法兰克福总检察长办公室的中央打击网络犯罪办公室 (ZIT) 和德国联邦刑事警察局 (BKA) 的调查取得部分成功。在一项国际协调行动中，法兰克福总检察长办公室的中央打击网络犯罪办公室( ZIT) 和联邦刑事警察局 (BKA) 联合查获了非法暗网市场“Kingdom Market”（王国市场”）的服务器，成功于2023年12月16日关闭了暗网上的非法市场“Kingdom Market”。 美国、瑞士、摩尔多瓦共和国和乌克兰的执法当局在调查过程中与德国机构密切合作。 然而，“Kingdom Market”暗网市场的管理员尚未被抓获。但是，这个市场的客户最好还是要担心一下，警方会进行深入调查的。 “Kingdom Market”是一个非法暗网交易市场，至少自 2021 年 3 月起就存在，只能通过 Tor 网络和暗网上的隐形互联网项目 (I2P) 访问。该英语平台被用来交易非法商品。它的主要焦点是毒品贸易。 此外，恶意软件、犯罪服务和伪造文件也通过该平台进行广告宣传，以获取利润。市场上提供了超过 42000 种产品，其中约 3600 种来自德国。市场上有数以万计的客户账户和数百个卖家账户。 经过调查，警方确定犯罪商业平台“Kingdom Market”上注册了来自不同国家的数千个账户，暗网市场的用户使用比特币、莱特币、门罗币和 Zcash 加密货币来支付服务。“Kingdom Market”管理员收取3%的手续费作为平台上所有销售的佣金。 两天前，曾有疑似当局的执法人员或者恶搞的网友以“FallenKingdom”的昵称在暗网的Dread论坛上发表了致“Kingdom Market”全体居民的一份公告： 王国的居民们， 我们自豪地宣布，王国已经灭亡！ 感谢你们的合作。 待续…… 与此同时，一些名不见经传的暗网市场，如“Elysium Market”、“Dark Matter Market”、“SuperMarket”等市场的管理员或者推广者开始在Dread论坛上发帖，表示他们的市场欢迎“Kingdom Market”的难民们（客户与供应商）。 也有网友怀疑是由于网址旋转器（URL rotator）泄露了服务器的真实IP，论坛里半年前就已经提醒过了。 Dread论坛的管理员三天前发布了“王国市场可能已被执法部门查封”主题，称： Dread 工作人员从一个值得信赖的方面得到消息，称有多人已被执法部门逮捕，他们的系统被查封，而这些人有足够的服务器权限进入王国的基础设施。我们不知道，也可能永远不会知道，这次被打击的严重程度。这是一个遗憾，但根据目前提供的信息，Kingdom Market从瘫痪中恢复的可能性基本上为零。 我会让评论开放几天，然后在有新消息之前将此子主题存档。 这样的事情偶尔会发生。请接受现实吧。如果你在 Kingdom 上订购时正确遵守了 OPSEC，你就不需要担心太多。如果没有，那就清理门户吧。 并在该消息得到德国当局证实后更新了BKA的链接：https://www.bka.de/DE/Presse/Listenseite_Pressemitteilungen/2023/Presse2023/231220_PM_Darknet_Kingdom_Market.html 暗网市场“Kingdom Market”在Dread论坛上的支持管理员“OhLongJohnson”也发表了最新的主题“来自 OhLongJohnson 的文字，KM 永远消失了。”，内容为： 亲爱的会员们 我很遗憾地告诉大家，管理员没了，市场没了，被查封了。 我现在很好，希望这一切能保持原样。 我要向所有社区和我们的会员道歉。太糟糕了，没有人会看到我们正在开发的新升级。我非常期待新升级版本的发布。这是我梦寐以求的工作。 非常感谢你们所有人，我爱你们，并将永远爱你们，我会记住的。我始终相信每个供应商都是善良的，并尽我所能为他们提供支持。我相信，每一个有“骗人”想法的供应商都可以成为真正的专业人士。我与许多买家和供应商建立了良好的关系，我感谢你们信任我，我也信任你们。我唯一遗憾的是，我无法与最近加入的新供应商进行更多交流。发生这样的事情，我感到非常难过。 我也很遗憾你们在市场服务器被查封后损失了金钱。我不知道查封了什么，也不知道数据库服务器位于何处。希望尽快恢复。 对不起，Kingdom让您失望了，对不起，您在市场关闭时损失了金钱。至少钱包和服务器不在同一个地方。

前天，“暗网下/AWX”报道了国际联合执法机构查封了臭名昭著的ALPHV勒索软件团伙的暗网泄密网站，在经历与美国当局的暗网域名争夺战后，ALPHV勒索软件团伙选择推出了新的暗网onion域名。 ALPHV勒索软件团伙又名BlackCat，最初于2020年8月以“DarkSide”名义推出 ，然后在面临因该团伙广泛宣传的对殖民管道的勒索攻击而造成的执法行动的巨大压力后于2021年5月关闭。 该勒索软件团伙后来于2021年7月31日以“BlackMatter”名称回归，但在Emsisoft利用漏洞创建解密器并查封服务器后，该勒索软件团伙于2021年11月再次关闭。 该团伙于2021年11月再次回归，这次的名称为“BlackCat/ALPHV”。从那时起，勒索软件团伙不断演变其勒索策略，并采取与英语附属机构合作的不寻常方式 。 