根据区块链分析公司Chainalysis发布的《2025年加密货币犯罪报告》最新研究显示，由于国际执法部门的持续努力，2024年暗网市场的全球加密货币销售额将下降15%，暗网市场（DNM）和诈骗商店的比特币（BTC）收入显著下降。这些执法行动扰乱了非法网络市场的运营，网络犯罪分子遭受了严重的财务影响。 执法行动的严重影响 过去几年，国际执法部门协调一致，重点打击了大型暗网市场（DNM）和诈骗商店。Chainalysis报告显示，2024年，暗网市场通过链上交易获得的比特币价值略高于20亿美元，而交易被盗或假冒商品的欺诈商店则获得了约2.25亿美元的收益。与前几年相比，这一数字出现了显著下降，彰显了全球警务合作战略的有效性。 暗网市场的显著变化 全球暗网市场持续演变，俄罗斯正处于这一惊人转变的中心。2024年，大多数国家的暗网加密货币销售额出现下降，但俄罗斯却没有。 研究显示，尽管整体黑色收入下降，但并非普遍现象，俄罗斯暗网市场仍设法维持甚至扩大了市场份额，这表明非法加密货币活动在不同地区存在显著差异。 Chainalysis数据显示，俄罗斯的主要暗网市场仍然占据主导地位，且有一个暗网市场脱颖而出。来自俄罗斯的Kraken暗网市场（与合法的Kraken加密货币交易所无关）在2024年超越其竞争对手Mega，成为年度收入最高的暗网市场。 Kraken的资金流入同比增长近68%，凸显了其在严格审查下的韧性。相比之下，Mega的收入同比下降了50%以上。这表明执法行动对不同平台的影响存在差异。 截至2024年底，Kraken暗网市场已产生7.37亿美元的链上加密货币销售额。与此同时，最初与Mega一起获得关注的Blacksprut的收入下降了13.6%。 此外，由于暗网市场的运营者试图逃避监管，门罗币（XMR）等注重隐私的加密货币的使用有所增加。 俄罗斯暗网的稳步发展 加密货币销售只是暗网犯罪的一部分。随着犯罪分子变得更加精明，俄罗斯的暗网市场正在稳步发展，他们越来越多地将关键功能（担保、支付和物流）外包给iKlad.biz和Klad.cc等交易服务提供商。 臭名昭著的暗网市场Hydra Market于2022年被执法部门关闭时，其销售网络并未消失。之前的附属机构只是重组，利用了如今推动Kraken暗网市场扩张的同一神秘生态系统。 据称俄罗斯当局也在大力打击地下暗网组织的复苏。例如，2024年12月，俄罗斯法院判处Hydra创始人斯坦尼斯拉夫·莫伊谢耶夫终身监禁。他的15名同伙被判处8至23年不等的有期徒刑。 欺诈商店的新挑战 专门出售被盗数据和个人信息的欺诈商店在2024年面临BTC流入量下降50%的局面。这种下降可以归因于许多欺诈商店所依赖的通用匿名支付系统（UAPS）等关键支付处理器的拆除。 UAPS被取缔后，一些诈骗商店设法适应并蓬勃发展，而另一些则难以维持运营。从BTC到XMR的交易方式的转变也加剧了这些非法服务的演变。 执法努力仍在继续 在美国，联邦当局于2024年5月逮捕了台湾公民林瑞祥（Rui-Siang Lin）。林瑞祥涉嫌运营暗网市场“隐身市场”（Incognito Market），该暗网市场在当年3月份的一次退出骗局后销声匿迹。调查人员发现，林瑞祥涉嫌向其名下交易所账户转账加密货币。他的罪名包括多项网络犯罪和金融犯罪。 尽管遭遇挫折与打击，暗网市场仍在不断蓬勃发展，网络犯罪分子们正在适应这种趋势，不断采用新策略规避执法。比特币，曾经的首选货币，如今却因其可追溯性而构成风险。 许多暗网市场运营商正在转向门罗币（Monero），这是一种隐藏交易细节的隐私币。然而，门罗币的活动超出了Chainalysis报告的分析范围。 DeFi的使用逐渐增多 报告还观察到了一种变化趋势。过去几年，暗网市场供应商使用中心化交易所（CEX）将加密货币兑换成现金，但这种情况在2024年发生了变化。 暗网市场供应商越来越多地将资金转移到去中心化金融（DeFi）平台和个人钱包，比以往任何时候都多。虽然中心化交易所仍然在加密货币销售周期中扮演着重要角色，但DeFi现已成为一种新兴的替代方案。 吸引力很简单：DeFi提供了额外的隐私和更轻松的监管，让用户绕过KYC检查和其他繁琐的手续，这为犯罪分子悄悄套现提供了便利。 目前的情况是，暗网用户正在将更多加密货币存储在链上，而暗网供应商则严重依赖DeFi。这导致暗网市场交易网络更加分散，追踪难度加大。 总结 Chainalysis报告最后强调，有效打击这些非法暗网网络需要持续开展国际合作。 Chainalysis认为，虽然国际联合执法在扰乱这些暗网市场方面已经取得了重大进展，但持续的追踪跟进和创新的警务策略对于持续摧毁暗网犯罪基础设施至关重要。

