FBI称已经获取了LockBit的7000个解密密钥 这一消息对那些数据被加密无法访问的人来说可能是个好消息。
美国联邦调查局(FBI)在找到数千个解密密钥后,敦促最猖獗的勒索软件团伙之一LockBit的受害者挺身而出,这些密钥可能有助于恢复数月或数年来无法访问的数据。
上周三,一名FBI高级官员披露了这一消息。三个月前,国际执法机构查封了暗网勒索软件团伙LockBit使用的服务器和其他基础设施。当局称,该团伙已从全球7000名受害者那里勒索了超过10亿美元。当局当时表示,他们控制了1000个解密密钥、4000个账户和34台服务器,并冻结了与此次行动相关的200个加密货币账户。
联邦调查局网络助理局长布莱恩·沃恩德兰(Bryan Vorndran)上周三在波士顿举行的一次网络安全会议上发表讲话时说,特工们还追回了一项对数千名LockBit受害者来说非常有意义的资产——解密密钥,这些密钥可以让他们解锁被LockBit团伙勒索的数据。
“此外,通过对LockBit的持续破坏,我们现在拥有超过7000个解密密钥,可以帮助受害者恢复他们的数据并重新上网,”沃恩德兰在指出此次扣押行动带来的其他成就后说道。“我们正在联系已知的LockBit受害者,并鼓励任何怀疑自己是受害者的人访问我们的互联网犯罪投诉中心ic3.gov。”
执法部门目前掌握的解密密钥数量大大高于当局在宣布取缔行动当天所称的1000个密钥。
这位助理局长警告说,通过从勒索软件运营商那里购买解密密钥,只能解决受害者的两个问题之一。与大多数勒索软件团伙一样,LockBit遵循双重勒索模式,不仅要求支付解密密钥的赏金,还要求承诺不向第三方出售机密数据或将其发布在互联网上。虽然归还密钥可能让受害者恢复他们的数据,但这并不能阻止LockBit出售或传播数据。
“当公司被勒索并选择付费以防止数据泄露时,你付钱是为了防止数据现在泄露,而不是将来泄露,”沃恩德兰说。“即使你从犯罪分子手中拿回了数据,你也应该假设它有一天可能会被泄露,或者有一天你可能会再次因同样的数据被勒索。”
理所当然的是,获得执法部门收回的7000个密钥之一的受害者面临着同样的威胁,即他们的数据有可能遭到泄露,除非他们付钱。
打击勒索软件的斗争同样取得了有限的胜利,遏制LockBit活动的努力也不例外。2022年,当局逮捕了一名名为米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)的LockBit相关人员,并于3月判处他四年监禁。上个月,当局将LockBit的幕后黑手列为31岁的俄罗斯国民尤里耶维奇·霍罗舍夫(Yuryevich Khoroshev)。
尽管采取了这些行动,并在2月份查封了关键的LockBit基础设施,但基于LockBit的恶意软件仍在继续传播。研究人员还观察到该组织发起了新的LockBit攻击并发布了新的加密程序。自执法行动以来,LockBit同伙还发布了之前和之后从受害者那里窃取的大量数据。
美国国务院悬赏1千万美元征集能够逮捕或定罪LockBit领导人的信息,并悬赏500万美元征集该团伙的附属人员。
LockBit在Telegram建立了两个VIP频道 6月12日,LockBit在其公开频道里宣布了两个VIP频道:“数据库VIP频道”(VIP CHANNEL DATABASE)、“LOCKBIT VIP频道”(LOCKBIT VIP CHANNELS)。
其中,“数据库VIP频道”用于分享数据库,加入的价格从250美元/3个月至500美元终身不等;而“LOCKBIT VIP频道”是私人专属频道,除了分享数据库外,还更新所有黑客信息以及2024年不支付赎金的各个公司的信息,加入的价格从350美元/3个月至1000美元终身不等。
并且其称,VIP频道分享的所有的数据都是私人的,从未公开过的。
不明人员正通过Tox对LockBit发动添加好友DDoS攻击 威胁情报团队vxunderground在X上表示,Lockbit 勒索软件组织今天发布消息称,有人正在通过Tox上的好友请求进行拒绝服务攻击。
据称他们已经收到了20万次添加好友请求。
“暗网下/AWX”曾介绍,Tox是一个免费的点对点即时消息传递和视频电话网络协议,基于Tox协议的客户端软件有许多,详情请参考本站(anwangxia.com)之前的文章。去年5月份,爆出基于Tox协议的聊天软件qTox存在远程代码执行漏洞。
就在北京时间今天上午,第三版BreachForums再次遭受了巨大打击,明网与暗网网站无法访问,管理员ShinyHunters的Telegram账户被删除,BreachForums的新频道与Jacuzzi 2.0的聊天群组同样被删除。
vx-underground发布推文称,ShinyHunters,负责管理Breached的小组(个人?)Breached 在明网和暗网上都已下线。此外,Shiny的Telegram和Telegram频道已被删除。人们猜测他们已经被捕。
vx-underground戏称,我们唯一可以确定的是,今天是星期天。我们不喜欢周日发生事情。(美国时间,现在为周日)
DarkWebInformer总结了BreachForums的最后一小时:
Clearnet 和 Tor 网站瘫痪 Shiny 的 Telegram 帐户被删除 BreachForums 公告 Telegram 频道变为空白 Jacuzzi 2.0 Telegram 聊天被删除。 经”暗网下/AWX“测试,BreachForums的明网网站(breachforums.st)目前提示502错误:
502 – Bad Gateway . That’s an error.