这次事件一开始，ALPHV勒索软件团伙对外界宣称说，由于硬件故障，他们的暗网网站离线了。这种情况过去也发生过，所以很多人相信了这个借口。ALPHV勒索软件团伙接着表示，他们已经转移了暗网泄密网站的服务器和博客。 然而，12月19日，美国政府就ALPHV勒索软件发布了一份官方声明，声称ALPHV勒索软件的基础设施已经被联邦调查局（FBI）查封，他们公布了针对 ALPHV 的解密工具，并与国际合作伙伴合作，已经为 500 多家公司解密。联邦调查局 ALPHV 的搜查令指出，一名秘密线人进入了 ALPHV 面板。然后，联邦调查局对 ALPHV 面板进行了…… “调查”，设法进入了 ALPHV 网络，获得了 946 个Tor 站点的公钥/私钥对，ALPHV勒索软件团伙使用这些站点来托管受害者通信站点、泄密站点以及上述附属面板。 至此，FBI也掌握了ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）的密钥，与ALPHV 勒索软件团伙开展了拉锯战。19日的时候，FBI将该勒索软件团伙的暗网网站的.onion域名转向扣押的页面，显示扣押图片以及以下信息： 这项行动是在欧洲刑警组织和哥廷根犯罪调查中心的大力协助下，与美国佛罗里达州南区检察官办公室和司法部计算机犯罪和知识产权科协调采取的。 如果您有关于Blackcat、其附属机构或活动的信息，您可能有资格通过美国国务院的正义奖赏计划获得奖赏。信息可通过以下基于 Tor 的举报热线提交：he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion（需要 Tor 浏览器）。 有关针对美国关键基础设施的外国恶意网络活动信息奖励的更多信息，请访问 https://rfj.tips/SDT55f。 然而，20日，当人们访问ALPHV勒索软件团伙的暗网网站的.onion域名（http://alphvmmm27o3abo3r2mlmjrpdmzle3rykajqc5xsj7j7ejksbpsa36ad.onion）时，出现以下页面，ALPHV勒索软件团伙声称“夺取”了他们的数据泄露站点，重新获得了对 URL 的控制，并声称 FBI 获得了对他们用来托管服务器的数据中心的访问权限。 由于 ALPHV 运营商和 FBI 现在都控制着用于在 Tor 中的暗网泄露网站洋葱 URL 的私钥，因此他们可以来回夺取对方的 URL，这一过程一整天都在进行。 不过，作为 ALPHV 解除扣押信息的一部分，该团伙宣布为其数据泄露网站推出一个新的暗网onion域名（http://alphvuzxyxv6ylumd2ngp46xzq3pw6zflomrghvxeuks6kklberrbmyd.onion），FBI 没有该网站的私钥，因此无法扣押。 该勒索软件团伙声称，FBI 仅在过去一个半月内获得了约 400 家公司的解密密钥。然而，他们表示，另外 3000 名受害者现在将失去钥匙。 ALPHV勒索软件团伙还表示，他们正在取消对其附属机构的所有限制，使他们能够瞄准任何他们想要的组织，包括关键基础设施。附属机构仍被限制攻击独立国家联合体（独联体）国家，这些国家以前是苏联的一部分。 最后，ALPHV勒索软件团伙表示将附属公司的收入份额提高到支付赎金的 90%，这可能会说服他们转而使用竞争的勒索软件即服务。 ALPHV勒索软件团伙的声明： 大家都知道，联邦调查局拿到了我们博客的钥匙，现在我们来告诉大家是怎么回事。 首先，这一切是如何发生的，在检查了他们的文件后，我们了解到他们获得了其中一个 DC 的访问权限，因为所有其他 DC 都没有被触及，事实证明，他们以某种方式入侵了我们的一个主机，甚至可能是他本人帮助了他们。

一个国际执法机构小组查封了臭名昭著的勒索软件团伙 ALPHV（即 BlackCat）的暗网泄密网站。该勒索软件团伙暗网泄密网站上的一条消息现在写道：“联邦调查局查封了该网站，作为针对 ALPHV Blackcat 勒索软件团伙采取的协调执法行动的一部分。” 据splash报道，此次执法行动还涉及来自英国、丹麦、德国、西班牙和澳大利亚的执法机构。 在后来确认此次破坏行动的声明中，美国司法部表示，由联邦调查局（FBI）领导的国际打击行动使美国当局能够得以进入该勒索软件团伙的计算机，并查封 ALPHV 运营的“多个网站”。 FBI 还发布了一款解密工具，已经帮助了 500 多名遭受 ALPHV 勒索软件攻击的受害者恢复了系统。 (联邦调查局称，它与美国的数十名受害者合作，使他们免于支付总计约 6800 万美元的赎金要求。) 美国政府的声明中称，ALPHV 攻击并破坏了全球 1000 多名受害者的网络，赚取了数亿美元。据司法部称，该团伙的目标是美国的关键基础设施，包括政府设施、紧急服务、国防工业基地公司、关键制造业、医疗保健和公共卫生设施，以及其他公司、学校和政府实体。 根据美国政府的搜查令，联邦调查局（FBI）称，它与一个与勒索软件团伙关系密切的“秘密线人”进行了接触，该线人向探员提供了访问 ALPHV/BlackCat 用于管理该团伙受害者的附属面板的凭证。 美国国务院此前表示，将奖励那些提供“有关 Blackcat、其附属机构或活动”信息的人们。 