2026年1月28日,美国FBI联合佛罗里达南区检察官办公室突袭并查封了俄罗斯暗网论坛RAMP(Russian Anonymous Marketplace,俄罗斯匿名市场)——这个从2021年底开始运营的俄语网络犯罪论坛。它提供Tor隐藏服务(rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd[.]onion)和明网镜像(ramp4u[.]io),可以在暗网与明网同步访问,比很多竞争对手的论坛更容易访问,也因此聚集了全球各地的黑客——从西方的网络犯罪分子到东亚的威胁行为者。
RAMP基于商业论坛软件XenForo 2.2.5搭建,设有出售网络访问权限、恶意软件、勒索软件合作、被盗数据,以及招聘犯罪自由职业者的专门版块。主版块与子版块的版块名称包含俄语、英语、中文,帖子标题也混杂俄语、英语和中文,显示出它的国际化程度。
最近,该暗网论坛的一份完整MySQL数据库泄露给了安全研究人员,其中包含从2021年11月到2024年1月的用户记录、1732个论坛主题帖、7707名注册用户、340333条IP日志记录、1899个私人对话和3875条私信。这份数据像X光一样,照亮了勒索软件生态系统的供应链运作方式。
Comparitech发布的分析报告称:“Comparitech独家获得了RAMP泄露的数据库。完整的MySQL转储文件包含用户记录、论坛帖子、私人消息、IP日志以及管理员活动,时间跨度从2021年11月到2024年1月。”
主要发现如下:
论坛活跃度从2022年第四季度的67个帖子低点激增至2023年第四季度的300个帖子,增幅达348%,表明在执法部门的干扰之后,论坛出现了大幅复苏。 RAMP论坛促成了向包括国防承包商、能源公司、银行、医院和政府机构在内的20多个国家的组织出售企业网络访问权限。 美国是头号目标:在标明国家的列表中,美国出现的比例高达40%。 一位单一的准入经纪人发布了41个不同的主题帖,出售进入企业网络的入口,其中包括一家年收入12亿美元的美国公司以及在南美和乌克兰的政府网络。 14个勒索软件即服务(RaaS)项目积极招募联盟成员,提供高达90%的赎金分成。 政府机构是受影响最大的行业(21家),其次是金融/银行业和科技/电信业(各11家)。 Comparitech表示:“本分析基于 RAMP 论坛 XenForo 安装的 MySQL 数据库转储。我们解析了原始 SQL 语句,从 xf_user(7,707 条记录)、xf_thread(1,732 条记录)、xf_post、xf_ip(340,333 条记录)、xf_admin_log、xf_conversation_master(1,899 条记录)和 xf_conversation_message(3,875 条记录)表中提取了结构化数据。” 分析总结道。“IP 地址从二进制格式解码,并根据已知的 ISP 分配进行地理位置定位。所有结论均基于数据库转储中的数据,尚未通过与实际来源的独立验证。”
访问权限市场:勒索软件攻击的“开门钥匙” RAMP上规模最大的版块就是“访问权限市场”(Access(SSH/RDP/VNC/Shell)),共有333个主题在出售被入侵企业网络的入口权限。这正是勒索软件攻击链的第一环——没有初始访问,就谈不上后续部署恶意软件。
最常见的访问类型是RDP(远程桌面协议),占59个主题帖,其次是VPN访问(22个)和SSH/Webshell(22个)。域管理员(Domain Admin)权限只有12个,但价格最高,因为它能直接控制整个网络。
访问类型分布(部分数据):
RDP:59个(43%),风险等级:致命 VPN(企业网关):22个(16%),致命 SSH/Webshell:22个(16%),高危 域管理员:12个(9%),致命 卖家最爱美国目标,占已明确国家列表的40%。其他热门国家包括欧盟各国、加拿大、巴西、印度、中国等。被针对的行业中,政府机构(含大使馆、军队)最多(21个),其次是金融/银行和技术/电信(各11个)。
真实案例里,一个卖家“inthematrix”一个人发了41个主题帖,其中包括一家年收入12亿美元的美国公司、南美和乌克兰的政府网络。还有韩国一家年收入160亿美元的大型企业、阿联酋电信(13亿美元)、丰田巴西工厂等高价值目标。
2022年初,市场以RDP为主;到2023年底,VPN访问大幅增加。这和2023年爆发的Cisco、Fortinet、Citrix等VPN产品严重漏洞密切相关。卖家“blackod”曾在2023年11月连续发布5个Cisco VPN访问的主题帖,覆盖美、澳、加、英,显示出自动化扫描和批量利用的痕迹。另一个帖子直接提到Pulse Secure的CVE-2019-11510漏洞,说明已知但未及时打补丁的漏洞仍是主要入口。
勒索软件即服务(RaaS):分成最高可达90% RAMP有专门的RaaS版块,60个主题用于招募“affiliate”(附属攻击者)。趋势很明显:早期分成是80/20(附属/运营商),到2023年中已变成90/10——附属攻击者能拿走100万美元赎金中的90万。这种高分成反映了市场对熟练攻击手的激烈争夺。
论坛上共出现14个RaaS项目,包括AvosLocker、Conti、Luna(Rust语言)、Knight 3.0、NoEscape、Bl00dy、KUIPER等。最令人担忧的是破解版构建工具和源代码泄露:LockBit 3.0 Builder、PHOBOS、Zeppelin2等。一旦工具泄露,任何中等水平黑客都能独立发动攻击,不需要加入任何RaaS联盟,也不用分成。
此外,论坛还出售破解版商业渗透测试工具:Cobalt Strike 4.8(合法年费5900美元)、Core Impact 21.3(年费2万美元以上)。这些专业级工具被零成本提供给犯罪分子,进一步降低了入门门槛。
恶意软件超市与犯罪人才市场 恶意软件版块有121个主题帖,涵盖:
漏洞与0-day:22个(SonicWall VPN RCE、Office 0-day、WinRAR RCE等) 加密器/FUD工具:17个 勒索软件:12个 RAT与后门:11个 信息窃取器:10个(LummaC2、Mars Stealer等) 僵尸网络:7个(一个声称能绕过主流加密货币交易所2FA的僵尸网络,售价2.
