暗网勒索软件团伙Termite公布了澳大利亚领先的IVF和生育服务提供商之一Genea的高度机密患者信息样本,此前该公司遭受网络攻击,系统被迫关闭数天。Termite于周三在暗网数据泄露网站上发布了截图。
Termite声称拥有Genea服务器的700GB数据,其中包括跨度6年的个人信息。
NSB网络主管Evan Vougdis表示,此类样本数据帖子通常是一种验证其主张的策略,并向受害者施加压力,让其遵从赎金要求。
“这是勒索软件团伙通常会看到的画面……他们只是通过展示一些样本照片来证明并验证他们关于数据泄露的说法。” 他说。
“勒索软件团体发布[公司信息]但不一定同时发布所有数据的情况并不少见。”
Genea于周三在其网站上发布了更新的声明内容,称其已获得新南威尔士州最高法院的临时禁令,以防止“威胁行为者和/或任何接收被盗数据集的第三方访问、使用、传播或发布受影响的数据”。
目前这些信息仍然存在于暗网上,Genea尚未向患者发送电子邮件告知他们个人信息已被公开发布。
沃格迪斯表示,虽然禁令可能会阻止普通澳大利亚人访问数据,但勒索软件团伙不太可能遵守新南威尔士州最高法院的命令。
Genea正在全力处置此次事件 Genea在其声明中表示:“我们正在进行的调查已确定,2月26日,从我们的系统中窃取的数据似乎已被威胁行为者对外发布。”
“我们理解这一事态发展可能会让我们的患者担忧,对此我们深表歉意。”
Genea表示,联系方式、医保卡号、病史、检测结果和药物等敏感信息可能在数据泄露中遭到泄露,该公司“正在努力了解究竟哪些数据已被泄露”。
法庭命令显示,自1月31日起,涉嫌发动攻击的黑客在被发现之前已在Genea网络中潜伏了两周多,并于2月14日从Genea的系统中提取了940.7 GB的数据。
该公司最初于2月21日星期五通知患者疑似数据泄露,但直到下周一才透露攻击的严重程度。患者并未被告知他们的哪些个人信息被窃取了(如果有的话)。
但在发给客户的电子邮件中,Genea的首席执行官Tim Yeoh透露,被访问的患者管理系统中的信息包括全名和出生日期、电子邮件、地址、电话号码、医疗保险卡号、私人健康保险详情、病史、诊断和治疗、药物和处方、测试结果、医生的证明和紧急联系人。
Yeoh表示,目前没有证据表明信用卡信息或银行账户号码等财务信息遭到泄露,但调查仍在进行中。
Genea在北领地以外的所有州和地区都设有生育诊所。它提供基因检测、卵子和精子冷冻、生育测试和包括IVF在内的治疗。
Genea在其网站上的一份声明中表示:“我们获得这项禁令是我们致力于保护患者、员工和合作伙伴信息的一部分,我们将针对这一事件采取一切合理措施,保护受影响的数据和最脆弱的人群。”
“我们正在与国家网络安全办公室、澳大利亚网络安全中心和其他政府部门会面,讨论这一事件。”
2022年(有数据可查的最新年份),澳大利亚每17个新生儿中就有1个使用了辅助生殖技术。总共进行了108,913个ART治疗周期。
Termite团伙是一个比较新的勒索软件团伙 声称对此次攻击负责的勒索软件团伙Termite相对较新,但他们却是去年多次重大供应链网络攻击的幕后黑手,当前其暗网泄密网站上共发布了16个受害者信息。
网络技术公司博通在去年11月发布的一份备忘录中称,Termite团伙针对了多个国家和行业,包括法国、加拿大、德国、阿曼和美国。这些行业包括政府机构、教育、残疾人支持服务、石油和天然气、水处理和汽车制造业。
博通表示,该勒索软件团伙的作案手法尚不清楚,但勒索软件会加密目标文件,并将受害者引导至暗网网站,商讨如何支付赎金。
目前该勒索软件团伙尚未公开发布赎金请求或威胁进一步泄露Genea数据。
多名患者对此表示担心 Genea因与受影响的患者缺乏沟通而受到批评,这些患者花了数天时间才与当地诊所取得联系以进行紧急医疗咨询。
周一,该公司致信患者警告称,他们的调查显示,个人医疗信息可能已被攻击者访问和窃取。
一位不愿透露姓名的患者称,她感到非常震惊和害怕。
“被盗的信息非常私密且敏感。我觉得我的人身安全可能受到威胁。我对Genea非常生气,” 她说。
“接受生育治疗的人很容易受到伤害,尤其是受到负面心理健康影响。Genea知道这一点,但没有提供任何额外的心理健康护理或资源来帮助他们的患者度过网络攻击。这是疏忽。”
Genea的前病人丽贝卡(Rebecca)表示,她担心自己的身份被盗。
“我对此非常担心。这不是我第一次遭遇数据泄露。几年前,Optus的数据泄露事件也曾让我深受其害,”她说道。
这位来自墨尔本的41岁女子表示,她已经收到了Genea发来的两封电子邮件,但想要了解更多有关泄密程度的信息。
“你给他们提供的病史非常详尽。他们不仅会考虑你和你的伴侣,还会考虑父母和兄弟姐妹的生育能力。”
Genea敦促客户保持警惕 Genea发言人在一份声明中表示,公司正在努力准确了解已发布的数据。
“我们正在紧急调查已发布数据的性质和范围。对于这一最新进展可能引起的任何担忧,我们向患者表示歉意。”
该发言人表示,Genea已获得禁令,禁止进一步传播受影响的数据,并为受事件影响的人们提供支持。
“我们还向澳大利亚信息专员办公室通报了此事的最新进展。”
Genea 表示正在进行进一步调查。
建议Genea患者对身份盗窃或欺诈保持警惕,并对可疑的电子邮件、短信或电话,或任何可能来自他们不认识的人或组织联系您的尝试保持警惕。
Genea患者可以拨打 1800 595 160 联系 [email protected] 和政府的 IDCare 计划。
澳大利亚国家网络安全协调员米歇尔·麦吉尼斯表示,她对最新事态发展深感担忧。