美国副司法部长丽莎·莫纳科（Lisa Monaco）在讲话中表示：“在瓦解 BlackCat 勒索软件团伙的过程中，司法部再次对黑客进行了攻击。” “通过联邦调查局向全球数百名勒索软件受害者提供的解密工具，企业和学校能够重新开放，医疗保健和紧急服务得以恢复在线。我们将继续优先考虑处理破坏事件，并将受害者置于我们摧毁助长网络犯罪生态系统的战略的中心。” 欧洲刑警组织（Europol）发言人伊娜·米哈伊洛娃（Ina Mihaylova）证实该机构参与了此次行动，但拒绝进一步置评。 ALPHV/BlackCat 勒索软件团伙是近年来最活跃、最具破坏性的勒索软件团伙之一。ALPHV 被认为是现已解散的受制裁 REvil 黑客组织的继承者，它声称已经入侵了许多知名的受害者，包括新闻分享网站 Reddit、医疗保健公司 Norton 和英国的 Barts Health NHS Trust。 近几个月来，该勒索软件团伙的策略变得越来越激进。 11 月，ALPHV 向美国证券交易委员会 (SEC) 首次提出此类投诉，指控数字借贷服务提供商 MeridianLink 未能披露该团伙所称的“泄露客户数据和运营信息的重大违规行为”。

近期有网友举报，在明网新出现了一个名为“茶马古道”的网站，与已经被警方打击的知名中文暗网交易市场“茶马古道”同名，请求“暗网下/AWX”帮助鉴别。经“暗网下/AWX”鉴定，该网站确系诈骗网站无疑，且骗术很低级。 在“暗网下/AWX”的Telegram官方交流群里有群友咨询问道：“有一个要交保证金才能进的茶马古道，是真的吗？”根据“暗网下/AWX”针对暗网长达两年的诈骗打击，只要是先款的必是骗子，无论暗网还是Telegram，但是保守起见，还是对网站地址进行了仔细的分析。 根据该网友提供的网址，这个新冒泡的“茶马古道”居然搭建在谷歌上，使用谷歌sites模块搭建，网址为：https://sites.google.com/view/chamagudaoxitong494/。整体而言，这个没有自定义域名的网站界面相当丑陋，所有的内容就是堆积的图片与文字了。 接下来，“暗网下/AWX”从网站的内容与技术对这个号称收费才能进入的诈骗网站进行解析。 首先是内容，网站首页介绍了“茶马古道的由来”、“茶马古道适合哪些人群？”、“茶马古道包含哪些业务？”、“茶马古道可信不可信？可信度如何？”、“为什么我们不选择洋葱浏览器？”、“我该如何进入交易网页呢？”，具体的内容为： 茶马古道的由来 随着信息互联网的高速发展，不少用户已经学会如何翻墙，但暗网这一新鲜的名词也进入大众视野，如你所见暗网随处充斥着犯罪，茶马古道也不例外，但是只要了解过暗网的人都知道暗网大多数都是骗子，这样给大众的印象是暗网不再是发家致富的捷径而是诈骗犯的老窝，但是茶马古道不一样，它时时刻刻想着世界共济，凭什么有钱人就高高在上，而普通家庭出身的我们却只能打工十年一场空，为老板，为资本家，倒不如我们自己强起来。所以创建了茶马古道这全世界第一个中文版暗网。 茶马古道适合哪些人群？ 现在的两级分化十分严重，低产或者中产家庭只能老老实实的工作一辈子，还车贷，房贷一辈子，所以茶马古道适合基本上所有的人员，为他们发家致富，为成功助力，结合茶马古道的相关业务你可以轻轻松松获得成功，或者更容易成功，让看不起你的人对你卑躬屈膝，毕竟无论是在美国还是中国，钱都是万能的。 茶马古道包含哪些业务？ 当然茶马古道跟大部分暗网相同，其中包含假钞，身份信息，政府封锁的公文，枪支等等，你可以在这里轻轻松松的获取那些违法的物品，记住只有你想不到没有茶马古道没有的物品。 茶马古道可信不可信？可信度如何？ 对于这个十分重要的问题，想必也是各位所担心的，首先我们的团队都是经验成熟的程序员（详细可在关于我们中找到），不是那些脚本小子，其次就是由于我们有专业的管理系统，完全不可能出现欺诈这种手段拙劣的骗局，既然选择要搭建一个真正意义上的暗网，我们必然会尽心尽力去做，其次就是为了完全将诈骗扼杀在摇篮里，茶马古道中的商家，供货商我们不会选择中国大陆相关人员去做（除非我们指定的，经过严重筛查的商户），毕竟以前的经验都在告诉我们，所以在这方面我们选择的都是以前在各暗网论坛工作过的商户，他们的资质，服务都十分不错，所以安全这方面就是我们的根本宗旨，我们会完完全全的保护好你的钱包，当然我们之后会公布客服人员，不必询问安全问题，如果您不相信茶马古道也可选择其他暗网。之前就有著名的加拿大骗局，欺骗过不少人，甚至影响到其他暗网交易平台的信誉，这是令人唾弃的。 为什么我们不选择洋葱浏览器？ 可能在大部分人们眼中，暗网必须在tor的网桥搭建下才能进入暗网，但是tor的缺点十分明显，网络流量传输小，网络卡顿，其次就是搭建网桥比较麻烦，不好操作，安全性得不到保障，易被黑客攻击，所以我们选择了更贴合大众的操作方法，十分方便，只需一个加速器。 我该如何进入交易网页呢？ 对于这个问题，如下操作 1.一个安全的私人网络，不可以是公共网络，比如家庭网络. 2.准备交易需要的加密货币（稳定币usdt），在此之前你需要准备一个的交易所账户，方便以后的交易.除此之外尽可能用电脑端进行。体验较好. 3.点击下方进行登录和注册。 