Looks like we have got an invalid response from the upstream server. That’s all we know.
访问BreachForums暗网网站(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion)提示“Onionsite Not Found”:
Onionsite Not Found
Details: 0xF0 — The requested onion service descriptor can’t be found on the hashring and therefore the service is not reachable by the client.
2021年12月,暗网论坛Dread的版主”HeadJanitor“曾经发布一个主题帖子”接受门罗币(XMR)的VPS和云服务/托管提供商“,列出了一份全面的VPS和云服务/托管提供商列表,这些提供商要么(a)对Tor友好,要么(b)接受Monero(XMR),并且注重隐私。
近日,DarkWebInformer发推表示,时过境迁,虽然这篇文章已经发表了近3年,但仍有很大的现实意义。
当时”HeadJanitor“发布的列表(并提示了要求用户自行验证)如下:
1 https://www.trilightzone.org/ [privacy-based]
2 https://www.xmrvps.com/ [privacy-based]
3 https://ablative.hosting/ [privacy-based]
4 https://ablative.hosting/shared-single-hop-onion-hosting [privacy-based]
5 https://anycolo.net/
6 https://flokinet.is/ [privacy-based]
7 https://www.swisslayer.com/ [privacy-based]
8 https://koddos.net
9 https://www.privex.io/ [privacy-based]
10 https://www.epio.host/ [privacy-based]
11 https://incognet.io/ [privacy-based]
12 https://5wire.co.uk/
13 https://userbase.com/
14 https://nicevps.net/
15 https://cryptoho.st/ [privacy-based]
16 https://cryptwerk.com/
17 https://host-world.com/monero-vps [privacy-based]
18 https://abacohosting.com/
19 https://evolution-host.com/
20 https://qhoster.com/
21 https://whattheserver.com/
22 https://codify.global/
23 https://www.superbytehosting.com/
24 https://www.superbithost.com/ [privacy-based]
25 https://www.nexwave.ca/
26 https://www.hostingssi.com/
27 https://blazinhosting.net/
Qilin勒索软件团伙的暗网勒索网站已于周三瘫痪,据信该团伙是影响伦敦多家医院的攻击事件的幕后黑手。
在第三方服务提供商Synnovis遭到攻击后,伦敦最大的几家医院取消了医疗业务,并宣布发生严重的网络安全事故。知情人士透露,Qilin勒索软件团伙似乎是罪魁祸首。
目前尚不清楚Qilin勒索软件团伙的暗网网站无法访问的原因。该暗网网站在周三早些时候还可以正常访问,但在伦敦时间下午,该暗网网站开始显示0xF2错误,这种错误最常发生在暗网网站转移到新服务器的时候。
截至周三,Qilin勒索软件团伙尚未更新其暗网网站上的受害者页面,并没有添加Synnovis,Synnovis是一家为盖伊和圣托马斯国家医疗服务系统基金会信托基金(Guy’s and St Thomas’ NHS Foundation Trust)和国王学院医院国家医疗服务系统信托基金(King’s College Hospitals NHS Trust)提供病理服务的企业。贝克斯利、格林威治、刘易舍姆、布罗姆利、南华克和兰贝斯区的全科医生服务也受到了此次攻击的影响。