“我正在协调澳大利亚政府对影响Genea的网络事件的整个响应。作为这项工作的一部分,我直接与Genea会面,以帮助他们充分利用澳大利亚政府的资源来应对这一事件,”她在一份声明中说道。
“任何人都不应该从暗网获取被盗的敏感信息或个人信息——不要去寻找数据。这只会助长网络犯罪分子的商业模式。”
Tor网络是使用最广泛的匿名网络之一,可确保用户的浏览活动安全且私密。Tor网络是可以使用Tor工具或者Tor浏览器进行访问的网络,Tor项目维护的开源软件允许用户通过多层加密和志愿者操作的中继网络路由流量,从而以高水平的匿名性浏览互联网。Tor号称为自由而战。在本文中,我们将深入探讨Tor的工作原理、用途及其优缺点。
Tor是什么? Tor网络旨在通过隐藏用户的在线身份来保护用户的隐私。通过由志愿者中继器组成的分布式网络路由网络流量,Tor几乎不可能追踪到互联网活动的来源。每次使用Tor时,用户的互联网流量都会经过多层加密(就像洋葱的层层包裹的结构一样),并通过一组随机中继器传递,从而掩盖用户的IP地址和位置。这种方法可以防止网站、ISP和其他实体跟踪用户的浏览行为或识别用户的身份。
Tor如何工作? Tor采用一种称为洋葱路由的技术。使用Tor时,用户的数据在通过一系列随机选择的中继发送之前会被多次加密。每个中继都会解密一层加密。这确保没有任何一个中继同时知道数据的发送者和接收者。最后一个中继(称为出口节点)会解密最后一层加密并将数据转发到目的地。这种分层加密方法使任何人都很难追踪用户的在线活动。
Tor网络中节点的作用 Tor保持匿名的有效性来自其节点网络。这些节点是由志愿者捐助、控制并操作的服务器,通过多层加密中继用户的数据。Tor网络中有三种主要类型的节点:
守卫(入口)节点:用户的流量遇到的第一个节点。它知道用户的IP地址,但不知道用户正在访问哪个网站。它的工作是将用户的流量转发到链中的下一个节点。 中间节点:中间节点将加密数据从入口节点中继到出口节点。它不知道数据来自哪里,也不知道数据要去哪里,从而增加了额外的安全层。 出口节点:解密最后一层加密并将数据发送到目的地的最终节点。出口节点可以看到未加密的数据,但无法追溯到原始发送者。 每个节点只知道其直接邻居,确保没有一个节点可以识别数据的来源和目的地。这种结构为用户提供了强大的隐私保护。 节点多样性和随机化的重要性 为了确保最大程度的隐私,Tor会随机选择用户的数据在网络中的传输路径。这种随机化至关重要,因为它可以防止攻击者监控多个中继并推断出模式或根据他们观察到的流量识别用户。
Tor通过使用多种中继器来加强其隐私保护。由于中继器位于不同的国家和地区,因此任何一方(如政府或ISP)都难以监控通过网络的流量。
Tor网桥:保护隐私 Tor在保护隐私方面非常有效,但一些政府和组织使用深度数据包检测和其他方法来阻止对Tor网络的访问。在这种情况下,可以使用Tor网桥来绕过这些限制。
Tor网桥是未公开的入口节点,可帮助用户连接到Tor网络,即使他们的访问受到限制或阻止。这些网桥在互联网受到严格审查的地区尤其有用。这允许用户继续访问Tor网络并保持隐私。
当数据离开Tor网络时会发生什么? 用户的数据通过出口节点离开Tor网络后,将被发送到开放互联网,接收方网站或服务可以看到未加密形式的数据(除非用户使用HTTPS等加密连接)。虽然这听起来像是一个潜在的漏洞,但Tor网络的分层加密可确保出口节点无法通过数据追溯到用户。这是一种权衡,它允许用户访问更广泛的互联网,同时在出口点之前仍保护他们的身份。
Tor的主要用途 Tor有多种用途,但主要有以下几个主要用途:
匿名和隐私: Tor主要用于保护隐私。它隐藏用户的IP地址并通过多个中继路由流量。这使得第三方很难跟踪用户的在线活动。
绕过审查: 受限制或严格审查地区的人们使用Tor访问被政府过滤器或ISP屏蔽的网站和在线服务。Tor让他们能够绕过审查,自由访问开放的互联网。
访问暗网: Tor最广为人知的功能之一是它能够访问暗网。这是互联网中传统搜索引擎无法索引的部分。暗网上的一些内容是非法的。然而,它也托管合法的网站,供记者、活动家和告密者进行安全通信。
Tor是否合法使用? 是的,使用Tor完全合法。但是,由于Tor经常与访问暗网联系在一起,因此有些人错误地认为使用Tor是可疑的。实际上,许多合法个人和组织都在使用Tor。其中包括记者、人权活动家以及那些希望保护自己在线隐私的人。区分工具本身(Tor)和某些用户在使用它时从事的是什么活动非常重要。
Tor的节点为何重要? Tor网络的优势在于其分层加密方法和由志愿者运营的去中心化节点基础设施。入口、中间和出口节点的设计以及网络的随机路由机制使得任何单个实体都难以跟踪用户的活动。虽然Tor也存在一些挑战(例如速度较慢或出口节点存在漏洞),但它仍然是确保在线隐私和匿名性的最佳工具之一。
通过了解Tor的工作原理(包括节点和洋葱服务的作用),用户可以就何时以及如何使用Tor做出明智的决定。
鉴于在线监控越来越普遍,使用Tor可以帮助用户保护用户的隐私并保护用户的个人数据。
如果用户想帮助改善Tor网络,请考虑使用Snowflake或者WebTunnel。这是一种支持网络并允许受审查地区的用户安全连接的简单方法。
根据美国司法部的消息,一名密歇根州男子因涉嫌从现已关闭的暗网犯罪市场Genesis Market购买近2500个被盗登录凭证而被起诉,罪名包括电信欺诈和严重身份盗窃。美国代理检察官丽莎·柯克帕特里克宣布了这些指控。