具体的内容不必细看，因为熟悉诈骗套路的网友都知道，无论上面写的多么天花乱坠，都是诈骗中必不可少的“话术”而已。再看“关于我们”页面（https://sites.google.com/view/guanyuwomencc66954/），这个话术更无语，宣称： “首先，我们来自美国，是一个致力于计算机专业的四人中年华人程序员，目前居住在美国加州，我的专业领域涵盖了多个方面，包括软件开发、数据结构与算法、人工智能和机器学习等。我熟练掌握多种编程语言，如Java、Python和C++，并且能够利用这些语言构建高效、可靠的软件系统。在课程和个人项目中，我积累了丰富的编程经验，善于解决复杂的技术问题。 在2011年至2020年一直为全世界最大的暗网论坛效力，看到中国目前的阶级趋势，我联系三位多年好友，共同创建了茶马古道。这一暗网新概念，你可以在上面进行包括毒品，枪支，假钞等等产业的交易。” 都是什么牛马，智商要多低，才能相信这些话？ 再看技术，网站使用谷歌sites搭建，本身无任何技术，谷歌sites允许一些html与JavaScript，因此，它做了一个简单称为“绑定账户”的注册页面（https://sites.google.com/view/chamagudaozhuce859），上面有个“立即登录”的按钮，点击后出现一个自定义的登录框，标题写着“绑定茶马古道”，但是无论输入什么用户名密码，都是显示“错误：用户名或密码无效。”。让我们来看看这一段的代码实现： <html><head><base target="_blank"> <style> /* 样式用于美化登录栏 */ #loginContainer { display: none; width: 300px; margin: 0 auto; padding: 20px; background-color: #f2f2f2; border: 1px solid #ccc; border-radius: 5px; } /* 样式用于美化输入框和按钮 */ input[type="text"], input[type="password"] { width: 100%; padding: 10px; margin-bottom: 10px; border: 1px solid #ccc; border-radius: 5px; } button { background-color: #007bff; color: #fff; border: none; border-radius: 5px; padding: 10px 20px; cursor: pointer; } </style> </head> <body> <button id="

全球每年都会发生大量重大数据泄露、新的最大的数据泄露和黑客事件，引起媒体的广泛关注（例如Medibank、Optus、Twitter 的数据泄露以及2022 年的 Uber 和 Rockstar 的数据泄露以及 2023 年的T-Mobile、MailChimp和 OpenAI） 。 卡巴斯基在 2022 年创建了一份包含全球 700 家公司的名单，这些公司来自不同行业：工业、电信、金融、零售等。然后卡巴斯基在暗网中进行搜索，试图回答“这些公司遭受破坏的可能性有多大？”的问题。 卡巴斯基实验室的随机抽样显示，全球大约每三家公司中就有一家的被盗数据在暗网上出售。在近两年的时间里，他们发现了近 40000 条提供购买、出售或交换被泄露公司数据的信息。 在暗网上出售公司基础设施访问权对公司的威胁越来越大。与前一年相比增加了 16%。 40000 条数据泄露信息 2022 年 1 月至 2023 年 11 月期间，卡巴斯基数字足迹情报中心在论坛、博客和 Telegram 聊天工具的频道中发现了总计约 40000 条围绕公司内部数据库和文件交易的信息。然而，Telegram 通常被认为是聊天工具，不属于暗网的一部分。 大小公司都面临危险 有些邮件甚至提供了对公司基础设施的访问权限。卡巴斯基专家在近 24 个月的时间里发现了 6000 多条此类邮件。而且这一趋势仍在上升。从去年到2023年，每月此类信息的平均数量增加了16%，从246条增加到286条。 关于2024年的供应链攻击威胁预测，小公司的数据泄露也可能对全球大量个人和公司造成重大影响。 卡巴斯基专家还分析了这些访问权限被卖给了哪些公司。为此，他们随机选择了与2022年公司数据泄露有关的700家公司。这些公司出现在暗网上的 233 个帖子中。这些帖子明确提到了数据泄露、基础设施访问权限被盗或账户被黑。 并非暗网上的每条泄密信息都很重要 卡巴斯基数字足迹智能公司的专家 Anna Pavlovskaya 解释说：“并非暗网上的每条信息都包含新的或独特的信息。”有些提议是可以重复的。例如，如果网络犯罪分子想特别快速地出售数据，他们就会在各种地下论坛上发布广告，以便接触到更多的潜在买家。此外，某些数据库可以合并后再次出售。例如，这种合并报价汇总了以前泄露的各种数据库中的信息，如电子邮件地址的密码。 另一方面，价值较低的数据则会被泄露出去，以便在论坛中获得大家的认可。比如，在明网与暗网均有镜像的英文论坛Breachforums，有许多公开下载的数据。 数据泄露 数据泄露会暴露机密、敏感信息，并可能导致重大问题。最常见的例子是数据库和内部文档，因为每个规模的公司都使用有价格的机密数据。泄密可能会影响公司本身、员工和客户。 根据卡巴斯基 DFI 门户网站的数据，暗网上每月会出现约 1700 个与销售、分发或购买数据泄露相关的独特帖子。 应该注意的是，并非每条消息都代表唯一的最新泄漏。其中一些是针对同一泄露内容的重复广告，有些数据库可以按国家/地区合并或划分。 其他流行的循环泄漏类型是从流行的社交网络中删除公共数据的数据库，例如姓名、个人资料 ID 和电子邮件。它们在网络犯罪社会中仍然有效，作为攻击发展的宝贵来源。2021 年，超过 7 亿 LinkedIn 用户和5.33 亿 Facebook 用户的个人信息 被抓取并发布在暗网上。