如果说Qilin勒索软件团伙的暗网网站是为了反制对伦敦医疗服务供应商受到网络攻击的影响而关闭的,那么这将是一个令人惊讶的快速执法反应。因为相比之下,打击LockBit勒索软件团伙的行动持续了两年。”暗网下/AWX“认为可能性极低。
然而,近几个月来,国际执法机构一直在对多个勒索软件团伙采取高节奏的破坏行动。尽管尚未得到证实,但有可能一个国际执法机构已经进入了Qilin勒索软件团伙的暗网系统,并选择在此时破坏了该团伙的基础设施。
尽管存在这种可能性,但此次中断并不一定表明执法行动,因为网络犯罪团伙使用的.onion暗网网站是出了名的不可靠。该团伙本身可能选择暂时关闭暗网网站,以避免引起对造成严重破坏的事件引起更多的额外关注。
已宣布发生严重的网络安全事件 盖伊和圣托马斯国家医疗服务系统基金会信托基金首席执行官伊恩·艾比(Ian Abby)说:”Synnovis 遭到的攻击对我们的服务造成了重大影响,输血服务尤其受到影响。“
”暗网下/AWX“看到, 伦敦最大的几家医院已宣布发生严重事件(紧急状态)。受此影响,计划中的手术被取消,病人被转到其他医疗机构,这可能会给附近的医院增加额外的压力。
在昨天的一份声明中,Synnovis首席执行官马克·多拉尔(Mark Dollar)表示,“来自Synnovis和NHS 的IT专家组成的工作组正在努力全面评估这一事件造成的影响。”
多拉尔写道:”令人遗憾的是,这对患者造成了影响,由于紧急工作被列为优先事项,一些活动已经被取消或转给了其他提供商。“我们对给患者、服务用户和其他受影响的人造成的不便和困扰深表歉意”。
根据英国信息专员办公室(ICO)收到的个人数据泄露报告,自2019年1月以来,英国卫生部门共遭遇215起勒索软件事件,此次攻击是其中最新的一起。
根据这些数据,去年英国的勒索软件攻击达到了创纪录的水平。尽管数据表明,事件数量从2022年创纪录的106起下降到2023年的32起,但英国信息专员办公室和英国国家网络安全中心都表示,他们“越来越担心”勒索软件受害者未能报告事件。
为了应对勒索软件危机,英国内政部官员原计划于6月启动一次公众咨询,提出激进措施,包括要求所有受害者在支付勒索软件款项前必须获得许可,但由于首相宣布举行紧急大选,这些计划被推迟。
对医疗保健部门的攻击可能会对患者造成特别大的影响。今年早些时候,网络勒索者公布了从苏格兰医疗体系下属的 NHS 邓弗里斯和加洛韦国家医疗服务系统(NHS Dumfries and Galloway)窃取的患者敏感数据,企图向当地卫生委员会索要钱财。本站(anwangxia.com)曾经报道,2021年,暗网上曾经发现了数万份苏格兰政府公共部门泄露的认证信息。
“ICANN和FBI强迫我们暂停您帐户下的所有域名,感谢您的理解。”
整个5月份,“暗网下/AWX”在持续关注BreachForums,报道了第二版BreachForums被FBI摧毁以及第三版BreachForums重新回归的故事。5月30日,BreachForums的现管理员ShinyHunters突然发帖讲述他们戏弄FBI的细节,但是根据Telegram的投票,广大网友们依然认为第三版BreachForums是FBI的蜜罐。
5月30日,ShinyHunters在公告版块发布主题帖“我们是如何戏弄FBI的”,介绍了第二版BreachForums的创建者Baphomet被FBI逮捕后,他们是如何与FBI斗智斗勇、与域名提供商NiceNIC周旋、成功夺回BreachForums的明网.st域名的经历。
ShinyHunters称,这真是糟糕的一个月!他们相信所有用户都感到担心、困惑和忧虑。ShinyHunters说请大家放心,他们已经控制住了一切。FBI尚未公布有关逮捕BreachForums前任管理员Baphomet的任何细节,因此关于此事,大家都只能猜测。但是,为了向所有人透明,他们希望确认,FBI确实通过Baphomet获得了数据库。每个用户都需要采取适当的预防措施。ShinyHunters称希望每个人都能从第一版BreachForums(BF1)被扣押的事件中吸取教训,采取适当的行动安全措施。
接着,ShinyHunters表示让大家看看FBI与NiceNIC的绝对愚蠢行为,以及仅仅为了获取用户数据而完全关闭整个数据中心的行为。
正如之前介绍,FBI要求NiceNIC将DNS指向其域名服务器以用于扣押页面,ShinyHunters称,对此,他们决定最好的做法是要求域名注册商NiceNIC归还域名,出乎意料的是,NiceNIC竟然同意了。然后,他们使用新电报组和N.W.A.的歌曲“Fuck Tha Police”替换了FBI的扣押横幅。
ShinyHunters表示,FBI在扣押页面被删除后感到非常尴尬,他们一边擦眼泪,泪水短路了键盘,一边给NiceNIC写了以下邮件(前次报道已经详细介绍),并要求将域名转移到他们的账户。