德国联邦刑事警察局(BKA)近期发布重磅消息,正式公开了长期隐藏在幕后的俄罗斯勒索软件巨头“UNKN”的真实身份。31岁的Daniil Shchukin被指控在2019年至2021年间策划了至少130起针对德国企业的计算机破坏与勒索行动。作为两个暗网勒索软件团伙GandCrab和REvil的灵魂人物,他不仅开创了“双重勒索”(Double Extortion)这一流毒无穷的商业模式,更带领团队在短短几年内敛财数十亿美元。
德国卡尔斯鲁厄检察院(网络犯罪中心)和巴登-符腾堡州刑事警察局称:
丹尼尔·马克西莫维奇·舒金因涉嫌组织多起针对企业、公共机构和其他组织的有组织商业勒索软件勒索案而被国际通缉。至少从2019年初到2021年7月,他与其他同伙领导着全球最大的勒索软件团伙之一——GandCrab/REvil。犯罪分子索要巨额赎金以解密数据并阻止数据泄露。在某些情况下,他们还会大规模入侵数据,并威胁称,如果未支付赎金,就会将数据公之于众。
此次德国警方的“开盒”行动,不仅是法律层面的追责,更是对俄罗斯勒索软件避风港的一次有力反击。虽然Shchukin和同伙Kravchuk目前极有可能仍潜伏在俄罗斯境内,甚至可能受到了某种程度的“默许保护”,但BKA的这份通缉令意味着他们已彻底失去了在全球范围内洗钱和出行的自由。
UNKN是一位现年31岁的俄罗斯黑客,也是双重勒索的鼻祖 在网络安全界,“UNKN”(也称Unknown)曾是一个令人闻风丧胆的代号。他是俄罗斯勒索软件生态系统中最具影响力的核心人物之一。然而,根据BKA官方通缉页面披露的细节,这位曾不可一世的黑客真名叫作Daniil Maksimovich Shchukin(丹尼尔·马克西莫维奇·舒金),现年31岁。
德国警方调查发现,Shchukin与其43岁的同伙乌克兰裔俄罗斯公民Anatoly Sergeevitsch Kravchuk,在2019年到2021年这三年的黄金作案期内,犯有130项有组织商业勒索罪,通过精心设计的网络攻击,仅通过25起案件就直接敲诈了近200万欧元的赎金。但这只是“冰山一角”,据BKA估算,仅在德国境内,他们造成的直接经济损失就超过了3540万欧元,受害者涵盖了大量中型企业和公共机构。
如果要问Shchukin对勒索行业最大的“贡献”是什么,那无疑是他首创的“双重勒索”策略。
在早期的勒索软件时代,黑客只是单纯加密受害者的文件,受害者付钱拿密钥。但随着备份技术的普及,很多企业选择拒绝交钱。而UNKN领导的团队改变了逻辑:在加密之前,他们会先利用脚本静默窃取受害者的机密数据(Exfiltration)。
这意味着,即使你有备份,如果你不付钱,他们就会在名为“HappyBlog”的泄露站点上公开你的商业秘密和员工个人隐私。这种“不交钱就社死”的手段,直接将勒索的成功率提升到了一个新的维度。
勒索从未停歇,从GandCrab过渡到REvil 暗网勒索软件团伙GandCrab最早于2018年初出现,最初通过包含恶意附件的垃圾邮件传播。GandCrab在2019年宣布“金盆洗手”时,曾嚣张地宣称他们已经勒索了超过20亿美元。但这只不过是一次拙劣的品牌重塑(Rebranding)。
GandCrab消失后不久,REvil(又名Sodinokibi)便以几乎相同的底层代码架构高调亮相。REvil迅速成为全球最具攻击性的勒索软件组织之一,并在2021年被瓦解。其受害者包括Lady Gaga的律师事务所、美国总统唐纳德·特朗普等知名人士以及美国软件提供商Kaseya等大型公司。
Shchukin被认为是这两个组织的共同头目。他通过RaaS(Ransomware-as-a-Service,勒索软件即服务)模式,将网络攻击规模化。他提供恶意软件平台,招募全球的“盟友”(Affiliates)去入侵企业,最后双方按比例瓜分赃款。这种模式直接降低了技术门槛,导致2020年左右全球勒索攻击频率呈指数级上升。
从2019年至2021年那段疯狂的时期,这两人利用复杂的混淆技术(Obfuscation)和加密货币洗钱网络躲避追踪。2022年,俄罗斯联邦安全局(FSB)宣布逮捕了14名涉嫌REvil成员,但此案的法律程序进展缓慢。仅有8名嫌疑人在莫斯科出庭,面临与非法金融交易相关的指控,而庭审也多次延期。2024年,Sodinokibi/REvil的关联黑客24岁的乌克兰公民雅罗斯拉夫·瓦辛斯基(Yaroslav Vasinskyi,又名Rabotnik)因参与7亿美元勒索软件计划而被美国判刑。
如今,随着多国执法机构的协作,这些曾经的数字幽灵正在逐一显形。在此,“暗网下/AWX”告诫勒索软件团伙:在网络安全世界里,没有永远的匿名与隐身。无论使用了多么复杂的代理、VPN或者加密手段,只要在物理世界留下了痕迹,天网恢恢,疏而不漏,正义的审判迟早会到来。
在美国和欧洲执法机构对大型在线数据交易平台LeakBase进行全球执法打击数周后,俄罗斯执法部门逮捕了LeakBase的一名管理员。
俄罗斯内政部周三表示,俄罗斯内务部安全局官员与罗斯托夫州警方合作,逮捕了南部城市塔甘罗格的一名居民,该居民涉嫌创建并运营着一个规模庞大的国际黑客平台。在长达四年的时间里,该平台被用于交易被盗的个人信息数据库。在搜查被拘留者的住所时,查获了电脑设备和其他具有证据价值的物品。
俄罗斯内务部发言人伊琳娜·沃尔克表示:“根据现有信息,该平台托管了数亿条被盗用户记录、银行信息、登录名和密码,以及通过黑客攻击获取的公司文件。超过14.7万名在该论坛注册的用户能够买卖这些数据,甚至利用这些数据对公民实施诈骗。”她补充道:”俄罗斯内务部莫斯科总局侦查总局的一名侦查员已根据俄罗斯刑法第272.1条第3款和第6款立案调查。被告已被还押候审。“
俄罗斯内务部发言人伊琳娜·沃尔克没有透露该平台的名称,但俄罗斯国家通讯社塔斯社援引执法部门消息人士的话称,该平台名为LeakBase。该通讯社的消息人士称,这名被拘留的塔甘罗格居民涉嫌运营“最大的国际黑客平台之一LeakBase”。
俄罗斯联邦司法部公布的视频显示,俄罗斯执法人员在嫌疑人汽车附近将其拘留,并在一个车库内对其进行讯问,车库内存放着据称与此次行动有关的电脑硬件。
目前尚不清楚俄罗斯当局是否与西方执法部门协调了此次逮捕行动。在莫斯科于2022年入侵乌克兰后,欧洲刑警组织暂停了与俄罗斯的合作。
