工作人员在其Telegram频道上确认了此次扣押,承认该域名是在“Operation Talent”下被没收的。他们表示不确定此次行动背后的具体原因,并表示正在等待数据中心和域名托管商的官方法庭文件。他们将此次事件描述为“我们社区的悲伤之日”。
与此同时,Nulled网站域名被查封,其管理员之一、现居西班牙的阿根廷人Lucas Sohn也遭指控。Nulled自2016年成立以来,拥有500万用户,每年收入100万美元,并列出了超过4300万条。
美国司法部称,Nulled专门销售被盗登录凭证、被盗身份证件和黑客工具。如果罪名成立,Sohn将因串谋贩卖密码而面临最高5年监禁,因访问设备欺诈而面临最高10年监禁,因身份欺诈而面临最高15年监禁。
芬兰海关在周五的新闻稿中表示,数人因涉嫌维护暗网毒品交易市场“Sipulitie Market”或参与该网站的客户服务和管理而被拘留。Sipulitie市场匿名贩卖麻醉品、毒品和其他药品以及兴奋剂。
芬兰海关(当地称为Tulli)与瑞典警方、欧洲刑警组织和芬兰各警察部门进行了广泛合作。在初步调查期间,数人因涉嫌维护该网站或参与该网站的客户服务和审核而被拘留。
“Sipulitie Market”,芬兰语意为“Onion Road”,是一个芬兰语暗网交易市场,自2023年初推出以来,一直在暗网社区掀起波澜。这个暗网市场主要面向芬兰语用户,以其强大的安全措施和友好的用户界面脱颖而出,深受芬兰语人群喜爱。去年10月,”暗网下/AWX“曾独家报道,“Sipultie Market”已被国际联合执法行动关闭。
据报道,初步调查仍在进行中,今年春天,该案件将被移交至西芬兰检察区考虑起诉。该刑事案件将在北卡累利阿地区法院审理。
芬兰当局去年查封暗网市场“Sipulitie Market” 2024年9月,芬兰海关关闭了自2023年以来一直在加密Tor网络上运行的Sipulitie暗网市场的网络服务器,并查封了服务器内容。该暗网交易市场用于匿名贩卖麻醉品、麻醉药品、药物和兴奋剂。
2024年秋,芬兰海关与瑞典警方合作查封了Sipulitie暗网市场的服务器并获取了服务器上存储的信息,包括源代码、数据库以及日志等。据分析,Sipulitie网站拥有超过17000个注册用户账户,其中150多个是供应商账户。
最新的调查发现了Sipulitie市场背后的犯罪嫌疑人 在海关查获的材料中,调查人员发现了该暗网市场用户之间发送的消息、支付交易详情、用户联系方式以及购买和销售数据。海关已确定了这些用户账户背后的几名嫌疑人,并已针对这些人展开毒品犯罪的初步调查。
在被扣押之前,该暗网市场的管理员公开表示Sipulitie的营业额为130万欧元,这与海关在初步调查中确定的数字相符。调查过程中,警方共追查到近一百万欧元的犯罪所得。其中一些已被扣押,一些则作为担保品被没收。
“海关网络犯罪调查员在调查此案时表现非常出色。我们能够有效干预并发现通过互联网匿名交易非法商品和物质的情况,”芬兰海关执法局局长汉努·辛科宁(Hannu Sinkkonen)表示。
一名居住在芬兰东部的男子被怀疑是Sipulitie暗网市场的管理员。该男子涉嫌三项严重毒品犯罪,涉及维护毒品网站。
在对嫌疑人的房屋搜查中,调查人员从嫌疑人身上查获了IT设备和加密货币材料等物品,以及价值约15万欧元的加密货币作为犯罪所得。为了保证安全,已要求没收嫌疑人价值超过50万欧元的资产。
“Sipulitie Market”的管理员招募在暗网市场上运营的卖家来帮助他进行客户服务并为他们的工作提供报酬。海关已经确定了这些人的身份。首先,他们招募了两名来自新地区(Uusimaa)的男子。在该暗网市场被关闭前几天,来自新地区和中芬兰的3人工作小组开始提供客户服务。该工作小组由2名男子和其中1名男子的母亲组成。
