臭名昭著的勒索软件团伙LockBit又已经重新出现在暗网上，这表明在国际联合执法机构造成重大破坏后不到一周，该团伙已经迅速卷土重来。 该团伙声称在周末恢复了服务器，就在国际执法机构执行名为“克罗诺斯行动”的执法行动大规模取缔该团伙的基础设施几天后。 这种死灰复燃凸显了网络犯罪组织在面临法律压力和网络安全努力时的持久性和适应性。 NCA周一表示：“我们认识到LockBit可能会尝试重组和重建他们的系统。不过，我们已经收集了大量有关他们以及与他们相关的情报，我们针对和破坏他们的工作仍在继续。” 执法部门的持续战斗 此次行动的高潮是美国逮捕了两名俄罗斯公民，一对父子在乌克兰被法国警方逮捕——他们都被指控在全球范围内部署LockBit勒索软件并试图勒索受害者。 尽管最近逮捕了三名与LockBit活动有关的男子，但LockBit勒索软件团伙名为LockBitSupp的主要管理员仍然逍遥法外。 美国国务院已经悬赏了高达1500万美元，奖励那些能够识别或逮捕该团伙成员的信息，这凸显了瓦解此类网络的巨大风险。 LockBit卷土重来的标志是列出了超过24个包含受害者数据的服务器，并使用新博客与其附属机构和受害者进行交流。 Lockbit管理员发布声明称，FBI的渗透是通过PHP漏洞发生的，目前PHP版本已更新。 Lockbit勒索软件团伙已恢复其服务器（新的 Tor域名），并已经就上周的关闭向FBI发表了声明。 Season 2 of FBI vs Lockbit ransomware group is scheduled to premier in roughly 1 hour. Lockbit has restored their servers (new Tor domains) and is planning on making a statement to the FBI regarding last weeks takedown. Stay tuned for the next episode of Dragon Ball Z pic.twitter.com/B03w7Y43e2 — vx-underground (@vxunderground) February 24, 2024 该团伙还一直在利用影响Citrix 负载平衡和网络设备的CitrixBleed漏洞来访问网络并部署勒索软件。

近日，美英当局领导的“克罗诺斯行动”（Operation Cronos）摧毁了由LockBit勒索软件团伙运营的暗网网站。随着该事件的发酵，“暗网下/AWX”发现，暗网上最臭名昭著的黑客论坛BreachForums突然宣布修改规则，禁止一切勒索软件相关的所有活动。 臭名昭著的BreachForums（又称Breached）黑客论坛是一个臭名昭著的个人买卖、泄露和交易数据的论坛，以出售和泄露全球数亿人的个人数据而闻名，目前大家访问的BreachForums论坛是去年6月份重启运行的。去年3月份，原BreachForums管理员“Pompompurin”被FBi逮捕，早先的BreachForums被关闭，域名被FBI查封。“Pompompurin”于今年1月在弗吉尼亚州东区法院被判处20年监管释放。 2月25日，BreachForums的管理员“ShinyHunters”发布了带有PGP验证的公告称，从现在起，禁止勒索软件销售、招募、开发以及与勒索软件相关的勒索行为，规则的修改并不只针对勒索软件，同时还禁止了： – 药品销售 – 武器销售 – 暴力即服务 (VaaS) – 出售信用卡或借记卡 – 出售真实身份证件或文件 – 引流者或招募引流人员 “ShinyHunters”（头像似乎是@vinnytroia）的公告表示，BreachForums论坛的会员数量已经达到10万人的新高，这是该论坛取得较大进步的标志，因此其团队需要对社区进行整体的改进。而改进的重点是论坛上发布的数据或服务的质量，并且要尽可能的减少交易的摩擦。该公告宣布了三点更新。 一是一般性更新，包括设立数据托管平台、删除经过验证的泄露数据版块、允许申请版主。该论坛决定设立一个免费的数据托管平台（https://escrow.breachforums.is/about），并鼓励用户使用该平台。该托管平台在明网域名与暗网域名中都可以进行访问，最低托管金额已经从50美元降至20美元，以吸引更多用户。该论坛删除了经过验证的泄露数据版块，许多用户没有正确归属他们的泄密事件，而且许多用户也不知道如何验证自己泄密事件中的数据，导致了该版块一直死气沉沉。另外，该论坛正在寻找活跃的用户和对该论坛的社区有价值的人，因此开放了版主申请。但是公告同时表示，成为版主并不会接触到用户的IP地址、电子邮件以及用户的任何身份信息。版主只是拥有一些修改帖子/主题和执行禁言/解禁的管理能力。 