ShinyHunters继续称,这引发了FBI的第二轮尴尬。因为FBI并不知道,ShinyHunters已经使用EPP代码将域名转移到了另一家域名注册商。
ShinyHunters骂道,事实证明,肖恩先生(Mr. Sean)和 “特别探员 ”麦凯尔维(McKelvey)是个彻头彻尾的白痴,他们把扣押工作搞得如此糟糕,现已被置于自杀式监视之下。这还不是结束,FBI为了获得托管数据,竟然查封了整个数据中心的所有服务器,完全关闭了一家合法企业。ShinyHunters在公告中表示要向NiceVPS道歉,因为他们的行为导致FBI关闭了NiceVPS的业务。
如上图,NiceVPS称瑞士警方扣押了他们的基础设施。NiceVPS是一家匿名主机提供商,允许使用比特币、门罗币等加密货币支付。本站(anwangxia.com)发现,在此次扣押之后,NiceVPS在其网站首页最底部加上了一句红色的显著提醒”BEWARE: We do NOT allow any kind of illegal activity.“(注意:我们不允许任何形式的非法活动。)
公告最后,ShinyHunters提醒用户保存可在暗网访问的.onion地址,因为显然,明网域名不会永远存在,但如果情况像目前这样发展,很难永远保留.st。
经“暗网下/AWX”测试,截至目前,BreachForums的明网.st域名可正常访问。ShinyHunters似乎将域名转向了.st域名的官方注册商:ST Registry(https://www.nic.st/)
“暗网下/AWX”注意到,知名暗网研究媒体DarkWebInformer在其Telegram频道发起了一个针对BreachForums的投票”Still a honeypot?“(是否还是一个蜜罐?),有100多网友参与了投票,其中91%的网友认为,现在的BreachForums论坛依旧是FBI的蜜罐。
诸位“暗网下/AWX”的网友,你们觉得呢?现在的BreachForums论坛是否是FBI的蜜罐?
更多暗网新闻动态,请关注“暗网下/AWX”。
“暗网下/AWX”前年11月曝光了骗人的暗网市场BlackMart,介绍了该诈骗暗网市场的骗术很低级,配送页面、星级评价、担保商看起来像一个正常的暗网市场,其实都是骗子伪造的,这是一个迷惑性极强的网站。
最近,又有热心网友“justin”在评论中向“暗网下/AWX”举报“BlackMart”还在继续行骗,并且已经更换了新的暗网域名,他说:
所以我刚刚读了你关于BlackMart的文章,虽然有点晚了。我以65美元的价格购买了价值1000美元的PayPal,但总成本是140加元。我向BlackMart下订单的钱包发送了价值95美元的比特币。但一直没有收到任何东西,然后今天钱包就空了。请尽你们所能去宣传他们仍在运营和诈骗的消息。我还有交易的截图。这是他们现在使用的网站。
经测试,“暗网下/AWX”发现诈骗暗网市场“BlackMart”之前的暗网域名(blackma6xtzkajcy2eahws4q65ayhnsa6kghu6oa6sci2ul47fq66jqd.onion)已经无法访问,“justin”提供的新暗网域名可以正常访问,“BlackMart”新更换的暗网onion域名为:
http://blackma333zetynnrblc7uidfp2tewhtwpojxxvmty3n4cdsc7iyukad.onion
诈骗暗网市场“BlackMart”功能与上次的介绍相差不大,整体清新简洁的网站设计也没改变,只是Logo的颜色由橙色改成了绿色,除此之外,细节上也有几点变化。
一是虚假的星级评价不再只是英文,添加了各国语言。打开商品页面,映入眼帘的许多好评,有中文评价“做的好”,匈牙利语评价“非常好”,瑞典语评价“交货快”,罗马利亚语评价“交货快捷,礼品卡精选”,日本语评价“快速运输,很棒的礼品卡选择”等等。
二是新增了诈骗话术,页面商品介绍下增添了“买家保障”的提醒:如果您没有收到订单,可全额退款。如果商品与描述不符,可全额或部分退款。
三是该市场提供的所谓暗网担保网站(The Escrow)更加逼真。该诈骗市场的担保网站(escrowkwttyhfyab3clkln7lfveyg7pfdwsv5vner35mhg7oaqz5uiid.onion)的诈骗话术相当迷惑人:“The Escrow自2015年起为客户提供服务,是您全天候的深度网络购物合作伙伴。您的资金安全是我们的第一要务,因此我们全天候为您提供服务,确保您的交易安全无忧。”。
网友”justin“提供了其与诈骗网站站长的交涉的详尽截图,让我们一睹骗子的嘴脸:
1、网友”justin“下单,根据要求进行BTC转账,没有收到所谓的Paypal商品。
2、发送邮件至[email protected],告知已经按照要求转账,但没有收到商品。