根据法庭文件,大约从2020年2月到2020年11月,29岁的安德鲁·申科斯基(Andrew Shenkosky)在明尼苏达州居住期间,策划并实施了一项诈骗计划,通过虚假借口诈骗并获取金钱。申科斯基通过从暗网市场Genesis Market购买和访问被盗账户信息来实现他的计划,Genesis Market是一个非法暗网市场,该非法市场出售从世界各地受恶意软件感染的计算机获取的登录凭据,最终于2023年4月左右被联邦调查局取缔。
几个月前, 布法罗警方的一名侦探也因涉嫌从Genesis Market购买被盗凭证而被起诉。
暗网市场Genesis Market的运作方式 暗网市场Genesis Market自2018年起开始活跃,为网络犯罪分子提供了大量被盗凭证的访问权限,使他们能够绕过反欺诈措施。
Genesis Market从全球各地受害者受恶意软件感染的计算机中收集了数十万个被盗登录凭据,包括手机号码、电子邮件地址、用户名和密码,并将这些被盗信息在暗网上出售。
“暗网下/AWX”多次报道,2023年4月,在国际执法部门的打击行动中,Genesis Market的明网域名被扣押,120人被捕。此后,Genesis Market的管理人员试图继续运营该市场,尝试让它在暗网上保持活跃,但Genesis Market最终被彻底关闭。
申科斯基已经涉嫌犯罪 本站(anwangxia.com)从法庭文件获悉,申科斯基使用其中一名受害者的名义欺诈性创建的加密货币Coinbase账户购买了Genesis Market的邀请码。为了实施他的计划,申科斯基在Genesis Market购买了2468个被盗的受害者凭证。申科斯基随后利用被盗数据在未经另一名受害者知情或授权的情况下从其银行账户中非法提款,并将资金转移到他个人控制的PayPal账户。
此外,他还试图在Raid Forums网络犯罪市场上提供并试图出售受害者被盗的部分账户数据,而Raid Forums市场在2022年被警方摧毁。
2025年1月,大陪审团以多项罪名起诉了申科斯基,指控他犯有三项电信欺诈罪、一项严重身份盗窃罪、一项持有未经授权的访问设备罪和一项贩卖计算机访问信息罪。
2025年2月11日,申科斯基首次在美国密歇根州东区地方法院的治安法官伊丽莎白·斯塔福德面前出庭,他的提审听证会定于2025年2月25日在明尼苏达州地区法院举行。
该案件由美国助理检察官本杰明·贝贾尔(Benjamin Bejar)和罗伯特·刘易斯(Robert Lewis)起诉,并由联邦调查局网络犯罪部门和联邦调查局明尼阿波利斯和底特律外地办事处进行调查。
在早些年,信用卡欺诈论坛是网络犯罪最活跃的聚集地,向任何有钱人出售打包的被盗信用卡数据。但那只是过去的事情了,现在出现的最多的是在暗网上发现被盗密码和账户凭证、钓鱼漏洞工具包和恶意软件即服务平台等交易。
但这并不是说信用卡欺诈已经消失,“暗网下/AWX”近日获悉,一个名为B1ack’s Stash的暗网论坛刚刚免费赠送了100多万张被盗信用卡。专家推测,B1ack’s Stash论坛将免费发放卡片作为一种营销策略,决定发放免费样品旨在吸引新客户并在网络犯罪生态系统中获得知名度。
暗网论坛上免费发放被盗信用卡 D3Lab威胁情报主管Andrea Draghetti在2月21日发布的一份报告中透露,一家名为B1ack’s Stash的知名非法暗网市场和信用卡欺诈网站向其用户免费赠送了超过100万张被盗信用卡。该论坛管理员在一篇主题帖中宣布了本次数据泄露事件,声称泄露了一批由400万张免费信用卡组成的数据。
2月19日,暗网论坛B1ack’s Stash上发布了“包含超过100万张独特信用卡和借记卡的大量敏感数据”,实际上传了6个档案,共包含1,018,014张信用卡数据,其中,192,174张由欧洲金融机构发行。
据了解,这些信用卡数据包括高度敏感的信息,例如相关信用卡的主PAN(主账号)、到期日期、信用卡验证值CVV2以及安全码。但这还不是全部;还有持卡人的详细信息,例如他们的全名、地址、出生日期和电话号码以及电子邮件地址。该数据包含了几乎所有进行信用卡欺诈或针对持卡人发起网络钓鱼攻击所需的信息。
信用卡信息被盗用并被用作营销工具 “分析表明,这些数据很可能是使用网络窃取技术窃取的,”Draghetti表示,“这种方法涉及将恶意JavaScript代码插入受感染的电子商务支付页面,实时拦截用户输入的敏感数据。”被盗卡本身按类型(信用卡或借记卡)进行组织,并根据发卡银行和原产国进行进一步索引。“转储还包括磁条数据,允许犯罪分子创建物理卡克隆,”Draghetti警告说。
报告总结道:“网络盗窃仍然是电子商务平台和信用卡持有者面临的最普遍的威胁之一。”
这并不是犯罪企业第一次以这种方式传播被盗数据。“暗网下/AWX”曾经报道,被盗信用卡交易网站BidenCash之前曾使用过此类促销活动,向更广泛的犯罪受众推广该暗网市场。
因此人们普遍认为,这次发布信用卡数据,是为了吸引新用户加入B1ack’s Stash犯罪论坛。“在最初的免费发布之后,”Draghetti说,“还有更多的信用卡可供购买,每张售价通常约为25美元。”
地下信用卡交易市场正在茁壮发展 地下信用卡交易市场是网络犯罪生态系统的重要组成部分,它们为支付卡数据的买卖提供便利。曾经最受欢迎的信用卡交易网站之一是Joker Stash,其运营者选择于2021年2月退休,关闭了服务器并销毁了备份。报道称,Joker Stash的管理员通过其犯罪活动积累了价值10亿美元的比特币。
其后,信用卡欺诈网站如”Ferum Shop“、”UAS“和”Trump Dump“等在地下暗网市场中逐渐流行起来。