Valve是一家美国电子游戏开发商、发行商和数字发行公司，总部位于华盛顿州贝尔维尤。该公司开发了数字发行平台Steam，并创建了《战斗时空》《绝对力》《输送门》《决定性胜利的日子》《绝地要塞》《邪恶的精神力量》和《 DOTA 2 》和其他著名的游戏系列，Valve由微软前员工Gabe Newell和Mike Harrington于1996年成立。 Valve的Steam平台于2003年推出，如今已成为网络上最受欢迎的电子游戏发行平台，Steam最近同时在线用户数量首次突破4000万。多年来，尽管其他服务曾试图取代这家PC游戏巨头，但均未成功。Steam已成为大多数玩家整理游戏库、与好友社交的首选平台。尽管取得了巨大的成功，但Steam的发展并非一帆风顺，Steam近期取得的里程碑式成就目前正被一个可能威胁数百万用户的安全问题所掩盖。 近日，一个名为Machine1337的威胁行为者在一个知名暗网论坛上发帖，声称已入侵Steam，并以5000美元的价格出售包含超过8900万条Steam用户帐户记录的数据集，这些数据包括电话号码、用户记录、一次性访问代码、短信日志等等。以色列网络安全公司Underdark AI的LinkedIn帖子首先报道了泄密的事件，随后独立游戏记者MellowOnline对此进行了重点报道。 该暗网的帖子包含以下内容：一个用于购买的Telegram联系方式以及一个托管在Gofile上的样本数据链接，同时提及内部供应商数据，表明拥有更深层次的访问权限。 如果Steam背后的Valve公司的内部网络被黑客渗透，那此事将影响深远——因为Steam不仅仅是一个游戏平台，它也是一个与全球用户相关的个人和财务数据的宝库。如果此次数据泄露得到证实，可能会导致整个游戏社区出现大规模的网络钓鱼、账户劫持和定向攻击。 Valve在一篇简短但坚定的帖子中表示，已经检查了泄露的数据，并确认 Steam 的系统没有被攻破，用户不需要更改密码或电话号码。 多年来，Valve公司一直致力于加强游戏市场的安全性，但玩家们最好尽快更改Steam密码，以确保个人信息得到妥善保护。在分析卖家提供的样本后，网络安全专家认为用户会处于网络钓鱼或会话劫持的危险之中，建议玩家们立即采取行动保护自己的信息与游戏账号： 启用双重身份验证 监控电子邮箱中是否存在可疑活动 更改自己的Steam密码（以及其他重复使用的密码） 谨防伪装成游戏促销或客服信息的网络钓鱼攻击 据网络安全专家分析，新证据证实，泄露的样本包含通过第三方短信路由的实时双重身份验证短信日志。“暗网下/AWX”下载样本数据分析后，发现这些数据包括消息内容、传递状态、元数据和短信路由成本，从而表明入侵者访问的是供应商后台或者API，而不是直接访问Steam。这进一步证实了并非Steam自身漏洞造成的数据泄露，而是第三方短信服务商的漏洞，证明这又是一起针对供应链的攻击。 对此Steam发布简要说明《关于您的Steam帐户安全性的说明》，强调最近报道的泄漏并没有破坏Steam系统： 您可能已经看到过一些报告，称之前发送给 Steam 用户的旧短信被泄露。我们已检查了泄露的样本，并确认 这并非 Steam 系统漏洞。 我们仍在深入调查泄密的源头，因为所有短信在传输过程中都未加密，并且在发送到您的手机的途中要经过多个提供商，这使得泄密的源头变得更加复杂。 此次泄露的数据包括一些较旧的短信，其中包含仅在 15 分钟内有效的一次性验证码以及接收验证码的电话号码。泄露的数据并未将这些电话号码与 Steam 账户、密码信息、支付信息或其他个人数据关联。旧短信无法用于破坏您的 Steam 账户安全，并且每当有人使用验证码通过短信更改您的 Steam 邮箱或密码时，您都会收到一封电子邮件和/或 Steam 安全短信的确认信息。 您无需因此次事件而更改密码或电话号码。提醒您，任何您未明确请求的账户安全信息都应视为可疑信息。我们建议您定期检查您的 Steam 账户安全，并随时 https://store.steampowered.com/account/authorizeddevices 如果您还没有设置 Steam 移动身份验证器，我们还建议您设置它，因为它为我们提供了发送有关您的帐户和帐户安全的安全消息的最佳方式。

近日，有网友向“暗网下/AWX”反映，“onion666暗网导航”的明网与暗网网站已经许久无法访问且其Telegram群组频道均已经消失。经本站测试访问，“onion666暗网导航“的确已经消失，是因何原因目前尚未可知。 一般暗网网站的存活期不超过5年，“onion666暗网导航”也没躲过这个魔咒。根据本站（anwangxia.com）的跟踪报道，“onion666暗网导航“诞生于2020年初，到现在恰好是5年。刚成立的时候，该暗网导航名为”李斯特暗网网址导航“，后于2021年4月更名为“onion666暗网导航”，并同时推出了其twitter页面以及Telegram群组与频道，更新了多语言支持，开始大肆宣传，宣称自己是”全球最大的暗网网址导航“。 在“onion666暗网导航”成立的前两年，其背后的管理员非常努力地更新暗网网址、改进网站功能、积极推广网站，也是在此时，“onion666暗网导航”与“暗网下/AWX”建立了良好的合作关系，该网站的管理员能积极响应“暗网下/AWX”对一些诈骗网站的指控，做到及时标记为“Spam”。通过多语言的兼容，此时的“onion666暗网导航”也确确实实做到了全球最大的暗网导航网站，twitter页面拥有1万+的粉丝量，网站的评论区里充斥着中外网友们的回复与评论，这些评论都是通过其暗网网站进行的，因为该导航不允许在明网进行评论。 