“暗网下/AWX”去年曾经报道，当时最大的暗网交易市场ASAP正式宣布退休。本月，ASAP暗网市场的管理员LeChacal又回到暗网论坛Dread，并发布了该暗网市场最后的退休声明。他们表示，他们不会再回来了，但要感谢社区。他们还表示，他们都不再联系了。 虽然ASAP暗网市场已经退休快一年了，但后续一直没有新的消息。LeChacal在声明中感谢该市场的所有用户帮助他们顺利退休，称这是一段美好而难忘的旅程，祝福大家一切顺利。 LeChacal说，虽然有些人对他们的退休提出了疯狂的阴谋论，但这些都不是真的。他们选择退休只是因为需要休息。LeChacal称，与ASAP团队的合作是他在暗网中遇到的最好的事情。ASAP团队的每个人都很诚实，工作积极性很高。 LeChacal表示，目前，他们并不打算以同样的名字或者新的名字重新启动。ASAP团队已经退休，他们没有与任何人联系。他相信团队里的每一个人都在享受这来之不易的退休生活。现在一切听起来都像一场梦。 LeChacal还在在声明中称，经营一个暗网市场并不简单，非常累，压力也很大，他们面临着很多挑战。 LeChacal提到了ASAP暗网市场被攻击、资金被盗的事情（参见/post/0b3875d047176101b005），当时传言“退出骗局”引发了巨大的恐慌，本站（anwangxia.com）也做了及时的报道。LeChacal称那是他们运营该市场遇到的最糟糕的事情。那时候有人抢走了我们所有的资金，大约有460万美元被盗。虽然已经一无所有了，但是团队并没有放弃，而是从自己口袋里掏钱还给所有人。 LeChacal说，只有这样，ASAP Market才能不断发展壮大，成为暗网上最大的市场之一。当选择退休时，ASAP的托管资金大约有1000万至1200万美元。但是大家都知道，ASAP团队并没有带着这些资金跑路，他们选择了有尊严的退休，因为所有用户的快乐就是ASAP的一切。尽管不可能十全十美，但ASAP团队尽了最大努力经营一个成功的市场，并履行了所有承诺。 该声明赢得了大多数网友的赞誉。“StuckInTheMiddleWithYou”回复道：“很少有市场能够跻身榜首，能够信守对客户的承诺的市场也更少。为此，您值得永远的尊重和认可。”；“FokkingFire420”回复：“ASAP团队将永远被人们铭记。 您理所当然地在暗网传奇人物的候选名单中赢得了一席之地。”；“happyfive”回复：“感谢你，你赢得了我的尊重！ 你向DN的每个人证明，你是与众不同的。” 回顾2022年ASAP Market加密货币钱包被盗的历史 诚然，根据“暗网下/AWX”长期以来对暗网的追踪监控，ASAP Market是一个优秀的暗网市场运营的案例。在2022年8月，当该暗网市场钱包被盗后，为客户弥补了资金的损失，因此能够在充满了谎言与欺骗的暗网中，赢得了大家的认可。 这里给大家回顾下ASAP暗网市场加密货币钱包被盗的历史，当时修复漏洞后，LeChacal在Dread发布主题帖“ASAP已恢复上线，提款功能已启用，已修补漏洞。”，帖子内容是： 正如我们承诺的那样，我们已经修补了漏洞，现在您可以顺利取款了。您可以下订单，也可以存入新的资金。还有一件事，我们已经更改了所有存款地址。现在每个人都有了新的存款地址。请不要在旧地址存款，您的钱包将无法注册，并将永久丢失。 在此，我不想详述一切细节，也不想透露我们在这次灾难中损失的硬币的确切数量。我只想告诉大家，我们损失了大量加密货币。在这种损失之后，大多数市场都会退出，但我们还在这里。我们本可以通过使用冷钱包和手动取款来避免这种情况，但我们不想让供应商等待他们的资金。冷钱包和手动提现可确保资金百分之百的安全，但如果管理员发生意外（意外死亡、COVID-19 或其他情况），也会给所有供应商造成巨大损失。您的钱比我们的舒适度更重要。我们付出了代价。无论如何，这是商业的一部分，这样的事情时有发生。最后，我们与您同在，并承诺尽可能长久地忠诚于您。 感谢大家对我们的信任。 感谢大家对我们的信任。 感谢大家使用我们。 如果您能继续支持我们，我们将不胜感激。

周二，美国格伦代尔（Glendale）市一名男子因参与一个名为“NoLove”的暗网贩毒团伙，在美国境内外贩卖甲基苯丙胺和摇头丸，并通过将比特币兑换成美元来清洗该团伙的收益，于周二被判处10年联邦监禁。 据美国检察官办公室称，41岁的阿尔比·塞塔海安·桑巴拉尼（Arbi Setaghaian Sangbarani）在洛杉矶市中心被美国地区法官小安德烈·比罗特(André Birotte Jr.)判刑。 桑巴拉尼于去年12月被判定犯有一项共谋贩卖和持有并意图贩卖甲基苯丙胺和亚甲二氧基甲基苯丙胺（俗称摇头丸）的罪行。陪审团还认定桑巴拉尼犯有一项洗钱共谋罪和两项洗钱罪。 