根据美国司法部的消息，一名宾夕法尼亚男子在不到两年的时间里完成了超过7,800次个体的暗网芬太尼销售，并被调查人员与美国各地数十起致命过量事件联系起来，他因在曾经的暗网市场AlphaBay上分发致命的芬太尼类似物而被判处无期徒刑。该事件导致俄勒冈州的三人过量，其中两人死亡。 38岁的亨利·科纳·科菲（Henry Konah Koffie）来自宾夕法尼亚州达比市，被判无期徒刑，并监外执行三年。 俄勒冈区联邦检察官娜塔莉·怀特（Natalie Wight）表示：“亨利·科菲的的客户——服用芬太尼过量的受害者，从他那里以高达40美元一克的价格在暗网上购买芬太尼，等待着送达，使用后不幸过量而死亡。今天，寻找芬太尼的人只需走到附近的街角，交一两美元即可购得相似数量。在很多方面，正是像亨利·科菲这样的暗网供应商为我们社区仍然困扰的芬太尼危机铺平了道路。”“我们知道任何判决都无法治愈失去亲人的家庭所经历的创伤，但我们希望今天的判决，以及我们知道亨利·科菲无法夺走更多无辜生命，将为他们带来某种程度的结束。” 负责监督太平洋西北地区国土安全部调查（HSI）行动的特别探员罗伯特·哈默（Robert Hammer）表示：“虽然任何刑罚都无法挽回因毒贩公然冷漠和赤裸裸的贪婪而失去的生命，但他将不再对全国各地的社区构成威胁。”“在不到两年的时间里，科菲利用暗网进行了数千笔毒品交易，这可能导致更多芬太尼过量死亡。通过我们与地方和联邦执法部门的众多合作伙伴关系，HSI 将继续进行调查，以揭露毒贩在销售致命非法麻醉品时试图使用的匿名方式，以避免被捕。” 美国邮政检查服务（USPIS）西雅图分区的检查主管托尼·加莱蒂表示：“在亨利·科菲的今天判刑中，我们看到了联邦和地方执法机构之间协作努力的巅峰。美国邮政检查局向波特兰警察局、国土安全调查局和美国检察官办公室表示感谢，感谢他们的宝贵合作，使这名死亡制造者在全国范围内被定罪。亨利·科菲的鲁莽行为，公然漠视他人的生命，应受到谴责，现在已经受到了惩罚。”“今天的判决是一个坚决的声明，这种行为不会逃脱惩罚。我们的心与受害者及其家人同在，希望这一结果能给他们带来一定程度的结束，并标志着康复过程的开始。” 波特兰警察局（PPB）局长鲍勃·戴（Bob Day）表示：“芬太尼在我们社区夺去了太多生命。我们要感谢我们的合作伙伴共同努力调查和起诉这个重要案件。打击我们社区中危险的非法毒品仍然是一项优先任务，因为我们努力防止进一步令人痛心和毫无意义的死亡。我也要向受害者及其家人表示深切的同情，希望今天的判决为他们带来些许安慰。” 根据法庭文件，在短短一年多的时间里，科菲以DNMKingpin（暗网毒品供应商）和后来在AlphaBay暗网市场上的Narcoboss供应商的身份，供应了导致三名波特兰居民过量致死的芬太尼。第一位受害者是一名19岁的波特兰州立大学学生，于2016年5月2日在摄入粉末芬太尼30分钟后过量。医护人员向该学生施用了纳洛酮并进行了呼吸援助，挽救了她的生命。调查人员采访了该学生的供应商，后者表示他向该学生供应了从AlphaBay上购买的DNMKingpin的粉末芬太尼。 一年后，即2017年5月6日，波特兰警察局（PPB）调查了波特兰东南部一名27岁男子的致命过量事件。受害者的室友告诉警察，受害者曾从AlphaBay上的Narcoboss供应商处购买芬太尼，后者将芬太尼标榜为“中国白”。一名室友进一步告诉警察，他和受害者曾一同从Narcoboss购买了40美元的一克芬太尼，而这一克芬太尼是从费城寄来的美国邮政服务（USPS）优先邮件信封中取出的。 三周后，即2017年5月29日，PPB响应了另一名27岁男子的致命过量事件，后者曾住在东北波特兰。警察在受害者的住所发现了一小瓶芬太尼和一本包含有关访问AlphaBay和比特币钱包信息的笔记本。他们还在受害者的垃圾桶中找到了一封来自费城的回邮地址的信封。 在2017年5月25日至6月21日期间，调查人员从Narcoboss那里进行了五次对粉末芬太尼的控制购买。所有五个订单都是从费城及周边地区的地址发货的。与此同时，威斯康星和宾夕法尼亚的调查人员在类似于从Narcoboss购买的那些被扣押的芬太尼包裹上找到并确认了科菲的指纹。 进一步的调查揭示，科菲在2016年4月6日至2017年5月23日期间，从中国和香港的分销商那里收到了14批共约七公斤的芬太尼。在2017年5月和6月，美国海关和边境保护局（CBP）拦截了寄给科菲的另外两批含有半公斤芬太尼的包裹。