然而，自2023年下半年起，基本看不到“onion666暗网导航”更新新的暗网网址，且其官方twitter页面不再有新的推文，无法判断发生了什么，但“onion666暗网导航”已经沦为一个没有维护的站点，尽管如此，其管理员还是会延迟响应本站提出的标记请求。 再后来，由于“onion666暗网导航”没有自身的更新维护，“暗网下/AWX”虽长期关注，只是报道了一些Telegram群组里的诈骗事件。 直至年初，由于Telegram政策收紧，“onion666暗网导航”的Telegram群组与频道同时消失，当时有网友在“暗网下/AWX”的Telegram官方群咨询发生了什么，也许其群组里有群员触犯了Telegram的规则，也许其暗网网站自身触犯了Telegram的规则，也许是FBI的要求，大概只有Telegram自己清楚。 紧接着，“onion666暗网导航”网站也无法访问了，原因也无从得知。这并不是暗网市场，自然不会是“退出骗局”，那就剩两种可能，如果不是警方执法，那就是管理员选择退出。无论如何，也许这就是宿命，像其他许多的暗网网站一样，一切随风飘去、化为尘埃。 “onion666暗网导航”还会不会出现，“暗网下/AWX”将持续跟进。 更多暗网新闻动态，请关注“暗网下/AWX”。

近日，有网友向“暗网下/AWX”反映，“onion666暗网导航”的明网与暗网网站已经许久无法访问且其Telegram群组频道均已经消失。经本站测试访问，“onion666暗网导航“的确已经消失，是因何原因目前尚未可知。 一般暗网网站的存活期不超过5年，“onion666暗网导航”也没躲过这个魔咒。根据本站（anwangxia.com）的跟踪报道，“onion666暗网导航“诞生于2020年初，到现在恰好是5年。刚成立的时候，该暗网导航名为”李斯特暗网网址导航“，后于2021年4月更名为“onion666暗网导航”，并同时推出了其twitter页面以及Telegram群组与频道，更新了多语言支持，开始大肆宣传，宣称自己是”全球最大的暗网网址导航“。 在“onion666暗网导航”成立的前两年，其背后的管理员非常努力地更新暗网网址、改进网站功能、积极推广网站，也是在此时，“onion666暗网导航”与“暗网下/AWX”建立了良好的合作关系，该网站的管理员能积极响应“暗网下/AWX”对一些诈骗网站的指控，做到及时标记为“Spam”。通过多语言的兼容，此时的“onion666暗网导航”也确确实实做到了全球最大的暗网导航网站，twitter页面拥有1万+的粉丝量，网站的评论区里充斥着中外网友们的回复与评论，这些评论都是通过其暗网网站进行的，因为该导航不允许在明网进行评论。 然而，自2023年下半年起，基本看不到“onion666暗网导航”更新新的暗网网址，且其官方twitter页面不再有新的推文，无法判断发生了什么，但“onion666暗网导航”已经沦为一个没有维护的站点，尽管如此，其管理员还是会延迟响应本站提出的标记请求。 再后来，由于“onion666暗网导航”没有自身的更新维护，“暗网下/AWX”虽长期关注，只是报道了一些Telegram群组里的诈骗事件。 直至年初，由于Telegram政策收紧，“onion666暗网导航”的Telegram群组与频道同时消失，当时有网友在“暗网下/AWX”的Telegram官方群咨询发生了什么，也许其群组里有群员触犯了Telegram的规则，也许其暗网网站自身触犯了Telegram的规则，也许是FBI的要求，大概只有Telegram自己清楚。 紧接着，“onion666暗网导航”网站也无法访问了，原因也无从得知。这并不是暗网市场，自然不会是“退出骗局”，那就剩两种可能，如果不是警方执法，那就是管理员选择退出。无论如何，也许这就是宿命，像其他许多的暗网网站一样，一切随风飘去、化为尘埃。 “onion666暗网导航”还会不会出现，“暗网下/AWX”将持续跟进。 更多暗网新闻动态，请关注“暗网下/AWX”。

对于我们大多数人来说，暗网是一个我们应该避开的神秘地方。 尽管我们大多数人从来没有点击过鼠标进入到互联网深处那些隐藏着违法犯罪活动的角落，但有一个家伙却在那里看到了许多令人痛心的事情。 平心而论，那些使用暗网的人要么是出于好奇，要么是因为他们本身就是非法活动的参与者，当然，他们也可能是为了进行黑客攻击。 我们所知的互联网（例如Google、Facebook等网站、社交媒体网站）存在于表网上，任何能连接到互联网的人都可以轻松访问。 再往下是深网，里面存储着政府数据库和付费网站等信息。再往下走，就会到达一个叫做暗网的区域，可以通过Tor浏览器访问，这里除了进行完全加密的通信外，还进行着一系列非法活动。 名为暗网的网络需要特定的软件或权限才能访问，黑客经常会通过这个网络开展犯罪活动，例如寻找可以使用的被盗凭证和出售的非法商品或获取现金。 “白帽子”黑客讲诉暗网勒索的严重危害 一位拥有30年深入研究暗网数据和软件经验的匿名“白帽子”黑客解释了他所见过的最糟糕的事情。 