检察官表示，至少从2019年4月到2020年5月期间，桑巴拉尼属于一个暗网贩毒团伙，该团伙向美国和国际上的众多客户出售、包装和邮寄甲基苯丙胺和摇头丸。他与暗网毒品贩运团伙的几名成员密谋，该团伙被称为“NoLove”。“NoLove”运营了大约一年半，并在国际上和美国各地运送毒品。 据美国检察官办公室称，桑巴拉尼及其同谋从各种来源获取甲基苯丙胺和摇头丸，将甲基苯丙胺和摇头丸储存在洛杉矶桑兰-图洪加（Sunland-Tujunga）地区的一处住宅中进行包装，在暗网上管理甲基苯丙胺和摇头丸的销售，以换取虚拟货币；并将甲基苯丙胺和摇头丸包装好，分发给在暗网上订购毒品的客户。 然后，桑巴拉尼和他的同谋将装有冰毒和摇头丸的包裹邮寄给在暗网上订购毒品的客户。 检察官称，桑巴拉尼还密谋洗钱贩毒团伙的非法收益，一名共犯在暗网上收集比特币作为毒品销售收入，然后将这些虚拟货币收入的一部分转给桑巴拉尼。 桑巴拉尼将比特币兑换成美元，将美元转入自己的银行账户，然后将所得款项以现金形式取出。 联邦调查局,国土安全调查和美国邮政检查局对此事进行了调查。 据美国检察官办公室称，该案标志着政府首次在中区陪审团审判中提出涉及暗网市场与加密货币追踪的证据。 此案共有八人被定罪。 联邦检察官表示，2020年2月，执法部门在Sunland-Tujunga地产的一个棚子里查获了约6701粒疑似MDMA药丸和约48.9磅甲基苯丙胺。

臭名昭著的网络犯罪中心BreachForums在被联邦调查局查封后，可能会以相同的域名重新上线。黑客声称已经重新获得了明网域名的访问权，而暗网版本仍处于拉锯战中。 “暗网下/AWX”昨天根据媒体报道，第二版BreachForums的两名管理员Shinyhunter和Baphomet已经被FBI逮捕。但是经过多个消息源确认，Baphomet是第一版BreachForums的管理员，也是第二版BreachForums的创建者，确已被FBI逮捕，但是Shinyhunter是个黑客团伙，应还逍遥法外。 黑客组织ShinyHunters——BreachForums的主要管理员表示，他们已经于2024年5月16日重新获得了对BreachForums论坛明网域名BreachForums.st和暗网域名的访问权限。这还包括托管域名和一个停放域名 Breached.in。 BreachForums管理员ShinyHunters声称已从FBI手中收回域名 ShinyHunters透露，BreachForums管理员Baphomet已被执法部门逮捕。 因此，当局获得了BreachForums整个基础设施（包括后台）的登录凭据的访问权限。 然而，上周五，ShinyHunters联系了BreachForums的域名注册商并成功重新获得了访问权限。 因此，目前BreachForums明网域名的查封通知已被删除，并替换为“网站暂时不可用”消息，并且提供了其新创建的Telegram群组的链接。 BreachForums是一个因网络犯罪、黑客攻击、数据泄露和泄密而臭名昭著的平台，就在前一天，BreachForums被联邦调查局扣押，基础设施被摧毁。2024年5月15日，所有与新版BreachForums相关的域名均显示了FBI的扣押通知。 这些网站上的通知显示，联邦调查局（FBI）、司法部（DoJ）以及来自新西兰、澳大利亚、英国、瑞士、乌克兰和冰岛的国际合作伙伴参与了此次行动。虽然这一行动被广泛流传，但各国执法机构尚未正式证实这一行动（暂未发布官方公告）。 此外，ShinyHunters声称自己与当局均拥有暗网域名的私钥，双方都可以通过该私钥创建暗网网站，因此本站（anwangxia.com）认为，预计双方之间会发生拉锯战，除非某一方彻底放弃使用。 BreachForums已经关闭，新论坛即将上线 网络犯罪的循环往复有增无减。 当局捣毁了一个论坛，但几天之内又出现了另一个论坛。 这种趋势在BreachForums的案例中表现得很明显。 BreachForums的一名成员和臭名昭著的威胁行为者USDoD已宣布计划以相同的主题和形式复活该论坛，但使用不同的名称。 USDoD称，新论坛将被称为BreachNation，而不是BreachForums。 这反映了RaidForums的倒闭和BreachForums随后出现的模式。 然而值得注意的是，前BreachForums管理员Pompompurin沿着这一模式并没有好下场，他在纽约被捕并被判处20年监管释放。 总部位于纽约的自动化 SaaS 安全服务提供商 DoControl 的联合创始人兼首席风险官 Omri Weinberg 对此评论道：“尽管FBI成功查封了BreachForums，但它的迅速重新出现并不令人意外，因为它以前就曾重现过，这反映了执法部门在数字时代面临的持续挑战。