委内瑞拉选举系统数据泄露事件因勒索软件团伙Medusa的暗网泄密网站上的帖子而曝光。该勒索软件团伙涉及对委内瑞拉的网络攻击，威胁行为者以多个实体为目标。 当据称来自Smartmatic的投票系统的屏幕截图开始在暗网和社交媒体上流传时，表明委内瑞拉选举系统数据可能遭到入侵，事态进一步升级。 然而，这家电子投票系统制造商否认了这些指控，并表示“自2017年以来，Smartmatic不再为委内瑞拉选举提供技术或服务。我们还于2018年关闭了在该国的业务。” 据X网站上HackManac报道，该威胁行为者此前将委内瑞拉一家受欢迎的电信公司Digitel作为攻击目标，将其数据发布在Medusa组织的数据泄露网站上，并索要500万美元的赎金。 🇻🇪#Venezuela 🚨Potential Compromise of Venezuela's Electoral System 🚨 The threat actor who recently targeted #Digitel, which was later posted on the #Medusa group's data leak site, demanding a $5 million ransom, has begun sharing screenshots allegedly from #Smartmatic, a… pic.twitter.com/vGqMK8QZwS — HackManac (@H4ckManac) February 13, 2024 威胁行为者以嘲笑的口吻强调了该选举系统所谓的匿名性的讽刺意味，同时透露了机密投票信息，包括提及“VOTO CHAVISTA”等特定政治派别。 这些图像由与Medusa和LockBit等勒索软件行动相关的匿名组织分享的，仍然引起人们对选举基础设施安全性的严重担忧。 根据媒体的说法，Smartmatic迅速做出了回应，称黑客提供的数据存在“重大错误”。自2017年以来，该组织早已停止为委内瑞拉选举提供服务。 “然而，值得一提的是，作为证据显示的图片存在一个重大错误，表明它是假的或与其他东西有关。上面写着“REP Smartmatic 2024”。REP代表选民名册。Smartmatic从未接触过委内瑞拉的选民名册。事实上，全世界各地的选举委员会都不会与选举技术供应商分享这些信息。”Smartmatic发言人表示。 委内瑞拉的政治紧张局势 涉嫌数据泄露事件出现在委内瑞拉总统选举前一年。主要反对派候选人被取消资格，加剧了围绕选举进程的现有争议，引发了人们对即将举行的选举的公平性和透明度的严重怀疑。 反对派领导人玛丽亚·科里纳·马查多 (María Corina Machado) 就是这一趋势的典型代表，委内瑞拉政府以涉嫌政治犯罪为由，禁止她参加2023年6月的选举。 此举遭到美洲国家组织、欧盟、人权观察等国际机构以及哥伦比亚、巴拉圭、乌拉圭、厄瓜多尔、美国、英国等众多国家的谴责，他们认为此举侵犯了政治人权。 随着委内瑞拉面对这些指控，人们对其选举程序的完整性和公正性的担忧不断升级。委内瑞拉选举系统被入侵的指控突出表明，亟需改进网络安全协议，以保护选举系统和敏感的选民数据免受恶意实体的攻击。

本文源自“暗网下/AWX”官方Telegram群组成员@DepressedLeslieAlexander，从技术上介绍了Tor的实现原理、如何连接到Tor，以及访问暗网的注意事项与认知误区。 概述 Tor是实现匿名通信的自由软件，由美国非盈利组织The Tor Project, Inc开发与维护。其名源于“The Onion Router”（洋葱路由）的英语缩写。用户可透过Tor接达由全球志愿者免费提供，包含7500多个中继的覆盖网络，从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动（包括浏览在线网站、帖子以及即时消息等通信形式）相对较难追踪。Tor的设计原意在于保障用户的个人隐私，以及不受监控地进行秘密通信的自由和能力。 Tor通过一种叫做路径选择算法的方式自动在网络中选择3个Tor节点，这三个节点分别叫做入口节点（Guard relay）、中间节点（Middle relay）和出口节点（Exit relay）。在网络连接的应用层，数据以一种叫做洋葱路由的方式进行传输。数据首先在用户端连续加密三层，而三个中继各自解密一层，这样它们就能知道接下来把数据传送给谁。在这种情况下，数据就像剥洋葱一样被一层一层地解密，所以被称为“洋葱路由”。最后的出口节点会解密最内层的加密数据并得到真实的数据内容，并把它传送给目标地址。