曾经他自认为是网络“黑帽子”，不受任何道德准则的约束，但现在他自诩为“白帽子”——一群声称致力于造福大众的互联网好心人。“白帽子”受法律约束，经常为政府和安全企业服务，被要求查找网络或者软件中的安全漏洞。 这名黑客表示：“我还会追捕那些针对医院或我所关注的企业的犯罪分子。”在谈到勒索软件（一种旨在阻止某人访问计算机系统的恶意软件）时，这位神秘男子说：“这是一种已经存在了几十年的攻击技术。 “现代勒索软件通常是一种恶意软件，它会进入你的系统，加密你的所有数据，然后将其扣留，要求你联系在背后操作它的团伙，以某种加密货币形式向他们付款，然后他们才会给你解密数据的密钥。” 有时“白帽子”的工作会变得非常艰难——而且面临的风险更大，因为他正在与暗网打交道。该匿名黑客继续说道：“我看到医院的数据被加密，人们面临着一个选择：我是付费解密数据，还是冒着影响病人生命的危险？” 他继续解释了黑客攻击行为这些年来的变化：“当勒索软件刚刚出现时，它对单个目标收取数百美元，甚至数千美元的费用。 “我们现在谈论的巨额赔款很容易就达到数千万美元。在最近的这次攻击中，他们悬赏7000万美元购买竞选密钥，而这把密钥可以解锁在那次攻击中被加密的每一台电脑。所以，我们谈论的是高风险的游戏。” 谈到未来，他表示：“我认为，我们不必过于担心国家的核武器库会像电影里那样被人窃取并用来对付人类；但我们必须担心暗网对金融市场造成重大冲击，或对电力生产设施等造成潜在的巨大影响。” 全球头号道德黑客解释暗网到底是什么样的 我们大多数人都听说过所谓的“暗网”，但对它了解不多，只知道它是一个你可能不应该去的网上地方，人们会隐藏自己的身份，做很多见不得人的事。 瑞安·蒙哥马利是一名专业的网络安全专家和道德黑客，他利用自己作为网络安全专家和专家的技能揭露了世界上一些最坏的人。 瑞安自称为“儿童安全战士”，创立了哨兵基金会（Sentinel Foundation），旨在揭露网络犯罪分子，帮助那些急需帮助的儿童。他在Instagram上拥有超过一百万的粉丝，显然已经积累了一批忠实的粉丝，他们也都喜欢他的工作。 他曾出现在播客中，详细解释了暗网究竟是什么，并揭示了为什么它是一个如此可怕的地方，会发生很多坏事。 他解释道：“暗网本身并不是一个市场、黑市或地下市场。当你连接到暗网以后，你仍然需要知道去哪里可以访问这些可怕的网站。网站的后缀不是‘.com’而是‘.onion’。 “您无法通过常规浏览器访问这些网站，您必须连接到洋葱路由器才能访问，您可以在Tor网站上下载洋葱路由器或者Tor浏览器。然后你可以访问一个叫做‘隐藏维基’的东西，它将会向你展示所有不同类别的网站以及它们的链接。” 瑞安继续解释说，有不同类别的网站提供链接，其中充斥着“做可怕事情”的“可怕”网站。“那里有非法市场，有假币，有假身份证，有针对儿童的恐怖事物，甚至还有雇凶杀人。”他说，“各种各样的网站都在做可怕的事情。”他还解释说，在试图追踪“掠食者和恋童癖者”时，他有时不得不进入暗网，但通常不会这样做。 “很多时候不需要走那么远，很多时候这些人会使用他们的常用电子邮件或已重复用于多封电子邮件的IP地址，或者他们一直用作个人资料照片的脸，或者直接追溯到他们的电话号码，”他说，暗网“在抓捕犯罪分子方面实际上并不是很重要”。 瑞安表示，虽然暗网对于正常的互联网匿名浏览来说很有帮助，因为它能提供额外的在线保护，但由于速度“慢得惊人”，因此他不推荐使用。 这就是为什么我们大多数对互联网及其使用方法有标准了解的人都会避开网络世界中如此高风险的地方，因为主宰暗网的犯罪活动足以让即使是最坚强的人也感到恶心。

因涉嫌洗钱网络犯罪收益和运营犯罪交易平台，德国联邦刑事警察局（又名Bundeskriminalamt或BKA）与法兰克福检察院中央打击网络犯罪局 （ZIT）查封了与加密货币交易所eXch相关的服务器基础设施，并关闭了“eXch”加密货币交易平台。该平台之前可通过明网域名eXch[.]cx和其他各种明网、暗网的地址访问。 在2025年4月30开展的执法行动中，当局还查获了8TB的数据和大量加密货币资产，包括比特币、以太币、莱特币和达世币，价值3400万欧元（3825万美元），这是BKA历史上第三大数字资产查获案例。 据BKA称，eXch[.]cx自2014年起就开展运营，提供加密货币兑换服务，允许用户兑换数字资产。它在明网（Clearnet）和暗网上均有服务。 BKA在一份声明中表示，eXch平台不遵守“了解你的客户”（KYC）规定，并在犯罪地下经济（UE）平台上特别宣传”其没有实施任何反洗钱措施”，导致网络犯罪和其他非法团伙的洗钱活动猖獗。 用户无需向该服务表明身份，也不会存储用户数据。因此，通过eXch平台进行加密货币兑换特别适合隐藏资金流动。 公告称：“自推出以来，估计已有价值19亿美元的加密货币通过eXch服务进行隐匿转移。” “有人怀疑eXch专门接收犯罪分子使用的比特币。此外，据信，2025年2月21日遭黑客攻击的加密货币交易所Bybit被盗的15亿美元中，有一部分是通过eXch洗白的。” 多位区块链专家称，创纪录的Bybit加密货币盗窃案是由臭名昭著的朝鲜黑客组织“Lazarus”实施的。 