“ Omri警告说：“虽然执法部门可以暂时瓦解这些非法活动，但网络犯罪分子针对基础设施和经济利益的动机依然强劲，而BreachForums的重新出现意味着之前被泄露的数据可能再次面临暴露的风险。” 他还建议，“组织必须积极主动地监控和保护其数字资产，确保他们有适当的流程来评估暴露数据的重要性并做出适当的反应。” BreachForums管理员Baphomet被逮捕的思考 “暗网下/AWX”分析，BreachForums的访问可以通过明网域名（BreachForums.st）以及暗网域名（breachedu76kdyavc6szj6ppbplfqoz3pgrk3zw57my4vybgblpfeayd.onion），然后在后端有一台服务器（或云服务器，或虚拟专用服务器），暗网域名无法追踪，FBI显然是通过明网域名或者后端服务器开展追踪。 针对明网域名，FBI可以向域名注册商调取域名注册信息。域名注册商可以提供域名注册者的邮箱、登录访问使用的IP地址以及支付方式。 BreachForums使用了Cloudflare的CDN服务（应是免费套餐），因此FBI可以通过Cloudflare调取注册邮箱、登录使用的IP地址以及后端的服务器真实IP。 针对服务器，FBI在通过Cloudflare调取真实IP后，可以通过司法合作向IP所在国家的服务器注册商调取购买或租赁信息，也可以获取使用者的邮箱、登录访问使用的IP地址以及支付方式。 邮箱与IP地址均可以隐藏，但不一定能做到有效隐藏，而且FBI也有追踪的方法与渠道。支付方式可以锁定到个人，哪怕是加密货币支付，通过链上追踪加密货币的来源，也可以对使用者进行锁定，除非是门罗币。 因此，逮捕Pompompurin、Baphomet之类的管理员只是迟早的事情，除非ShinyHunters成员位于俄罗斯、伊朗、朝鲜、古巴等美国无法管辖的地域，否则也将会被抓获。 “暗网下/AWX”认为，这还是应了中国那句古话：莫伸手，伸手必被捉。 BreachForums竞争者HydraForums曾经曝光了Baphomet的信息 ; BreachForums Administrators ; `————————————————————————————————————————————‘ ; ShinyHunters: ; ; RANK – Administrator ; ; EMAIL – [email protected] ; ; HASH – $argon2i$v=19$m=65536,t=4,p=1$VEUxbDEvMFVvRUJZQ25YQQ$ioLGikaXMY2NE6eykJyCWBFBQ2pR/2HxK+Ff1jbsJ40 ; ; IP – 192.42.116.196 (tor exit node) ;

“暗网下/AWX”快讯，就在今天凌晨，美国联邦调查局（FBI）查封了臭名昭著的暗网数据泄露论坛BreachForums，该黑客论坛长期以来一直向其他网络犯罪分子泄露和出售被盗企业数据。 本站前期报道，就在出事前几天，BreachForums论坛上还发布了出售被窃取的4900万戴尔客户数据以及GPS跟踪解决方案提供商Frotcom的内部敏感数据的广告帖子。 昨天晚上，经本站（anwangxia.com）测试，BreachForums可以正常访问，今早“暗网下”再次访问BreachForums，已经提示被FBI等国际执法机构查封的扣押信息。 根据该网站现在显示的扣押消息，联邦调查局已控制该网站和后端数据，并正在审查（review）其后端数据，同时，访问BreachForums的暗网域名，显示同样的扣押信息，这表明执法部门已经完全控制了该网站的服务器和域名。 扣押信息中写道：“在国际合作伙伴的协助下，联邦调查局和司法部已关闭该网站。” 扣押横幅的图片上继续写道：“我们正在审查该网站的后端数据。如果您有关于BreachForums上的网络犯罪活动的信息，请与我们联系。” 扣押信息还显示了该网站管理员Baphomet和ShinyHunters的两张论坛个人头像图片，头像上面覆盖着监狱栏杆。“暗网下/AWX”认为，这可能表明这两位管理员大概率已经被执法部门抓获。 如果执法部门如他们所说的那样获得了黑客论坛的后台数据，那么他们就会拥有电子邮件地址、IP地址和论坛私信，这些信息可能会暴露论坛成员的真实身份，并被用于执法调查。 FBI还查封了该网站的Telegram频道和Baphomet拥有的其他频道和群组，执法部门在Telegram群组与频道中发送消息称群组与频道均已在他们的控制之下。 并且，执法部门在查封的Telegram频道上发布的一些公告消息直接来自Baphomet个人的Telegram帐户，这更加证明了Baphomet已经被捕，他的电脑及手机等设备现已掌握在执法部门手中。 