“BidenCash”于2022年4月推出,被认为是一家低调的信用卡商店。本站(anwangxia.com)多次报道,其运营者定期免费发布新鲜转储和促销批次的能力迅速提高了它的知名度。
2022年6月, BidenCash在一个网络犯罪论坛上发布了2019年至2022年期间超过790万张支付卡数据。然而,这些数据仅包含6581条泄露信用卡号的记录。
据美国哥伦比亚特区检察官办公室发布的新闻稿称,一对拉斯维加斯夫妇因参与“长期复杂的贩毒阴谋”而在全国范围内分销“药品级”麻醉药丸,将被判入联邦监狱。
消息称,内华达州拉斯维加斯的两名嫌疑人,现年47岁的鲁尚·拉瓦尔·里德(Rushan Lavar Reed)和28 岁的塞莱斯特·尼科尔·里德(Celeste Nicole Reed),近日被美国地方法院判处51个月和37个月的联邦监禁,罪名是参与长期复杂的贩毒阴谋,在7个在线暗网市场非法分销“药房级而非自制压制药丸”。法官还命令这对夫妇在服刑后接受三年的监督释放。
宣布判决的人员包括美国检察官爱德华·R·马丁(Edward R. Martin)、美国邮政检查局华盛顿分局主管督察达蒙·E·伍德(Damon E. Wood)、美国邮政检查局菲尼克斯分局主管督察格伦·亨德森(Glen Henderson)、联邦调查局拉斯维加斯办事处代理特别探员杰里米·施瓦茨(Jeremy Schwartz)以及联邦调查局华盛顿分局刑事和网络分局特别主管肖恩·瑞安(Sean Ryan)宣布了上述判决。
新闻稿称,这两名嫌疑人使用化名“DoubleR”和“Calileone”,在7个网上暗网市场上贩卖羟可酮、氢可酮、安非他明以及其他毒品,并使用加密货币洗钱,以使贩毒活动难以追踪。
2024年10月22日,Rushan Reed(化名“DoubleR”)和Celeste Reed(化名“Calileone”)对合谋贩卖羟可酮、氢可酮和安非他明的罪名供认不讳。除了监禁之外,美国地方法院法官卡尔·尼科尔斯(Carl J. Nichols)还命令这对夫妇接受三年的监督释放。
根据法庭文件,这对夫妇经营了一家名为“MrsFeelGood”的暗网商店(作为暗网交易市场的供应商)长达六年,在美国各地(包括哥伦比亚特区)非法分销各种毒品。他们使用的暗网市场包括Monopoly、Versus、ASAP、AlphaBay、Wall Street、Archetyp、Bohemia、Empire、Dream和White House。除了羟考酮、氢可酮和安非他明外,他们还销售和分销MDMA、可待因、Vyvanse、Dilaudid和大麻。在暗网上运营使里德夫妇能够隐藏身份、隐藏计算机位置并隐藏非法销售。此外,他们使用加密货币洗钱,以便难以追踪贩毒的非法收益。
2023年10月11日,执法部门在这对夫妇位于拉斯维加斯的家中执行了逮捕令,逮捕了他们两人。警察发现了以下物品:处方药瓶中的多粒药丸、包装材料;手套;黑色密封袋;以及写有被告和其他未受指控的同谋者姓名的空处方药瓶。警察还发现了各种电子设备和一把AR-15枪支。这台笔记本电脑被设置为使用旨在访问暗网并防止监视的操作系统。
该案件由联邦调查局华盛顿外地办事处、联邦调查局拉斯维加斯外地办事处、美国情报局华盛顿分部和美国情报局菲尼克斯分部负责调查。
该案件由美国助理检察官彼得·罗曼(Peter V. Roman)负责起诉,并得到了美国特别助理检察官伊莎贝尔·孙(Isabelle Sun)、前美国特别助理检察官加里·克罗斯比(Gary Crosby)和前美国助理检察官安迪·王(Andy Wang)的宝贵协助。
Dread是暗网最大的英文论坛,也是暗网最大最活跃的论坛,也是暗网存活时间较长的论坛。2月15日,Dread管理员HugBunter发布带有PGP签名的公告,庆祝Dread论坛的7周岁生日。
“暗网下/AWX”多次介绍,Dread是一个类似Reddit的暗网论坛,主要发布有关暗网市场的新闻和讨论。该暗网论坛由HugBunter于2018年初开发,并于2018年2月15日推出,长期以来,该论坛有2名管理员,分别使用化名Paris和HugBunter。Dread论坛参考Reddit样式进行开发,并在开发时充分考虑了隐私性和可用性。任何用户都可以申请创建自己的子版块,从而成为版主;版主控制允许发布哪些类型的帖子,如果他们认为用户违反了规则,他们可以禁止他们访问自己的版块。
Dread论坛的暗网V3地址是:
http://dreadytofatroptsdj6io7l3xptbet6onoyno2yv7jicoxknyazubrad.onion
HugBunter发布的公告标题为“Dread生日快乐!整整七年!”,在公告中,该管理员表示,简直不敢相信,7年过去了,Dread仍然坚挺地站在这里。从他开发的一个小项目开始,Dread论坛成为了有史以来最大的暗网论坛,虽然前几年Dread经历了重重困难,但依旧能继续为暗网社区提供重要的服务。
HugBunter在公告中感谢所有Dread的工作人员、子论坛版主和用户,称是大家的支持让Dread论坛在每年面临最困难的问题时仍能保持正常运转。
HugBunter称,这篇公告写得很短,因为他比较忙,本来有很多计划要完成,但被本周的服务器问题和其他事情耽搁了。HugBunter请大家拭目以待,表示接下来会有很多令人兴奋的事情发生,这些事情将极大地改善这个平台,这将是其多年来所做的最大一次更新,将涵盖大家所关心的很多问题,对论坛质量的改善将是巨大的。
HugBunter最后再次感谢所有人的努力,让这个平台有了今天,感谢用户一直以来的支持,并提醒大家“注意安全”!