LeakBase网络犯罪论坛已运行4年 LeakBase于2021年上线(但直到2023年3月才火起来),是一个基于订阅的网络犯罪数据库交易平台,已成为网络犯罪生态系统中的关键枢纽,专门交易泄露的数据库和包含被信息窃取恶意软件窃取的凭证的“窃取日志”。该论坛以英语公开运营,集市场和讨论功能于一体,允许网络犯罪分子买卖和交换包含被盗凭证、个人信息和其他敏感记录的数据库的权限,一些会员甚至花费数百美元购买了该平台的高级访问权限。
该论坛上发布的许多数据都是通过非法入侵政府系统和美国公司获得的。据欧洲刑警组织称,该论坛的一项内部规则禁止出售或发布与俄罗斯有关的数据。
LeakBase于本月初被查封 3月初,美国联邦调查局查封了网络犯罪论坛LeakBase,此次行动是“泄密行动”(Operation Leak)的一部分,这是一项由欧洲刑警组织协调的国际行动,来自14个国家的执法机构参与其中,全球执法机构开展了协同行动,包括逮捕、搜查住所。据美国当局称,联邦调查局与欧洲合作伙伴合作,在十几个国家对45名嫌疑人实施了100多项执法行动。
此次行动查封了该论坛使用的多个域名,并关闭了位于荷兰和马来西亚等国的托管基础设施。作为打击行动的一部分,当局将该网站的域名重定向到由美国联邦调查局控制的服务器。
欧洲刑警组织通过绘制论坛基础设施图、分析用户活动、跨国关联嫌疑人、受害者和证据,为此次行动提供了支持。位于海牙的欧洲刑警组织总部专家审查了缴获的数据,并生成了调查线索。此次行动在联合网络犯罪行动工作组的框架下进行,同时,联合指挥所负责协调全球行动期间的实时情报共享。
当局查获了LeakBase数据库,使得调查人员得以揭露多名自以为匿名的用户的真实身份。警方还通过犯罪分子常用的网络渠道联系了嫌疑人,明确警告他们网络匿名是有限的。调查人员仍在追踪数字证据,以识别其他犯罪分子。此次行动也凸显了数据泄露事件中被盗数据经常出现在网络犯罪论坛上,并助长诈骗、身份盗窃、账户盗用和网络钓鱼等犯罪活动,从而强调了强密码和多因素身份验证的重要性。
LeakBase管理员被俄罗斯警方锁定 威胁情报研究人员表示,一个使用Chucky、beakdaz、Chuckies和Sqlrip等网络化名的威胁行为者是LeakBase网站背后的管理员。在论坛被关闭后发布的报告中,KELA和TriTrace Investigations将Chucky与一名来自塔甘罗格的33岁男子联系起来。颇具讽刺意味的是,这位“世界最大规模之一”的泄露数据论坛管理员,似乎完全没有考虑过自身的匿名性。
研究人员表示,为了推广这个新论坛,其创建者Chucky亲手发布了已在其他网站上公开的泄露数据。其目的是推广该论坛,并将其打造成黑客的交易平台。自LeakBase成立以来,该论坛共发布了超过1.6万个数据库。
在LeakBase网站被国际执法行动查封几天后,LeakBase恢复了上线,域名为“leakbase[.]bz”,并由DDoS-Guard提供DDoS防护。而DDoS-Guard是一家俄罗斯的防弹(高防护)主机服务提供商,俄罗斯警方可以很容易通过DDoS-Guard或者其他支付方式锁定其管理员。
现在,访问LeakBase网站的用户会看到这样一条消息:“在俄罗斯内务部特别技术事件局的一次特别行动中,LeakBase 论坛已被永久关闭。在计算机信息领域从事非法活动,以及侵犯个人和公民的宪法权利和自由,均将根据俄罗斯法律承担刑事责任。”
情报人员的分析 情报研究人员表示,俄罗斯黑客的首要规则是:“别在俄罗斯境内搞事”。也就是说,别从俄罗斯人那里偷钱——这样俄罗斯联邦安全局(FSB)就不会找你麻烦。LeakBase也不例外。该论坛禁止出售与俄罗斯相关的数据库。
LeakBase的管理员兼创始人使用“Chucky”这个昵称——以此致敬同名恐怖电影系列中那只杀人玩偶。他从未隐瞒自己的国籍:在自己的论坛上,Chucky一直公开使用俄语交流。在LeakBase的联系方式栏中,Chucky留下了他的Telegram账号——@chuckybhf。该账号注册于来自塔甘罗格的33岁阿列克谢·库丘莫夫名下。
阿列克谢·库丘莫夫在网络上留下了大量的数字足迹,其中几乎每一条记录都指向他与Chucky的关联。例如,他的主要邮箱是[email protected]——也就是说,该邮箱既包含他的“黑客”化名,又注册在苹果公司名下。此前,阿列克谢·库丘莫夫曾使用[email protected]这一邮箱。在暗网网站 Doxbin 的用户信息泄露中,该邮箱与用户Beakdaz相关联。这是Chucky的旧昵称,十多年前他正是以此开启了暗网生涯。
库丘莫夫曾多次使用与这些昵称关联的邮箱购买SIM卡、支付主机费用,以及在其他需要提供护照信息的情况下。讽刺的是,Chucky从事泄露数据库的交易——他比任何人都更清楚,在俄罗斯数据泄露是家常便饭。
几年前,库丘莫夫在VK主页的“灵感”一栏中写下了“Darknet”。而通过其“黑客”账号@chuckybhf,库丘莫夫会阅读Telegram频道“塔甘罗格突发事件”的评论。此外,库丘莫夫还利用LeakBase上公开的Skype账号,通过该网站使用俄罗斯Plati卡购买电子游戏。
西方分析师的结论间接证实了阿列克谢·库丘莫夫就是Chucky。他们虽未透露Chucky的真实姓名,但指出了他与昵称Beakdaz的关联,以及可能位于塔甘罗格的所在地。
根据泄露信息显示,库丘莫夫从未出过国。如果他继续保持这种状态,那么这位前LeakBase管理员极有可能不会被捕。
最近发布的一份报告指出,犯罪团伙和黑客组织利用广泛的洗钱活动,这种活动似乎每年都在变得更加复杂,并且越来越多地使用加密货币。
报告显示,多个俄语暗网市场利用西方加密货币交易所转移了巨额资金。2025年1月至9月期间,这些市场转移的资金接近20亿美元。
报告昭示:俄罗斯的暗网经济不仅在赚钱,而且还在帮助克里姆林宫资助混合攻击、规避制裁和破坏全球安全。
价值20亿美元的洗钱通道是什么? 区块链分析公司Global Ledger进行了深入调查。他们发现,俄语暗网交易市场非常活跃。这些俄语暗网市场是贩卖非法商品的地下黑市,他们通过西方加密货币交易所洗钱。短短九个月内,他们就转移了近20亿美元。
反腐专家伊利亚·舒马诺夫(Ilya Shumanov)在报告中重点阐述了这些发现。《内幕新闻》于11月9日发布了这份报告,报告描绘了一幅运转良好的金融机器的图景。
五大加密货币交易所是最大的几家平台,它们分别是MEGA、BlackSprut、Kraken、OMG!OMG! 和 Nova,主导了大部分洗钱活动。
其中有一个平台格外引人注目,Kraken交易所一家就转移了高达13亿美元的资金,超过了总金额的一半。而且,这些资金并非全部流向了同一个地方。