This Telegram chat is under the control of the FBI. The BreachForums website has been taken down by the FBI and DOJ with assistance from international partners. We are reviewing the site’s backend data. If you have information to report about cyber criminal activity on BreachForums, please contact us: t.me/fbi_breachforums [email protected] HydraForums鄙视BreachForums，称自己能确保用户的安全 “暗网下/AWX”一直在关注另一个数据泄露论坛HydraForums。 HydraForums将自己形容为“Hydra Market”，但不是被德国警方跟FBI查封的那个俄罗斯暗网市场，而是一个泄露与交易被盗数据的论坛，一直视BreachForums为竞争对手，但HydraForums始终名不见经传。 遇到BreachForums被查封的好消息，HydraForums说怀疑这个弱智论坛成员的智商，他们要么是孩子，要么都是弱智。 HydraForums发布致BreachedForums会员的通知称，FBI目前正在检查您的IP地址信息、密码、电子邮件地址、Telegram地址。在他们的“Hydra Market”，则会始终确保用户的安全，并将继续这样做！

Frotcom International是全球领先的智能车队管理和GPS跟踪解决方案提供商。 暗网论坛BreachForums上一位名叫DuckyMummy的黑客声称对Frotcom International涉嫌数据泄露事件负责，该公司是一家总部位于葡萄牙卡纳西德的车辆跟踪和车队管理领域的知名企业。 BreachForums上披露的Frotcom数据泄露事件暴露了Frotcom内部系统的漏洞，可能会泄露敏感信息，包括GPS IMEI号码、实时车辆跟踪数据、账单详细信息和客户帐户信息。 暗网上正在出售Frotcom数据 DuckyMummy在BreachForums论坛上的帖子详细描述了Frotcom数据泄露的严重程度，表明可以访问40多个国家和5000多家公司的内部系统。 被泄露的数据包含对Frotcom运营至关重要的大量信息，从GPS跟踪数据到客户账单信息。 为了证明他们的说法，威胁行为者分享了显示按国家/地区排序的实时GPS车辆信息的样本记录，并以5000美元起售的惊人价格出售被入侵的数据库。 黑客表示：“这些天来，我已经突破了Frotcom公司的安全防御系统，我已经转储了所有信息并访问了公司的所有内部系统，40多个国家，5000多家公司！” 根据广告帖子，“暗网下/AWX”发现，DuckyMummy称出售以下信息： 公司 GPS IMEI 编号、实时车辆信息、账单信息、电子邮件、电话号码、车牌、燃料等公司数据库里的所有信息。 目前，尚未收到任何Frotcom官方的声明或回应，因此有关Frotcom数据泄露的指控尚未得到证实。 针对货运公司的网络攻击日益增多 Frotcom数据泄露并不是一个孤立的事件，它提醒人们，在日益数字化的世界中，交通运输行业面临着日益严重的网络安全威胁。 随着交通系统越来越依赖互联的数字技术，这些系统已成为网络威胁者的有利可图的目标，他们试图破坏运营、勒索敏感数据或造成经济损失。 网络攻击对交通基础设施的影响是深远的，从供应链中断到乘客敏感数据的泄露。 最近发生的勒索软件攻击日本名古屋港事件，导致名古屋港停运两天，突显了此类网络攻击行为对全球贸易和商业的现实影响。 此外，网络威胁的性质给交通部门带来了巨大挑战。 攻击媒介变得越来越多样化，入侵通常来自第三方供应链合作伙伴或软件供应商。 此外，出于政治动机的威胁行为者的崛起使该领域进一步复杂化，讲俄语的黑客声称对美国机场发起的DDoS攻击就证明了这一点。 本站（anwangxia.com）回顾历史事件，针对交通基础设施的网络事件已造成广泛的破坏和社会危害。从针对捷克铁路和机场的DDoS攻击到影响意大利国家铁路的勒索软件攻击事件，这些事件凸显了交通系统在恶意网络活动面前的脆弱性。 黑客发布的样本数据 Albania – 235 Angola – 7840 Austria – 26 Bahrain – 50 Belgium – 100 Benelux – 3597 Bosnia – 293 Botswana – 803 Brazil – 515 Bulgaria – 40473 Cameroun – 119 Cape verde – 250 Chile – 1700 Colombia – 2000