后来确定，科菲使用了一个名为Stampnik的在线邮资公司购买了超过5,700张邮资标签，用于将芬太尼寄往美国各地，包括在俄勒冈、威斯康星和宾夕法尼亚被扣押的包裹上使用的标签。 在不到两年的时间里，科菲使用AlphaBay暗网市场向美国各州的客户出售了约43磅的芬太尼，共进行了7,849次个体交易。除了科菲在俄勒冈造成的三起过量事件之外，调查人员还确认至少有其他27人从科菲那里订购了芬太尼，并在不久后过量身亡。科菲还与其他27起非致命过量事件有关。 2017年7月12日，科菲在俄勒冈地区被刑事起诉，罪名是分发导致重伤或死亡的控制物质。后来，于2021年4月21日，他被判犯有共谋分发控制物质、分发导致重伤的控制物质、分发导致死亡的控制物质以及分发控制物质等五项罪名。 科菲在其他两个司法管辖区还受到联邦起诉。2017年8月1日，宾夕法尼亚西区的联邦大陪审团对科菲提起了四项分发控制物质的罪名。2017年9月20日，宾夕法尼亚东区的联邦大陪审团对科菲提起了两项罪名，指控他在离儿童游乐场不到1,000英尺的地方分发控制物质。这两起案件都尚未结案。 此案由 HSI、USPIS 和 PPB 调查，联邦调查局、俄勒冈州-爱达荷州高密度贩毒区 (HIDTA) 特遣部队、海关及边境保护局、费城警察局和宾夕法尼亚州警察局提供了协助。该案由俄勒冈州地区助理联邦检察官斯科特-M-凯林（Scott M. Kerin）、帕拉克拉姆-辛格（Parakram Singh）和安德鲁-T-何（Andrew T. Ho）负责起诉。 2017 年 7 月 20 日，司法部与联邦调查局（FBI）、美国缉毒署（DEA）、HSI 和美国国税局刑事调查局（IRS-CI）合作，查获并关闭了 AlphaBay，该网站当时是网上最大的犯罪市场。在被查封时，AlphaBay 已在暗网上运营了两年多，被用于在世界各地销售非法药物、被盗和伪造的身份证件和访问设备、假冒商品、恶意软件和其他黑客工具、枪支和有毒化学品。 根据“暗网下/AWX”之前的介绍，供应商Narcoboss使用的AlphaBay暗网市场是早期的第一个AlphaBay暗网市场，该暗网市场于2017年7月中旬被警方关闭。2021年，原AlphaBay暗网市场的二号管理员Desnake又重启了AlphaBay暗网市场，但是也于今年年初突然无法访问。

去年本站曝光了骗人的暗网市场“DeepMarket”，结果还是持续不断的有人被骗。近日，”暗网下/AWX“发现，又有人被DeepMarket骗了，这个名为”r00bbert“的网友在Reddit发帖，分享了他被“DeepMarket”暗网诈骗市场骗取170美元的故事。 帖子开头，”r00bbert“说，虽然他知道很多人会责怪他为什么不事先做调查，为什么没看到前人被骗的征兆，为什么一开始就直接支付？他解释道，简而言之，他当时走投无路，想通过该市场做点事情，但是很显然，他做错了。 帖子作者”r00bbert“说，他说的就是”DeepMarket”，但是被骗后才发现，“DeepMarket”这个网站从2015年起就开始诈骗了，他说他没有在网上找到警告人们“DeepMarket”是诈骗网站的提醒，因此他才写了这个帖子，希望有一天，能在别人受骗之前被看到（看来作者还是宅心仁厚）。他还说，虽然“DeepMarket”并没有使用什么惊天的骗局，但足够骗取他的信任。 正如”暗网下/AWX“在之前的文章中介绍的，这个名为“DeepMarket”的暗网诈骗市场设计精美、功能齐全，让人很难识别这居然是一个骗子开设的诈骗站点。 Reddit社区里是不允许发布任何网址都的，因此在该帖子中，”r00bbert“说，这个暗网的诈骗网站有两个不同的网址，都以 “deepmarli”开头，以不同的字母和数字组合结尾。有趣的是，网站主页上有一张大图片，告诉你这两个网址都是“经过验证”的地址。打开该诈骗网站，圣诞节将至，其logo上居然新增了一个圣诞帽。 在前面的文章里，”暗网下/AWX“只曝光了“DeepMarket”其中一个暗网onion域名： http://deepmarli2lyewdfmx62ym2suhg32elt7rpnra2bgdg26qms7hqyecyd.onion 根据”r00bbert“的投诉，诈骗网站“DeepMarket”还有另外一个暗网onion域名： http://deepmar4ai3iff7akeuos3u3727lvuutm4l5takh3dmo3pziznl5ywqd.onion ”r00bbert“说，一旦访问了这个诈骗市场，就会有几个迹象表明这是一个骗局。”r00bbert“集中讨论了一个特殊的“供应商”：“亚马逊乐园”，这是“DeepMarket”网站的一个礼品卡销售商，它销售了许多比实际价值低很多的礼品卡。”r00bbert“称第一个值得怀疑的迹象就是评论，每天都有好几条，而且都是五星好评，用的都是糟糕的英语。第二个可疑的迹象是“订单”数量始终保持不变。 ”r00bbert“继续说，一旦购买了商品，您有一个小时的时间限制将BTC发送到“DeepMarket”网站指定的比特币地址。该网站承诺“BTC转账出现在区块链上后，支付将被视为完成，页面将被刷新。然后，经过3次确认后，卖家将开始处理您的订单”。”