出口节点虽然知道真正的数据内容，但是它只知道上一个中继节点的地址，并不知道数据最初的发送者是谁，从而保证了数据发送者的安全。相对应地，入口节点仅知晓用户的IP地址而无法得知其访问的网站，而中间节点既无法得知IP地址也无法得知用户所访问的内容。 Tor 通过Tor浏览器来保护你的互联网活动 洋葱服务-暗网（Hidden Service） 在Tor的网络世界中，有一些以.onion顶级域名结尾的网址，这些网站就是我们所熟知的洋葱服务，也就是我们所熟知的暗网。这类网站通常只能通过Tor来进行访问，因此保证了访问者的匿名性。通常我们所熟知的暗网都是黑暗内容，例如色情、血腥暴力、恐怖主义、毒品交易、人口贩卖、黑客服务等违法信息，但Tor的设计初衷绝不是这样的，它的宗旨是保护普通人的隐私，例如为记者、政治活动家、以及追求安全匿名的用户提供服务。 Tor Tor 的使命是通过免费开源技术促进人权，使用户能够抵御大规模监视和互联网审查。 我们讨厌有人将 Tor 用于邪恶目的，我们谴责滥用和利用我们的技术进行犯罪活动。 重要的是要理解，犯罪意图在于个人，而不在于他们使用的工具。 就像其他广泛使用的技术一样，Tor 可能被有犯罪意图的个人使用。 而且由于他们可以使用其他选择，将 Tor 从世界上移除似乎不太可能阻止他们从事犯罪活动。 同时，Tor 和其他隐私措施可以打击身份盗用、跟踪等人身犯罪，并可供执法部门用来调查犯罪并帮助支持幸存者。 Tor Hidden Services 如何连接到Tor 通常情况下，你只需要前往官网（https://support.torproject.org/zh-CN）下载并安装基于Tor的Tor浏览器（Mozilla Firefox的分支），启动后点击连接即可连接至Tor网络。 审查 当然，许多国家对Tor网络进行封锁，例如俄罗斯、伊朗等国家，想在这些国家使用Tor，您可能需要进行额外的配置。您可能需要其他方法下载Tor浏览器并且需要为Tor添加可插拔传输层（网桥）。 其他下载Tor浏览器的方法 如果你无法通过我们的网站下载 Tor浏览器，你可以通过 GetTor 获取一份 Tor 浏览器的副本。 GetTor 是一项通过不同方式自动回复最新版 Tor 浏览器下载链接的服务。这些链接由不同处所托管，例如 Dropbox 、Google Drive 和 GitHub. 可以通过邮件或者 Telegram 自动程序https://t.me/gettor_bot请求。 可以从 https://tor.eff.org 或者 https://tor.calyxinstitute.org/下载 Tor 浏览器。 给 [email protected] 发送一封电子邮件 在邮件的正文中，写上你的操作系统的名称（如 Windows 、macOS 或 Linux）。 GetTor 将回复一封电子邮件，其中包含 Tor 浏览器的下载链接、加密签名（用于验证下载的文件）、用于签名的密钥指纹以及软件包的校验和。 你也许需要选择“32 位”或“64 位”版本：这和你的电脑有关，你可能需要查阅你电脑的说明书或与制造商联系来了解更多信息。

2023年，加密勒索软件的范围、攻击频率和数量均有所增加。根据Chainalysis的《2024年加密犯罪报告》，这些攻击造成了11亿美元的加密货币损失。 根据该报告，现在的制胜策略之一是“大型狩猎游戏”，网络犯罪分子的目标是在成功后收取更多款项。超过75%的加密勒索软件收入金额超过100万美元。 Chainalysis研究人员发现，2023年，勒索软件的新参与者和分支组织层出不穷。勒索软件即服务（RaaS）越来越容易获取，扩大了生态系统。外部实体可以访问恶意软件来实施攻击，以换取利润分成。 加密勒索软件攻击变得越来越容易 据Chainalysis称，所谓的初始访问代理（IAB）的激增使得不良行为者更容易发起加密勒索软件攻击。这些经纪人渗透受害者的网络，然后以极低的价格向勒索软件犯罪者出售该访问权限。与现成的RaaS相结合，现在实施加密勒索软件攻击变得更加容易，并且需要的技术技能也少得多。 监控IAB钱包可以发出早期预警信号并及时进行干预。Chainalysis进一步报告称，去年非法加密货币地址收到的资金大幅下降。这一金额降至242亿美元。不过，这些数字并不固定，因为并非所有非法地址都已被识别，而且金额可能要高得多。相比之下，Chainalysis最初估计2022年的非法交易额为206亿美元，但最终达到了396亿美元。其中很大一部分增长来自于受制裁平台托管的高度活跃地址。 