Global Ledger发现,这些资金至少通过20家不同的持牌加密货币交易所进行清洗。这些平台持有超过130项国际运营许可证。这使得它们看起来合法,也帮助犯罪分子逃避监管。
最令人担忧的是其增长速度。这些交易每年都在以20%到25%的速度增长。这不是一个可以轻易解决的小问题。
巨额资金是如何清洗的? 这些人是怎么逃脱惩罚的?他们不会直接汇款,那样太容易追踪了。(报告总结出三种方式:🔸 OTC brokers 🔸 Peer-to-peer transfers 🔸 Mixers/tumblers)
据《内幕》报道,这些网络使用巧妙的手段。他们需要掩盖所有资金的来源。他们主要使用的工具是场外交易(OTC)。经纪人充当买卖双方的中间人,帮助完成大额交易而不引起公众注意。这些网络也严重依赖点对点(P2P)转账。
这种方法允许用户直接相互交易加密货币,绕过了规则繁多的传统交易所系统。此外,他们还使用混币服务(也称为混币器)。这些服务会从多个用户处收集加密货币并混合在一起,然后再将混合后的加密货币发送回用户的新地址。这完全掩盖了追溯原始来源的路径。
这就像从银行抢劫案中拿走一袋现金,然后把它和其他人的一些钱调换过来。到最后,几乎不可能分辨出哪张钞票来自哪里。
整个事件凸显了监管机构面临的巨大挑战。犯罪集团正巧妙地利用这套旨在促进创新的系统,将其转化为掩盖非法所得的武器。
加密货币已经成为破坏和间谍活动的工具 这些不法分子并非仅仅利用加密货币来洗钱,他们还将其用作破坏和间谍活动的工具。
波兰国家安全局局长斯瓦沃米尔·岑茨凯维奇称,俄罗斯一直在使用加密货币向参与欧盟各地破坏活动的犯罪分子提供资金或者支付报酬,包括支付间谍网络费用、向特工输送资金等等。加密货币使得情报机构更难追踪资金流向。
这些案件反映了暗网网络利用加密货币(主要是匿名加密货币,例如门罗币)逍遥法外的更广泛趋势。最近一次全球范围的联合执法行动就鲜明地印证了这一点,该行动捣毁了一个专门传播儿童色情内容的庞大暗网网络。这充分表明,这些隐秘平台助长了除金融犯罪之外的各种骇人听闻的罪行。
波兰并没有袖手旁观——他们已经通过了新的法律,堵住了任何允许外国势力向其代理人输送加密货币的漏洞。
根据欧洲刑警组织的消息,经过法国警方和巴黎检察官领导的长期调查,与乌克兰同行和欧洲刑警组织密切合作,逮捕了世界上最具影响力的俄语网络犯罪平台之一暗网论坛XSS.is的其中一名主要管理员。
该暗网论坛拥有超过5万名注册用户,是被盗数据、黑客工具和非法服务的主要交易市场,也是俄罗斯三大顶级暗网论坛之一。长期以来,它一直是一些最活跃、最危险的网络犯罪网络的中心平台,用于协调、宣传和招募人员。
此次逮捕于7月22日在乌克兰基辅进行,是一系列协调执法行动的一部分,旨在收集证据和摧毁犯罪基础设施。
犯罪嫌疑人通过网络犯罪赚取数百万美元 该论坛的管理员不仅是一名技术操作员,而且据信在犯罪活动中扮演了核心角色。他作为值得信赖的第三方,仲裁犯罪分子之间的纠纷,并保障交易的安全。据信他还运营着thesecure.biz的jabber服务器,这是一款专为地下网络犯罪分子需求而设计的私人消息服务。
据估计,嫌疑人通过这些服务赚取了超过700万欧元(820万美元)的广告费和手续费。调查人员认为,他活跃于网络犯罪生态系统近20年,多年来与多个主要威胁行为者保持着密切联系。
法国警方持续数年的广泛调查 该调查由法国警方于2021年7月2日启动,2024年9月,案件在乌克兰进入行动阶段,法国警方调查人员被部署到当地,并得到欧洲刑警组织通过建立虚拟指挥所的支持。
经过为期四年的调查,本周又采取了另一项行动,在乌克兰基辅逮捕了主要嫌疑人。
作为调查的一部分,法国警方截获了Jabber服务器(thesecure.biz)上的录音,该服务器附属于XSS.is论坛,以方便网络犯罪分子之间的匿名交流。
欧洲刑警组织提供了协调支持 欧洲刑警组织在整个调查过程中提供了必要的行动和分析支持,促进了法国警方和乌克兰当局之间的信息交流和协调。
欧洲刑警组织还协助绘制了网络犯罪基础设施图谱,并将嫌疑人与其他主要威胁行为者联系起来。这种协作方式确保了快速、有针对性的响应,摧毁了犯罪平台,并阻止了通过该论坛进行的非法活动。
在本周基辅的执法行动中,欧洲刑警组织部署了一个移动办公室,以支持法国和乌克兰团队进行现场协调和证据收集。缴获的数据将进行分析,以支持欧洲及其他地区正在进行的调查。
IOCTA 2025报告强调了被盗数据市场的威胁 此次行动与欧洲刑警组织《2025年互联网有组织犯罪威胁评估》(IOCTA)的结果一致,该评估强调,蓬勃发展的被盗数据黑市是网络犯罪经济的关键驱动因素。
像XSS.is这样的平台使得被盗数据、黑客工具和非法服务的交易和货币化成为可能,从而助长了各种犯罪活动——从勒索软件和欺诈到身份盗窃和敲诈勒索。
IOCTA揭示了此类暗网市场如何通过提供访问、匿名和信任机制来支持网络犯罪分子的运作。
以下部门参与了调查:
法国:巴黎检察官(Parquet de Paris – JUNALCO)、法国警察 – 巴黎警察局(Police française – Préfecture de Police de Paris – Brigade de lutte contre la cybercriminalité) 乌克兰:乌克兰总检察长办公室(Офіс Генерального Прокурора України)、乌克兰安全局 – 网络犯罪部门(Служба безпеки України – Кібердепартамент) 犯罪社区引起轰动,但影响有限 根据X用户@3xp0rtblog的推文,XSS.is论坛社区正在积极讨论这一情况。
不过,版主似乎正在删除所有讨论管理员LARVA-27的内容。版主LARVA-466(Rehub)在 Telegram 聊天中证实了这一点。这样做的目的是压制任何可能将局势变成有新闻价值事件的叙述,并在此过程中“钓”西方人。
不过,虽然XSS[.]is域名显示了查封通知,但备用明网域名xss[.]as、.onion网站(xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid[.]onion)和位于thesecure[.]biz的Jabber服务仍在线运行。
因此目前看来,执法行动逮捕了XSS[.]is的一名管理员,并扣押了XSS[.]is域名,但并没有捣毁其包括服务器在内的基础设施,似乎XSS[.]is并没有被打倒,其在俄罗斯的庇护下依然活着,没有俄罗斯执法机构的配合,也很难完全被摧毁,西方执法机构仍需努力。