eXch立即被指控参与了Lazarus的洗钱活动，但当时eXch强烈否认，并称一些可疑的资金流动只是孤立案例。 最终，eXch平台的运营者屈服于压力和加强的审查，于今年4月17日宣布计划于本月停止运营，并在2025年5月1日关闭所有运营。当局预料到了这一点，并获得了大量证据和痕迹。尽管准备时间很短，但该平台的数据库和相关的加密资产是安全的。在调查期间，ZIT和BKA与荷兰税务调查办公室（FIOD）密切合作。 ZIT和BKA认为，诉讼中获得的调查结果也将有助于调查大量其他网络犯罪。 eXch运营者在BitcoinTalk论坛上发布的消息中宣称，在“收到确认信息”称该平台是“跨大西洋行动的对象，该行动旨在强行关闭我们的项目并以‘洗钱和恐怖主义’的罪名起诉我们”后，该平台将关闭。 eXch声称：“我们绝对没有想过要为洗钱或恐怖主义等非法活动提供便利，而我们现在正被指控犯有这些罪行。我们也绝对没有动机去运营一个会让我们被视为罪犯的项目。这对我们来说毫无意义。” 尽管如此，BKA扣押eXch基础设施（即使不再活跃）仍可以帮助追踪被盗金额并识别使用该服务的网络犯罪分子。 该平台的运营商也未能逃脱责任，德国警方宣布他们涉嫌商业洗钱和运营犯罪在线交易平台。BKA表示，尽管自eXch宣布关闭服务以来时间有限，但他们还是设法获得了大量证据，从而促成了今天的执法行动。 德国联邦刑事警察局局长兼网络犯罪部门负责人卡斯滕·梅维斯表示：“我们再次查获了价值数百万美元的涉案加密货币，并关闭了一个数字洗钱平台，这笔交易创下了历史新高。此次事件的规模令人印象深刻地表明，网络犯罪正在以工业规模进行。我们将竭尽所能，继续加大地下经济的损失风险。我们的目标仍然是追究责任人的责任。” 德国中央打击网络犯罪局（ZIT）首席检察官本杰明·克劳斯博士补充道：“加密货币交易是地下经济的重要组成部分，用于隐藏非法活动（例如黑客攻击或交易被盗支付卡数据）的犯罪资金，从而使犯罪分子能够获取这些资金。因此，执法机构必须持续打击此类快速匿名的洗钱机会，并剥夺犯罪分子的犯罪所得，这一点至关重要。” 荷兰财政信息和调查局（FIOD）在一条声明中表示，正在“积极调查通过该掉期服务参与洗钱和其他非法活动的个人”。声明还补充道：“我们想明确一点：此次行动并非对隐私的攻击。我们尊重隐私权，并认识到其在数字时代的重要性。然而，当服务被严重滥用于犯罪时，我们将会采取行动。我们敦促所有参与非法活动的人立即停止。法律后果可能非常严重。隐私不是问题，犯罪滥用才是问题。”

网络犯罪分子不再只是攻击大型目标。 他们正在追踪每个人，并且使用窃取信息的恶意软件。这些功能强大且极其隐蔽的木马后门程序正在悄悄地从手机电脑等日常电子设备中窃取密码、浏览器数据和登录凭证。 一份新报告显示了当前网络安全问题已经变得多么失控，信息窃取活动在短短一年内激增了500%，窃取了超过17亿个新凭证。 盗窃登录凭证已经规模化发展 2024年，Fortinet的网络安全研究人员发现，暗网上被盗登录凭证数据的交易数量激增。超过17亿个登录凭证并非来自以往的入侵，而是通过对用户设备上的主动感染获取的。 此次数据被盗的核心是一类名为“信息窃取程序”的恶意软件，这些恶意木马后门程序专门用于窃取用户名、密码、浏览器Cookie、电子邮件登录信息、加密钱包和会话令牌等敏感信息。与针对拥有集中式数据库厂商的大规模数据泄露不同，信息窃取程序在单个计算机上运行。它们不会入侵公司的内部网络及服务器，而是入侵终端用户，而且受害者通常毫不知情。 这些日志随后被初始访问代理（中介机构）汇总并在暗网里出售，这些中介机构将泄露的凭证和访问令牌出售给其他网络犯罪集团，包括勒索软件运营商。地下市场已经成熟，可以大规模购买企业VPN、管理仪表板甚至个人银行账户的访问权限，这些访问权限具有经过验证的功能和特定地区的定价。 Fortinet的《2025年全球威胁态势报告》指出，过去一年，信息窃取程序感染的凭证日志数量增加了500%。报告中指出，传播范围最广、危害最大的信息窃取程序包括RedLine、Vidar和Raccoon，“暗网下/AWX”曾报道，2021年的这些恶意软件已经大肆流行被网络犯罪分子使用。 信息窃取软件的传染方式 信息窃取程序通常通过钓鱼邮件、恶意浏览器扩展程序、伪造的软件安装程序或破解的应用程序进行传播。一旦安装在设备上，它们就会扫描浏览器数据库、自动填充记录、已保存的密码和本地文件，查找任何与凭证相关的数据。许多程序还会查找数字钱包的助记词与密钥、FTP登录凭证和云服务登录信息。 至关重要的是，许多信息窃取者还会窃取会话令牌和身份验证Cookie，这意味着即使是依赖多因素身份验证的用户也并非完全安全。利用窃取的会话令牌，攻击者可以完全绕过多因素身份验证，无需手动登录即可控制会话。 数据收集完成后，会被上传到命令与控制（CC）服务器。在那里，这些数据要么被攻击者直接使用，要么被打包成日志数据在暗网论坛上出售。这些日志数据可能包含受害者的IP地址、地理位置、浏览器指纹和完整凭证列表等所有内容，为攻击者提供进一步利用或冒充攻击所需的一切。 