这一数额不包括非加密货币原生犯罪的收入，例如传统的毒品贩运，其中加密货币用于支付非法货物。 稳定币取代比特币成为网络犯罪分子的首选 直到2021年，比特币都是非法活动中最受欢迎的加密货币，这可能是因为它的高流动性。目前，大多数非法交易都是以稳定币进行的，包括加密勒索软件交易。这一变化与稳定币在所有加密货币活动（包括合法交易）中所占份额的增长是同步的。 加密勒索软件勒索、暗网市场销售和其他形式的非法加密货币活动仍然主要发生在比特币中。与受制裁平台相关的诈骗和交易已转向稳定币。按交易量计算，这些也是与加密货币相关的犯罪的主要形式。受制裁的平台有更大的动力使用稳定币，因为他们很难通过传统渠道获得美元，而稳定币可以让他们从法定货币的稳定性中获益。这里唯一的积极方面是，稳定币发行者可以在拦截非法活动时冻结资产，就像Tether对与人口贩运和恐怖主义有关的地址所做的那样。 加密勒索软件和暗网市场是加密犯罪的两种主要形式，其收益在2023年和2024年迄今为止都会增加。这种趋势表明，加密勒索软件攻击者找到了克服网络安全改进的方法。 暗网市场收入的增长是在2022年收入下降之后出现的。根据Chainalysis的说法，暗网市场Hydra的关闭在很大程度上导致了这一收入的下降。Hydra曾一度占据了暗网市场总收入的90%以上。暗网行业正在复苏，总收入已经恢复到2021年的峰值。 其他加密勒索软件趋势 加密勒索软件的主要感染媒介涉及利用面向公众的应用程序中的弱点。过去是僵尸网络。勒索软件攻击者正在摒弃恶意软件，转而使用合法软件，无论是操作系统功能还是双重用途工具。最常用的软件是Windows操作系统组件。加密勒索软件攻击者中最流行的三种工具是PsExec、PowerShell和WMI。 攻击者通常使用Atera、AnyDesk、ConnectWise和Splashtop等远程桌面软件。 诈骗和被盗资金大幅下降 加密货币黑客和诈骗收入大幅下降，非法收入总额分别下降54%和29%。恋爱诈骗（杀猪盘）仍然很流行，诈骗者与孤独的人建立关系，骗取他们的积蓄。由于“投资机会”并未公开，因此这种骗局更难被揭发。在美国，有关加密货币投资骗局的报道越来越多，但数据显示，自2021年以来，全球范围内的诈骗收益一直在下降。这是由于熊市长期持续，快速致富的机会较少。 DeFi黑客攻击数量急剧下降 加密货币黑客攻击很难隐藏，这也是其数量大幅下降的原因。这一下降主要是由于DeFi黑客数量急剧下降所致。这可能意味着DeFi协议的安全实践正在改善。现在庆祝可能还为时过早，因为一次大规模的黑客攻击可能会再次改变趋势。 全球加密货币平台面临的制裁风险不断增加 外国资产管制处（OFAC）在英国制裁了总部位于俄罗斯的交易所 Garantex，原因是它为加密勒索软件攻击者和其他网络犯罪分子洗钱。该平台是去年与受制裁实体有关的交易量最大的驱动力之一。由于俄罗斯没有制裁 Garantex，因此它仍在继续运营。对于受英国或美国法律管辖的加密货币平台来说，接触 Garantex 会带来风险，这意味着这些平台必须格外谨慎，并对接触类似平台的情况进行筛查，以保持合规。 加密勒索软件的未来趋势 加密货币现在并将永远是勒索软件商业模式的关键组成部分。专家表示，美国证券交易委员会（SEC）对加密货币 ETF 的批准将它们重新推到了聚光灯下，攻击者比以往任何时候都更愿意发起攻击。用最简单的话说，只要有加密货币，就会有勒索软件。 另一个将持续下去的趋势是漏洞利用。越来越多的攻击者看到了利用最新修补漏洞的价值。一旦有人发布软件补丁，他们就会开始检查未打补丁的系统。 依赖数据盗窃进行勒索的趋势也将继续下去。加密数据需要付出很大的努力。许多实体已经能够进行免加密攻击。 解决方案 我们可以肯定，加密勒索软件将仍然对所有实体构成持续威胁，无论其规模如何。明智的做法是采用多种保护、检测和强化技术来应用深度防御策略。他们将最大限度地减少每个潜在攻击媒介的风险。此外，企业应努力加深对加密勒索软件攻击中常用的感染载体的了解。这些数据将有助于识别潜在的漏洞并增强防御态势。