3、骗子回复道,感谢订单,但是这个65美元商品出现技术问题,120美元与175美元的商品正常,请继续转账,然后顶多2小时就可以收到商品了。
4、网友”justin“发现被骗。
5、网友”justin“联系担保网站The Escrow,其要求在该网站再次下单,准备再次诈骗。
“暗网下/AWX”对该“justin”的购买PayPal被骗的比特币支付进行了分析:
1、支付地址为:1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT,交易hash为:cadde8547bda075484dd94207842e27bc8dbe11c68f476baf87f38b6d1ce437c,时间为:2022-03-31 08:47:15
2、该地址1FZSceSwwRFAcgoAHE3Nc5p4h2cxUmKBGT仅诈骗了这一笔,共计0.00135690个BTC。
本站(anwangxia.com)已经将“BlackMart”的新暗网域名向合作伙伴“onion666暗网导航”进行了通报。“暗网下/AWX”将持续曝光暗网里的各种诈骗网站,感谢热心网友“justin”提供的截图与线索,希望被骗的其他网友都能站出来积极举报,请将截图发至[email protected]。
更多暗网新闻动态,请关注“暗网下/AWX”。
超过三分之二的英国国会议员的数据已被泄露到暗网。这相当于目前在下议院任职的政客的70%左右,包括那些应该负责英国网络安全的政客。
这一令人震惊的数据来自领先的数字风险公司Constella Intelligence和端对端加密邮件服务ProtonMail背后的厂商——隐私提供商Proton的联合调查。根据他们的记录,在650名议员中,共有443名的个人信息在黑客攻击或入侵中被泄露,这些信息是从议员使用议会电子邮件地址注册的第三方服务中收集的。
事实证明,在账户安全方面,英国议员的表现也远不如欧洲和法国政客。不到一半的欧洲议会议员(44%)受到影响,据报道,只有18%的法国国民议会和参议院议员的个人信息被泄露。Proton是一家总部位于瑞士的安全软件供应商,也是市场上最好的VPN服务提供商之一,现在它呼吁下一届英国政府最终“认真对待网络安全问题”。
“在当今的数字环境中,强大的网络安全实践至关重要,尤其是对于那些身居要职的人而言。考虑到国会议员拥有的访问权限,一个泄露的密码可能会导致严重的国家安全漏洞,”Proton账户安全主管Eamonn Maguire表示。
研究人员发现,暗网中曝光了216个与被泄露的国会议员账户相关的纯文本密码,令人震惊的是,仅一名国会议员就泄露了多达10个密码。政客的议会电子邮件是涉及泄露的最大数据,在暗网上被曝光了2110次。虽然被泄露的议员信息平均被曝光4.7次,但最常被攻击的议员遭受了多达30次泄露。
这些数字令人担忧,因为泄露的电子邮件和密码可以成为人们在线账户的万能钥匙。犯罪分子利用人们在不同账户中使用相同密码的习惯,采用“凭证填充”的手段,在各种不同平台上尝试输入数千个被盗密码和电子邮件地址。
社交媒体资料也受到影响。Instagram个人资料被泄露16次,LinkedIn个人资料被泄露117次,X账户被泄露21次,Facebook账户被泄露21次。这尤其危险,因为社交媒体平台包含大量个人信息。
不过,如此惊人的数字并不令人惊讶。越来越多的组织和个人成为网络攻击和数据泄露的目标。2024年1月,“所有数据泄露之母”泄露了12TB的数据,约260亿条记录。现在几乎每天都有新的数据泄露报告,最新一次涉及25000名BBC员工的个人信息。
对许多正常人来说,风险都很高,但对政治家等位高权重的人来说,风险就更高了,因为一旦泄密,就可能关系到国家安全问题,尤其是在网络战日益猖獗的今天。
关于这一点,Maguire表示:“对于任何公众人物来说,保持警惕都是必不可少的,以保护个人和国家安全,我们呼吁大选后的新政府认真对待网络安全,并呼吁所有议员采取更好的账户安全措施。”
每个人都可能成为攻击目标 这不仅仅是国会议员、记者或其他有影响力的人物所担心的问题——每个人都可能成为目标。目标可能不同,但参与黑客攻击的手段不会改变。
“许多人低估了自己的脆弱性,但现实是,每个人都是网络犯罪分子潜在的目标,”Maguire说。
这就是为什么Proton呼吁国会议员——但这可以扩展到我们所有人——采取一些措施确保在线账户尽可能安全。
作为一条经验法则,Proton建议国会议员避免使用自己的议会电子邮件地址注册第三方服务。
使用可靠的密码管理工具也很有好处,它可以帮助您找到强密码并记住它们——Proton有自己的免费Proton Pass。电子邮件别名也很方便,可以在注册时掩盖真实的电子邮件账户,注册数据警报软件可以在您的信息泄露时及时通知您。
“道高一尺魔高一丈”,这是一个令网络犯罪群体振奋的故事,也是让世界最顶级执法机构尴尬的故事。