二是针对禁止活动的更新，包括不允许销售信用卡/借记卡，不允许销售引流工具与推广人员，不允许销售勒索软件相关业务。首先是继续禁止在论坛上出售信用卡/借记卡，而且不允许张贴信用卡/借记卡，除非它们包含在泄漏的原始数据库中。其次是禁止出售引流工具或为引流活动招募人员，因为大多数情况下，这些行为最终都是骗局。最后是强调禁止与勒索软件相关的软件销售、招募、开发或勒索，该论坛表示其本来就不是一个真正针对勒索软件的论坛，虽然允许勒索软件团伙出现该论坛上，但不允许他们在该论坛上招募成员，也不允许在该论坛上出售他们的服务或软件。不过也表示，勒索软件团伙只要不是为了进一步敲诈受害者，可以在该论坛出售数据或者泄露数据。 三是更新了一个简短声明，向用户表示管理员们正在努力改善该社区。声明称其正在清理论坛，由于低质量的供应商/骗子充斥着论坛，其中许多服务/产品与BreachForums论坛的宗旨并不相符。虽然有些用户可能不喜欢以上禁止的某些内容，但其核心用户群在大多数情况下都不会受到影响。BreachForums论坛将继续赋予这些核心成员在论坛上的权力，并认真听取他们的意见，以改善该社区。 作为目前暗网上最大的数据泄露论坛，BreachForums论坛的进一步的发展以及结局如何，”暗网下/AWX“将持续保持跟进。 更多暗网新闻动态，请关注”暗网下/AWX“。

由澳大利亚和日本等10个国家的执法机构组成的国际执法工作组宣布成功摧毁了LockBit勒索软件团伙。 由英国和美国当局领导的“克罗诺斯行动”（Operation Cronos）查获了由LockBit勒索软件团伙运营的暗网网站。LockBit是一个臭名昭著且猖獗多产的勒索软件组织，在全球范围内攻击了2000多名受害者，并勒索了超过1.2亿美元的赎金。 过去四年来，LockBit团伙在全球企业和政府中散布了恐惧，并在勒索软件攻击中占了很大份额。Akamai 2023年的一份研究报告强调，LockBit影响了勒索软件领域，占勒索软件受害者总数的39%（1091名受害者），是排名第二的勒索软件团伙数量的三倍多。 自2020年1月以来，LockBit在亚太地区发起了数百起攻击，目标涉及金融服务、关键基础设施、农业、教育和政府等部门。它关闭了日本最大的名古屋港口两天，该港口是日本最大的汽车制造商使用的港口。以类似的方式，LockBit对澳大利亚最大港口的IT系统进行了加密，扰乱了其运营。由于影响如此严重，LockBit为这次攻击道歉并提供了解密密钥以恢复服务。该团伙还利用勒索软件即服务工具招募招募技术含量低的黑客，扩大了LockBit签名勒索软件攻击的规模、影响范围和造成的损害。 LockBit因将敏感数据泄露给所有人来羞辱那些拒绝支付赎金的人而感到自豪。 LockBit关联人员在乌克兰和波兰被捕 作为国际取缔行动的一部分，臭名昭著的LockBit勒索软件团伙的至少三名成员在波兰和乌克兰被捕。 逮捕消息是在LockBit的暗网网站关闭后发布的，该组织利用该网站威胁受害者，除非支付勒索费用，否则就会公布他们被黑客入侵的数据。 乌克兰网络警察周三表示，他们逮捕了“一对父子”，他们的行为据称代表LockBit，“影响了法国的人民、企业、国家机构和医疗机构”。 在搜查嫌疑人位于乌克兰西部城市捷尔诺波尔的公寓时，警方没收了他们的手机和电脑设备，怀疑这些设备被用来进行网络攻击。 在波兰，警方在华沙逮捕了一名38岁男子。涉嫌与LockBit关联的人被带至检察官办公室，并被指控犯有刑事罪。波兰当局在YouTube上发布了逮捕视频。 在乌克兰和波兰的案件中，尚不清楚罪犯如果被判有罪将受到何种惩罚。 警方关闭了LockBit的多个关联账户 摧毁LockBit勒索软件服务的执法行动已宣布关闭相关犯罪分子使用的第三方服务的14000多个关联账户。 根据查获的LockBit的暗网域名上的一篇帖子，文件托管服务Mega以及加密电子邮件提供商Tutanota和Protonmail上的帐户被用于“渗透或基础设施”。 欧洲刑警组织欧洲网络犯罪中心对这些账户的分析表明，其中一些账户还被用于使用其他勒索软件变体的攻击，这表明它们是由附属机构（使用LockBit平台的黑客）操作的。 目前由英国官员控制的LockBit的暗网.onion网站表示：“每个账户都代表着获取不义之财的渠道，这种协调一致的行动打击了网络犯罪活动的核心，严重阻碍了他们从邪恶活动中获利的能力。” 但LockBit将会卷土重来 这次执法行动并非没有戏剧性。LockBit声名狼藉的领导者lockBitSupp曾对“克罗诺斯行动“（Operation Cronos）进行恶搞，并抱怨没有悬赏追捕他的人头，他甚至悬赏1000万美元以揭露他的身份。LockbitSupp的真实身份目前仍然是个谜。 执法当局还借鉴了LockBit团伙在媒体上传播他们的攻击和羞辱受害者的手段。