暗网上已不存在芬兰语的暗网市场 芬兰海关怀疑“Sipulitie Market”的管理员还管理着Sipulimarket和Tsätti销售网站,两者都是销售非法物质和毒品的暗网市场,“暗网下/AWX”前期报道,Sipulimarket是“Sipulitie Market”的前身。海关于2024年9月在关闭Sipulitie的同时也关闭了Tsätti网站。
Sipulimarket于2020年被海关关闭。Sipulitie被关闭后,在加密的Tor网络上不再有芬兰语的暗网毒品交易市场运营。
曾经风靡芬兰的Sipulitie市场的用户体验非常棒 “Sipulitie Market”暗网市场曾使用过的暗网V3域名是:
http://sipulifrfvh2zqzvivpubhafag722y4xf54l7fggsvai726ivz3y7gad.onion
由于界面直观,浏览Sipulitie市场非常轻松。该暗网市场上架的商品按类别组织有序,浏览和购买非常顺畅。此外,该暗网市场还强调购买流程和安全实践的透明度,从而增强用户信任。
该暗网市场的供应商可以选择接受XMR、BTC支付。供应商以EUR/USD/GBP/SEK法定货币设定产品价格,当用户下订单时,价格将根据当前XMR或BTC汇率转换为XMR或BTC。
最为重要的是,该暗网市场设计了强大的网站安全功能,Sipulitie市场通过多项措施优先考虑用户安全:
强制性双因素身份验证(2FA):对于供应商来说是必需的,对于买家来说是建议的。 PGP加密:确保买家和供应商之间的保密通信。 托管系统:资金将被保留直至买家确认收到货物,从而降低欺诈风险。
随着暗网在人们眼里越来越透明,越来越多的网友推崇马里亚纳网络(简称“马网”),认为马网比暗网更匿名、更安全、更私有。而经“暗网下/AWX”反复核实,马里亚纳网络的起源大多来自地下论坛的讨论,没有人真正访问过该网络或网站,这只是传说,或者一种假设,事实上并不存在,仅是道听途说的幻想而已。
传说中的马里亚纳网络是什么 马里亚纳网络的名字来自马里亚纳海沟,传言是互联网最深的部分。传说中的马里亚纳网络加密程度极高,几乎无法访问,因此长期以来马里亚纳网络只是一种猜测,有很多传言,“暗网下/AWX”发现有两种说法。
一种说法是,马里亚纳网络位于互联网八层中的第五层,可以通过具有软件架构的网络量子计算机进行访问,有全人类最黑暗的秘密,从梵蒂冈的秘密档案和情报机构的数据库到圣杯或亚特兰蒂斯的位置。但目前还不存在访问该网络所需的技术。
另一种说法是,马里亚纳网络的是暗网的一部分,一般而言暗网上的大多数内容都是正常的内容,但是也有一部分是黑暗、扭曲甚至反人类的内容,这部分内容可以归类为“马里亚纳网络”的内容。例如马里亚纳网络的内容包括FBI中期机密文件和档案、超级计算机和手册以及政府官员杀手。
马里亚纳网络是不了解暗网的人捏造的 目前最鲜明的证据是,马里亚纳网络只是那些不了解深网或暗网的人编造的胡言乱语,从来就没有确凿的证据证明它的存在。
当不了解暗网的人们想到暗网时,他会认为暗网都是非法活动、存在着大量网络钓鱼和诈骗、使用比特币进行交易。
实际上,就暗网而言,真正的暗网是由Tor、I2P、Freenet、ZeroNet和Blockstack等匿名网络以及许多较小的私人网络组成的。暗网的规模很小,暗网网站数量只有数万个。
暗网是指任何像网络一样工作但需要特殊软件或网络配置才能访问的网络的统称,其设计目的是保护隐私。暗网是在互联网内构建的覆盖网络,仍然是互联网的一部分,它需要专门为其制作的专用软件。暗网提供了额外的隐私和匿名性,这是用户在明网上无法获得的。
暗网网站的特点是使用软件对流量进行加密,使用户及其位置匿名。保护隐私的特性成为了暗网上非法活动如此普遍的原因:用户可以隐藏自己的身份;非法网站的所有者可以隐藏自己的位置;数据可以匿名传输。这意味着暗网充斥着非法毒品和枪支交易、色情和赌博。但暗网并非完全黑暗。政治告密者、活动家和记者也会使用暗网,他们可能会受到审查,如果被政府发现,可能会面临政治报复的风险。最值得注意的是,维基解密网站就在暗网上。