波兰政府一名高级官员周二指责俄罗斯试图在暗网上招募波兰人,以影响波兰总统竞选活动。欧盟和北约成员国此前曾警告俄罗斯干预五月中旬选举的危险,但莫斯科一再否认干涉外国选举。
俄罗斯在暗网中高价招募波兰公民 波兰副总理克日什托夫·加夫科夫斯基(Krzysztof Gawkowski)表示,俄罗斯正在寻找愿意在波兰国内影响总统竞选活动的波兰公民,并向他们提供3000-4000欧元(3130-4170美元)来传播包含虚假信息的内容。
加夫科夫斯基表示,招募是通过暗网进行的,暗网是互联网的一部分,只能使用专门的网络浏览器才能访问。他说,波兰自今年年初以来一直在观察此类企图。
加夫科夫斯基对路透社表示:“这些资金来自俄罗斯情报部门格鲁乌(GRU)和俄罗斯联邦安全局(FSB),他们在这里寻找此类内容的赞助人。”格鲁乌和联邦安全局指的是俄罗斯的军事情报部门和联邦安全局。
华沙此前曾警告俄罗斯干预五月中旬选举的危险,但莫斯科一再否认干预外国选举。莫斯科没有立即对加夫科夫斯基的言论发表评论。
波兰称俄罗斯长期对波兰及欧洲各国发动网络战 波兰本月表示,已发现一个俄罗斯组织,该组织的任务是通过虚假信息影响波兰选举并煽动不稳定。
本月初,加夫科夫斯基表示,俄罗斯有一个专门针对波兰的网络部队,没有一个欧盟国家比波兰遭受到俄罗斯的网络攻击更多,2024年1月至10月期间,波兰遭受了超过80000次网络攻击。
华沙表示,华沙是乌克兰抵御俄罗斯入侵的物资供应中心,因此成为俄罗斯及其盟友白俄罗斯间谍以及破坏活动的目标。明斯克和莫斯科否认了有关他们策划破坏活动的指控。
加夫科夫斯基强调,波兰已拨出大量资金用于对抗俄罗斯的网络战,并建立了一个新的特别协调中心,并表示波兰已采取必要措施保护其网络空间。
格鲁吉亚是前苏联加盟共和国,现已独立,因俄罗斯操纵其政治而面临政治危机和社会动荡。去年12月,同为北约和欧盟成员国的罗马尼亚在被指控俄罗斯干预后取消了总统选举,莫斯科否认了这一指控。
波兰推出选举保护计划 加夫科夫斯基周二在华沙的新闻发布会上介绍了“选举保护伞”计划,该计划旨在保护即将举行的总统选举免受外国影响,保护网络空间并打击虚假信息。
他说:“这项名为‘选举伞’的选举保护计划是为了响应国家今天站在民主和宪法秩序一边的事实,旨在保护宪法和选举进程。”
加夫科夫斯基宣布将拨款400万兹罗提用于安全选举网站(bezpiecznewybory.pl),并将额外财政资源用于培训和实施向选举委员会提供信息的程序。
他补充说,该计划将于2月2日开始实施,并将与内部安全局(ABW)的活动相结合。
加夫科夫斯基还表示,该计划将包括免费的域名网络安全扫描和提供有关密码泄露的信息。
“我们将寻求让所有在波兰运营的社交媒体平台都参与到反击虚假信息的行动中来。这意味着在线活动将受到监控,以防止外国干涉,”加夫科夫斯基表示。
俄罗斯一家法院以有组织犯罪和毒品指控判处一名网络犯罪头目终身监禁,俄罗斯国家媒体称他是被捣毁的暗网毒品交易市场九头蛇(Hydra)的创始人。Hydra Market曾是全球最大的非法毒品销售和洗钱暗网市场,两年多前被美德联合执法行动捣毁,其领导人斯坦尼斯拉夫·莫伊谢耶夫被俄罗斯当局判处终身监禁,并处以37,000多美元的罚款。
据俄罗斯国有通讯社塔斯社报道,在莫斯科地区法院的审判后,陪审团认定Hydra创始人斯坦尼斯拉夫·莫伊谢耶夫及其15名同伙“组织犯罪团伙,非法生产和销售精神药物和毒品,包括通过互联网销售”,犯罪时间至少从 2015 年持续到 2018 年 10月。法院判处臭名昭著的Hydra的创始人与负责人终身监禁,其他15名同谋也将被判处多年监禁。
“暗网下/AWX”曾报道,暗网市场Hydra成立于2015年,主要销售非法毒品、被盗信用卡数据、假币和伪造身份证件,该暗网市场拥有1700万个客户账户和19000个供应商账户,这些账户的身份在Tor加密网络的掩盖下从事着各种犯罪行为。
成立后的几年里,Hydra暗网市场蓬勃发展,2022年4月,在德国当局关闭Hydra、控制其服务器并扣押其比特币资产时,Hydra暗网市场2023年处理的交易估值约15亿美元,但是其创始人的身份尚不为公众所知。
联合国《2024年世界毒品报告》称,在2022年4月被捣毁之前,Hydra“占暗网上所有毒品销售的80%至90%”,主要是包括卡西酮在内的合成兴奋剂。
莫斯科地区法院认定莫伊谢耶夫及其15名同伙犯有经营或参与有组织犯罪集团以及制造和贩卖毒品罪。但检察官办公室并未公开将莫伊谢耶夫与“Hydra”组织联系起来。
俄罗斯国家通讯社塔斯社和国际文传电讯社援引匿名执法部门的话称,周一因毒品和有组织犯罪指控被判刑的斯坦尼斯拉夫·莫伊谢耶夫是Hydra的创始人。
俄罗斯总检察院莫斯科分院称,2015年至2018年10月期间,莫伊谢耶夫及其15名同伙在俄罗斯和白俄罗斯经营一个有组织犯罪集团。据检察官称,Hydra暗网市场每年处理的交易价值约为10亿卢布(930万美元)。
斯坦尼斯拉夫·莫伊谢耶夫因经营暗网市场被判处终身监禁,并被处以400万卢布(约合37,500美元)的罚款,与该犯罪集团有关的其他同伙被判处8至23年不等的有期徒刑,并被处以总计1600万卢布(约合150,000美元)的罚款。
检察官办公室称,俄罗斯和白俄罗斯警方在一系列突袭行动中缴获了近一吨非法毒品以及属于该团伙的汽车、房屋和其他资产,看来该团伙活动的证据已经传到了俄罗斯当局手中。当局称,Hydra的供应商将毒品藏匿在预先确定的秘密地点,也就是藏匿处。
据国家媒体报道,“莫斯科地区法院根据陪审团的裁决,对这起刑事案件作出了有罪判决”,判决书中提到了莫伊谢耶夫和其他15人的名字。该团伙被指控生产和贩卖精神药物和毒品。
该团伙将在俄罗斯最严酷的监狱服刑,据报道,这些人将在严格制度或特殊制度类型的劳改营中服刑,后者指的是最高安全级别的机构,例如北极劳改营 IK-3,又名“北极狼”,俄罗斯反对派人物、反腐斗士阿列克谢·纳瓦尔尼曾被关押在此,并在可疑情况下死亡。这或许解释了为什么据报道他们对判决提出上诉。
被判刑名单上没有的一个名字是德米特里·奥列戈维奇·帕夫洛夫(Dmitry Olegovich Pavlov),他被美国当局指控为Hydra的IT管理员,并于2022年被捕后被拘留。
打击Hydra或许与国家安全有更大的关系,据当地媒体报道,内务部新闻中心在一份声明中表示:“犯罪者向互联网用户提供实施恐怖主义行为,包括针对俄罗斯联邦国家权力的行为以及其他犯罪行为,以获得金钱补偿。”“根据现有信息,呼吁采取非法行动的公告是由位于乌克兰的呼叫中心分发的。”