防范信息窃取恶意软件的5种方法 随着信息窃取恶意软件的威胁日益加剧，保护用户的数据需要结合明智的安全习惯和可靠的安全工具。以下五种有效方法可以保障用户的信息安全。 1、使用密码管理器：许多信息窃取者会将目标锁定在网络浏览器中保存的密码上。与其依赖浏览器存储凭证，不如使用专用的密码管理器。许多密码管理器内置了数据泄露扫描程序，可以检查用户的信息是否在已知的泄露事件中被泄露。 2、启用双重身份验证（2FA）：即使用户的凭证被盗，双重身份验证也能通过要求第二种验证方式（例如身份验证应用程序的代码或生物识别确认）来增加额外的安全保障。网络犯罪分子依靠窃取的用户名和密码来入侵账户，但启用双重身份验证后，他们如果没有额外的验证答案就无法访问账户。因此务必在电子邮件、银行账户和工作相关登录信息等重要账户上启用双重身份验证。 3、使用强大的杀毒软件，并谨慎下载软件和点击链接：信息窃取恶意软件通常通过恶意下载、钓鱼邮件和虚假网站传播。避免从不可信来源下载软件或文件，并在点击链接前务必仔细检查。攻击者会将恶意软件伪装成合法软件、游戏作弊软件或破解应用程序，因此最好坚持从官方网站和应用商店下载。保护自己免受恶意链接（这些链接会安装恶意软件，并可能访问用户的私人信息）侵害的最佳方法是在所有设备上安装强大的防病毒软件。 4、保持软件更新：网络犯罪分子会利用过时的软件传播恶意软件。保持操作系统、浏览器和安全软件的更新，可以确保已知漏洞得到修补。尽可能启用自动更新，并安装信誉良好的防病毒或端点保护软件，以便在信息窃取威胁危害用户的系统之前检测并阻止它们。 5、考虑使用个人数据删除服务：这些服务可以帮助用户从数据经纪网站删除用户的个人信息，降低用户遭受身份盗窃、垃圾邮件和定向诈骗的风险。虽然没有任何服务可以保证将用户的数据从互联网上彻底删除，但数据删除服务确实是一个明智的选择。它们并不便宜，用户的隐私也同样如此。这些服务会主动监控并系统地从数百个网站上删除用户的个人信息，为用户完成所有工作。这已被证明是从互联网上删除个人数据最有效的方法。通过限制可用信息，可以降低诈骗者将数据泄露事件的数据与他们可能在暗网上找到的信息进行交叉比对的风险，从而更难锁定用户。

臭名昭著的LockBit勒索软件团伙的暗网网站遭遇严重入侵。5月7日，攻击者破坏了其暗网基础设施，并泄露了包含敏感操作细节的综合数据库，曝光了其勒索细节的聊天记录。 此次黑客攻击对全球最猖獗的勒索软件团伙之一造成了重大打击。 首先发布该事件的是“Rey”： https://twitter.com/ReyXBF/status/1920220381681418713 现在，访问LockBit暗网网站（http://lockbitapyx2kr5b7ma7qn6ziwqgbrij2czhcbojuxmgnwpkgv2yx2yd[.]onion）的访客会收到一条挑衅性的信息：“不要犯罪，犯罪是坏事，来自布拉格的xoxo”，同时还附上了一个下载链接，用于下载名为“paneldb_dump.zip”的文件，其中包含MySQL数据库存储文件。 Lockbit的暗网网站确系被黑客入侵 在与该事件发现者Rey的Tox对话中，被称为“LockBitSupp”的LockBit运营者证实了此次泄密事件，并表示没有私钥泄露或数据丢失。 安全研究人员已经确认泄露数据的真实性，其中包含有关勒索软件团伙操作的宝贵信息。其中“paneldb_dump.zip”压缩文档包含了从LockBit暗网网站管理后台的MySQL数据库转储的SQL文件。 该数据库包括59975个用于支付赎金的唯一比特币钱包地址、从去年12月到今年4月下旬LockBit勒索软件团伙背后的运营者与其受害者之间的4442条赎金谈判信息，以及为特定攻击创建的自定义勒索软件版本的详细信息。 分析该数据库，其中包含20个数据表，包括： ‘btc_addresses’表包含59,975个唯一的比特币地址。 “builds”表包含关联方为攻击创建的各个构建。表中的行包含公钥，但遗憾的是没有私钥。部分构建中还列出了目标公司的名称。 “builds_configurations”表包含每个构建使用的不同配置，例如要跳过哪些ESXi服务器或要加密的文件。 “chats”表非常有趣，因为它包含从12月19日到4月29日勒索软件操作与受害者之间的4442条谈判消息。 “users”表列出了75位有权访问联盟后台管理面板的管理员和联盟会员，Michael Gillespie发现这些密码以明文形式存储。一些明文密码的示例包括“Weekendlover69”、“MovingBricks69420”和“Lockbitproud231”。 后续泄露者又曝光了12张截图，其中包括LockBit的暗网服务器里多个shadow文件、PHP代码的截图以及其暗网网站后台管理的界面截图。通过以下截图可以管中窥豹，一览勒索软件内部的秘密： 比特币地址库与用户表都是执法部门的金矿 HudsonRock联合创始人兼首席技术官Alon Gal称此次泄密事件是“执法部门的金矿”，可以极大地帮助追踪加密货币支付并将攻击归咎于特定的威胁行为者。 