戴尔披露客户地址数据泄露事件 本站（anwangxia.com）前期报道，科技巨头戴尔公司（Dell）周四通知客户，该公司发生了一起涉及客户姓名和实际地址的数据泄露事件。多名客户在社交媒体上分享的一封电子邮件中，这家计算机制造商写道，它正在调查“涉及戴尔门户网站的一起事件，该门户网站的数据库中包含与从戴尔购买产品有关的有限类型的客户信息”。 戴尔公司写道，此次漏洞中被访问的信息包括客户姓名、实际地址和 “戴尔硬件和订单信息，包括服务标签、项目描述、订单日期和相关保修信息”。戴尔没有说明此次事件是由黑客恶意入侵还是无心之失造成的。 据该公司称，被泄露的数据不包括电子邮件地址、电话号码、财务或付款信息，也不包括 “任何高度敏感的客户信息”。 该公司在邮件中淡化了数据泄露的影响。邮件中写道：”鉴于涉及的信息类型，我们认为客户不会面临重大风险。” 数据重新在暗网出售 “暗网下/AWX”看到，BreachForums论坛上，在昵称为“Menelik”黑客于4月初发布的Dell数据帖子被删除后，5月9日，就在戴尔公司声明之后，“Menelik”又在BreachForums发布了新的主题帖：“戴尔 4900 万客户/系统信息”，重新售卖这4900万客户数据，并附上了戴尔公司给客户发送的邮件截图。 新帖子称，一些新闻机构也报道了戴尔公司这一数据泄露事件，感兴趣的话可以谷歌搜索。由于旧主题被BreachForums的版主删除了（因为样本链接过期），所以有些人以为这些数据被卖掉了。 “Menelik”表示，但是其实数据并没有卖出，其仍然是这些数据的唯一拥有者，而且只打算卖给一个人。“Menelik”透露，虽然他不掌握这4900万客户的电子邮件/电话号码，但他有其中数千名客户的电子邮件和电话号码，都是最近的。 新帖子公布了泄露数据的字段，包括个人全名/公司名称、地址、城市、省、邮政编码、系统唯一的7位服务标签、系统发货日期（订单日期）、保修计划、戴尔客户编号、戴尔订单号。并透露了数据最多的前5个国家：美国、中国、印度、澳大利亚、加拿大，大约700万行数据是个人购买信息，1100万是消费者细分市场的公司，其余的是企业客户、合作伙伴、教育机构等不易识别的客户。 Full Name of the person / Company Name Address City Province Postal Code Unique 7 digit service tag of the system System shipped date (order date) Warranty plan Dell Customer Number Dell Order Number “Menelik”在帖子最后留了其联系方式，包括Tox、Session以及XMPP，以便客户与其联系。 暗网媒体“Dark Web Informer”也在查看样本后确认称，其能够验证此戴尔漏洞的样本数据。 查看订单详细信息并确认交货地点、订单日期、订单号和产品类型，其中几个样品看起来是真实的。 “R00TK1T ISC CYBER TEAM”声称攻破戴尔内部系统 5月11日，暗网媒体“Dark Web Informer”爆料称，一个名为“R00TK1T ISC CYBER TEAM”黑客组织声称，破坏了“戴尔高度安全的内部系统”。 这与上面发生的戴尔公司门户网站数据泄露事件无关。 一张模糊的截图提供了证据，该模糊的截图显示了不同的文本文件，包括nvram、mf、ovf、zip、ps1、siokit等格式的文件。 顶部屏幕显示可以执行的不同操作，例如重命名、刷新、删除等。 🚨UNVERIFIED BREACH🚨R00TK1T ISC CYBER TEAM has claimed to breach "

戴尔科技公司周五宣布，该公司正在调查一起涉及公司门户网站的数据泄露事件，该门户网站包含与购买相关的有限客户信息。这是对暗网上销售的其数据库的确认，本站（anwangxia.com）之前检测到，前期有黑客在暗网数据泄露论坛BreachForums上出售该公司数据库。 戴尔表示，虽然没有财务或高度敏感数据被访问，但姓名、实际地址和订单详细信息在此次泄露中被暴露。 戴尔在给客户的消息中表示，其调查显示，未经授权的一方访问了包含客户姓名、地址、硬件和订单信息（包括服务标签、商品描述、订单日期和保修详细信息）的数据库。 然而，该公司强调，支付信息、电子邮件地址、电话号码和其他高度敏感的数据并不在被泄露的数据库的一部分。 