臭名昭著的暗网市场丝绸之路于2013年被联邦调查局关闭后,不懂暗网的人们觉得暗网实际上并不安全,有比暗网更安全的网络,马里亚纳网络就应运而生,成为人们茶余饭后的谈资。还有好事者制作了一个所谓的“信息图”,声称深网有层次,就像一座冰山,最下面的一层被称为马里亚纳网络。由于许多人误解了互联网以及暗网的运作方式,因此都把它当成真实的存在了。
有关马里亚纳网络的域名后缀并不存在 有人提供了一些域名,如.lll、.clos、.rdos或.loky域名,并表示这是访问马网网站的域名。经“暗网下/AWX”证实,首先互联网并不在这些顶级域名,其次大型暗网网络也不存在这些类似于.onion的域名。
也就是说,即使真有可以访问这些域名的网络,只有可能是私人解析的小网络,并非国际上认可的网络,更非马里亚纳网络。
如果有人提供听起来并不靠谱的软件,并告知能够访问这些所谓的“私人域名”,本站(anwangxia.com)真诚告诫,请远离它!因为基本上都是木马后门,为了盗窃或者诈骗用户的加密货币!
理想中马里亚纳网络的特性 虽然马里亚纳网络只是一个传说,但也是人们对现实中暗网不满意后诞生的一个新的理想追求。人们理想中的马里亚纳网络需要具备以下特性,希望有朝一日能够实现。
一是绝对的匿名性。人们希望马里亚纳网络可以为用户提供无限增强级别的隐私保护,远远超越目前暗网的匿名性。
二是绝对的安全性。人们希望马里亚纳网络可以为用户提供无限的加密存储与传输,远离主流监视和数据收集行为的安全通信和交易空间。
近日,知名网络安全情报研究者@vxdb曝光了臭名昭著的黑客USDoD的监狱预约文件,该文件泄露了该黑客的个人资料信息。本站(anwangxia.com)发现,USDoD于2024年10月16日被巴西当局逮捕。
USDoD对一系列针对大型跨国公司和美国政府实体的大胆数据泄露事件负责,该黑客长期在暗网Breachforums论坛以及俄语网络犯罪论坛XSS上发布其进行网络入侵后窃取的数据。USDoD是美国国防部的英文简称,该黑客将自己的暗网昵称设为“USDoD”是试图挑衅美国当局。
vxdb公布了USDoD在巴西监狱的预约文件 本月1日,安全研究人员@vxdb在X上发布了USDoD的监狱预约文件截图,并表示照片来自巴西警方,原文为葡萄牙语,他已经翻译为英文了。该截图展示了USDoD的姓名、生日、身份号等详细信息以及其正面及侧面照片。
@vxdb是X上知名的网络安全情报研究者,长期从事威胁情报、安全研究、网络犯罪等领域的研究。
USDoD于去年被巴西当局逮捕 2024年10月16日,USDoD在巴西米纳斯吉拉斯州首府贝洛奥里藏特被捕,这是警方在数据泄露行动中发出的搜查和扣押令以及预防性逮捕令的一部分,警方表示他因在网上攻击美国联邦调查局的InfraGard、空中客车、美国环境保护署(EPA)以及巴西联邦警察本身而被拘留。
2024年10月18日,巴西新闻媒体TV Globo率先报道了USDoD被捕的消息,称巴西联邦警察逮捕了一名来自贝洛奥里藏特的33岁男子。据TV Globo报道,USDoD因涉嫌窃取巴西联邦警察官员数据而遭到国内通缉。
TV Globo没有透露被捕男子的姓名,但葡萄牙科技新闻媒体Tecmundo于2024年8月发表了一份报告,称暗网上昵称为USDoD的嫌疑人是来自巴西米纳斯吉拉斯州的33岁Luan BG。Techmundo表示,在收到安全公司CrowdStrike制作的一份详细的非公开报告草稿后,他们才知道了这名黑客的真实身份。
在一份新闻稿中,巴西联邦警察称这名黑客于2024年10月16日星期三被捕,这是正在进行的网络犯罪打击行动“数据泄露行动”的一部分。当局已缴获了他的几台设备以进行进一步调查。警方表示:“接受调查的人将被指控犯有入侵计算机设备的罪行,并将因将获得的数据商业化而加重处罚。”
值得注意的是,USDoD一直保持匿名,直到2024年7月,他公开宣布从网络安全公司CrowdStrike抓取并泄露了一份10万行的入侵指标(IoC)列表。
此后,CrowdStrike开始追踪他的活动,并在一个月内成功发现了他的真实身份。该公司随后将这些信息分享给巴西当局,最终逮捕了他。