也许最令人尴尬的是，此次泄密暴露了一个包含75名管理员和联盟附属人员的纯文本密码的用户表，这可能被执法部门用以识别发动勒索攻击的黑客。 泄露的SQL数据库显示LockBit的暗网服务器正在运行PHP 8.1.2，该版本存在严重的远程代码执行漏洞，编号是CVE-2024-4577，可用于在远程服务器上实现远程代码执行。网络安全研究人员推测，这次攻击可能与PHP 8.1.2存在的这个高危漏洞（CVE-2024-4577）有关。 LockBit试图淡化此事件 LockBit试图淡化此事，该团伙在其暗网泄密网站上用西里尔文发布的一条消息中声称：“5月7日，他们入侵了带有自动注册功能的精简版管理面板，窃取了数据库，没有一个解密器受到影响，也没有任何被盗的公司数据受到影响。”该团伙愿意支付报酬，以获取有关此次入侵事件的布拉格黑客“xoxo”相关的信息。 此次黑客攻击发生在名为“克洛诺斯“（Operation Cronos）的执法行动一年之后，克罗诺斯行动是一场国际联合执法行动。当时“暗网下/AWX”做了详细报道，执法机构于2024年2月暂时破坏了LockBit的基础设施，包括托管数据的暗网泄密网站及其34台镜像服务器、从受害者那里窃取的数据、加密货币地址、1000个解密密钥以及管理面板。 虽然该团伙在此次攻击后成功重建并恢复运营，但其声誉已遭受重创，随着这次最新的入侵事件的发生，这对LockBit本已受损的声誉又造成了进一步的打击。研究人员指出，该团伙近期的许多受害者索赔请求都来自之前的攻击或其他勒索软件团伙的索赔。 对于LockBit而言，此次泄密事件可能带来毁灭性的打击，可能会破坏其附属联盟的信任并进一步阻碍其运营。LockBit勒索软件团伙2023年初在全球造成了约44%的勒索软件事件。

“暗网下/AWX”获悉，近期，德国巴伐利亚州刑事警察局（BLKA）与德国中央网络犯罪检控局（ZCB）合作，在德国联邦刑事警察局（BKA）的支持下，捣毁了一个名为“Pygmalion”的大型暗网毒品交易市场，查获了该暗网商店使用的多台服务器和洋葱域名。经过数月的调查，该暗网商店的基础设施被摧毁，数人被捕。 目前该暗网商店的暗网域名已经被警方查封，访问Pygmalion商店之前使用的所有暗网域名后均会显示当局发出的扣押通知，告知访问者该暗网网站已被查封。扣押通知中写道：“这些犯罪内容已由联邦刑事警察局（BKA）代表巴伐利亚州网络犯罪检控中心（ZCB）查封。” 缉毒调查与大规模逮捕行动 BLKA于2025年4月24日发布的新闻稿显示，警方调查的重点是居住在巴伐利亚州的七名嫌疑人，他们被指控在全球范围内大规模包装和运输毒品。 该调查基于图林根州刑事警察局进行的单独调查的信息。通过深入的数据分析，BLKA专家能够建立巴伐利亚州、图林根州和北莱茵-威斯特法伦州犯罪之间的联系，并揭示多层次的犯罪者结构。最终在诺伊堡和艾希施泰特地区确定了包装商和托运商的物流网络。 在因戈尔施塔特刑事调查部门和邮政服务提供商的密切合作下，多批含有毒品的邮件在送达前被查获，这些邮件原本打算寄往世界各地的收件人。 2025年2月7日，BLKA警察部队在防暴警察和上巴伐利亚北部警察总部的支援下，根据先前获得的逮捕令逮捕了4名嫌疑人，包括3男1女，年龄在24岁至56岁之间。他们涉嫌组成一个负责包装和运送毒品给全球买家的团伙。逮捕行动分别在艾希施泰特区和多瑙河畔诺伊堡镇进行。 在对五处房产的联合突击搜查中，警方缴获了超过53公斤的毒品及非法药物，包括约30公斤甲基苯丙胺、2公斤海洛因和4公斤可卡因。此外，还缴获了约15万片受德国《药品法》管制的药片。 尤其引人注目的是这些毒品的专业储存和管理：许多毒品已被预先分装到约7000个真空密封袋中，准备分发。据官员们估计，这些被缴获的毒品零售价约为七位数欧元。 暗网商店“Pygmalion”的用户数据被警方获取 BLKA的网络贩毒调查部门（FARO）正在密切开展进一步调查。通过对查获的通信介质进行初步取证分析，调查人员发现了大量详细的记录，包括可追溯到2024年4月的客户数据和订单历史记录。初步取证分析显示，犯罪者保留了详细的会计记录，从中可以获取自2024年4月左右以来的至少7250份订单信息和相关客户数据。 这些信息不仅可以作为对被捕嫌疑人和其他被告的定罪证据，还可以识别提交订单的客户，也就是这些毒品的买家。 在此背景下，调查部门再次指出，通过互联网购买毒品——无论是在明网还是暗网——都不能免于刑事起诉。与许多此类暗网商店经营者的说法相反，订单数据通常会保存数年。这些数据通常构成刑事调查的宝贵证据链。 广泛的调查仍在进行中。被告人面临严重的刑事后果。由于犯罪行为涉嫌团伙化、有组织、专业化，且涉案毒品数量巨大，他们面临5至15年的监禁。 图林根州刑事警察局此前调查收集的数据揭示了此次行动的规模。一旦确定了巴伐利亚州、图林根州和北莱茵-威斯特法伦州的犯罪活动之间的联系，当局就能绘制出包括包装商、托运人和协调员在内的内部结构。 暗网市场的运营者提示：“低调行事” 在此次下架事件之后，一条据称是该暗网市场的运营者发布在Pastebin的消息通过重定向从现已关闭的“Pygmalion”暗网商店传播开来。