他们将他们的行动命名为“克罗诺斯”（Cronos），并分享了一个每小时一次的倒计时，以宣布LockBit被取缔的消息。曾经泄露客户数据的暗网网站现在正在为那些反对勒索并拒绝支付赎金的人共享解密密钥。日本警方在欧洲刑警组织的支持下开发了一种解密工具，旨在恢复由LockBit 3.0黑色勒索软件加密的文件。 当局打算向所有勒索软件团伙发出明确的信息，他们不能再躲在Tor后面逃避暗网的监视，并且他们将对自己的行为负责。 预防胜于恢复 这是一次大胆的联合取缔行动，标志着许多国家当局的通力合作。然而，依靠多国特遣部队来摧毁勒索软件团伙并恢复解密密钥并不是一种有效的安全策略。预防胜于恢复。 勒索软件团伙非常灵活，LockBit团伙的一个变种可能会很快填补这一空白，并很快用更具破坏性的工具取而代之。让我们记住另一个对多产勒索软件团伙Blackcat/APHV的摧毁尝试，该组织在FBI查获其暗网网站数小时后“解封”了其暗网网站。在与当局的来回交涉中，该团伙发布了一张黑猫的图片和一条横幅，上面写着“该网站已被解封”。该团伙仍然逍遥法外，美国国务院悬赏高达1000万美元，以征集该团伙头目的信息。勒索软件团伙正在学习并将适应当局使用的工具和技术。 最有效的安全策略是防止攻击者访问关键服务器上的数据并对其进行加密，并在他们能够入侵环境前进行备份。现在是企业重新评估其安全状况的时候了。全面了解攻击面，同时制定强大的流程和操作手册来预防勒索软件攻击并从中恢复，是至关重要的。 从软件定义的微分段开始实施零信任架构，以防止被入侵后的横向移动至关重要。通过全面的网络可视性来识别入侵指标（IoCs），可以对勒索软件攻击采取更具攻击性的态势，并遵守当地的网络安全法规。 现在是通过在勒索软件杀伤链的每个环节实施安全解决方案来对付勒索软件的时候了。

尽管美国批准了比特币（BTC）这一旗舰加密货币的现货交易基金（ETF），但欧洲中央银行（ECB）的官员并不相信比特币（BTC）是一种有价值的金融资产。 欧洲央行是使用欧元作为其官方货币的欧盟（EU）国家的中央银行。 欧洲央行行长乌尔里希-宾德赛尔（Ulrich Bindseil）和顾问于尔根-沙夫（Jürgen Schaaf）在一篇新的文章中表示，美国证券交易委员会（SEC）1月10日为比特币现货ETF申请开绿灯的决定并不能改变加密资产不适合作为支付手段或投资的事实。 欧洲央行推文表示：比特币未能成为全球去中心化的数字货币，反而成为欺诈和操纵的受害者。 Bitcoin has failed to become a global decentralised digital currency, instead falling victim to fraud and manipulation. The recent approval of an ETF doesn’t change the fact that Bitcoin is costly, slow and inconvenient, argues #TheECBBloghttps://t.co/e9Ek01Dism pic.twitter.com/ddBFsv4g0w — European Central Bank (@ecb) February 22, 2024 “对于追随者来说，正式批准证实了比特币投资是安全的，之前的反弹证明了不可阻挡的胜利。我们不同意这两种说法，并重申比特币的公允价值仍然为零。” Bindseil和Schaaf表示，除了那些利用比特币进行非法交易（比如暗网里）的犯罪分子之外，比特币几乎不用于支付。 “比特币交易仍然不方便、速度缓慢且成本高昂。在暗网（用于犯罪活动的互联网的隐藏部分）之外，比特币几乎不用于支付。” 他们表示，比特币不是一项好的投资，并警告称，开采加密货币（比特币挖矿）将继续造成大规模的环境污染。 “比特币不产生任何现金流（与房地产不同）或股息（股票），不能有效地使用或者生产（商品），并且不提供社会效益（黄金珠宝）或基于杰出能力的主观升值（艺术品）。 使用工作量证明机制开挖比特币继续对环境造成与整个国家同等规模的污染，比特币价格的上涨意味着更高的能源消耗，因为矿工可以承担更高的成本。” 但是，风险投资家、Coinbase前首席技术官Balaji Srinivasan通过在社交媒体平台X（前twitter）上分享了BTC/EUR 货币对的长期图表，以此回应上述言论。 The Euro has collapsed against Bitcoin. https://t.co/5gBWrDXJNz pic.twitter.com/xC2dtA8p1h — Balaji (@balajis) February 22, 2024 “欧元兑比特币已经崩溃。”