Dread论坛深受暗网网民欢迎最大的原因是Tor网络的匿名性,许多热门子版块都涉及非法或其他有争议的话题,网络犯罪分子确实会在某些子版块中讨论他们的活动。但Dread论坛其实也有许多无害的子版块,比如关于如何从事金融投资的子版块,还比如关于流行视频游戏的子版块。正如本站(anwangxia.com)总结,Dread暗网论坛是一个基于Tor网络的真正言论自由的平台。
HugBunter在公告中提到的重重困难,大概是指,在2022年到2023年期间,网络黑客利用Tor协议漏洞,针对Dread论坛和其他暗网市场发起了大规模拒绝服务攻击(DDoS),当时“暗网下/AWX”持续进行了跟进,并多次报道了Dread论坛的关站以及升级防护的措施直至成功回归。Dread论坛经过重新开发,变得更加稳定,主界面和UI完全重新设计,提供了更大的灵活性,于是深受暗网用户的欢迎。
在公告的回复中,许多用户都在庆祝Dread的7周岁生日,祝福Dread可以继续服务更多年,同时感谢管理员Paris和HugBunter的努力,希望再接再厉。对于Dread未来的发展,“暗网下/AWX”将继续关注。
更多暗网新闻动态,请关注“暗网下/AWX”。
尽管本站(anwangxia.com)在2024年底再再再次曝光了中文暗网里最恶名昭彰的诈骗网站——“华人自己的暗网担保交易市场”,然而在春节期间又又又有数人被其诈骗。经“暗网下/AWX”再次确认,该暗网诈骗网站最新使用了蛇年春节的新话术,于是又成功诈骗了多起。
多年来,针对该诈骗网站,“暗网下/AWX”已经曝光过8次,该暗网诈骗网站的曾用名是:“正版中文担保交易市场”,后由于被本站多次曝光,改成新名称:“华人自己的暗网担保交易市场”。
诈骗网站“华人自己的暗网担保交易市场”近期没有更换域名,依旧使用上次本站曝光的暗网V3域名:
http://ttal23727crynfjdxjhdcrxbeu7m4iup545fmvhf4pzquxleuzqu5did.onion
“暗网下/AWX”曾多次预警,该暗网诈骗网站的提供的所有品目:“百万美元(视频认证)”、“支付宝安全转账”、“英国一手卡料出售CVV”、“超低价格卖BTC钱包”、“IPHONE手机低价批发店”、“华为系列产品专卖店”等等都是管理员自己添加的虚假商品,所有项目都是假的,所有的商品评价也都是管理员自己添加的,均是假的。只有傻乎傻乎相信该诈骗网站的受害者才是真的,一旦转了账,BTC不可能被追回来。
网友“Sim Haha”在“暗网下/AWX”的官方Telegram群组里询问该网站是否是假的,并表示已经充了30USD交了学费,幻想其会发货,立即有热心群友告诉他这是诈骗网站,已经存在好多年了。此外,有网友“Rich Man”在Facebook中咨询,被“华人自己的暗网担保交易市场”诈骗了,是否可以把钱追回来。
在这里,“暗网下/AWX”再次明确一下,骗子是不可能主动退钱的,哪怕被警方逮捕,因此转出的钱没有找回。但是,可以通过向API接口提供方进行举报的方法来举报该骗子,骗子使用了两个网站的收款接口服务:Blockonomics、Coinbase。
为什么该诈骗网站从元旦到过年期间的成功率比较高?
网友们在群里称,该网站近期的话术又有了新的升级。骗子添加了时间从2024年12月22日到2025年1月10日的一系列话术:“第一场群聊会情况展示”、“卖家在线群聊会第2场(支付宝转账alitransfer)”、“卖家在线群聊会第2期截图展示”、“卖家群聊会第3场(Btc高价收购Btcbuyer)”、“第4场群聊会(3天赚15%BTC的oakmont)”、“群聊会第4场截图展示”、“群聊会第5场Iphonesale(iphone批发店)”、“卖家群聊会第6场(BTC交易所转账nikoqian)”,非常逼真的8篇话术,让受害者以为这是官方搞的真实活动,增加了信任度。
骗子精心设计了虚假的聊天截图,明眼人看来一眼识别出诈骗,这么粗陋的手法却蒙蔽了很多人的双眼:
并且过年前,该诈骗网站又换上了“蛇年大吉”的丑陋Banner,并推出了蛇年春节活动的话术:“蛇年春节回馈活动”,内容为:
又是新的一年,大家所期待的优惠活动开始咯!