正如“暗网下/AWX”前期报道的,网络犯罪分子正计划全面恢复BreachForums网站。在美国联邦调查局(FBI)查封BreachForums基础设施并逮捕两名管理员仅两周后,暗网上最大的数据泄露论坛BreachForums再次重返明网和暗网。尽管FBI做出了十足的努力,但第二版BreachForums管理员之一ShinyHunters还是重新获得了明网域名,并开启了新的暗网域名。
针对BreachForums的执法行动于2024年5月15日开始,本站(anwangxia.com)做了及时详尽的报道,当时FBI在国际执法协调努力下查封了属于BreachForums网站的基础设施,包括所有域名。同时据称,FBI在此执法过程中逮捕了两名管理员。然而没过几天,BreachForums的主要管理员ShinyHunters(同时也是黑客)通过联系位于中国香港的域名注册商NiceNIC,在FBI眼皮底下成功夺回被扣押的明网域名“breachforums.st”,.st为圣多美和普林西比国家及地区顶级域(ccTLD)的域名。
ShinyHunters如何夺回明网域名 由于FBI已经掌握BreachForums的暗网域名私钥,之前的暗网域名处于与FBI的争夺战中,已经无法正常使用。因此该论坛已经为暗网采用了一个新域名(breached26tezcofqla4adzyn22notfqwcac7gpbrleg4usehljwkgqd.onion),同时也已使用原始明网域名(breachforums.st)重新上线。其他BreachForums相关的明网域名,包括escrow.breachforums.st、breached.in和另外两个停放域名,也已从FBI的扣押中收回。
ShinyHunters分享了一封电子邮件,声称这是联邦调查局网络部门的一名计算机科学家与域名注册商NiceNIC之间的正式对话。这封电子邮件提供了有关明网域名争夺事件的深入背景,并解释了ShinyHunters如何重新获得对被扣押域名的访问权限。
根据这封电子邮件,FBI的网络部门于2024年5月15日对BreachForums进行了一次行动,扣押了多个域名,包括在NiceNIC注册的域名breachforums.st。这些域名是通过法院下达的搜查令合法扣押的。
然而,在扣押几个小时后,breachforums.st域名被归还给原所有者ShinyHunters,而FBI的NiceNIC账户(注册为“bf_fbi”)被暂停。
随后,FBI要求NiceNIC重新激活其账户并归还被扣押的域名,理由是NiceNIC的服务条款禁止宣传网络犯罪。FBI敦促,如果无法归还域名,则应该将该域名解析的服务器更改为FBI拥有的服务器,或者应该暂停解析这些域名以防止进一步的伤害。
目前无法得知NiceNIC对FBI的回应。然而,该域名以原始形式归还给ShinyHunters的事实表明该公司没有遵循FBI的要求。
ShinyHunters在TG频道宣布了新的消息 5月28日,ShinyHunters先是在其Telegram频道发布了breachforums.st域名,Telegram的预览已经显示了该网站的介绍,证明该明网域名已经可以访问了,该域名赢得了很多红心点赞。
接着,15个小时后,ShinyHunters又发布新的公告“Registrations now open”,至此BreachForums完全恢复了被FBI查封前的状态,也恢复了往日的繁华。
电子邮件对话 FBI发给域名注册商NiceNIC的邮件:
我是联邦调查局网络部的计算机科学家,也是联邦调查局域名业务的主要联系人之一。本周早些时候,即2024年5月15日,联邦调查局针对非法论坛和市场“BreachForums”采取了行动。
一些公共网络安全机构注意到了这些行动,并发布了关于域名查封和随后的扣押页面的文章。在行动当天早上,FBI查封了与BreachForums相关的几个域名,包括由NiceNic托管的breachforums.st和其他域名。我们通过向位于美国的账户所有者送达法院命令的扣押令,合法地扣押了这些域名。
我们从该账户中查封的所有网站都用于窃取、出售和共享从世界各地受害者那里窃取的数据。最终,我们努力关闭BreachForums是为了防止该网站对全球无数受害者造成进一步的伤害。
然而,在域名被扣押几小时后,大约在太平洋标准时间5月15日晚上9点,我们注意到,breachforums.st域名已从我们的监管中释放出来,并归还给最初的威胁行为者。我们还注意到,我们无法登录FBI在NiceNic的官方账户,该账户使用电子邮件[email protected](用户名:bf_fbi)注册,这让我们相信该账户已被暂停。
因此,除了将合法查获的域名归还给FBI的NiceNic账户之外,我还想提供一些有关情况的补充信息,希望能推翻账户被暂停的决定。