贩毒团伙通过Dead Drop实现配送 与倾向于使用国内或国际邮政服务来运送产品的西方暗网市场毒贩不同,俄罗斯犯罪分子通常会将毒品藏匿在隐蔽的地方,并提醒买家其行踪。
区块链情报公司TRM Labs在最近的一份报告中表示:“与邮政投递相比,Dead Drop为这些参与者提供了三大关键优势:速度、盈利能力和便利性。”“虽然邮件投递通常需要几天时间才能到达,但Dead Drop可能在几分钟内就出现。这是因为Dead Drop中在线市场所宣传的药品通常是预先包装并隐藏起来的:付款后,供应商只需向买家透露其位置即可。”
这种基于匿名的模式似乎正在国外传播,通常使用基于Telegram的销售,包括韩国,而俄罗斯侨民似乎正在斯里兰卡、印度尼西亚和泰国运营网络。
在西欧,TRM Labs的研究人员发现匈牙利、捷克共和国和希腊也在使用这种手段,但这些卖家似乎更喜欢使用端到端加密消息服务,如Telegram和Session,而不是暗网市场。
尽管采取了这些举措,与其他地区相比,俄罗斯暗网市场仍然占据主导地位。戴利和肖蒂斯在题为《打破Klad:俄罗斯的秘密毒品革命》的报告中表示:“在Kraken、Mega和Blacksprut等大型平台的推动下,俄罗斯暗网市场控制着全球93%的份额,仅在2023年就创造了约15亿美元的收入。”
国际联合执法行动摧毁Hydra暗网市场 2022年4月初,由德国联邦刑事警察局(又名Bundeskriminalamt或BKA)和美国执法机构领导的联合执法行动捣毁了Hydra组织,两年多之后,Hydra组织操作员被判刑。
官员们表示,在此之前,Hydra不仅主导了暗网市场销售,还为各种犯罪分子提供洗钱服务,包括勒索软件运营商、诈骗者和资金混合服务。BKA 表示,在巅峰时期,Hydra拥有19,000 家供应商和 1700 万用户。
美国财政部外国资产控制办公室报告称,2019年俄罗斯虚拟货币交易所收到的所有非法比特币中约有86%来自Hydra。2022年4月,区块链分析公司Chainalysis报告称,Hydra当年就已经处理了价值6.45亿美元的“来自非法地址”的加密货币(参见:美国制裁暗网市场Hydra、加密货币交易所Garantex)。
判决并未提及网络犯罪 据报道,针对Hydra组织主谋及其同伙的指控并未提及网络犯罪或洗钱。
专家们早就观察到,俄罗斯当局很少起诉国内网络犯罪分子,只要他们不攻击俄罗斯或盟国的个人,并偶尔为该国的情报部门提供一些帮助(参见:俄罗斯网络犯罪规则提醒:切勿攻击俄罗斯人)。
也有一些例外情况,包括2022年1月,一群疑似REvil勒索软件运营当局的低级附属机构被拘留,他们使用了乔·拜登总统政府提供的情报。如果这是莫斯科发出的信号,表明它已准备好与美国合作打击网络犯罪,那么在俄罗斯总统弗拉基米尔·普京下令于次月对乌克兰发动全面征服战争后,任何此类合作都失败了(参见:俄罗斯逮捕14名疑似REvil勒索软件集团成员)。
另外,俄罗斯当局最近逮捕了米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev),并处以罚款后释放。FBI指控他为“Wazawaka”,是一名与Babuk、LockBit和Hive勒索软件攻击有关的罪犯。为了回应美国的指控,马特维耶夫制作了一张自己的照片,并在社交媒体上发布了一张他身穿印有FBI“头号通缉犯”海报的T恤的照片。他在俄罗斯被捕的情况,以及这是否是普京向即将上任的特朗普政府发出的外交提议,目前尚不清楚。
昨日,Tor项目在官方博客发布新文章,向Tor社区、隐私社区和互联网自由社区发出紧急呼吁,希望志愿者在年底前帮助部署200个新的WebTunnel网桥,以对抗俄罗斯政府日益升级的网络审查。
目前,Tor项目运营着143个WebTunnel网桥,帮助审查严格地区的用户绕过互联网访问限制和网站封锁。
此举是为了回应俄罗斯日益升级的审查制度,Tor项目表示,目前这影响了浏览器内置的审查规避机制,包括obfs4连接和Snowflake。
Tor项目认为,建立更多的WebTunnel桥接器是对这种审查升级的最佳回应,因为分析新的策略和开发解决方法需要时间,这会导致用户容易受到攻击并与免费互联网隔绝。
俄罗斯严格的网络审查 Tor项目称,俄罗斯Tor用户最近的报告显示,网络审查制度正在升级,目的是阻止对Tor和其他规避工具的访问。这一新举措包括试图阻止Tor项目开发的Tor桥接器和可插入设备的网络传输、从应用程序商店中删除应用程序以及要求热门的托管服务提供商停止服务,从而降低绕过审查的空间。尽管多项行动仍在继续,但Tor目前仍然有效。
但是,一个令人担忧的趋势是,俄罗斯联邦通信监管局有针对性地封锁了热门托管服务提供商。由于许多规避工具都在使用这些服务,这一举措导致许多俄罗斯用户无法访问一些Tor网桥。随着俄罗斯联邦通信监管局和俄罗斯的互联网服务提供商加大封锁力度,对更多WebTunnel桥的需求变得迫在眉睫。
WebTunnels如何帮助绕过审查 WebTunnels是Tor项目于2024年3月推出的一种新型网桥,专门用于将Tor流量与常规网络流量混合。该系统通过运行具有有效SSL/TLS证书的Web服务器来实现这一点,将Tor流量伪装成常规HTTPS流量。与使用obfs4等特定协议(这使其识别起来更容易)的标准Tor网桥相反,WebTunnel网桥“隐藏在众目睽睽之下”。这使它们能够抵抗严格的审查。
自今年早些时候推出以来,WebTunnels确保优先考虑较小的下载大小,以便更方便地分发,并简化了对uTLS集成的支持,进一步模仿了更广泛浏览器的特性。这使得Webtunnel对一般用户来说是安全的,因为它有助于隐藏正在使用Tor等工具的事实。Tor项目称:这使审查人员更难检测和阻止,特别适合躲避审查者的监视。
Tor项目提出呼吁 Tor项目呼吁Tor社区和互联网自由社区帮助扩大WebTunnel桥接器的规模。如果热心的志愿者曾经想过运行 Tor 桥接器,那么现在是时候了。Tor项目的目标是在今年(2024 年)12月底之前部署200个新的WebTunnel桥接器,为俄罗斯用户开放安全访问。
Tor项目启动了一项新活动,活动于2024年11月28日开始,并将持续到2025年3月10日,呼吁志愿者建立和维护新的WebTunnel网桥。在此期间设立五座或更多WebTunnel网桥桥的人员将收到该组织赠送的一件T恤作为“感谢”礼物。