包括美国联邦调查局（FBI）和英国国家犯罪侦查局（NCA）在内的国际执法机构联盟已经扰乱了多产的LockBit勒索软件团伙的运作。 LockBit团伙的暗网泄露网站——该团伙在此公开列出了受害者名单，并威胁称，除非支付赎金，否则将泄露其被盗的数据——周一已被执法通知所取代。 英国国家犯罪侦查局发言人海蒂·哈芬里希特 （Hattie Hafenrichter）表示，“由于国际执法行动，LockBit的勒索服务已中断。” 被关闭的泄密网站上的一条消息证实，该网站“目前由英国国家犯罪侦查局控制，并与联邦调查局和国际执法工作组‘克罗诺斯行动’（Operation Cronos）密切合作。” 目前，该暗网网站现在拥有一系列暴露 LockBit 能力和操作的信息，包括后端泄露以及有关 LockBit 所谓头目（称为 LockBitSupp）的详细信息。 ”克罗诺斯行动“（Operation Cronos）是一个由NCA领导的特别工作组，并由欧洲刑警组织（Europol）和欧洲司法组织（Eurojust）在欧洲协调。它还涉及来自美国、法国、日本、瑞士、加拿大、澳大利亚、瑞典、荷兰、芬兰和德国的其他国际警察组织。 欧洲刑警组织在周二的一份声明中证实，长达数月的行动“已经导致LockBit的主要平台和其他关键基础设施遭到破坏，从而使他们的犯罪活动难以开展”。其中包括关闭荷兰、德国、芬兰、法国、瑞士、澳大利亚、美国和英国的34台服务器，并扣押200多个加密货币钱包。目前尚不清楚这些钱包中存储了多少加密货币。 另外，美国司法部对两名俄罗斯公民 Artur Sungatov 和 Ivan Gennadievich Kondratiev 提起了起诉，指控他们参与了LockBit攻击。在法国司法当局的要求下，波兰和乌克兰也逮捕了两名被指控的LockBit参与者。 在周一被取缔之前，LockBit在其暗网泄密网站上声称，它“位于荷兰，完全不关心政治，只对金钱感兴趣”。 作为“克罗诺斯行动”的一部分，执法机构表示，他们已从被扣押的LockBit基础设施中获取了解密密钥，以帮助勒索软件团伙的受害者重新获得数据访问权限。 自2019年底首次以勒索软件即服务 (RaaS) 形式出现以来，LockBit已成为世界上最猖獗的网络犯罪团伙之一。据美国司法部（DOJ）称，LockBit已被用于针对美国和全球受害者系统的约2000起勒索软件攻击，该团伙已收到超过1.2亿美元的赎金。 总部位于英国的网络安全公司NCC Group威胁情报主管马特·赫尔（Matt Hull）告诉 TechCrunch，该公司仅在2023年就记录了1039名LockBit受害者，“占我们全年发现的所有勒索软件受害者的22%”。 LockBit及其附属机构声称对黑客攻击世界上一些最大的组织负责。该团伙去年声称对航空航天巨头波音公司、芯片制造商台积电、英国核潜艇基地数据和英国邮政巨头皇家邮政的网络攻击负责。近几个月来，LockBit团伙声称对佐治亚州富尔顿县的勒索软件攻击负责，该攻击导致该县关键服务中断数周，LockBit还声称对针对印度国有航空航天研究实验室的网络攻击负责。 周一的行动是一系列针对勒索软件团伙的执法行动中的最新行动。去年12月，一组国际执法机构宣布他们查获了臭名昭著的勒索软件团伙 ALPHV（即 BlackCat）的暗网泄露网站，该团伙造成了许多知名受害者，其中包括新闻分享网站Reddit、医疗保健公司诺顿和英国巴茨健康NHS信托基金会（Barts Health NHS Trust）。

一名来自英国柴郡的机械师因在暗网上创建了专门用于儿童性虐待的网站并担任版主，他被判处16年监禁。 28岁的内森·贝克 (Nathan BAKE) 是暗网中“The Annex”网站的三名版主之一，英国国家犯罪侦查局（NCA）在针对该儿童性剥削网站幕后黑手的调查中确认了他们的身份。 “The Annex”网站已不再活跃，它在全球拥有约90000名成员，他们利用该网站分享和讨论一些最极端的虐待材料，包括“hurtcore”以及对婴儿和幼儿的性虐待。 作为首席版主，贝克是整个网站的第二号人物，该网站由一名美国男子运营，该男子于今年1月在美国被判处终身监禁。 贝克负责管理大约30名工作人员，并与他们一起执行网站规则，确保网站继续顺利运行。 其中两名工作人员是来自伦敦的精神科医生比尔·加格（Kabir Garg）和一名来自伊斯特本的48岁男子，他们将于下周在路易斯刑事法庭被判刑。这两人同时也是版主，在该暗网网站的层级中排名位于贝克之下。加格去年被判入狱六年。 根据网站规则，“The Annex”的新用户首先会被限制在“gateway”中，在被允许访问更多的网站内容之前，他们必须通过发布一定数量的滥用材料来给网站管理员留下深刻印象，并获得他们的信任。 贝克和其他版主会向会员提供逃避执法检测的技术建议，并鼓励他们通过分享虐待儿童内容的链接来保持网站的内容更新。 