戴尔向客户发送了一封关于数据泄露的电子邮件通知，告知客户的哪些信息被泄露： Dell sent me an email notice of a data breach: What data was accessed? At this time, customer information accessed: •Name •Physical address •Dell hardware and order information, including service tag, item description, date of order and related warranty information pic.twitter.com/uXcOLjdxKC — Angus McLauchlan (not yet Supervised) (@gusmacca) May 9, 2024 “戴尔科技公司认真对待您信息的隐私和机密性，”该公司在消息中表示。 我们目前正在调查涉及戴尔门户网站的事件，该门户网站包含一个数据库，其中包含与从戴尔购买产品相关的有限客户信息。 鉴于所涉及的信息类型，我们认为我们的客户不会面临重大风险。” 戴尔表示，发现这一事件后，该公司立即实施了安全响应程序，开始调查，采取措施控制漏洞，并通知了执法部门。 该公司还聘请了一家第三方取证公司对该事件进行进一步调查。 戴尔公司表示，虽然客户信息被访问，但由于涉及的数据性质有限，因此不存在重大风险。 该公司建议客户对潜在的技术支持诈骗保持警惕，并将与其戴尔帐户或购买相关的任何可疑活动报告给 [email protected]。 暗网上的数据 上个月，一名威胁行为者在暗网数据泄露论坛BreachForums上声称出售一个包含近 4900 万戴尔客户和员工个人记录的大型数据库，这可能会在针对这家计算机技术巨头的重大数据泄露事件中暴露该公司的敏感信息。

”暗网下/AWX“昨天报道了执法当局计划在未来24小时内发布有关LockBit勒索软件团伙的新信息，正如之前的预告，24小时后，美国政府周二表示，美国、英国和澳大利亚已制裁并揭露了臭名昭著的勒索软件团伙LockBit的一名俄罗斯高级头目，并发布了全球悬赏通缉令，悬赏1000万美元。 根据英国国家打击犯罪局（NCA）的消息，德米特里·霍罗舍夫（Dmitry Khoroshev）被确定为勒索软件团伙LockBit的领导者之一后，将面临资产冻结和旅行禁令。LockBit是一个臭名昭著的勒索软件团伙，已通过加密货币方式向全球受害者勒索了超过10亿美元。 “这些制裁意义重大，表明像德米特里·霍罗舍夫这样在全球造成严重破坏的网络犯罪分子没有藏身之所。他确信自己可以保持匿名，但他错了。”英国国家打击犯罪局局长格雷姆·比格（Graeme Biggar）在一份声明中表示。 LockBit在2月份首次受到NCA、美国司法部、联邦调查局和欧洲刑警组织的干扰，在一场史无前例的行动中，该团伙的暗网网站被警方扣押，并利用该网站泄露了有关该团伙及其幕后人员的内部信息。 英国制裁大臣安妮-玛丽·特雷维利安（Anne-Marie Trevelyan）在一份声明中表示：“通过制裁LockBit的一位领导者，我们正在对那些继续威胁全球安全的人采取直接行动，同时揭露来自俄罗斯的恶意网络犯罪活动。” 勒索软件是对数据进行加密的恶意软件；LockBit及其附属公司通过胁迫目标支付赎金来解密或用数字密钥解锁数据来赚钱。该团伙的数字勒索工具已被用于对付世界上一些最大的企业。 LockBit犯罪集团 LockBit招募的附属机构是志同道合的犯罪团伙，LockBit招募他们使用这些工具发动攻击。这些附属机构实施攻击，并向LockBit提供一部分赎金分成，赎金通常以加密货币的形式要求，这使得追踪变得更加困难。 今年2月，美国宣布指控两名俄罗斯公民针对世界各地的公司和团体部署LockBit勒索软件。两人还受到美国财政部的制裁。 在被执法部门查获之前，LockBit的暗网网站展示了一个不断增长的受害者企业列表，几乎每天都会更新。 在这些企业名称的旁边还有数字时钟，显示距离每个组织支付赎金的最后期限还剩多少天。 周二，国际警察机构再次利用这一平台来对付该团伙本身，揭露霍罗舍夫的真面目，并发布了一张通缉令海报，承诺向提供线索逮捕霍罗舍夫的人奖励1000万美元。 根据周二公布的包含26项罪名的美国起诉书，霍罗舍夫从LockBit的活动中接收了至少1亿美元的比特币付款。 根据欧洲刑警组织的消息，这些措施是在2024年2月由英国国家犯罪局牵头采取的第一阶段行动之后采取的，导致LockBit的主要平台和其他关键基础设施受到损害。这些制裁是欧洲刑警组织和欧洲司法组织支持的协调行动的一部分，旨在严重损害LockBit勒索软件团伙的能力和信誉。 LockBit犯罪行为的真正影响此前尚不清楚，但从其系统获得的数据显示，2022年6月至2024年2月期间，使用其服务发起了7000多次勒索攻击。受攻击最多的五个国家是美国、英国、法国、德国和中国。 欧洲刑警组织发布了约3500份受害者情报包 执法部门目前拥有超过2500个解密密钥，并正在继续联系LockBit受害者以提供支持。 