具体方案:
1、活动期间:见到本文字起-2025年2月12日24:00(北京时间)
2、凡在活动期间累计交易金额达到3000美元(含)以上者,(不论新老用户均可,平台内所有交易均可)获得活动期间内累计交易金额的6%的现金返现,活动结束后3日内打入平台钱包内,请满足条件的用户在2月25日24点前编辑交易记录的文字发送到站内邮箱admincn即可,我们会进行统计。
3、新用户交易红包:凡在活动期间内单次交易达到2500美元以上的新用户,将获得188美元返现红包一个,发放方式同上。新用户是指在2024年11月20日以后注册的用户,无论本活动之前是否有交易记录。老用户禁止参加此项活动,如发现有老用户新注册账号冒充新用户参与,将受到停止交易一个月的处罚。本活动与上一条活动可同时参与。
4、老用户红包:凡在2024年6月以后交易笔数达到5次以上者, 且活动期间内再有任意一笔超过500美元的交易,均可获得368美元的红包。发放方式同上。与第2条活动可同时参与。
5、本次新春活动与幸运大转盘优惠可叠加。
6、本站春节无休,网站24小时一直都会有人值班,商铺如果不营业的卖家会写出说明,没有说明的就是正常营业。根据目前卖家的回馈及往年的情况,所有店铺都将持续营业。
以上两个活动交相呼应,于是上当受骗的小白越来越多。针对该诈骗网站的曝光仍将继续,“暗网下/AWX”还将研究其引流的路径,正确为更多暗网小白挽回损失。
更多暗网新闻动态,请关注“暗网下/AWX”。
近日,持续威胁暴露管理公司Searchlight Cyber发布了其关于暗网勒索软件趋势的年度报告《同样的游戏,新的玩家:2025年的勒索软件》。Searchlight Cyber是暗网情报行业的知名企业,其研究具有很强的指导意义,该年度报告追踪了勒索软件领域“主要参与者”遭受的重大破坏、暗网上新勒索软件团体的增加以及列出的勒索软件受害者的增加。
Searchlight Cyber的研究报告对2024年勒索软件的发展进行了总结,主要发现包括:
2024年共有94个勒索软件团伙列出受害者(比2023年增加38%),其中观察到49个新团伙,这反映出勒索软件形势进一步复杂化。 2024年勒索软件团伙的暗网泄密网站上发布的受害者总数(5728)与2023年(5081)相比增加了11%。 去年,欧盟和英国等国家地区执法部门领导的“克罗诺斯行动”(“暗网下/AWX“曾报道,国际联合执法严重打击了LockBit勒索软件团伙),导致LockBit的受害者产量减半,LockBit的受害者数量在2024年下降到494个,不到2023年的一半。此后RansomHub已取代LockBit成为头号勒索软件团伙,其在2024年发布了611名受害者。
报告显示,2024年最活跃的五个勒索软件团伙分别是RansomHub、LockBit、Play、Akira和Hunters International,这代表了勒索软件格局的重大变化。在这五个团伙中,只有LockBit活跃了三年以上,而今年最活跃的团伙RansomHub于2024年2月才出现。与此同时,BlackCat和Cl0p等主要团伙(2023年分别排名第二和第三)跌出了排名。
该报告包含五大勒索软件团伙的概况,以及对过去12个月勒索软件等级变化的分析。例如,RansomHub可能是一个新的勒索软件“品牌”,但实际上它与Knight、BlackCat和LockBit等其他勒索软件团伙有联系。这种勒索血统,加上其“联盟友好型”勒索软件即服务(RaaS)模式,或许可以解释它为何如此迅速地崛起。
过去一年中观察到的另一个显著变化是出现了具有政治动机的团伙,这些黑客组织除了采用网络钓鱼、篡改和部署恶意软件等常用方法外,还将勒索软件作为一种新战术。
报告称,这一新趋势模糊了网络犯罪和网络战争之间的界限,要求企业在威胁评估中考虑另一个维度。现在,除了监控出于经济动机的行为者之外,安全团队可能还需要扩大他们的对手名单,将那些可能出于意识形态原因而针对他们的行为者也纳入其中。
Searchlight Cyber威胁情报主管Luke Donovan表示:
这份报告的主要结论是,我们将在2025年迎来一个更加繁忙和复杂的勒索软件生态系统。虽然我们观察到一些最大的勒索软件团体受到干扰,但一些较小的参与者也纷纷涌入,这给不断尝试评估和准备应对新兴威胁的安全团队带来了挑战。
在这个日益繁忙的环境中,企业积极应用威胁情报来指导防御变得更加重要。首先,找出这些团伙运作方式的共同点,并为最常见的攻击技术做好准备。其次,根据他们的活动和受害者情况,帮助他们将对手缩小到他们最有可能面对的四五个团伙。
根据欧洲刑警组织的公告,FBI、NCA以及欧洲刑警组织已经查封与8Base勒索软件团伙有关的暗网数据泄露和谈判网站,逮捕4名嫌疑人。
现在,访问勒索软件团伙8Base的暗网泄密网站,会看到一条扣押横幅,上面写着:“巴伐利亚州刑事警察局已受班贝格总检察长办公室委托,查封了该暗网网站及犯罪内容。”扣押横幅上还印有美国联邦调查局、英国国家犯罪局以及德国、捷克共和国和瑞士等国联邦警察机构的徽标。