一旦网桥建立并运行,网桥的运营者可以向“[email protected]”发送电子邮件并提供详细信息,以注册参与该活动。
如何运行Tor的WebTunnel网桥 作为志愿者,所需要的只是一个静态IPv4地址、一个自托管网站、一个有效的SSL/TLS证书以及至少1TB/月的带宽。具体而言,有两个方法:
使用Docker:使用Tor项目提供的Docker映像,可简化Tor桥接器和WebTunnel传输的部署。需要对您的 Web 服务器进行一些额外配置。 Ansible自动化:由社区成员Jacobo Nájera创建的WebTunnel Ansible角色提供了另一种快速建立 WebTunnel桥的方法。 可以在Tor项目的WebTunnel指南中找到技术要求。简而言之,需要:
静态IPv4地址(首选) 自托管网站 有效的SSL/TLS证书(例如 Let’s Encrypt) 带宽使用量:至少1TB/月,但建议更多。 网桥活动参与规则 参与要求如下:
每个IPv4地址一个WebTunnel网桥;允许子域名或不同的域名。 请提供有效的电子邮件地址作为联系信息。否则无法确认并验证是否参与了此活动。 保持网桥运行至少一年。 确保网桥正常运行,几乎全天候运行;允许重新启动以进行更新。 网桥在活动期间必须保持正常运转的功能。 避免托管在Hetzner上。 有关如何设置和运行WebTunnel桥的更多信息,志愿者可以查看此官方指南。
俄罗斯审查者瞄准可插拔传输 Tor浏览器等Tor驱动的应用程序包含内置的审查规避功能,但俄罗斯的审查者越来越多地针对这些机制。例如,用户报告表明obfs4连接在俄罗斯的一些4G移动网络上被阻止。尽管如此,obfs4仍然是该国Tor用户最广泛使用的可插入传输。Snowflake也在某些提供商处经历了部分屏蔽,Tor的反审查团队一直在调查。
分析审查策略、开发修复方案并实施新的缓解措施需要时间和资源。与此同时,Tor WebTunnel桥接器是绕过俄罗斯审查的一种紧急且直接的方法。
Tor驱动的应用程序对于在严格限制的地区打击网络审查至关重要。在一个“最大的银行被指示惩罚使用信用卡支付 VPN服务的客户”的国家,Tor等免费开源工具是为数不多的让用户保持连接的替代方案之一。
背景:Tor网络在俄罗斯被封锁(2021年) 2021年末,俄罗斯政府试图封锁Tor网络,正如Tor项目在博客文章中详细介绍的那样。尽管俄罗斯审查人员尽了最大努力,但俄罗斯用户还是能够使用Tor网桥绕过封锁。
2024年初推出WebTunnel时,仅有60个WebTunnel网桥。如今,这个数字已经增加了一倍多,达到143个。然而,Tor项目表示必须还要加大努力,以满足不断增长的需求,并应对不断变化的审查形势。
Tor项目希望,如果有热心人士曾考虑过运行Tor网桥,那么现在正是开始的好时机。
黑客攻击的目标是一家公司的数据库,该公司负责英国一些最机密场所的安全,其中包括一个核潜艇基地和一个化学武器实验室。
与俄罗斯有关联的黑客在暗网上泄露了英国军事和情报机构的绝密安全信息。
他们发布了数千页数据,这些数据可以帮助犯罪分子进入英国皇家海军克莱德核潜艇基地、波顿唐化学武器实验室和英国政府通信总部的一个监听站。
在暗网勒索软件团伙LockBit的网络攻击中,有关高安全级别监狱和对英国网络防御至关重要的军事网站的信息也被窃取。黑客瞄准了Zaun公司的数据库,Zaun公司是一家为最高安全级别网站制造围栏的公司。然后,这些信息被发布到暗网上,可以使用特殊软件Tor浏览器进行访问。
英国下议院国防特别委员会成员、工党议员凯文·琼斯(Kevan Jones)警告说:“这可能对我们一些最敏感网站的安全造成严重破坏。”
“政府需要解释为什么这家公司的计算机系统如此脆弱。任何为潜在敌人提供安全安排的信息都是令人极为担忧的。”
上个月,总部位于西米德兰兹的Zaun公司在一次重大攻击中被攻破,该公司为高风险场所制造围栏和周边安全措施,并为2012年伦敦奥运会提供安全屏障。
勒索软件团伙LockBit被描述为世界上最危险的黑客团伙,主要嫌疑人米哈伊尔·马特维耶夫(Mikhail Matveev)在攻击了1400个全球目标后而被联邦调查局列入通缉名单。其中包括企图勒索英国皇家邮政(RoyalMail)6600万英镑,但该公司拒绝支付。
在美国和加拿大,有几名俄罗斯人被指控参与了网络攻击。据说勒索软件团伙LockBit与俄罗斯黑帮有财务联系。
在一份泄露的文件中,Zaun公司描述了为保护威尔茨的波顿唐(Porton Down)而购买的特定设备,并称其在那里的工作“非常隐秘”,波顿唐是英国的化学武器实验室。同时公布的还有一份销售订单,详细说明了为英国皇家海军克莱德海军基地(HMNB Clyde)购买的货物,该基地被称为法斯兰(Faslane),是三叉戟核潜艇的所在地。
泄露的文件还包括康沃尔郡布德政府通讯总部通信中心设备的销售订单报告。英国政府通信总部(GCHQ)形容布德在我们的安全中发挥着“关键作用”。此次泄露的信息还包括“死神”无人机攻击中队所在的林茨瓦丁顿皇家空军基地和第14信号团从事电子战的考德军营的安全设备。
彭布罗克郡考多尔周边围栏的详细图纸附在公司电子邮件中。还有一张地图重点标明了该地点的安装情况。与一连串监狱有关的文件也被泄露,其中包括A级监狱–沃尔克斯的朗拉廷监狱(Long Lartin)和卡姆布斯的怀特穆尔监狱(Whitemoor)。
Zaun公司不愿讨论赎金要求,一名安全专家将此事件称为“对我们国家安全基础设施的毁灭性打击”。
国防委员会主席、保守党议员托比亚斯·埃尔伍德(Tobias Ellwood)表示:“这将如何影响我们的国防机构在不受攻击威胁的情况下继续运作?“
“我们如何更好地保护自己防御俄罗斯的干扰,这无疑与我们支持乌克兰的立场有关?最后,这是冲突不再局限于传统战场的另一个例子,它现在包括数字领域,并对安全机构提出了越来越高的要求。”
据称,LockBit已向全球发出8000万英镑的赎金要求。自2020年以来,它一直受到FBI的关注。俄罗斯国民鲁斯兰·马戈梅多维奇·阿斯塔米罗夫(Ruslan Magomedovich Astamirov)在美国被指控“参与在美国、亚洲、欧洲和非洲部署大量LockBit勒索软件和其他攻击”。
美国司法部表示:“LockBit勒索软件变种于2020年1月左右首次出现。LockBit参与者已执行了1400多次攻击,发出了超过1亿美元的要求,并收到了数千万美元的比特币。”