消息内容如下： Hey dear customers, You’ve already heard it from the BKA: Our shop has been seized. Normally, this wouldn’t even be possible since we’re behind Tor—but Pygmalion had access to the server. This means customer data is likely now in the hands of the authorities. To everyone who placed orders around April 2024 or later:

根据Privacyguides.org向Tor浏览器用户发出的警告，在不重启Tor浏览器的情况下切换安全级别，可能会使用户面临更高的指纹识别和漏洞利用风险。 A warning to Tor Browser users: switching security levels without restarting your browser could potentially put you at heightened risk of fingerprinting and exploits: https://t.co/E9IFypUBZi — Privacy Guides (@privacy_guides) May 2, 2025 Privacyguides表示，这是访问暗网的用户应该关注的一个安全问题，在Tor浏览器和Mullvad浏览器的“安全级别滑块“功能中存在的一个漏洞：在浏览器完全重启之前，浏览器宣传的所有保护措施并非都能正确启用。 Privacyguides社区的一位成员匿名报告了这个漏洞，Privacyguides已通过macOS上最新的Tor浏览器14.5.1版本以及Mullvad浏览器14.5.1版本确认了此漏洞。对于在Tor浏览器中完全应用安全设置之前是否需要采取额外操作，目前找不到任何文档或者相关GitLab提示，并且Tor浏览器的文档也没有指出需要重启，也没有提示用户在进行安全更改后需重启浏览器。 因此，对于那些为了保护自己免受浏览器漏洞攻击而在浏览过程中从”标准安全“设置切换到”更安全“设置的用户来说，这会带来很高的风险。 JavaScript测试 用户可以在自己的Tor浏览器中运行JavaScript基准测试（例如JetStream 2.2）来轻松演示其效果。这些基准测试依赖于一种名为即时（JIT）编译的技术来提升性能，但JIT与现代Web浏览器中的众多安全漏洞相关。“更安全”安全级别通常会完全禁用JIT以防止这些问题，但是，当用户将Tor浏览器切换到”更安全“级别（未重启Tor浏览器）并再次运行基准测试时，几乎不会看到任何性能影响，数值相差并不大（196与191）。”暗网下/AWX“在本地进行了测试，数值显示126。 虽然这两次运行的性能几乎相同，但在重新启动Tor浏览器并重新运行测试后，我们看到性能结果大幅下降（数值变为33），这与在正确禁用JIT的情况下所预期的结果一致。所以，这清楚地表明，在Tor浏览器重新启动之前，在安全模式下应该禁用的JavaScript技术仍然可以被网站访问，如果用户不了解保护自身安全所需的额外步骤，则可能会面临浏览器漏洞的威胁。 ”最安全“模式（Safest Mode） 目前尚未测试或验证所有需要重启浏览器的安全功能。虽然测试了切换到“更安全”模式后JIT是否仍然启用，因为这是最容易测试的功能。而“最安全”模式会完全禁用JavaScript，因此上述演示无法证明切换到“最安全”模式后仍存在此问题。 但是，其他一些通常被“最安全”模式禁用的功能可能会一直处于启用状态，直到用户重新启动浏览器为止。出于谨慎考虑，Privacyguides建议用户在更改此设置后务必重新启动浏览器，无论用户是切换到“更安全”模式还是“最安全”模式。 Privacyguides认为，虽然Tor项目宣传安全滑块可以方便地调整Tor浏览器提供的保护，但并未注明确保这些设置真正生效所需的额外步骤。从测试看来，如需确保用户的安全，在调整Tor浏览器的安全设置后务必彻底重启Tor浏览器。Privacyguides希望Tor浏览器在未来的更新中调整这些设置后能够提示或强制用户重新启动浏览器。 Tor项目给Privacyguides的声明 Tor项目在给Privacyguides的声明中表示，其已意识到此问题，并正在跟踪和积极解决。感兴趣的用户可以关注此处的讨论和进展：https://gitlab.torproject.org/tpo/applications/tor-browser/-/issues/42572。 除了重启提示之外，Tor项目还在探索对安全级别系统进行更广泛的改进，包括使其与Tor浏览器更新的威胁模型更加紧密地协调一致，并可能将更多后端委托给NoScript以增加灵活性。这些改进可能会成为即将到来的Tor浏览器15.0版本发布周期的一部分。