欧洲刑警组织一直在利用调查和第一阶段行动期间收集的大量数据来识别这些遍布世界各地的受害者。其欧洲网络犯罪中心（EC3）已向33个国家分发了约3500个包含LockBit受害者信息的情报包。 在欧洲刑警组织的支持下，日本警方、英国国家打击犯罪局和联邦调查局集中其技术专长，开发了用于恢复被LockBit勒索软件加密的文件的解密工具。 这些解决方案已在No More Ransom门户网站上以37种语言免费提供。 由NCA控制的泄密网站 在二月份夺取控制权后，执法部门重新设计了该勒索软件组织在暗网上的泄密网站，转而发布一系列文章，揭露针对LockBit采取的不同行动。 由NCA控制的泄密网站再次被用来发布一系列揭露该犯罪集团的信息。 可通过Tor浏览器使用以下链接访问该网站： http://lockbitapt2d73krlbewgv27tquljgxr33xbwwsp6rkyieto7u4ncead.onion http://lockbitapt34kvrip6xojylohhxrwsvpzdffgs5z4pbbsywnzsbdguqd.onion http://lockbitaptawjl6udhpd323uehekiyatj6ftcxmkwe5sezs4fqgpjpid.onion 这项调查将继续查明附属机构——那些使用LockBit服务并进行攻击的人——并确保他们面临执法行动。 克洛诺斯行动 克罗诺斯行动（Operation Cronos）的国际工作组针对并破坏LockBit勒索软件团伙的协同行动正在进行中。以下机构是该工作组的成员： 法国：国家宪兵队（National Gendarmerie – C3N National Cyber​​ Unit） 德国：石勒苏益格-荷尔斯泰因州刑事调查局（LKA Schleswig-Holstein）、联邦刑事警察局 荷兰：国家警察局（泽兰-西布拉班特网络犯罪小组、东布拉班特网络犯罪小组、高科技犯罪小组）、泽兰-西布拉班特检察官办公室 瑞典：瑞典警察局 澳大利亚：澳大利亚联邦警察（AFP） 加拿大：加拿大皇家骑警（RCMP） 日本：警察厅 英国：国家打击犯罪局（NCA）、西南地区有组织犯罪部门（South West ROCU） 美国：美国司法部（DOJ）、联邦调查局（FBI）纽瓦克分局 瑞士：瑞士联邦警察局（fedpol）、苏黎世州检察官办公室、苏黎世州警察局 LockBit勒索软件团伙管理员德米特里·尤里耶维奇·霍罗舍夫（Dmitry Yuryevich Khoroshev）的通缉令 姓名： Dmitry Yuryevich Khoroshev（德米特里·尤里耶维奇·霍罗舍夫） 别名： 无 出生日期：1993年4月17日 出生地：俄罗斯 国籍： 俄罗斯 国籍： 俄罗斯

近日，一个由警察机构组成的国际联盟重新恢复了对今年早些时候查获的臭名昭著的LockBit勒索软件团伙的暗网泄密网站的访问，并透露了有关该团伙的新消息。 周日，曾经被FBI控制的LockBit官方暗网网站重新出现在暗网上，并发布了新的帖子，表明当局计划在未来24小时内发布有关黑客的新信息。 这些帖子的标题包括“谁是LockBitSupp？”“我们学到了什么”、“更多LB黑客被曝光”以及“我们一直在做什么？” 本站（anwangxia.com）之前报道，今年2月，由英国国家犯罪局（NCA）、美国联邦调查局以及德国、芬兰、法国、日本等国警方组成的执法联盟宣布，他们已渗透到LockBit的暗网官方网站。该执法联盟占领了该暗网网站，并用自己的新闻稿和其他信息替换了该网站上的信息，这显然是在嘲弄和警告黑客，当局已经盯上了他们。 2月份的行动还包括在乌克兰和波兰逮捕两名被指控为LockBit成员的人；关闭了欧洲、英国和美国的34台服务器；并没收了黑客的200多个加密货币钱包。 FBI发言人萨曼莎·谢罗（Samantha Shero）表示，该局不予置评。NCA同样没有回应置评请求。 Official announcement in 24hrs #Cronos Watch this space pic.twitter.com/ttKd58QVFL — National Crime Agency (NCA) (@NCA_UK) May 6, 2024 LockBit首次出现于2019年，此后成为世界上最多产的勒索软件团伙之一，已净赚数百万美元的赎金。事实证明，该勒索软件团伙具有很强的韧性与生命力。即使在二月份被取缔后，该团伙又重新创建了一个新的暗网泄密网站，该网站已积极更新新的所谓受害者。 目前被查封暗网网站上的所有新帖子（除一篇外）都有倒计时，结束时间为美国东部时间5月7日星期二上午9点，这表明执法部门将在那时宣布针对LockBit的新行动。另一篇没有倒计时的帖子称该网站将在四天后关闭。 