此外,在您的域名注册服务条款中,您提到所提供的服务不会用于“促进黑客攻击、破解或其他网络犯罪或活动”,但这些都是BreachForums中常见的活动。
如果无法将域名归还给FBI,我们将根据您的服务条款请求将域名解析的服务器更改为FBI拥有的域名服务器,或通过客户保留(clientHold)以防止其造成进一步损害。目前持有这些域名的NiceNic帐户“vincenzotroia”无视并违反了贵公司的服务协议,继续托管这些域名。
我期待着您的回复–如果您能就这一情况提供任何帮助或指导,我们将不胜感激。
敬上,
S***
FBI的尴尬局面 至此,“暗网下/AWX”认为,联邦调查局的局面略显尴尬。尽管他们努力查封了BreachForums的域名并摧毁其基础设施,但该论坛能够迅速恢复其原始的明网域名。这一事实凸显了几个问题,包括国际执法、运营困难、跨国基础设施、安全漏洞、公众看法以及法律和程序问题。
这也解释了为什么尽管事情已经过去了两周,以至于网站已经恢复,联邦调查局或司法部仍未发布详细扣押情况说明的新闻稿。尽管如此,目前而言,这种情况对网络犯罪分子来说是双赢的,既没有损失,也赚足了眼球。不过联邦调查局和其他参与该行动的执法机构下一步将如何采取行动,也将至关重要。
不过,这也间接证明了新的BreachForums并非FBI的蜜罐,而SecretForums大概就是哗众取宠地蹭热度罢了。
更多暗网新闻动态,请关注“暗网下/AWX”。
最近,BreachForums的竞争对手、另一个数据泄露论坛SecretForums的管理员Astounding在其Telegram连续发布多个公告,质疑第三版BreachForums是否是FBI的蜜罐。
名不见经传的SecretForums是个什么网站 SecretForums也是一个数据泄露论坛,在暗网与明网均可以访问,与BreachForums系列不同的是,SecretForums使用开源CMS程序XenForo搭建,而BreachForums系列一直使用的是开源CMS程序PHPBB。
根据SecretForums网站上的数据统计,该论坛拥有4000多用户,1000多主题帖,因此该网站具备一定的用户底数与访问量。在第二版BreachForums被FBI摧毁后,SecretForums宣布将给予前BreachForums会员与他们在网站上类似的排名。
SecretForums的明网域名是:
https://secretforums.net
SecretForums的暗网域名是:
http://secretsmt222qvdg6rcmgvx4dqqc2673yzyxjrrnabwklnn6qddyv5ad.onion
Astounding是Secretforums的管理员和Blackforums前所有者。本站(anwangxia.com)发现,Astounding连续三次在SecretForums的Telegram频道发布声明,质疑Baphomet以及新成立的BreachForums。当然,由于是竞争关系,也许是趁机打压BreachForums。但是在暗网下,一切皆有可能。
Astounding首次质疑被捕的BreachForums管理员Baphomet 5月17日,SecretForums在其Telegram频道发布公告”关于 Baphomet 和 BreachForums 的官方声明“,质疑Baphomet是FBI的线人,称Baphomet之前表达了协助管理Blackforums基础设施的强烈兴趣,还表示BreachForums存在安全问题。具体声明如下:
为什么我相信Baphomet是线人
大约五个月前,Baphomet 表达了协助管理 Blackforums 基础设施的强烈兴趣。 他多次请求建立堡垒服务器来帮助解析日志并解决安全问题。 但是,我从未授予任何人访问权限,也没有创建堡垒服务器。 我坚信我应该是唯一有权访问基础设施的人。 这项政策全年有效,我管理该网站一个月了。
需要澄清的是,其他管理员(包括 Lemonade、Eom 和 Lucy)都不拥有对Blackforums基础设施的完全访问权限。 我是负责其管理和安全的唯一个人。
当我在 Jacuzzi 2.0 中表达这一立场时,我收到了前论坛运营者ShinyHunters 的禁令。 这种反应增强了我对我的陈述的真实性的信心。
Breachforum 的安全问题
新的 Breachforum 存在切实的安全问题,该论坛将由 ShinyHunters 拥有,并根据旧备份构建。 Baphomet 作为该网站的开发者,对旧备份的使用提出了进一步的担忧。
如前所述,Baphomet 请求访问解析日志。 然而,值得注意的是,我们在任何情况下都不会保存我们网站的日志。 我们仅记录网站功能所需的关键信息,例如电子邮件地址、用户名和密码哈希值。 IP 仅从我们的反向代理记录,因为我们没有启用 X-Forwarded-For。