在英国国家犯罪侦查局恢复的一篇帖子中，贝克说： “来吧，向我们展示一下你们的欢乐时光。向我们展示最让你兴奋的男孩和女孩。” NCA官员于2022年11月在贝克位于朗科恩（Runcorn）的家中逮捕了他，并没收了一些设备，包括笔记本电脑、手机、USB 和外置硬盘。其中一台笔记本电脑正在运行，正在使用TOR暗网浏览器，屏幕上显示的是儿童的不雅图像。 警方从他的设备中收集了证据，证明贝克是第二个虐待儿童网站的共同创建者，也是一个暗网导航网站的管理员，该导航网站的页面包含指向暗网上更多其他性虐待论坛的链接。 卡比尔·加尔格（Kabir GARGH）还从他的存储设备中恢复了数十万张儿童不雅图片和视频，以及576页的恋童癖手册。 贝克于2023年11月承认了12项罪名，包括为儿童性剥削提供便利、参与有组织犯罪团伙、持有恋童癖手册以及传播和制作儿童不雅图片。 近日，他在切斯特刑事法庭被判处16年监禁，终身列入性犯罪者登记册，并被授予终身性伤害预防令。 来自柴郡的 28 岁的内森·贝克 (Nathan Bake) 被判处 16 年监禁，而来自伦敦的 34 岁的卡比尔·加格 (Kabir Garg)去年被判处 6 年监禁。 该网站由来自阿拉巴马州的 58 岁威廉·斯皮尔曼 (William Spearman) 经营，他于 1 月份在美国被判处终身监禁。 另外 14 名男子因帮助运营该网站而在美国受到指控，其中 8 人被判处 6 至 28 年监禁。 英国国家犯罪侦查局与许多国际合作伙伴合作，以这群网站版主为目标。另有14名男子因参与“The Annex”网站的运营而在美国受到指控，其中8人被判处6至28年监禁。 英国国家犯罪侦查局高级调查官丹尼尔·韦韦尔（Daniel Waywell）表示：“贝克是少数几个在确保‘The Annex’继续运行并在全球范围内为儿童性虐待提供便利方面发挥重要作用的人之一。” “他自己一开始也是一名用户，但通过积极分享大量材料并鼓励对可怕的性虐待行为进行讨论，从而赢得了其他版主的信任，从而使排名不断上升。“ “他对这个全球恋童癖社区的奉献精神如此之大，以至于除了作为一名机械师的日常工作之外，他还投入了自己的时间来运营和建立其他暗网网站，以帮助他们的犯罪行为。” “此类网站直接公开地鼓励用户对儿童实施性犯罪，而运营或访问这些网站的人则认为他们受到匿名保护。“ “但是，英国国家犯罪侦查局有决心和技术能力来打击那些利用暗网危害和伤害儿童的人。我们与国际合作伙伴密切合作，确保罪犯被发现并将其绳之以法。”

委内瑞拉选举系统数据泄露事件因勒索软件团伙Medusa的暗网泄密网站上的帖子而曝光。该勒索软件团伙涉及对委内瑞拉的网络攻击，威胁行为者以多个实体为目标。 当据称来自Smartmatic的投票系统的屏幕截图开始在暗网和社交媒体上流传时，表明委内瑞拉选举系统数据可能遭到入侵，事态进一步升级。 然而，这家电子投票系统制造商否认了这些指控，并表示“自2017年以来，Smartmatic不再为委内瑞拉选举提供技术或服务。我们还于2018年关闭了在该国的业务。” 据X网站上HackManac报道，该威胁行为者此前将委内瑞拉一家受欢迎的电信公司Digitel作为攻击目标，将其数据发布在Medusa组织的数据泄露网站上，并索要500万美元的赎金。 🇻🇪#Venezuela 🚨Potential Compromise of Venezuela's Electoral System 🚨 The threat actor who recently targeted #Digitel, which was later posted on the #Medusa group's data leak site, demanding a $5 million ransom, has begun sharing screenshots allegedly from #Smartmatic, a… pic.twitter.com/vGqMK8QZwS — HackManac (@H4ckManac) February 13, 2024 威胁行为者以嘲笑的口吻强调了该选举系统所谓的匿名性的讽刺意味，同时透露了机密投票信息，包括提及“VOTO CHAVISTA”等特定政治派别。 这些图像由与Medusa和LockBit等勒索软件行动相关的匿名组织分享的，仍然引起人们对选举基础设施安全性的严重担忧。 根据媒体的说法，Smartmatic迅速做出了回应，称黑客提供的数据存在“重大错误”。自2017年以来，该组织早已停止为委内瑞拉选举提供服务。 “然而，值得一提的是，作为证据显示的图片存在一个重大错误，表明它是假的或与其他东西有关。上面写着“REP Smartmatic 2024”。REP代表选民名册。