2022年,美国宣布对拥有俄罗斯和加拿大双重国籍的米哈伊尔·瓦西里耶夫(Mikhail Vasiliev)提出指控。他目前被关押在加拿大,等待被引渡到美国。第二位俄罗斯人米哈伊尔·帕夫洛维奇·马特维耶夫(Mikhail Pavlovich Matveev)因“涉嫌参与”不同的LockBit阴谋而被通缉。
Zaun公司已向警方报警,其最新账目中的税前利润接近70万英镑。该公司表示:“LockBit有可能获得一些历史电子邮件、订单、图纸和项目文件。我们不认为系统中存储了机密文件,也不认为机密文件已被泄露。”
“我们已经联系了国家网络安全中心,并正在接受建议。Zaun是复杂网络攻击的受害者,并已采取一切合理措施来减轻对我们系统的任何攻击。”
“每一个细节都有助于敌人突破我们的防御”
安全与情报专家AnthonyGlees教授写道,这家公司的名字在德语中可能是“栅栏”的疑似,但英国公司Zaun的安全屏障似乎已经轰然倒塌。
包括英国核威慑力量所在地在内的敏感地点的安全设备的详细信息在暗网上泄露,这对英国的国家安全基础设施是毁灭性的打击。它显示了与俄罗斯有关的黑客可以轻松地随意破坏高强度计算机系统。
这批文件涉及高度安全的围栏专家 Zaun 公司为许多场所提供的设备。其中包括英国核潜艇基地法斯兰(Faslane)、最高机密的政府实验室波顿唐(Porton Down)和 GCHQ 的布德前哨基地。
任何敌对的情报机构都会不惜一切代价获取这些细节。
一位退休的英国情报官员曾经表示,情报就像腌鱼的骨头。就其本身而言,骨头似乎无关紧要——但是,将它们组合在一起,就构成了腌鱼。
换句话说,如果能接触到敏感地点的特定安全设备,敌对分子就能对那里的实际情况了如指掌。
敌人对英国国防资产的每一个细节都非常感兴趣。此前,苏格兰场和北爱尔兰警察局还发生过其他严重数据泄露事件。
国家安全是政府的核心职责。必须在黑客入侵之前将其阻止。草率的协议,尤其是供应商的协议,似乎是盔甲上的一个大的弱点。
讽刺的是,这家公司制造安全围栏以防止人们进入,却无意中让敌人进来了。
网络犯罪论坛为网络犯罪者提供了一个协调、交换信息和进行非法交易的渠道。这些论坛通常托管在暗网上,但部分论坛也可以通过明网访问,是恶意活动的中心。网络犯罪论坛的典型结构包括一个专门的交易市场部分,为出售被盗证书、勒索软件即服务和恶意软件提供便利,而一个单独的部分则保留用于一般的网络犯罪讨论。
众所周知,俄罗斯是名副其实的网络犯罪活动之都。最近的分析表明,74%的勒索软件收入流向了与俄罗斯有联系的威胁行为者。除了以营利为目的的网络犯罪之外,俄罗斯在开展国家支持的网络战方面也有着有据可查的历史。
从威胁情报的角度来看,监控暗网中的网络犯罪论坛有助于监测企业即将发生的攻击的迹象,或者揭露出售的用户凭据,然后可以被渗透之前预先重置他们的帐户。本文“暗网下/AWX”介绍了2023年值得关注的暗网中的俄罗斯三大顶级网络犯罪论坛,企业需要重点对这些暗网论坛进行监控。
Exploit.in Exploit.in是运行时间最长的暗网黑客论坛之一,早在2005年就已启动。顾名思义,该站点的最初目的是为恶意行为者提供一个讨论各种漏洞的有效利用Exp的地方。Exploit.in自然地演变为包含关于其他类型的网络犯罪活动的讨论的论坛,从社会工程技术到破解密码算法的教程。
该论坛是一个以俄语为主的论坛,有一个市场板块,网络犯罪分子在这里交易被盗的信用卡信息、恶意软件,甚至是零日漏洞。Exploit.in还作为一个网络犯罪新闻网站。有趣的是,这个论坛既可以通过表网上的标准互联网浏览器访问,也可以使用Tor浏览器通过暗网访问。
但是,要访问论坛和参与讨论,威胁行为者要么支付100美元的自动访问费用,要么他们可以尝试获得免费访问权限,条件是他们已经在其他“友好”论坛上建立了声誉。虽然这些条件在技术上使Exploit.in成为一个封闭的论坛,但100美元的费用不太可能阻止公司注册虚假账户以监控威胁情报。
Exploit.in的明网地址:
https://exploit.in/
Exploit.in的暗网地址:
https://exploitivzcm5dawzhe6c32bbylyggbjvh5dyvsvb5lkuz5ptmunkmqd.onion
XSS.is XSS.is是另一个封闭的俄语论坛,可以在明网和暗网上访问。管理员承诺使用各种安全和匿名功能来保护注册用户,包括禁用所有用户登录和用户操作的IP地址日志,以及实施加密的私人消息。在XSS.is上注册没有太多障碍——新用户只需输入有效的电子邮件、回答基本的网络安全问题,然后等待网站管理员的批准。
XSS.is上的内容涉及凭证访问、漏洞利用和有价值的零日漏洞的讨论和交易,这些漏洞不存在安全补丁。XSS.is上的其他独家私人部分需要付费才能访问。此前,XSS.is被广泛用于为勒索软件即服务团伙招募成员,但论坛管理员在2021年禁止了勒索软件话题。
这个俄罗斯网络犯罪论坛的名称源于一种称为跨站点脚本的Web应用程序漏洞。该网站从2013年开始被称为DaMaGeLaB,直到2018年一名管理员被捕,之后它被重新命名为XSS。
XSS.is的明网地址:
https://xss.is/
XSS.is的暗网地址:
https://xssforumv3isucukbxhdhwz67hoa5e2voakcfkuieq4ch257vsburuid.onion
RAMP 2.0 2021年RAMP 2.0(俄罗斯匿名市场)论坛的成立有一个有趣的背景故事,它是在臭名昭著的勒索软件团伙Babuk之前使用的域上启动的。
Babuk勒索软件行动对华盛顿特区大都会警察局和休斯顿火箭队的篮球队进行了勒索软件攻击。Babuk的威胁者以前曾使用这个暗网洋葱域名,在受害者拒绝屈服于他们的勒索要求时发布被盗数据。
从2012年到2018年,RAMP的前一个版本存在于一个不同的域名上,但它更多地是围绕着购买和销售非法产品。俄罗斯执法部门关闭了RAMP的第一个版本,但出现了一个新版本,重点是网络犯罪。受欢迎的论坛板块包括赎金软件集团的合作伙伴计划,恶意软件板块,以及另一个专门出售企业账户访问权的板块。
注册RAMP 2.0需要成为Exploit和XSS的活跃会员至少两个月。要进入RAMP 2.0,在这两个论坛的良好声誉也是必不可少的。论坛的语言选择已经从单纯的俄语发展到现在包括普通话和英语。
RAMP 2.0的明网地址:
https://ramp4u.io/
RAMP 2.0的暗网地址:
http://rampjcdlqvgkoz5oywutpo6ggl7g6tvddysustfl6qzhr5osr24xxqqd.onion