确保安全并记住保持您的运营安全达到标准以避免法律纠纷。
~Secretforums 管理员和 Blackforums 前所有者
Astounding在Telegram发布怀疑Baphomet的证据截图 5月23日,Astounding在Telegram频道发布了一些证明baphomet想要帮助维护服务器的聊天截图。
截图看出,2023年12月29日,Astounding说baphomet帮他修改了nginx配置,但并没有更改;2024年1月14日,baphomet要求Astounding创建一个堡垒服务器。
Astounding第三次发布与BreachForums相关声明 5月25日,Astounding在Telegram频道第三次发布了与BreachForums相关声明。称这是其第三次更新BreachForums声明,因为Aegis(”暗网下/AWX“注:BreachForums的另一位管理员)说其已经绝望了。
Astounding在声明中表示,管理员“ShinyHunters”从2024年5月8日的备份中发布了BreachForums的新版本。管理员不仅使用了旧的备份,还禁用了注册。如果大家回顾一下历史,2022年RaidForums还在的时候,FBI也做了同样的事情。他们禁用了注册功能,将网站变成了一个蜜罐。
目前尚未证实BreachForums是一个蜜罐,但Astounding称,必须让大家知道要格外小心,尤其是现在。他给BreachForums管理员“ShinyHunters”发了信息,但“ShinyHunters”不想对此发表评论。而另一位管理员“Aegis”则声称他绝望了。
Astounding还称,第三版BreachForums的暗网网站似乎非常死气沉沉,在过去60分钟内只有50位用户活跃。
第三版Breachforums的故事、SecretForums的故事、FBI蜜罐的故事,“暗网下/AWX”将长期保持高度关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
唐纳德·J·特朗普(Donald J. Trump)承诺,如果他再次当选总统,将把丝绸之路创始人罗斯·乌布利希(Ross Ulbricht)的无期徒刑减刑为有期徒刑。
特朗普周六晚上在华盛顿特区举行的自由党全国代表大会上发表讲话时表示,“如果你们投票给我,我将在第一天将罗斯·乌布利希的刑期减刑为有期徒刑。”“他已经服刑11年了, 我们要送他回家。”
在发表这些言论之前几个小时,特朗普在社交媒体上赞扬了加密货币行业,并在Truth Social上写道:
“我对加密货币公司以及与这个新兴行业相关的所有事情都持非常积极和开放的态度。 我们国家必须成为该领域的领导者, 没有第二名,”特朗普写道,并补充说总统乔·拜登“希望(加密货币行业)缓慢而痛苦地死去。 这在我这里永远不会发生!”
在晚上的演讲中,特朗普承诺释放乌布利希,现场观众发出了热烈的欢呼声,其中许多人举着写有“释放罗斯”的牌子。
2015年,乌布利希因创建和经营全球首个暗网交易市场”丝绸之路“(Silk Road)而被连续两次判处终身监禁,外加40年监禁——实际上是终身监禁,不得假释。 这个现在已经不复存在的暗网市场用于匿名买卖商品,但主要用于毒品交易。 丝绸之路从2011年运营至2013年,被广泛认为是比特币在现实世界的第一个应用案例。
今年三月份,乌布利希在监狱度过了自己的40岁生日。这位暗网与加密货币的布道师自29岁起在美国被监禁了近11年,一直备受争议。
对于加密社区的许多人以及许多自由主义者来说,乌布利希已经成为他们心目中的殉道者,他们认为乌布利希的严厉判决是政府的越权和对他宪法权利的侵犯。 2018年,自由党呼吁时任总统特朗普赦免乌布利希。
在特朗普的总统任期于2021年1月结束之前,他对143人给予了宽大处理,赦免了73人,其中包括Ripple董事会成员肯·库森 (Ken Kurson),并对另外70人减刑。但他没有赦免 乌布利希、维基解密创始人朱利安·阿桑奇(Julian Assange)和爱德华·斯诺登(Edward Snowden),后者因向美国记者格伦·格林沃尔德(Glenn Greenwald)公布了美国监控项目——棱镜门的细节而逃亡海外。
特朗普还在大会上对加密货币发表了更多积极的评论,告诉与会者他将“阻止乔·拜登粉碎加密货币的运动——我们会阻止它。”
“我将确保加密货币的未来和比特币的未来将在美国创造,而不是在海外推动。 我将支持自我监管权,”特朗普在欢呼声中说道。 “对于全国5000万加密货币持有者,我要这样说:我会让伊丽莎白·沃伦和她的暴徒远离你们的比特币,我永远不会允许创建央行数字货币。”
近几个月来,特朗普对加密货币的态度大幅升温,多次公开发表了几条支持加密货币的评论,并成为第一个接受加密货币捐赠的主要政党总统候选人。