Smartmatic从未接触过委内瑞拉的选民名册。事实上，全世界各地的选举委员会都不会与选举技术供应商分享这些信息。”Smartmatic发言人表示。 委内瑞拉的政治紧张局势 涉嫌数据泄露事件出现在委内瑞拉总统选举前一年。主要反对派候选人被取消资格，加剧了围绕选举进程的现有争议，引发了人们对即将举行的选举的公平性和透明度的严重怀疑。 反对派领导人玛丽亚·科里纳·马查多 (María Corina Machado) 就是这一趋势的典型代表，委内瑞拉政府以涉嫌政治犯罪为由，禁止她参加2023年6月的选举。 此举遭到美洲国家组织、欧盟、人权观察等国际机构以及哥伦比亚、巴拉圭、乌拉圭、厄瓜多尔、美国、英国等众多国家的谴责，他们认为此举侵犯了政治人权。 随着委内瑞拉面对这些指控，人们对其选举程序的完整性和公正性的担忧不断升级。委内瑞拉选举系统被入侵的指控突出表明，亟需改进网络安全协议，以保护选举系统和敏感的选民数据免受恶意实体的攻击。

本文源自“暗网下/AWX”官方Telegram群组成员@DepressedLeslieAlexander，从技术上介绍了Tor的实现原理、如何连接到Tor，以及访问暗网的注意事项与认知误区。 概述 Tor是实现匿名通信的自由软件，由美国非盈利组织The Tor Project, Inc开发与维护。其名源于“The Onion Router”（洋葱路由）的英语缩写。用户可透过Tor接达由全球志愿者免费提供，包含7500多个中继的覆盖网络，从而达至隐藏用户真实地址、避免网络监控及流量分析的目的。Tor用户的互联网活动（包括浏览在线网站、帖子以及即时消息等通信形式）相对较难追踪。Tor的设计原意在于保障用户的个人隐私，以及不受监控地进行秘密通信的自由和能力。 Tor通过一种叫做路径选择算法的方式自动在网络中选择3个Tor节点，这三个节点分别叫做入口节点（Guard relay）、中间节点（Middle relay）和出口节点（Exit relay）。在网络连接的应用层，数据以一种叫做洋葱路由的方式进行传输。数据首先在用户端连续加密三层，而三个中继各自解密一层，这样它们就能知道接下来把数据传送给谁。在这种情况下，数据就像剥洋葱一样被一层一层地解密，所以被称为“洋葱路由”。最后的出口节点会解密最内层的加密数据并得到真实的数据内容，并把它传送给目标地址。出口节点虽然知道真正的数据内容，但是它只知道上一个中继节点的地址，并不知道数据最初的发送者是谁，从而保证了数据发送者的安全。相对应地，入口节点仅知晓用户的IP地址而无法得知其访问的网站，而中间节点既无法得知IP地址也无法得知用户所访问的内容。 Tor 通过Tor浏览器来保护你的互联网活动 洋葱服务-暗网（Hidden Service） 在Tor的网络世界中，有一些以.onion顶级域名结尾的网址，这些网站就是我们所熟知的洋葱服务，也就是我们所熟知的暗网。这类网站通常只能通过Tor来进行访问，因此保证了访问者的匿名性。通常我们所熟知的暗网都是黑暗内容，例如色情、血腥暴力、恐怖主义、毒品交易、人口贩卖、黑客服务等违法信息，但Tor的设计初衷绝不是这样的，它的宗旨是保护普通人的隐私，例如为记者、政治活动家、以及追求安全匿名的用户提供服务。 Tor Tor 的使命是通过免费开源技术促进人权，使用户能够抵御大规模监视和互联网审查。 我们讨厌有人将 Tor 用于邪恶目的，我们谴责滥用和利用我们的技术进行犯罪活动。 重要的是要理解，犯罪意图在于个人，而不在于他们使用的工具。 就像其他广泛使用的技术一样，Tor 可能被有犯罪意图的个人使用。 而且由于他们可以使用其他选择，将 Tor 从世界上移除似乎不太可能阻止他们从事犯罪活动。 同时，Tor 和其他隐私措施可以打击身份盗用、跟踪等人身犯罪，并可供执法部门用来调查犯罪并帮助支持幸存者。 Tor Hidden Services 如何连接到Tor 通常情况下，你只需要前往官网（https://support.torproject.org/zh-CN）下载并安装基于Tor的Tor浏览器（Mozilla Firefox的分支），启动后点击连接即可连接至Tor网络。 审查 当然，许多国家对Tor网络进行封锁，例如俄罗斯、伊朗等国家，想在这些国家使用Tor，您可能需要进行额外的配置。您可能需要其他方法下载Tor浏览器并且需要为Tor添加可插拔传输层（网桥）。 其他下载Tor浏览器的方法 如果你无法通过我们的网站下载 Tor浏览器，你可以通过 GetTor 获取一份 Tor 浏览器的副本。 GetTor 是一项通过不同方式自动回复最新版 Tor 浏览器下载链接的服务。这些链接由不同处所托管，例如 Dropbox 、Google Drive 和 GitHub. 可以通过邮件或者 Telegram 自动程序https://t.me/gettor_bot请求。 可以从 https://tor.eff.org 或者 https://tor.calyxinstitute.org/下载 Tor 浏览器。 给 [email protected] 发送一封电子邮件 在邮件的正文中，写上你的操作系统的名称（如 Windows 、macOS 或 Linux）。 GetTor 将回复一封电子邮件，其中包含 Tor 浏览器的下载链接、加密签名（用于验证下载的文件）、用于签名的密钥指纹以及软件包的校验和。 你也许需要选择“32 位”或“64 位”版本：这和你的电脑有关，你可能需要查阅你电脑的说明书或与制造商联系来了解更多信息。