r00bbert“说，让他感到惊讶的是，屏幕居然在某个时候刷新了，而且交易顺利进行。然后，订单状态变为 “待发货”，但事情就在这个时候出了大问题，几个小时后，什么也没发生。按照网站的介绍，用户应该会收到一封电子邮件，发送到用户指定的邮箱。当然，”r00bbert“表示他没有收到那封电子邮件。”r00bbert“与网站的“供应商”和“支持团队”的“杰西”都谈过后，很确定这可能是同一个人。“杰西”向”r00bbert“保证，供应商遇到了一些困难，但一定会在24小时内交货（“供应商”说是12小时），另外，还提供了一张可以解决问题的优惠券，但后来就没有回复了。于是”r00bbert“给供应商留了一条评论，建议其他潜在受害者了解“DeepMarket”网站的性质，且后面又有3条新的五星级评论，然后他的评论没了。 最后，”r00bbert“透露他损失了170美元。但是，”r00bbert“认为，只要不再有人重蹈他的覆辙，每一分钱都是值得的。 再次提醒大家，请警惕暗网里未经本站认可的暗网交易市场，名不见经传的基本都是诈骗网站。”暗网下/AWX“希望更多的人能看到”r00bbert“在Reddit发布的帖子，或者通过Google搜到本站的文章。 更多暗网新闻动态，请关注“暗网下/AWX”。

尽管加利福利亚州的三城医疗中心（Tri-City）在 17 天前就恢复了运营并开始运行，但针对 Oceanside 医院的勒索软件勒索活动似乎仍在继续。 本周早些时候，一位网络安全专家在 X（以前称为 Twitter）上的一条推文中指出，臭名昭著的网络勒索者组织“INC RANSOM”在暗网上宣布拥有从医疗保健提供商处窃取的记录，在暗网这个互联网上的匿名角落经常买卖此类信息。 INC Ransom has listed Tri-City Medical Center: a San Diego County-based hospital that was forced to divert ambulances after a #ransomware attack last month. 1/3 pic.twitter.com/iXK8GjfNZL — Brett Callow (@BrettCallow) December 7, 2023 该帖子包含八页印刷版的“证据”，据推测是在 11 月 9 日开始的数字攻击中从三城医院盗取的，这次攻击严重影响了该公立医院区的运营。11 月 27 日，该医院报告说，它已再次开始接受所有救护车的运送，并正在进行攻击期间推迟的选择性手术。 公布的记录包括两份事先授权表，用于要求医疗保险公司批准特定病人的特定手术，表中列出了病人的姓名、电话号码和其他身份信息。这一小批文件中还包括财务记录，但没有说明攻击者掌握了多少记录。 该公告发布在该勒索软件团伙的暗网泄密网站上，虽然”暗网下/AWX“找到并访问了该网站以验证此类记录的存在，但为了避免传播被盗信息，本文不分享具体访问地址。 勒索软件团伙发布的文件并不一定证明黑客进入了三城医疗中心的电子病历系统，因为该系统存储着病人的病程记录、检查结果和医学影像等超敏感数据。 黑客有可能在不访问医疗记录存储库的情况下获取大量个人信息。例如，斯克里普斯健康中心 (Scripps Health) 曾在 2021 年被迫通知近 15 万名患者，他们的一些私人信息在长达一个月的勒索软件攻击中遭到泄露，严重影响了其运营。斯克里普斯表示，虽然据说包括收件人、出生日期、医疗保险信息、医疗记录编号、患者账号以及治疗名称和日期在内的信息都被窃取了，但斯克里普斯医院表示医疗记录仍然是保密的。 但很明显，暗网网站上弹出的通知表明黑客仍在试图勒索该医院。 总部位于西雅图的信息安全咨询公司 Critical Insight 的网络安全顾问杰克·米尔斯坦 (Jake Milstein) 表示，此类帖子的目的是向组织施加压力，要求他们支付赎金，以避免规模更大、更具破坏性的数据转储。而且，即使企业支付了首次赎金请求，也不一定意味着不会进行第二次尝试。

”暗网下/AWX“发现，重新开办的交流泄露数据的暗网论坛breachforums一直在使用明网域名”breachforums.is“，该域名昨天被FBI短暂查封后，今天已经恢复正常。 昨天，breachforums的管理员ShinyHunters（@shinycorp）突然在其Telegram群组中称：联邦调查局扣押了 BF 域名（Feds seized BF domain），并进一步转发了该域名注册商提供的查封说明：”由于您论坛上的内容，我们收到了多份执法请求。出于法律原因，我们已暂停域名“（several law enforcement requests because of the content on your forum. For legal reasons we have suspended the domain）。 随后，他的众多粉丝在回复中进行了谩骂，并咨询有没有其他域名，并推荐使用”breachforums.army“、”breachforums.gov“、”breachforums.mil“域名，甚至”breachforums.feds“。