自从当局于2月份宣布针对LockBit实施所谓的“克罗诺斯行动”以来，该勒索软件团伙的领导者LockBitSupp在接受采访时声称，执法部门夸大了其对犯罪团伙的访问权限以及取缔该犯罪团伙的影响。 周日，专注于网络安全威胁情报的组织vx-underground在X上写道，他们已经与LockBit的管理人员进行了交谈，后者告诉他们警方在撒谎。 Today we spoke with Lockbit ransomware group administrative staff regarding the return of the old domain and new messages from FBI, NCA UK, and EURPOL. Lockbit ransomware group states law enforcement is lying. Lockbit also said and quote: "I don't understand why they're…

根据美国司法部的消息，一名乌克兰公民今天被判处13年零7个月监禁，并被责令支付超过1600万美元的赔偿金，原因是“他参与了2500多次勒索软件攻击，且要求支付超过7亿美元的赎金”。 美国司法部长梅里克·B·加兰（Merrick B. Garland）说：“正如本次判决所表明的那样，司法部正在与我们的国际合作伙伴合作，并利用我们掌握的所有工具来识别网络犯罪分子，扣押他们的非法利润，并追究他们的刑事犯罪责任。” “被告通过部署REvil勒索软件变种，向全球各地的美国受害者索要了数亿美元，”司法部副部长丽莎·莫纳科 (Lisa Monaco) 表示， “但这起案件表明，美国司法部的影响力也是全球性的——通过与我们的国际合作伙伴合作，我们正在将那些以美国受害者为目标的人绳之以法，我们正在破坏更广泛的网络犯罪生态系统。” 联邦调查局局长克里斯托弗·雷 (Christopher Wray) 表示：“今天，联邦调查局与我们全球合作伙伴的密切合作，再次确保了一个自以为我们无法触及的网络犯罪分子面对他的行为所带来的后果。” “我们将继续不懈地追捕像 Vasinksyi 这样的网络犯罪分子，无论他们藏身何处，同时我们会破坏他们的犯罪计划，没收他们的资金和基础设施，并在法律的最大范围内打击他们的帮凶和犯罪同伙。” 根据法庭文件，24岁的雅罗斯拉夫·瓦辛斯基（Yaroslav Vasinskyi，又名Rabotnik）使用名为Sodinokibi/REvil的勒索软件变种进行了数千次勒索软件攻击。 勒索软件是一种恶意软件，旨在加密受害者计算机上的数据，使恶意行为者能够要求受害者支付赎金以换取解密密钥。 同谋者要求以加密货币支付赎金，并使用加密货币兑换商和混合服务来隐藏他们的不义之财。 为了提高赎金要求，Sodinokibi/REvil 的同谋还会在受害者不支付赎金要求时公开暴露受害者的数据。 “雅罗斯拉夫·瓦辛斯基（Yaroslav Vasinskyi）和他的同谋侵入了世界各地数千台计算机，并用勒索软件对它们进行了加密，”司法部刑事司司长、总检察长首席副助理妮可·M·阿根蒂耶里（Nicole M. Argentieri）说， “然后他们要求支付超过7亿美元的赎金，并威胁如果受害者拒绝支付，将公开披露受害者的数据。 尽管共谋者试图通过洗钱来掩盖自己的踪迹，但Vasinskyi无法逃避执法部门。 今天对Vasinskyi的判决应该提醒世界各地的勒索软件参与者：我们将追踪你并将你绳之以法。” 德克萨斯州北区联邦检察官莱格哈·西蒙顿（Leigha Simonton）表示：“使用勒索软件，来自世界各地的恶意行为者可以在几分钟内使美国公司陷入瘫痪。” “但是，当网络犯罪分子联手部署这些攻击时，美国各地的执法部门随时准备摧毁他们的犯罪团伙。来自得克萨斯州北区的尽职尽责的检察官和联邦调查局达拉斯分局技术娴熟的特工今天再次向世界各地的勒索软件行为者证明了这一点： 当你攻击美国境内的目标时，司法部及其合作伙伴将对你穷追不舍。” Vasinskyi此前在德克萨斯州北区法院承认了一项11项罪名的起诉，指控他共谋实施欺诈和与计算机有关的相关活动、破坏受保护的计算机以及共谋实施洗钱。他此前被从波兰引渡到美国。 与此相关的是，2023年，美国司法部最终没收了通过两起相关民事没收案件获得的价值数百万美元的赎金，其中包括39.89138522比特币和610万美元的美元资金，可追溯到据称该阴谋的其他成员收到的赎金。 联邦调查局对此案进行了调查。 刑事部计算机犯罪和知识产权科高级顾问 Frank Lin 和德克萨斯州北区联邦助理检察官 Tiffany H. Eggers 起诉了此案。德克萨斯州北区联邦助理检察官迪米特里-罗查 (Dimitri N. Rocha) 协助处理了相关的民事没收案件。 去年，司法部国际事务办公室与波兰当局合作，确保了Vasinskyi的引渡。