2023年，加密勒索软件的范围、攻击频率和数量均有所增加。根据Chainalysis的《2024年加密犯罪报告》，这些攻击造成了11亿美元的加密货币损失。 根据该报告，现在的制胜策略之一是“大型狩猎游戏”，网络犯罪分子的目标是在成功后收取更多款项。超过75%的加密勒索软件收入金额超过100万美元。 Chainalysis研究人员发现，2023年，勒索软件的新参与者和分支组织层出不穷。勒索软件即服务（RaaS）越来越容易获取，扩大了生态系统。外部实体可以访问恶意软件来实施攻击，以换取利润分成。 加密勒索软件攻击变得越来越容易 据Chainalysis称，所谓的初始访问代理（IAB）的激增使得不良行为者更容易发起加密勒索软件攻击。这些经纪人渗透受害者的网络，然后以极低的价格向勒索软件犯罪者出售该访问权限。与现成的RaaS相结合，现在实施加密勒索软件攻击变得更加容易，并且需要的技术技能也少得多。 监控IAB钱包可以发出早期预警信号并及时进行干预。Chainalysis进一步报告称，去年非法加密货币地址收到的资金大幅下降。这一金额降至242亿美元。不过，这些数字并不固定，因为并非所有非法地址都已被识别，而且金额可能要高得多。相比之下，Chainalysis最初估计2022年的非法交易额为206亿美元，但最终达到了396亿美元。其中很大一部分增长来自于受制裁平台托管的高度活跃地址。 这一数额不包括非加密货币原生犯罪的收入，例如传统的毒品贩运，其中加密货币用于支付非法货物。 稳定币取代比特币成为网络犯罪分子的首选 直到2021年，比特币都是非法活动中最受欢迎的加密货币，这可能是因为它的高流动性。目前，大多数非法交易都是以稳定币进行的，包括加密勒索软件交易。这一变化与稳定币在所有加密货币活动（包括合法交易）中所占份额的增长是同步的。 加密勒索软件勒索、暗网市场销售和其他形式的非法加密货币活动仍然主要发生在比特币中。与受制裁平台相关的诈骗和交易已转向稳定币。按交易量计算，这些也是与加密货币相关的犯罪的主要形式。受制裁的平台有更大的动力使用稳定币，因为他们很难通过传统渠道获得美元，而稳定币可以让他们从法定货币的稳定性中获益。这里唯一的积极方面是，稳定币发行者可以在拦截非法活动时冻结资产，就像Tether对与人口贩运和恐怖主义有关的地址所做的那样。 加密勒索软件和暗网市场是加密犯罪的两种主要形式，其收益在2023年和2024年迄今为止都会增加。这种趋势表明，加密勒索软件攻击者找到了克服网络安全改进的方法。 暗网市场收入的增长是在2022年收入下降之后出现的。根据Chainalysis的说法，暗网市场Hydra的关闭在很大程度上导致了这一收入的下降。Hydra曾一度占据了暗网市场总收入的90%以上。暗网行业正在复苏，总收入已经恢复到2021年的峰值。 其他加密勒索软件趋势 加密勒索软件的主要感染媒介涉及利用面向公众的应用程序中的弱点。过去是僵尸网络。勒索软件攻击者正在摒弃恶意软件，转而使用合法软件，无论是操作系统功能还是双重用途工具。最常用的软件是Windows操作系统组件。加密勒索软件攻击者中最流行的三种工具是PsExec、PowerShell和WMI。 攻击者通常使用Atera、AnyDesk、ConnectWise和Splashtop等远程桌面软件。 诈骗和被盗资金大幅下降 加密货币黑客和诈骗收入大幅下降，非法收入总额分别下降54%和29%。恋爱诈骗（杀猪盘）仍然很流行，诈骗者与孤独的人建立关系，骗取他们的积蓄。由于“投资机会”并未公开，因此这种骗局更难被揭发。在美国，有关加密货币投资骗局的报道越来越多，但数据显示，自2021年以来，全球范围内的诈骗收益一直在下降。这是由于熊市长期持续，快速致富的机会较少。 DeFi黑客攻击数量急剧下降 加密货币黑客攻击很难隐藏，这也是其数量大幅下降的原因。这一下降主要是由于DeFi黑客数量急剧下降所致。这可能意味着DeFi协议的安全实践正在改善。现在庆祝可能还为时过早，因为一次大规模的黑客攻击可能会再次改变趋势。 全球加密货币平台面临的制裁风险不断增加 外国资产管制处（OFAC）在英国制裁了总部位于俄罗斯的交易所 Garantex，原因是它为加密勒索软件攻击者和其他网络犯罪分子洗钱。