“暗网下/AWX”已经五次报道“正版中文担保交易市场”是诈骗网站，该网站通过”靠谱中文网址大集合“诈骗导航站进行引流。随着龙年春节的到来，“暗网下/AWX”发现，该诈骗网站又一次更换了新的暗网V3域名，并且使用了新的诈骗话术：“龙年春节回馈活动”。 诈骗网站“正版中文担保交易市场”新更换的暗网V3域名为： http://wzry3iytdxtrnrybuy76cizdubucwqbhifdvfg25yblsxyt6llllfmqd.onion 上次本站曝光的暗网V3域名仍在继续使用（访问后跳转新域名）： http://oniov7hgxjiwxl7zzpphriyletrdszj26hhtkiqh5rirttfycilu74id.onion 不过再之前使用的暗网网址已经被废弃了，“暗网下/AWX”曾多次科普，生成一个暗网V3域名非常容易，根本不需要技术，也不像常规互联网域名需要花钱，洋葱域名毫无成本，因此诈骗网站可以随意更换。 于是“暗网下/AWX”每每曝光一次，诈骗网站会更换一次域名，从域名去记住这个诈骗网站很难，不过每次只是更换域名，并不改变网站名称，所以只要在暗网上看到名为“正版中文担保交易市场”的网站，不管是什么域名，无论用什么话术，必定是诈骗网站无疑。 此外，龙年新年到来，骗子已经提前于1月17日发布了新的诈骗话术”龙年春节回馈活动公告！“： 祥龙献瑞贺新春，龙年喜庆满天辉。 又是新的一年，大家所期待的优惠活动开始咯！ 具体方案： 1、活动期间：见到本文字起-2024年2月24日24:00（北京时间） 2、凡在活动期间累计交易金额达到3000美元（含）以上者，（不论新老用户均可，平台内所有交易均可）获得活动期间内累计交易金额的6%的现金返现，活动结束后3日内打入平台钱包内，请满足条件的用户在2月25日24点前编辑交易记录的文字发送到站内邮箱admincn即可，我们会进行统计。 3、新用户交易红包：凡在活动期间内单次交易达到2500美元以上的新用户，将获得188美元返现红包一个，发放方式同上。新用户是指在2023年12月以后注册的用户，无论本活动之前是否有交易记录。老用户禁止参加此项活动，如发现有老用户新注册账号冒充新用户参与，将受到停止交易一个月的处罚。本活动与上一条活动可同时参与。 4、老用户红包：凡在2023年6月以后交易笔数达到5次以上者， 且活动期间内再有任意一笔超过500美元的交易，均可获得368美元的红包。发放方式同上。与第2条活动可同时参与。 5、本次新春活动与幸运大转盘优惠可叠加。 6、本站春节无休，网站24小时一直都会有人值班，商铺如果不营业的卖家会写出说明，没有说明的就是正常营业。根据目前卖家的回馈及往年的情况，所有店铺都将持续营业。 确实，骗子一直都在努力，话术里都已经宣布了春节无休。“暗网下/AWX”还发现，不仅春节，在上次爆料之后的中秋国庆节以及圣诞元旦，该诈骗网站发布了两次话术广告，很迷惑那些初入暗网的新手。 另外，网站的banner也改为庆祝春节的”金龙贺岁“版本，大概是从互联网找了一幅图片截取了一小半，粗制滥造，但就有傻子能够相信。 继续区块链上分析，该诈骗网站已经诈骗了10.54个比特币了，距离上次曝光仅7个月，这个骗子又诈骗了2个比特币进账。还是那句话，只要世上傻子足够多，骗子坐家里，傻子都会将钱送上门。 本次曝光后，骗子也会继续更换暗网V3域名，“暗网下/AWX”将继续追踪，持续跟进曝光。 更多暗网新闻动态，请关注“暗网下/AWX”。

互联网的一个隐藏部分被称为“暗网”，它不可见，也无法使用标准搜索引擎进行搜索。与互联网非常相似，暗网也是一个由商业网站和市场组成的生态系统。不同的是，这些网站通常销售非法、禁止或具有攻击性的产品和服务。 暗网起源 暗网的起源可以追溯到20世纪80年代末和90年代的前互联网时代，当时公告板系统（BBS）非常流行。BBS是一个在线论坛，用户社区可以在其中以匿名方式讨论一系列主题（从在线游戏、汽车、书籍和当地活动到色情和黑客服务）。 明网、深网和暗网 到21世纪初，互联网在社会中根深蒂固之后，人们开始区分明网、深网（深层网络）和暗网。明网（或表面）是开放的互联网，任何人都可以通过搜索引擎访问其内容。深网由在线论坛和个人网站、企业网站组成，这些网站要么没有索引，要么只能通过用户名和密码访问。 接着第三层网络也开始出现了，称为Tor（“洋葱路由器”），这项技术最初由美国海军研究实验室开发，用于确保互联网上的匿名通信。Tor向普通用户公开，在网上冲浪时提供匿名性和隐私性。接下来，Tor网络开始托管更多内容，从版权材料到私人电子邮件和消息系统，再到销售各种非法和违禁商品的商店，其中最著名的黑市是丝绸之路（silkroad）。 加密货币点燃暗网经济 一旦有犯罪倾向的个人在互联网上拥有安全的通信和匿名存在，这种地下经济的第三条腿就出现了，就像预先策划好的一样：区块链和加密货币。在出现大量代币和加密货币之前，曾出现过匿名数字货币，如自由储备（Liberty Reserve）。然而，调查人员能够通过追踪非法资金流向的最终目的地，成功逮捕了犯罪者。 加密货币交易记录在公共分类账（区块链）上，具有极高的匿名性，并且在没有联邦保险银行等任何管理机构的情况下是去中心化的。