USDoD对多起引人注目的网络入侵事件负责 据悉,USDoD还使用过的黑客账号有“Equation Corp”和“NetSec”,据称是消费者数据经纪公司National Public Data被攻破的罪魁祸首,该入侵事件导致数百万美国人的社会安全号码和其他个人信息被泄露。
根据网络情报平台Intel 471的信息,NetSec于2022年2月22日在现已不复存在的暗网犯罪社区RaidForums论坛上发布了一个帖子,其中提供了659名巴西联邦警察的电子邮件地址和密码。
National Public Data是佛罗里达州的一家私人数据经纪商,该公司收集并出售相当一部分美国人口的SSN和联系数据。National Public Data的数据泄露事件导致29亿条记录被盗,其中包括姓名全名、家庭地址、出生日期、电话号码和社会安全号码。
“暗网下/AWX”曾报道,2024年8月,一名网络犯罪分子在暗网Breachforums论坛上以350万美元的价格出售从National Public Data窃取的社会安全号码和其他个人信息。被盗数据至少跨越了30年,并连同服务器凭证一起出售。
进一步的报道显示,National Public Data公司无意中在互联网上公布了自己的密码,从而被USDoD入侵。该公司目前已成为多起集体诉讼的目标,并已经因此次黑客攻击造成的数据泄露而宣布破产。
USDoD还被指控2023年入侵了空中客车公司系统,导致这家航空航天公司的3200家供应商的数据以与National Public Data类似的方式被泄露到网上。
此外,USDoD还声称对TransUnion发生的大规模数据盗窃事件负责,尽管该公司否认USDoD侵入了其系统,称此次攻击的目标是第三方,但并未透露第三方可能是谁。
巴西当局还表示,这名嫌疑人还入侵了FBI的InfraGard,这是美国执法部门用来分享关键威胁信息的门户网站。
2022年12月,USDoD通过社会工程学入侵了FBI的InfraGard计划,该计划是FBI的一项重要计划,旨在与私营部门经过审查的专业人士建立非正式的信息共享伙伴关系,以应对针对美国关键国家基础设施的网络和物理威胁。
USDoD曾以一家大型美国金融公司首席执行官的身份申请加入InfraGard。USDoD列出了这位首席执行官的真实手机号码,然而FBI并没有联系这位首席执行官来核实他的申请,便在几周后就批准了其申请。此后,USDoD使用一个简单的程序收集了80000多名InfraGard成员共享的所有联系信息。
USDoD多次接受外界采访 在接受KrebsOnSecurity采访时,USDoD承认在2024年早些时候窃取了National Public Data公司的内部数据,但他声称没有参与泄露或出售这些数据。
在2023年9月接受databreaches.net的一次长时间采访时,USDoD透露,他是一名30多岁的男子,出生于南美洲,拥有巴西和葡萄牙双重国籍。在那次采访结束时,USDoD表示,他们正计划推出一个从美国获取军事情报的平台。
USDoD自2023年的采访以来一直是Databreaches.net的常驻记者,在信息被曝光后,USDoD向当地一名律师进行了询问,以了解是否有针对他的未决调查或指控。
“根据律师从联邦警察那里了解到的情况,当时他们没有针对他的未结案件或指控,”Databreaches.net表示,“从他写给我的信和我们的谈话中,我的感觉是,他完全不知道自己即将面临被捕的危险。”
当KrebsOnSecurity于2024年8月15日最后一次通过Telegram与USDoD沟通时,他声称他“计划退休并继续前进”,指的是多家媒体报道指责USDoD泄露了近30亿份国家公共数据消费者记录。
然而,不到四天之后,USDoD又回到了他的常去之地BreachForums论坛,发布了他声称自己编写的自定义漏洞代码,用于攻击最近修补的流行博客建站网站WordPress中的漏洞。