通过此次行动,执法部门还向全球400多家公司发出了正在发生或即将发生的勒索软件攻击的警告。此次行动也凸显了国际执法机构坚决打击网络犯罪以及暗网犯罪的决心,两周前,臭名昭著的网络犯罪和黑客论坛Cracked与Nulled的管理员被警方逮捕,去年8月,FBI查封了勒索软件团伙Radar/Dispossessor的服务器及域名。
4名犯罪嫌疑人在泰国普吉岛被逮捕 据泰国媒体报道,此次逮捕行动在泰国普吉岛进行,目标是疑似是Phobos勒索软件团伙成员,该恶意软件家族与8Base的运营有关。
周一,四名勒索软件团伙的头目(两男两女)在四个不同地点被捕,这些头目均为俄罗斯公民,他们涉嫌部署Phobos勒索软件变种8Base,向欧洲及其他地区的受害者勒索高额款项。这是代号为“Phobos Aetor”行动的一部分。嫌疑人的姓名等身份信息目前尚未公布,但泰国网络犯罪调查局称,瑞士和美国当局已向他们发出了逮捕令。
泰国警方表示,警方在普吉岛的四个地点进行了突袭,并补充说,嫌疑人目前面临美国多项电信欺诈和共谋指控。据泰国新闻媒体报道,警方还收到了国际刑警组织的逮捕令,这四人被指控对17家瑞士公司进行了网络攻击,并使用加密货币混合服务清洗勒索来的资金。
据称,当局已缴获40多件证据,包括手机、笔记本电脑和数字钱包。与此同时,与犯罪网络相关的27台服务器被关闭。
8Base勒索软件团伙的发展历程 8Base勒索软件团伙于2022年开始活动,最初规模较小,表明其处于发展阶段。到2023年初,该团伙以目前的形式出现,并迅速发展其策略。2023年5月,8Base采用了多重勒索模式,加密数据并威胁除非支付赎金,否则泄露数据。他们还推出了暗网泄密网站,用一个基于Tor网络的受害者博客来发布被盗数据。
到2023年中期,该团伙的活动急剧增加,针对各个行业的团伙,成为主要的双重勒索行为者。据称,该团伙与2023年4月至2024年10月期间针对位于瑞士的17家公司部署Phobos勒索软件有关。此外,该团伙还被指控通过在全球造成1000多名受害者的袭击赚取了1600万美元。
分析师认为,8Base使用的是Phobos勒索软件的修改版本,该版本与多起攻击有关。此前曾被发现将Phobos勒索软件工件纳入其以经济为动机的网络攻击中,VMware的研究发现Phobos样本在加密文件上使用“.8base”文件扩展名。
该团伙的影响是全球性的,美国和巴西也有大量受害者。8Base和RansomHouse之间也存在重叠,特别是在赎金记录和暗网基础设施方面。
此前,针对Phobos勒索软件,警方已逮捕了一系列影响深远的嫌疑人:
2024年6月,Phobos的一名俄罗斯籍管理员(Evgenii Ptitsyn)在韩国被捕,并于同年11月被引渡到美国。他目前因策划勒索软件攻击而面临起诉,这些攻击加密了关键基础设施、业务系统和个人数据以索要赎金。2024年11月,该人被引渡到美国接受与Phobos勒索软件行动相关的指控。 2023年,Phobos的一家主要分支机构根据法国的逮捕令在意大利被捕,这进一步削弱了该勒索软件背后的网络。 Phobos:一种谨慎但高效的勒索软件 Phobos勒索软件于2018年12月首次被发现,是一种长期存在的网络犯罪工具,经常用于对全球企业和组织进行大规模攻击。与针对大型企业的知名勒索软件组织不同,Phobos依赖于对中小型企业进行大规模攻击,而这些企业通常缺乏网络安全防御来保护自己。
它的勒索软件即服务(RaaS)模式让一系列犯罪分子(从个人分支机构到8Base等结构化犯罪集团)都特别容易利用它。该框架的适应性让攻击者能够以最少的技术专业知识定制他们的勒索软件活动,从而进一步助长了其广泛使用。
8Base利用Phobos的基础设施开发了自己的勒索软件变种,利用其加密和交付机制来定制攻击,以达到最大效果。该组织在双重勒索策略方面尤其激进,不仅加密受害者的数据,还威胁要公布被盗信息,除非支付赎金。
欧洲刑警组织的协调作用 由于执法工作横跨多个大洲,欧洲刑警组织在联络调查人员和协调执法行动方面发挥了核心作用。自2019年2月以来,欧洲刑警组织的欧洲网络犯罪中心(EC3)一直为调查提供支持,并:
汇集平行调查的情报,确保针对Phobos和8Base的执法机构能够汇总他们的调查结果,并有效协调逮捕行动。 组织了37场行动会议和技术冲刺,以获得关键调查线索。 提供分析、加密追踪和取证专业知识来,为案件提供支持。 促进位于其总部的联合网络犯罪行动特别工作组(J-CAT)内的情报交换。 通过欧洲刑警组织安全的SIENA网络交换了近600条业务信息,使此案成为EC3的高度优先案件之一。 欧洲司法组织组织了两次专门协调会议,协助跨境司法合作,并对所有相关当局的未决请求提供支持。
这项复杂的国际行动得到了欧洲刑警组织和欧洲司法组织的支持,涉及14个国家的执法机构。目前,已确认参与此次行动的机构包括美国国防部网络犯罪中心、联邦调查局、欧洲刑警团伙、日本国家警察厅、英国国家犯罪局(NCA)、德国巴伐利亚州刑事警察局、联邦警察局和泰国网络犯罪调查局。一些国家专注于调查Phobos,而另一些国家则针对8Base,有几个国家同时参与了这两个行动。
欧洲刑警组织在汇总这些独立调查的情报方面发挥了关键作用,使当局能够通过协调行动,击落两个勒索软件网络的关键参与者。
以下部门参与了调查:
比利时:联邦警察(Federale Politie / Police Fédérale) 捷克:捷克共和国警察(Policie České republiky) 法国:巴黎网络犯罪小组 (Brigade de lutte contre la cybercriminalité de Paris – BL2C)、巴黎法院 – 国家打击有组织犯罪司法管辖区 (Juridiction Nationale de Lutte contre la Crimeité Organisée – JUNALCO) 德国:巴伐利亚州刑事警察局 (Bayerisches Landescriminalamt – LKA Bayern)、巴伐利亚网络犯罪起诉中央办公室 (Generalstaatsanwaltschaft Bamberg – Zentralstelle Cybecrime Bayern) 日本:警察厅(警察庁) 波兰:中央网络犯罪局 (Centralne Biuro Zwalczania Cyberprzestępczości) 罗马尼亚:罗马尼亚警察 (Polişia Română) 新加坡:新加坡警察部队网络犯罪指挥部 西班牙:国民警卫队 瑞典:瑞典警察局(Polisen) 瑞士:瑞士总检察长办公室 (OAG)、联邦警察局 (fedpol) 泰国:网络犯罪调查局(CCIB) 英国:国家犯罪局(NCA) 美国:美国司法部(US DOJ)、联邦调查局(FBI – 巴尔的摩外地办事处)、美国国防部网络犯罪中心(DC3)
近期,美国司法部(DoJ)与国际执法部门合作,打击暗网网络犯罪论坛,并开展了两项行动,捣毁了与全球数百万受害者遭受攻击有关的地下市场。然而,目前尚不清楚这些努力的长期效果如何。
警方捣毁HeartSender网络犯罪市场网络 在第一次行动中,美国司法部与荷兰国家警察局协调,查获了巴基斯坦网络钓鱼团伙HeartSender使用的39个域名和相关服务器。
根据美国司法部1月31日的公告,HeartSender也被称为Saim Raza和Manipulators Team,自2020年开始运营,一直运营在线网络犯罪市场,通过地下网站网络向“跨国有组织犯罪集团”出售黑客和欺诈工具,如网络钓鱼工具包、恶意软件和垃圾邮件服务,购买这些工具的网络犯罪分子则负责全球商业电子邮件入侵(BEC)攻击和其他恶意诈骗。
司法部在声明中表示:“Saim Raza 不仅在开放的互联网上广泛传播这些工具,还通过链接到YouTube上的教学视频来向最终用户介绍如何使用这些恶意程序实施攻击,培训最终用户如何使用这些工具对付受害者,让缺乏技术犯罪专业知识的犯罪分子也能使用这些工具。”“该组织还宣传其工具‘完全无法被反垃圾邮件软件检测到’。”
司法部称,HeartSender仅在美国就给受害者造成了超过300万美元的损失,此外HeartSender还拥有全球数百万被盗的数据。
“cracked[.]io”和“nulled[.]to”暗网论坛被摧毁和消灭 在另一项行动中,美国司法部参与了“Operation Talent”行动,这是一项由欧洲刑警组织支持的国际行动,旨在摧毁Cracked(cracked[.]io)与Nulled(nulled[.]to)论坛。这些论坛与针对至少1700万美国受害者的网络犯罪有关。
在意大利、西班牙、法国、希腊、澳大利亚和罗马尼亚等多个国家的合作下,这项国际执法行动关闭了许多黑客论坛和社区,包括 cracked[.]io、nulled[.]to和其他一些论坛和社区。 这些域名以及sellix[.]io、cracked[.]to、starkRDP[.]io和mySellix[.]io都是在线论坛和社区,主要分享与黑客、破解工具、教程和泄露内容相关的信息。这些平台还讨论破解工具、黑客教程、泄露内容(例如电子书和各种操作系统的应用程序)和特定于编码语言的主题,并且它们还是恶意软件和漏洞等非法产品的市场。
据美国司法部称,Cracked论坛于2018年出现,拥有400万用户以及超过1800万条帖子,收入400万美元,并在其存在期间托管了超过2800万条网络犯罪广告。
正如其名称所示,Cracked论坛上提供的一项服务为用户提供了密码搜索工具,用于查找数百万个帐户和服务的被盗凭据。在一个案例中,据称一名跟踪者在使用该服务侵入纽约州布法罗地区的一名女性的其中一个帐户并获取敏感资料后,对其进行了性勒索和性骚扰。
Cracked论坛的工作人员在其Telegram频道上确认了此次扣押,承认该域名是在“Operation Talent”下被没收的。他们表示不确定此次行动背后的具体原因,并表示正在等待数据中心和域名托管商的官方法庭文件。他们将此次事件描述为“我们社区的悲伤之日”。
与此同时,Nulled网站域名被查封,其管理员之一、现居西班牙的阿根廷人Lucas Sohn也遭指控。Nulled自2016年成立以来,拥有500万用户,每年收入100万美元,并列出了超过4300万条。
美国司法部称,Nulled专门销售被盗登录凭证、被盗身份证件和黑客工具。如果罪名成立,Sohn将因串谋贩卖密码而面临最高5年监禁,因访问设备欺诈而面临最高10年监禁,因身份欺诈而面临最高15年监禁。