迄今为止，针对暗网上使用较多的门罗币（Monero，XMR），执法部门很难干预不可逆转的加密货币交易，也很难识别和逮捕参与非法交易和盗窃的人。 网络犯罪民主化 经验丰富的攻击者和网络犯罪集团意识到，他们可以通过提供平台、工具和专业知识来获得更多利润，从而催生了网络犯罪即服务模式。出现了专门的暗网服务提供商，例如僵尸网络管理员、初始访问经纪人、恶意软件开发人员、勒索组织附属机构、谈判代理人、洗钱者和人工智能专家。有些出售凭据，有些提供网络钓鱼工具包，有些提供模仿受害者环境的工具，等等。 如今，暗网是一个价值数十亿美元的地下市场，网络卡特尔、勒索软件团伙、黑客活动分子和民族国家背景的威胁行为者正在这里积极运作、发展和重塑自我。 如何提高对暗网威胁的防御能力 以下是企业可以采取的加强防御的一些建议： 1、采用网络安全系统，而不是孤立的产品。 网络安全事件不是一步发生的。这是攻击者成功入侵或渗透组织的一系列步骤的最终结果，许多都是通过“网络杀伤链”（Cyber Kill Chain）或MITRE ATT&CK一步一步地传达。每个步骤或足迹都是企业进行自我保护、防止网络钓鱼、阻止恶意软件执行或检测权限提升的机会。SASE或XDR等集成系统可以提供协调的防御响应。 2、利用人类威胁情报。 人类威胁情报并不意味着要像执法机构那样实际追踪威胁行为者。它是指登录地下论坛、建立个人档案并模仿威胁行为者的行为（而不犯罪），足以让他们相信你是他们中的一员。您想要充分了解他们在销售什么以及正在讨论什么，以便组织可以制定对策。如果恶意行为者渗透进来，请利用威胁情报更好地了解攻击情况，并识别被盗的数据或哪些计算机受到感染。 3、培训员工队伍。 人类的直觉很强大，尤其在早期发现网络攻击方面的力量不可低估。对员工进行安全意识培训有助于在网上交易时建立一种持怀疑态度的文化。必须让员工了解暗网的危险以及处理高风险数据和凭证的责任。部署零信任环境，以减轻内部威胁，并保证在凭证遭到泄露时，防止攻击者可以进行横向移动。 4、明确安全目标。 在与暗网威胁研究人员合作时，公司往往不清楚自己的安全目标。这意味着他们没有明确定义需要保护和监控哪些资产。因此，威胁研究人员经常采用黑盒方法，识别他们认为需要监控的重要资产，而不是从客户那里获得高价值资产的具体清单。公司必须向研究人员提供明确的指示，因为这样才能获得更多可操作的信息。可操作的信息越多，安全团队就越灵活、越高效。 最后的思考 已经2024年了，展望未来，暗网将不断发展，网络犯罪将愈演愈烈。然而，暗网也带来了机遇，尤其是对网络安全而言——一个研究威胁行为者并了解他们的活动、了解人工智能驱动的威胁并改进网络安全缓解措施的机会。

知名加密货币交易所币安（Binance）因威胁行为者在暗网上发布帖子称其可能存在KYC数据泄露，而陷入争议，但币安强烈反驳了有关其用户KYC数据在暗网上遭到泄露的指控。 Remember when Binance told us a few days ago that their Github leak posed only a 'negligible risk'? Somebody is selling Binance customer data (full name, country, phone number) since two days ago: pic.twitter.com/b6J9E3SW0s — CR1337 (@cryptonator1337) February 4, 2024 过去两天出现的猜测表明，据称有人在出售币安客户数据，包括全名、国家/地区和电话号码。 据称的数据泄露行为还暗示黑客可能会访问主要组织的执法系统，使他们能够合法地索取用户的个人详细信息，包括币安和Coinbase的用户。 然而，币安很快做出了回应，向用户保证其安全团队已经彻底评估了情况，并确认币安的内部系统不存在任何漏洞，也没有发生此类数据泄露。 Binance users KYC data seems to be on sale on the dark web now alleged github hack leak pic.twitter.com/SPjGQPsIlS — otteroooo (@otteroooo) February 4, 2024 该交易所强调，用户帐户保持安全并受到多层防御机制的保护，包括多重身份验证（MFA）、生物识别技术和身份验证器。