该平台是去年与受制裁实体有关的交易量最大的驱动力之一。由于俄罗斯没有制裁 Garantex，因此它仍在继续运营。对于受英国或美国法律管辖的加密货币平台来说，接触 Garantex 会带来风险，这意味着这些平台必须格外谨慎，并对接触类似平台的情况进行筛查，以保持合规。 加密勒索软件的未来趋势 加密货币现在并将永远是勒索软件商业模式的关键组成部分。专家表示，美国证券交易委员会（SEC）对加密货币 ETF 的批准将它们重新推到了聚光灯下，攻击者比以往任何时候都更愿意发起攻击。用最简单的话说，只要有加密货币，就会有勒索软件。 另一个将持续下去的趋势是漏洞利用。越来越多的攻击者看到了利用最新修补漏洞的价值。一旦有人发布软件补丁，他们就会开始检查未打补丁的系统。 依赖数据盗窃进行勒索的趋势也将继续下去。加密数据需要付出很大的努力。许多实体已经能够进行免加密攻击。 解决方案 我们可以肯定，加密勒索软件将仍然对所有实体构成持续威胁，无论其规模如何。明智的做法是采用多种保护、检测和强化技术来应用深度防御策略。他们将最大限度地减少每个潜在攻击媒介的风险。此外，企业应努力加深对加密勒索软件攻击中常用的感染载体的了解。这些数据将有助于识别潜在的漏洞并增强防御态势。

“暗网下/AWX”已经五次报道“正版中文担保交易市场”是诈骗网站，该网站通过”靠谱中文网址大集合“诈骗导航站进行引流。随着龙年春节的到来，“暗网下/AWX”发现，该诈骗网站又一次更换了新的暗网V3域名，并且使用了新的诈骗话术：“龙年春节回馈活动”。 诈骗网站“正版中文担保交易市场”新更换的暗网V3域名为： http://wzry3iytdxtrnrybuy76cizdubucwqbhifdvfg25yblsxyt6llllfmqd.onion 上次本站曝光的暗网V3域名仍在继续使用（访问后跳转新域名）： http://oniov7hgxjiwxl7zzpphriyletrdszj26hhtkiqh5rirttfycilu74id.onion 不过再之前使用的暗网网址已经被废弃了，“暗网下/AWX”曾多次科普，生成一个暗网V3域名非常容易，根本不需要技术，也不像常规互联网域名需要花钱，洋葱域名毫无成本，因此诈骗网站可以随意更换。 于是“暗网下/AWX”每每曝光一次，诈骗网站会更换一次域名，从域名去记住这个诈骗网站很难，不过每次只是更换域名，并不改变网站名称，所以只要在暗网上看到名为“正版中文担保交易市场”的网站，不管是什么域名，无论用什么话术，必定是诈骗网站无疑。 此外，龙年新年到来，骗子已经提前于1月17日发布了新的诈骗话术”龙年春节回馈活动公告！“： 祥龙献瑞贺新春，龙年喜庆满天辉。 又是新的一年，大家所期待的优惠活动开始咯！ 具体方案： 1、活动期间：见到本文字起-2024年2月24日24:00（北京时间） 2、凡在活动期间累计交易金额达到3000美元（含）以上者，（不论新老用户均可，平台内所有交易均可）获得活动期间内累计交易金额的6%的现金返现，活动结束后3日内打入平台钱包内，请满足条件的用户在2月25日24点前编辑交易记录的文字发送到站内邮箱admincn即可，我们会进行统计。 3、新用户交易红包：凡在活动期间内单次交易达到2500美元以上的新用户，将获得188美元返现红包一个，发放方式同上。新用户是指在2023年12月以后注册的用户，无论本活动之前是否有交易记录。老用户禁止参加此项活动，如发现有老用户新注册账号冒充新用户参与，将受到停止交易一个月的处罚。本活动与上一条活动可同时参与。 4、老用户红包：凡在2023年6月以后交易笔数达到5次以上者， 且活动期间内再有任意一笔超过500美元的交易，均可获得368美元的红包。发放方式同上。与第2条活动可同时参与。 5、本次新春活动与幸运大转盘优惠可叠加。 6、本站春节无休，网站24小时一直都会有人值班，商铺如果不营业的卖家会写出说明，没有说明的就是正常营业。根据目前卖家的回馈及往年的情况，所有店铺都将持续营业。 确实，骗子一直都在努力，话术里都已经宣布了春节无休。“暗网下/AWX”还发现，不仅春节，在上次爆料之后的中秋国庆节以及圣诞元旦，该诈骗网站发布了两次话术广告，很迷惑那些初入暗网的新手。 另外，网站的banner也改为庆祝春节的”金龙贺岁“版本，大概是从互联网找了一幅图片截取了一小半，粗制滥造，但就有傻子能够相信。 继续区块链上分析，该诈骗网站已经诈骗了10.54个比特币了，距离上次曝光仅7个月，这个骗子又诈骗了2个比特币进账。还是那句话，只要世上傻子足够多，骗子坐家里，傻子都会将钱送上门。 本次曝光后，骗子也会继续更换暗网V3域名，“暗网下/AWX”将继续追踪，持续跟进曝光。 更多暗网新闻动态，请关注“暗网下/AWX”。