也有群成员反问，为什么FBI不查封臭名昭著的”xss.is“与”exploit.in“域名（俄罗斯暗网论坛）。有群成员建议，是时候转移至.ru域名并禁止针对俄罗斯的帖子了；也有群成员说，注册.cn域名需要在中国有人去警察局提交文件，太糟糕了。 管理员arm（@carve）在Telegram群组中建议大家使用Tor访问breachforums的暗网域名：breachedu76kdyavc6szj6ppbplfqoz3pgrk3zw57my4vybgblpfeayd.onion，但是多数群成员嫌暗网访问速度太慢，征求解决办法。管理员arm（@carve）在群里再次解释称，根据警方要求以及DMCA规定，域名注册商被要求暂停此域名，并不是域名被黑，所以他们决定将域名转移至新注册商。 很快，管理员arm（@carve）在群里宣布，经过更换域名注册商，”breachforums.is“的域名已经恢复正常： Attention telegram chimps: We have changed registrars and we have recovered the domain. https://breachforums.is is back up, if it’s still giving you an error, just wait a while for dns to propagate. ”暗网下/AWX“检查得知，breachforums背后的运营者已经将域名转移至”FlokiNET ehf“，这是一个冰岛的运营商，其支持多种付款方式，特别是虚拟货币，如DASH、比特币、Litecoin等，此外也支持正常的支付方式，如：OK Pay、Perfect Money、西联汇款、PaySafeCard、PayPal、MoneyGram、邮寄现金和银行转帐等。 FlokiNET自2012年成立以来，便一直在为欧洲各地的客户提供网络托管和域名注册服务。其数据中心位于冰岛、芬兰和罗马尼亚等被有言论自由、新闻表达和举报避风港之称的国家。9月份，匿名邮箱服务Protonmail也使用了FlokiNET的托管服务。 经”暗网下/AWX“测试，目前https://breachforums.is/已经可以正常访问。 更多暗网新闻动态，请关注”暗网下/AWX“。

一个勒索软件团伙盯上了著名的爱德华七世国王医院（King Edward VII’s Hospital），并威胁称，除非支付价值 30 万英镑的比特币（10 BTC）赎金，否则将公开王室成员的私人健康数据。 该团伙以有毒的热带蜈蚣命名为“Rhysida”，声称获得了敏感信息的宝库，包括“X光片、顾问的信件、登记表、手写的临床记录和病理表格”。 黑客已经在其暗网泄密网站上发布了一份声明，称“时间只有 7 天，请抓住机会竞拍独家、独特、令人印象深刻的数据。打开钱包，准备购买独家数据。我们只卖一手，不转售，您将是唯一的拥有者！” 声明表示： 为您提供独一无二的文件！ 来自皇室的数据！ 大量病人和员工资料。 一次性出售! 爱德华七世国王医院是一家独立的慈善医院，拥有值得骄傲的皇家赞助历史，位于伦敦哈雷街医疗区内。 跟声明一起展示的还有许多疑似内部文件的截图，拼在一起，但是比较模糊。目前该文件销售的时间仅剩一天左右。 一个多世纪以来，英国王室一直使用爱德华七世国王医院的服务。 已故的伊丽莎白女王和她的丈夫菲利普亲王在女王 2021 年去世前曾长期在该医院接受治疗，他们都是曾在那里寻求治疗的著名王室成员之一。 夏天，约克公爵夫人莎拉接受了手术，并在医院住了好几天。 2012年，威尔士王妃凯特在第一次怀孕期间因严重孕吐也在该医院接受治疗。 当时，一名澳大利亚 DJ 致电医院，获取并广播了当时剑桥公爵夫人的健康详细信息。 医院被迫就侵犯隐私行为做出道歉。 现在，随着最新的网络威胁的出现，王室在保护其私人医疗信息方面面临着另一个挑战。 这次网络攻击促使英国情报机构立即采取行动，英国政府通讯总部（GCHQ）和警方对该黑客组织展开调查。 英国国家网络安全中心（NCSC）的发言人表示：“我们正在与爱德华七世国王医院合作以了解影响。” 然而，现阶段，如果数据确实被盗，当局能采取的措施也只有一定程度。 前军事情报上校菲利普·英格拉姆（Philip Ingram）指出，被盗信息可能被复制并出售给其他网络犯罪团伙，从而加剧国家安全风险。 “困难在于攻击已经发生，许多知名客户将自行采取风险缓解措施。从某种程度上来说，损害已经造成。”英格拉姆说。 该医院上个月证实了这起网络攻击，表示已立即采取措施减轻该事件的影响，并已启动内部调查。 虽然医院没有确认攻击幕后黑手的身份，但表示只有不到 1% 的患者受到影响。 它表示，受影响的个人已被告知数据滥用的潜在风险。 该医院首席执行官贾斯汀·维尔 (Justin Vale) 向受影响的患者保证，将立即采取措施遏制这一事件，全面调查显示，包括一些个人健康信息在内的少量数据被复制。 该医院表示：“虽然这主要是良性的医院系统数据，但也拷贝了少量的患者信息。” 这一事件加剧了人们对国家重要资产安全的担忧。国家安全委员会最近就国家和与国家结盟的团体对这些资产构成的持续威胁发出了警告。 勒索软件攻击，包括最近Rhysida针对大英图书馆的勒索软件攻击，都被强调为一个突出的威胁。