AnyDesk于2024年2月2日在一份公开声明中证实，它最近遭受了一次网络攻击，黑客可以访问该公司的生产系统。 AnyDesk称：“作为预防措施，我们将撤销我们门户网站 my.anydesk.com 的所有密码，如果使用相同的凭据，我们建议用户更改密码。”据了解，AnyDesk的源代码和私有代码签名密钥在攻击期间被盗。 AnyDesk 是一种远程访问解决方案，允许用户通过网络或互联网远程访问计算机。该程序非常受企业欢迎，企业使用它来提供远程支持或访问托管服务器。 该软件在威胁行为者中也很受欢迎，他们使用它来持续访问受破坏的设备和网络。 该公司报告称拥有17万名客户，包括 7-11、康卡斯特、三星、麻省理工学院、英伟达、西门子和联合国。 AnyDesk被黑 AnyDesk表示，他们在检测到生产服务器上发生事件的迹象后首次得知此次攻击。 在进行安全审计后，他们确定自己的系统受到了损害，并在网络安全公司 CrowdStrike 的帮助下启动了响应计划。 AnyDesk 没有透露有关攻击期间数据是否被盗的详细信息。然而，BleepingComputer 了解到威胁行为者窃取了源代码和代码签名证书。 该公司还证实勒索软件并未参与其中，但除了表示他们的服务器遭到破坏之外，没有透露太多有关此次攻击的信息，该报告主要关注他们如何应对这一事件。 作为回应的一部分，AnyDesk 表示他们已吊销与安全相关的证书，并根据需要修复或更换系统。他们还向客户保证 AnyDesk 可以安全使用，并且没有证据表明最终用户设备受到该事件的影响。 AnyDesk在公开声明中表示：“我们可以确认情况已得到控制，使用 AnyDesk 是安全的。请确保您使用的是最新版本，并带有新的代码签名证书。” 虽然该公司表示没有身份验证令牌被盗，但出于谨慎考虑，AnyDesk 正在撤销其门户网站的所有密码，并建议在其他网站上使用密码时更改密码。 数据在暗网销售 根据Resecurity的博文，在俄罗斯背景的暗网论坛Exploit.in里，用户名为“Jobaaaaa”的账号，提供大量AnyDesk客户凭证出售，该账号注册于2021年。该账号强调——“这些数据非常适合技术支持诈骗和邮件（网络钓鱼）”。 攻击者提供的样本与属于不同消费者和企业的受损访问凭证有关，允许访问 AnyDesk 客户门户网站。该攻击者者提供了18317个账户，以15000美元的加密货币（比特币或者门罗币）支付。作为一项安全措施，攻击者使用*号对密码的部分内容进行了隐藏。他还同意在著名的地下论坛上通过托管方式进行交易。 获取此类数据的来源和方法可能会有所不同，并且取决于特定不良行为者的策略、技术和程序 (TTP)，这种发展创造了一个新的关注领域。例如，暗网参与者可以利用信息窃取者来收集此类信息。在这种情况下，考虑到最新的事件披露，及时重置密码将成为所有客户的强制缓解措施。使用 AnyDesk 的受众包括 IT 管理员，他们经常成为威胁行为者的目标。确保恶意活动不会影响对他们可能拥有特权访问的任何其他关键系统的访问至关重要。 通过访问AnyDesk门户，威胁行为者可以了解有关客户的有意义的详细信息，包括但不限于使用的许可证密钥、活动连接数量、会话持续时间、客户 ID 和联系信息、与帐户关联的电子邮件以及激活远程访问管理软件的主机总数，及其在线或离线状态和 ID。 熟悉该事件的网络犯罪分子可能会急于通过从不同来源获得的暗网将可用的客户凭据货币化，因为他们知道 AnyDesk 可能会采取主动措施来重置其凭据。此类数据对于初始访问代理和熟悉 AnyDesk 的勒索软件团体来说可能非常有价值，AnyDesk 经常被滥用为成功网络入侵后的工具之一。值得注意的是，根据从攻击者处获得的额外上下文，暗网上大多数暴露的帐户都没有启用 2FA。 AnyDesk 根据维基解密，AnyDesk是由AnyDesk Software GmbH公司开发的远程桌面应用程序。该软件程序提供对个人计算机和运行主机应用程序的其他设备的独立于平台的远程访问。 它提供远程控制、文件传输和VPN功能。 但是AnyDesk通常也被恶意用于技术支持诈骗和其他远程访问诈骗。 AnyDesk Software GmbH公司于2014年在德国斯图加特成立，目前在美国、中国和香港设有子公司，并在乔治亚州设有创新中心。

近日，Tor官方发布公告称，Radially Open Security完成Tor项目的代码审计。针对Tor匿名网络的多个组件的全面代码安全审计发现了十多个漏洞，其中包括一个被归类为“高风险”的问题。 这项审计由非营利网络安全咨询公司Radiically Open Security在2023年4月至8月期间进行，涵盖了Tor浏览器、出口中继、暴露的服务、基础设施以及测试和分析工具。评估结果已经于本周公布。 根据Tor博客发布的公告，本次代码审计重点关注Tor生态系统的几个组成部分： Tor浏览器和安卓版Tor浏览器； 出口中继器（Tor核心）； 公开服务（度量服务器、SWBS、Onionoo API）； 基础设施组件（监控和警报）以及测试/归档工具。 此次审计是一项水晶盒（白盒）渗透测试（测试人员可以访问源代码），主要目的是评估为提高Tor网络速度和可靠性而进行的软件更改，总共发现了17个安全问题，并提出了一系列建议，例如： 减少面向公众的基础设施的潜在攻击面； 解决过时的库和软件问题； 实施现代网络安全标准； 在所有HTTP客户端中默认遵循重定向。 发现的问题大多数是中低风险缺陷，可被利用来发起DoS攻击、降级或绕过安全性以及获取信息访问权限。有些问题与使用过时或未维护的第三方组件有关。 最严重的漏洞是影响洋葱带宽扫描器（Onbasca）的跨站点请求伪造（CSRF）错误。此高风险漏洞可能允许未经身份验证的攻击者向数据库注入桥接程序。 Onbasca是一种带宽扫描器，由目录管理机构（维护当前运行中继站列表的特殊中继站）运行。带宽扫描器可以帮助监控性能、分配Tor网络的负载和检测攻击。 桥接器是一种未列入名单的中继器，由于更难被阻止，因此对高压政权下的用户很有帮助。 “只要受害者的浏览器与Onbasca在同一个网络中运行，攻击者就能将目录授权受害者引诱到他们的网站，并成功实施CSRF攻击。当受害者使用Django Web界面时就是这种情况。因此，经过预先身份验证的攻击者可以将攻击者控制的IP注入数据库。”Radically Open Security在其报告中解释道。 Radically Open Security补充说：“当调用定期运行的bridgescan（桥接扫描）命令时，Onbasca应用程序将连接到攻击者控制的网桥。通过这样做，攻击者可能能够对Onbasca的托管实例进行守护进程，或实施进一步的攻击。” 此外，修复与拒绝服务漏洞、本地攻击、不安全权限和输入验证不足相关的问题也被认为是当务之急。 在这次最新的安全审计之前，渗透测试公司Cure53进行了一次安全评估，该评估的重点是识别用户界面变化带来的漏洞以及与规避审查制度相关的审计。 Radially Open Security（@ROSecurity）提供非营利计算机安全咨询，介绍自己是一群理想主义的安全研究人员、网络/取证极客和夺旗获胜者，他们热衷于让世界变得更加安全，他们相信透明度和开放性，目标是首先确保社会的安全，让他们能够经营一家公司。 Tor官方表示，衷心感谢开放安全公司（Radically Open Security）执行此次审计，感谢美国国务院民主、人权和劳工局（DRL）赞助此项目，并“为全球各地的互联网用户提供更快、更可靠的Tor网络”。 如果您是技术人员，想要了解更多详情和信息，请点击此处查阅完整的审计报告。

Amnesty International（国家特赦组织）近期发布了一篇介绍Tor原理的科普文章，被Tor项目等人权组织推荐了，本文将介绍该篇文章。 Amnesty写道，我们在网上的隐私权和信息公开权比以往任何时候都更岌岌可危。许多国家的政府利用间谍软件打击人权捍卫者，封锁所有谈论人权的网站。事实上，生活在俄罗斯、伊朗和朝鲜等国家的人们完全无法访问国家特赦组织的网站，就因为我们敢于直面这些国家侵犯人权的行为。 Amnesty表示，幸运的是，有人正在寻找应对这一威胁的方法。其中包括Tor项目，这是一个非营利组织，致力于开发可帮助用户保持网络安全的技术 。 什么是Tor？ Tor是“洋葱路由器”（The Onion Router）的首字母缩写，它的软件让追踪网络用户的上网行为变得异常困难。它就像一个虚拟私人网络（VPN）或私人浏览器，但更加安全。 当用户使用Tor浏览器或基于Tor网络的洋葱服务时，用户在网络活动的信息会通过Tor项目志愿者运行的全球中继网络进行加密。这意味着有多层加密保护用户的隐私，就像洋葱有很多层一样。 Tor浏览器与其他普通浏览器有何不同？ 在解释Tor浏览器与其他浏览器的区别之前，应该首先了解一下普通浏览器的基本工作原理。 Chrome、Safari或Firefox等普通浏览器使用DNS（域名系统）搜索网站。DNS使用分布式系统网络来定位用户需要访问的网站所在的Web服务器。然后，用户的设备将直接连接到该网络服务器。该网络服务器和你用来连接该服务器的互联网路由器都掌握用户自身的IP地址，因为这是它们需要知道将内容发送到哪里。 这类似于我们通过邮寄发送实体信件的方式。您的信件要经过一系列邮局才能最终到达目的地。就像信件上有寄信人地址一样，您的IP地址也包含在所传递的信息中。 这就是隐私成为问题的地方。当一个普通人浏览网页时，他会在互联网上留下他的IP地址痕迹，这样就有可能在别人不知情的情况下追踪到他的网上活动。 使用Tor浏览器会在将任何信息发送到用户正在访问的网站之前通过多层加密和Tor网络中继点来隐藏用户的真实IP地址，从而使浏览更加安全、更加私密。 什么是洋葱域名？ 使用Tor可以建立的最安全、最私密的连接是与在洋葱域名（.onion）上发布的网站建立的连接。这些网站在Tor网络内部创建，并进行端到端加密，这意味着离开Tor网络后，任何信息都不会通过公共互联网传递。 根据官方公告，2023年起，Amnesty已经开始在.onion域名上发布他们的研究和活动，使他们的支持者能够在不损害隐私的情况下更好地访问人权信息。 虽然Tor浏览器是避免上网的时候共享IP地址的好方法，但使用正常的互联网基础设施仍然存在风险。即使用户的IP 地址已经被隐藏了，但是网络也很有可能知道其正在使用Tor，这可能会带来额外的挑战。为了应对这种情况，Tor还提供了更多的网络桥梁，使任何监视用户的互联网流量的人更难确定该用户正在使用Tor。 如何使用Tor？ Amnesty介绍道，用户可以通过下载Tor浏览器来访问Tor网络，其工作方式与其他浏览器相同，只是它连接到了Tor网络，可以打开.onion后缀的域名。 Tor如何帮助促进人权？ Amnesty最后说，我们都有隐私权。这项权利在世界各地的法律中都有详细记载，包括《世界人权宣言》。然而，我们仍然能够看到有国家使用监控系统来追踪互联网浏览和消息应用程序的使用的报道。 有的政府还使用高度侵入性的间谍软件和有针对性的监视系统来监视那些反对他们的人。这些风险不仅影响最直言不讳的人权捍卫者。2021年，飞马计划（Pegasus）项目揭露了监控公司 NSO Group 的间谍软件被用来代表政府客户攻击多达5万部手机的真相。 Amnesty与全球一起呼吁结束这种侵入性和系统性的监视，但他们知道这些计划仍然是一个严重的威胁。这就是为什么像Tor这样的举措对于对抗当今的互联网监控危害如此重要。Tor提供了一条通往网络的替代路径，让人们可以从开放和自由的信息中获益，而不必被迫泄露自己的隐私。

近几天，Dark.Fail的管理员一直在为该域名的控制权限而努力，在经历了域名锁定被cloudflare暂停解析、网站离线后，又再次成功地恢复了Dark.Fail域名的访问。 “暗网下/AWX”曾报道过，Dark.fail是一个暗网域名的导航站，也是一个监测暗网onion域名存活的站点。 1月27日，Dark.fail在其Twitter发布推文称，Dark.fail离线了，因为Cloudflare的域名服务器突然不响应我们的域名。多年来，作为CF的付费客户都很开心。推文at了Cloudflare，并表示，不过Dark.fail的.onion网站一如既往地正常。DNS是一个糟糕的集中式系统。谢谢@torproject。 https://t.co/SKNIXm8ZD7 is offline because Cloudflare's nameservers are suddenly not responding for our domain. Happy paying CF customers for years. @Cloudflare Our .onion site is fine as always. DNS is a terrible centralised system. Thank you @torproject — dark.fail (@DarkDotFail) January 27, 2024 1月28日，Dark.fail在上述推文下更新称，这可能不是Cloudflare的错。Tucows已将我们的域名置于“clientHold”状态，如果出现这种情况，Cloudflare似乎会停止解析。他们已经联系了隐私域名注册商njal_la，不过Dark.fail仍处于离线状态。 同时Dark.fail在推特与mastodon警告称，Dark.fail不再是他们网站的有效镜像。他们的域名目前不在其控制之下。他们正在努力把它找回来。目前Tor和I2P镜像仍然在线，未受影响。 WARNING: https://t.co/SKNIXm8ZD7 is not an official mirror of https://t.co/SKNIXm8ZD7 right now. Our domain is not under our control. We are working to get it back.